Bewährte Methoden für IAM-Sicherheit - AWS SDK für SAP ABAP
Bewährte Methode für das Amazon EC2 EC2-Instance-ProfilIAM-Rollen für SAP-BenutzerÜberlegungen zur Sicherheit des Quellprofils

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für IAM-Sicherheit

Der IAM-Administrator wird für die folgenden drei Schlüsselbereiche verantwortlich sein.

  • Sicherstellen, dass sich das SAP-System mit Amazon EC2-Metadaten oder Secret Key-Anmeldeinformationen authentifizieren kann.

  • Sicherstellen, dass das SAP-System über die erforderlichen Berechtigungen verfügt, um sich weiterzuentwickeln. sts:assumeRole

  • Erstellen Sie für jede logische IAM-Rolle eine IAM-Rolle für SAP-Benutzer mit den erforderlichen Berechtigungen, um die Geschäftsfunktionen auszuführen (z. B. die erforderlichen Berechtigungen für Amazon S3, DynamoDB oder andere Services). Dies sind die Rollen, die SAP-Benutzer übernehmen werden.

Weitere Informationen finden Sie im Kapitel Sicherheit im SAP Lens: AWS Well-Architected Framework.

Bewährte Methode für das Amazon EC2 EC2-Instance-Profil

Die Amazon EC2 EC2-Instance, auf der Ihr SAP-System läuft, verfügt über eine Reihe von Autorisierungen, die auf ihrem Instance-Profil basieren. Im Allgemeinen benötigt das Instance-Profil lediglich Aufrufberechtigungensts:assumeRole, damit das SAP-System bei Bedarf geschäftsspezifische IAM-Rollen übernehmen kann. Diese Erweiterung auf andere Rollen stellt sicher, dass ein ABAP-Programm eine Rolle übernehmen kann, die dem Benutzer die geringsten Rechte einräumt, die er für seine Arbeit benötigt. Ein Instanzprofil könnte beispielsweise die folgende Anweisung enthalten.

JSON

{
 "Version":"2012-10-17",		 	 	 
 "Statement": [
   {
     "Sid": "VisualEditor0",
     "Effect": "Allow",
     "Action": "sts:AssumeRole",
     "Resource":[
        "arn:aws:iam::012345678912:role/finance-cfo",
        "arn:aws:iam::012345678912:role/finance-auditor",
        "arn:aws:iam::012345678912:role/finance-reporting"
      ]
   }
 ]
}

In diesem vorherigen Beispiel kann das SAP-System die IAM-Rollen für den CFO-, AUDITOR- oder REPORTING-Benutzer übernehmen. AWS Das SDK wählt basierend auf der PFCG-Rolle des Benutzers in SAP die richtige IAM-Rolle für den Benutzer aus.

Das Amazon EC2 EC2-Instance-Profil kann auch für andere Funktionen verwendet werden.

Diese Lösungen erfordern möglicherweise auch sts:assumeRole Berechtigungen für Rollen, die für Backup oder Failover spezifisch sind, oder sie erfordern möglicherweise, dass Berechtigungen direkt dem Instanzprofil zugewiesen werden.

IAM-Rollen für SAP-Benutzer

Das ABAP-Programm benötigt Berechtigungen, um die Aufgabe des Benutzers auszuführen: eine DynamoDB-Tabelle lesen, Amazon Textract für ein PDF-Objekt in Amazon S3 aufrufen, eine Funktion ausführen. AWS Lambda Es wird überall dasselbe Sicherheitsmodell verwendet. AWS SDKs Sie können eine vorhandene IAM-Rolle verwenden, die für ein anderes AWS SDK verwendet wurde.

Der SAP Business Analyst fragt den IAM-Administrator nach der arn:aws: -Rolle einer IAM-Rolle für jede benötigte logische Rolle. In einem Finanzszenario kann der Business Analyst beispielsweise die folgenden logischen IAM-Rollen definieren.

  • CFO

  • AUDITOR

  • REPORTING

Der IAM-Administrator definiert IAM-Rollen für jede logische IAM-Rolle.

CFO

  • arn:aws:iam::0123456789:role/finance-cfo

  • Lese- und Schreibberechtigungen für einen Amazon S3 S3-Bucket

  • Lese- und Schreibberechtigungen für eine DynamoDB-Datenbank

AUDITOR

  • arn:aws:iam::0123456789:role/finance-auditor

  • Leseberechtigungen für einen Amazon S3 S3-Bucket

  • Leseberechtigungen für eine DynamoDB-Datenbank

REPORTING

  • arn:aws:iam::0123456789:role/finance-reporting

  • Leseberechtigungen für eine DynamoDB-Datenbank

  • keine Erlaubnis für den Amazon S3 S3-Bucket

Der Business Analyst gibt die IAM-Rollen in eine Zuordnungstabelle ein, um die logischen IAM-Rollen den physischen IAM-Rollen zuzuordnen.

