Quellprofil für kontoübergreifenden Zugriff verwenden

Das Quellprofil ermöglicht SAP-Systemen den Zugriff auf AWS Ressourcen über mehrere Konten hinweg, indem IAM-Rollenannahmen verkettet werden. Ein Profil nimmt eine Rolle an, die dann eine andere Rolle annimmt usw., ähnlich dem source_profile Parameter in AWS CLI. Dies ist nützlich für kontenübergreifende Zugriffsszenarien, in denen Sie mehrere AWS Konten durchqueren müssen, um Ihre Zielressourcen zu erreichen.

Beispiel: Ihr SAP-System läuft in Konto A (111111111111) und muss auf Amazon S3 S3-Buckets in Konto C (333333333333) zugreifen. Sie konfigurieren drei Profile:

DEV_BASEruft Basisanmeldedaten aus den Metadaten der Amazon EC2 EC2-Instanz ab und nimmt Rolle P in Konto A an
SHARED_SERVICESverwendet DEV_BASE Anmeldeinformationen, um Rolle Q in Konto B (222222222222) anzunehmen
PROD_S3_ACCESSverwendet SHARED_SERVICES Anmeldeinformationen, um Rolle R in Konto C anzunehmen

Wenn Ihre Anwendung verwendetPROD_S3_ACCESS, führt das SDK automatisch die Kette aus: Anmeldeinformationen aus den Instanzmetadaten abrufen → Rolle P annehmen → Rolle Q annehmen → Rolle R annehmen.

Voraussetzungen

Vor der Konfiguration des Quellprofils müssen die folgenden Voraussetzungen erfüllt sein:

IAM-Rollen für jeden Schritt in der Kette müssen vom IAM-Administrator erstellt werden. Jede Rolle muss über Folgendes verfügen:
- Berechtigungen zum Aufrufen der erforderlichen AWS-Services
- Die Vertrauensstellung ist so konfiguriert, dass sie von der vorherigen Rolle in der Kette übernommen werden kann
Weitere Informationen finden Sie unter Bewährte Methoden für IAM-Sicherheit.
Erstellen Sie eine Autorisierung zur Ausführung der /AWS1/IMG Transaktion. Weitere Informationen finden Sie unter Autorisierungen für die Konfiguration.
Benutzer müssen über eine /AWS1/SESS Autorisierung für ALLE Profile in der Kette verfügen, einschließlich Zwischenprofilen.

Verfahren

Folgen Sie diesen Anweisungen, um das Quellprofil zu konfigurieren.

Schritte

Schritt 1 — Konfigurieren Sie das Basisprofil
Schritt 2 — Verkettete Profile konfigurieren

Schritt 1 — Konfigurieren Sie das Basisprofil

Das Basisprofil ist das erste Profil in der Kette und muss eine Standardauthentifizierungsmethode verwenden.

Führen Sie die /n/AWS1/IMG Transaktion aus, um den AWS SDK für SAP ABAP Implementierungsleitfaden (IMG) zu starten.
Wählen Sie AWS SDK für SAP ABAP-Einstellungen > Anwendungskonfigurationen > SDK-Profil aus.
Erstellen Sie ein neues Profil, das Sie als Basisprofil verwenden möchten, indem Sie Neue Einträge auswählen und den Profilnamen und die Beschreibung eingeben. Wählen Sie Speichern aus.

Anmerkung
Wenn Sie ein vorhandenes Profil verwenden, das bereits mit einer Standardauthentifizierungsmethode (INST, SSF oder RLA) konfiguriert ist, können Sie die verbleibenden Schritte in diesem Abschnitt überspringen und direkt mit fortfahren. Schritt 2 — Verkettete Profile konfigurieren
Wählen Sie das von Ihnen erstellte Profil aus, wählen Sie dann Authentifizierung und Einstellungen > Neue Einträge aus und geben Sie die folgenden Details ein:
- SID: Die System-ID des SAP-Systems
- Kunde: Der Kunde des SAP-Systems
- Szenario-ID: Wählen Sie das von Ihrem Basis-Administrator erstellte DEFAULT Szenario aus
- AWS Region: AWS Region, in die Sie Anrufe tätigen möchten
- Authentifizierungsmethode: Wählen Sie eine der folgenden Methoden:
  - Instanzrolle über Metadaten für SAP-Systeme, die auf Amazon EC2 laufen
  - Anmeldeinformationen aus SSF Storage für lokale oder andere Cloud-Systeme
  - IAM Roles Anywhere für zertifikatsbasierte Authentifizierung
Wählen Sie Speichern aus.
Wählen Sie IAM-Rollenzuordnung > Neue Einträge aus und geben Sie Folgendes ein:
- Sequenznummer: 1
- Logische IAM-Rolle: Ein beschreibender Name (z. B.) DEV_BASE_ROLE
- IAM-Rollen-ARN: Der ARN der IAM-Rolle im ersten Konto (z. B.) arn:aws:iam::111111111111:role/DevBaseRole
Wählen Sie Speichern aus.

Schritt 2 — Verkettete Profile konfigurieren

Konfigurieren Sie jedes Zwischen- und Endprofil in der Kette.

Für das SHARED_SERVICES Profil (Ketten vonDEV_BASE):

Führen Sie die /n/AWS1/IMG Transaktion aus.
Wählen Sie AWS SDK für SAP ABAP-Einstellungen > Anwendungskonfigurationen > SDK-Profil aus.
Wählen Sie Neue Einträge aus. Geben Sie den Profilnamen (z. B.SHARED_SERVICES) und eine Beschreibung ein. Wählen Sie Speichern aus.
Wählen Sie das von Ihnen erstellte Profil aus, wählen Sie dann Authentifizierung und Einstellungen > Neue Einträge und geben Sie die folgenden Details ein:
- SID: Die System-ID des SAP-Systems
- Kunde: Der Kunde des SAP-Systems
- Szenario-ID: Wählen Sie das von Ihrem Basis-Administrator erstellte DEFAULT Szenario aus
- AWS Region: AWS Region, in die Sie Anrufe tätigen möchten
- Authentifizierungsmethode: Wählen Sie im Drop-down-Menü das Quellprofil aus
- Quellprofil-ID: Geben Sie die Profil-ID des Basisprofils ein (z. B.DEV_BASE)
Wählen Sie Speichern aus.
Wählen Sie „IAM-Rollenzuordnung“ > „Neue Einträge“ und geben Sie Folgendes ein:
- Sequenznummer: 1
- Logische IAM-Rolle: Ein beschreibender Name (z. B.) SHARED_ROLE
- IAM-Rolle ARN: arn:aws:iam::222222222222:role/SharedServicesRole
Wählen Sie Speichern aus.

Für das PROD_S3_ACCESS Profil (Ketten vonSHARED_SERVICES):

Wiederholen Sie die gleichen Schritte wieSHARED_SERVICES, aber:

PROD_S3_ACCESSAls Namen verwenden
Stellen Sie die Quellprofil-ID auf ein SHARED_SERVICES
Verwenden Sie PROD_S3_ROLE und arn:aws:iam::333333333333:role/ProdS3AccessRole in der IAM-Rollenzuweisung

Bewährte Sicherheitsmethoden, einschließlich IAM-Rollenverwaltung, Konfiguration von Vertrauensrichtlinien und Autorisierungsanforderungen, finden Sie unter Bewährte Methoden für IAM-Sicherheit.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IAM Roles Anywhere

Anmeldeinformationsspeicher