Prácticas recomendadas de seguridad de IAM - AWS SDK para SAP ABAP
Práctica recomendada para el perfil de instancia de Amazon EC2Roles de IAM para usuarios de SAPConsideraciones de seguridad del perfil de origen

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de seguridad de IAM

El administrador de IAM será responsable de las siguientes tres áreas clave.

  • Garantizar que el sistema SAP pueda autenticarse con metadatos de Amazon EC2 o credenciales de clave secreta.

  • Garantizar que el sistema SAP cuente con los permisos que necesita para promocionarse con sts:assumeRole.

  • Para cada rol de IAM lógico, se crea un rol de IAM para los usuarios de SAP con los permisos necesarios para realizar las funciones empresariales (por ejemplo, los permisos necesarios para Amazon S3, DynamoDB u otros servicios). Estos son los roles que los usuarios de SAP asumirán.

Para obtener más información, consulte el capítulo Seguridad en SAP Lens: Marco de AWS Well-Architected.

Práctica recomendada para el perfil de instancia de Amazon EC2

La instancia de Amazon EC2 en la que se ejecuta el sistema SAP tiene un conjunto de autorizaciones basadas en su perfil de instancia. Por lo general, el perfil de instancia solo necesita tener permisos para realizar llamadas a sts:assumeRole, a fin de que el sistema SAP pueda asumir los roles de IAM específicos de la empresa, según sea necesario. Este ascenso a otros roles garantiza que un programa ABAP pueda asumir un rol que otorgue al usuario el privilegio mínimo necesario para realizar su trabajo. Por ejemplo, un perfil de instancia podría contener la siguiente instrucción.

JSON

{
 "Version":"2012-10-17",		 	 	 
 "Statement": [
   {
     "Sid": "VisualEditor0",
     "Effect": "Allow",
     "Action": "sts:AssumeRole",
     "Resource":[
        "arn:aws:iam::012345678912:role/finance-cfo",
        "arn:aws:iam::012345678912:role/finance-auditor",
        "arn:aws:iam::012345678912:role/finance-reporting"
      ]
   }
 ]
}

El ejemplo anterior permite que el sistema SAP asuma las funciones de IAM para el CFO, el AUDITOR o el usuario REPORTING. AWS El SDK elegirá la función de IAM correcta para el usuario en función de la función de PFCG del usuario en SAP.

El perfil de instancia de Amazon EC2 también se puede utilizar para otras funciones.

Estas soluciones también pueden requerir permisos de sts:assumeRole para roles específicos de copia de seguridad o conmutación por error o pueden requerir que los permisos se asignen directamente al perfil de instancia.

Roles de IAM para usuarios de SAP

El programa ABAP necesita permisos para realizar la tarea del usuario: leer una tabla de DynamoDB, invocar Amazon Textract en un objeto PDF en Amazon S3, ejecutar una función. AWS Lambda En todas ellas se utiliza el mismo modelo de seguridad. AWS SDKs Puede usar un rol de IAM existente que se usó para otro SDK de AWS .

El analista de negocios de SAP solicitará al administrador de IAM el arn:aws: de un rol de IAM para cada rol lógico necesario. Por ejemplo, en un escenario financiero, el analista de negocios puede definir los siguientes roles lógicos de IAM.

  • CFO

  • AUDITOR

  • REPORTING

El administrador de IAM definirá los roles de IAM para cada rol lógico de IAM.

CFO

  • arn:aws:iam::0123456789:role/finance-cfo

  • Permisos de lectura y escritura para un bucket de Amazon S3

  • Permisos de lectura y escritura para una base de datos DynamoDB

AUDITOR

  • arn:aws:iam::0123456789:role/finance-auditor

  • Permisos de lectura para un bucket de Amazon S3

  • Permisos de lectura para una base de datos DynamoDB

REPORTING

  • arn:aws:iam::0123456789:role/finance-reporting

  • Permisos de lectura para una base de datos DynamoDB

  • Sin permisos para el bucket de Amazon S3

El analista empresarial ingresará los roles de IAM en una tabla de asignación para asignar los roles de IAM lógicos a los roles de IAM físicos.

Los roles de IAM para los usuarios de SAP deben permitir la acción sts:assumeRole para entidades principales de confianza. Las entidades principales de confianza pueden variar según la forma en que se autentique el sistema SAP en AWS. Para obtener más información, consulte Especificación de una entidad principal.

A continuación se muestran algunos ejemplos de los escenarios de SAP más comunes.

  • Sistema SAP que se ejecuta en Amazon EC2 con un perfil de instancia asignado; aquí, un perfil de instancia de Amazon EC2 se adjunta a un rol de IAM.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "AWS": "arn:aws:iam::123456789012:role/SapInstanceProfile" 
            }
        }
    ]
}

  • Sistemas SAP que se ejecutan en Amazon EC2 sin un perfil de instancia: en este caso, Amazon EC2 asume los roles de los usuarios de SAP.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "Service": [ "ec2.amazonaws.com" ] 
            }
        }
    ]
}

  • Sistemas SAP que se ejecutan en las instalaciones: los sistemas SAP que se ejecutan en las instalaciones solo pueden autenticarse mediante la clave de acceso secreta. Para obtener más información, consulte Autenticación del sistema SAP en AWS.

    En este caso, cualquier rol de IAM que asuma un usuario de SAP debe tener una relación de confianza en el usuario de SAP.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "AWS": "arn:aws:iam::123456789012:user/SAP_SYSTEM_S4H" 
            }
        }
    ]
}

Consideraciones de seguridad del perfil de origen

Al utilizar el perfil de origen:

Administración de roles de IAM

Fundamental: las funciones de IAM en las cadenas de perfiles de origen deben gestionarse estrictamente para evitar el acceso no autorizado y la escalada de privilegios:

  • Aplique el principio de privilegios mínimos: conceda solo los permisos mínimos necesarios para el propósito específico de cada función

  • Audite periódicamente los permisos de los puestos: revise y actualice las políticas de los puestos trimestralmente o cuando cambien los requisitos

  • Supervise el uso de los roles: utilícelo para rastrear las llamadas a la AssumeRole API e identificar patrones inusuales

  • Limite las relaciones de confianza: limite los directores que pueden asumir cada función solo a aquellos que necesitan acceso absolutamente

  • Utilice las condiciones en las políticas de confianza: añada condiciones como la IP de origen, los requisitos de MFA o las restricciones basadas en el tiempo, según proceda

  • Documente los propósitos de las funciones: mantenga una documentación clara sobre el caso de uso previsto de cada función y los permisos necesarios

Autorización y control de acceso

  • Asegúrese de que todos los perfiles intermedios de la cadena tengan configuradas las políticas de confianza adecuadas

  • Los usuarios deben tener /AWS1/SESS autorización para TODOS los perfiles de la cadena, incluidos los perfiles intermedios

  • Cada función de IAM debe confiar explícitamente en la función anterior de la cadena

Salvaguardias técnicas

  • El SDK impone una profundidad de cadena máxima de 5 perfiles para evitar llamadas excesivas a la API STS

  • Las referencias circulares se detectan y evitan automáticamente

  • El método de autenticación del perfil base se valida para garantizar que utiliza un método estándar (INST, SSF o RLA)

Para obtener más información sobre la configuración del perfil de origen, consulte Uso del perfil de origen para el acceso entre cuentas.