IAM-Rollen für SAP-Benutzer müssen die sts:assumeRole Aktion für vertrauenswürdige Principals zulassen. Die vertrauenswürdigen Prinzipale können je nachdem, wie das SAP-System authentifiziert wird, variieren. AWS Weitere Informationen finden Sie unter Einen Prinzipal angeben.

Im Folgenden finden Sie einige Beispiele für die gängigsten SAP-Szenarien.

  • SAP-System, das auf Amazon EC2 mit einem zugewiesenen Instance-Profil läuft — hier wird ein Amazon EC2 EC2-Instance-Profil an eine IAM-Rolle angehängt.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "AWS": "arn:aws:iam::123456789012:role/SapInstanceProfile" 
            }
        }
    ]
}

  • SAP-Systeme, die auf Amazon EC2 ohne Instanzprofil laufen — hier übernimmt Amazon EC2 Rollen für SAP-Benutzer.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "Service": [ "ec2.amazonaws.com" ] 
            }
        }
    ]
}

  • Lokal ausgeführte SAP-Systeme — SAP-Systeme, die lokal ausgeführt werden, können sich nur mit dem Secret Access Key authentifizieren. Weitere Informationen finden Sie unter SAP-Systemauthentifizierung auf. AWS

    Hier muss jede IAM-Rolle, die von einem SAP-Benutzer übernommen wird, über eine Vertrauensstellung verfügen, die dem SAP-Benutzer vertraut.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "AWS": "arn:aws:iam::123456789012:user/SAP_SYSTEM_S4H" 
            }
        }
    ]
}

Überlegungen zur Sicherheit des Quellprofils

Bei Verwendung des Quellprofils:

IAM-Rollenverwaltung

Kritisch: IAM-Rollen in Quellprofilketten müssen strikt verwaltet werden, um unbefugten Zugriff und Rechteerweiterungen zu verhindern:

  • Prinzip der geringsten Rechte anwenden — Gewähren Sie nur die Mindestberechtigungen, die für den spezifischen Zweck jeder Rolle erforderlich sind

  • Regelmäßige Überprüfung der Rollenberechtigungen — Überprüfen und aktualisieren Sie die Rollenrichtlinien vierteljährlich oder wenn sich die Anforderungen ändern

  • Überwachen Sie die Rollennutzung — Verwenden Sie diese Option, um AssumeRole API-Aufrufe zu verfolgen und ungewöhnliche Muster zu identifizieren

  • Vertrauensbeziehungen einschränken — Beschränken Sie, welche Principals die einzelnen Rollen übernehmen können, auf diejenigen, die unbedingt Zugriff benötigen

  • Verwenden Sie Bedingungen in Vertrauensrichtlinien — Fügen Sie gegebenenfalls Bedingungen wie Quell-IP, MFA-Anforderungen oder zeitbasierte Einschränkungen hinzu

  • Dokumentieren Sie die Zwecke der Rollen — Sorgen Sie für eine klare Dokumentation des vorgesehenen Anwendungsfalls und der erforderlichen Berechtigungen für jede Rolle

Autorisierung und Zugriffskontrolle

  • Stellen Sie sicher, dass für alle Zwischenprofile in der Kette die entsprechenden Vertrauensrichtlinien konfiguriert sind

  • Benutzer müssen über eine /AWS1/SESS Autorisierung für ALLE Profile in der Kette verfügen, einschließlich Zwischenprofilen

  • Jede IAM-Rolle muss der vorherigen Rolle in der Kette ausdrücklich vertrauen

Technische Schutzmaßnahmen

  • Das SDK erzwingt eine maximale Kettentiefe von 5 Profilen, um übermäßige STS-API-Aufrufe zu verhindern

  • Zirkelverweise werden automatisch erkannt und verhindert

  • Die Authentifizierungsmethode für das Basisprofil wurde validiert, um sicherzustellen, dass sie eine Standardmethode (INST, SSF oder RLA) verwendet

Weitere Informationen zur Konfiguration des Quellprofils finden Sie unter Verwenden des Quellprofils für den kontoübergreifenden Zugriff.