Uso del perfil de origen para el acceso entre cuentas - AWS SDK para SAP ABAP
Requisitos previosProcedimiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso del perfil de origen para el acceso entre cuentas

El perfil de origen permite a los sistemas SAP acceder a AWS los recursos de varias cuentas al encadenar las suposiciones de las funciones de IAM. Un perfil asume un rol, que luego asume otro rol, y así sucesivamente, similar al source_profile parámetro de AWS CLI. Esto resulta útil en situaciones de acceso entre cuentas en las que es necesario recorrer varias AWS cuentas para llegar a los recursos objetivo.

Ejemplo: su sistema SAP se ejecuta en la cuenta A (1111) y necesita acceder a los buckets de Amazon S3 en la cuenta C (333333333333). Se configuran tres perfiles:

  1. DEV_BASEobtiene las credenciales base de los metadatos de la instancia Amazon EC2 y asume la función P en la cuenta A

  2. SHARED_SERVICESusa DEV_BASE credenciales para asumir el rol Q en la cuenta B (222222222222)

  3. PROD_S3_ACCESSusa SHARED_SERVICES credenciales para asumir el rol R en la cuenta C

Cuando su aplicación lo usaPROD_S3_ACCESS, el SDK ejecuta automáticamente la cadena: obtener credenciales de los metadatos de la instancia → asumir el rol P → asumir el rol Q → asumir el rol R.

Requisitos previos

Se deben cumplir los siguientes requisitos previos antes de configurar el perfil de origen:

  • El administrador de IAM debe crear las funciones de IAM para cada paso de la cadena. Cada función debe tener:

    • Permisos para llamar a los requeridos Servicios de AWS

    • Relación de confianza configurada para permitir que el rol anterior de la cadena la asuma

    Para obtener más información, consulte Prácticas recomendadas de seguridad de IAM.

  • Cree una autorización para ejecutar la transacción /AWS1/IMG. Para obtener más información, consulte Autorizaciones para configuración.

  • Los usuarios deben tener /AWS1/SESS autorización para TODOS los perfiles de la cadena, incluidos los perfiles intermedios.

Procedimiento

Siga estas instrucciones para configurar el perfil de origen.

Paso 1: Configurar el perfil base

El perfil base es el primer perfil de la cadena y debe utilizar un método de autenticación estándar.

  1. Ejecute la /n/AWS1/IMG transacción para lanzar AWS SDK para SAP ABAP la Guía de implementación (IMG).

  2. Seleccione AWS SDK para SAP ABAP Settings > Configuraciones de aplicaciones > SDK Profile.

  3. Cree un perfil nuevo para usarlo como perfil base. Para ello, seleccione Nuevas entradas e introduzca el nombre y la descripción del perfil. Seleccione Guardar.

    nota

    Si utiliza un perfil existente que ya está configurado con un método de autenticación estándar (INST, SSF o RLA), puede omitir los pasos restantes de esta sección y pasar directamente a. Paso 2: Configurar perfiles encadenados

  4. Seleccione el perfil que creó y, a continuación, seleccione Autenticación y configuración > Nuevas entradas e introduzca los siguientes detalles:

    • SID: el ID del sistema SAP

    • Cliente: El cliente del sistema SAP

    • ID de escenario: seleccione el DEFAULT escenario creado por su administrador de Basis

    • AWS Región: AWS región a la que quieres hacer llamadas

    • Método de autenticación: selecciona una de las siguientes opciones:

      • Función de instancia mediante metadatos para sistemas SAP que se ejecutan en Amazon EC2

      • Credenciales de SSF Storage para sistemas locales u otros sistemas en la nube

      • IAM Roles Anywhere para la autenticación basada en certificados

    Seleccione Guardar.

  5. Seleccione IAM Role Mapping > Nuevas entradas e introduzca:

    • Número de secuencia: 1

    • Función lógica de IAM: un nombre descriptivo (por ejemplo,DEV_BASE_ROLE)

    • ARN del rol de IAM: el ARN del rol de IAM en la primera cuenta (por ejemplo,) arn:aws:iam::111111111111:role/DevBaseRole

    Seleccione Guardar.

Paso 2: Configurar perfiles encadenados

Configure cada perfil intermedio y final de la cadena.

Para el SHARED_SERVICES perfil (cadenas desdeDEV_BASE):

  1. Ejecute la /n/AWS1/IMG transacción.

  2. Seleccione AWS SDK para SAP ABAP Settings > Configuraciones de aplicaciones > SDK Profile.

  3. Seleccione Nuevas entradas. Introduzca el nombre del perfil (por ejemplo,SHARED_SERVICES) y la descripción. Seleccione Guardar.

  4. Seleccione el perfil que ha creado y, a continuación, seleccione Autenticación y configuración > Nuevas entradas e introduzca los siguientes detalles:

    • SID: el ID del sistema SAP

    • Cliente: El cliente del sistema SAP

    • ID de escenario: seleccione el DEFAULT escenario creado por su administrador de Basis

    • AWS Región: AWS región a la que quieres hacer llamadas

    • Método de autenticación: selecciona el perfil de origen en el menú desplegable

    • ID de perfil de origen: introduzca el ID de perfil del perfil base (por ejemplo,DEV_BASE)

    Seleccione Guardar.

  5. Seleccione IAM Role Mapping > Nuevas entradas e introduzca:

    • Número de secuencia: 1

    • Función lógica de IAM: un nombre descriptivo (por ejemplo,SHARED_ROLE)

    • ARN del rol de IAM: arn:aws:iam::222222222222:role/SharedServicesRole

    Seleccione Guardar.

Para el PROD_S3_ACCESS perfil (cadenas desdeSHARED_SERVICES):

Repita los mismos pasos queSHARED_SERVICES, pero:

  • PROD_S3_ACCESSÚselo como nombre

  • Establezca el ID del perfil de origen en SHARED_SERVICES

  • Utilice PROD_S3_ROLE y arn:aws:iam::333333333333:role/ProdS3AccessRole en el mapeo de roles de IAM

Para obtener información sobre las prácticas recomendadas de seguridad, incluida la administración de funciones de IAM, la configuración de la política de confianza y los requisitos de autorización, consulte las prácticas recomendadas para la seguridad de IAM.