Utilisation du profil source pour l'accès entre comptes - AWS SDK pour SAP ABAP
Conditions préalablesProcédure

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du profil source pour l'accès entre comptes

Le profil source permet aux systèmes SAP d'accéder aux AWS ressources de plusieurs comptes en enchaînant les hypothèses relatives aux rôles IAM. Un profil assume un rôle, qui assume ensuite un autre rôle, et ainsi de suite, similaire au source_profile paramètre de la AWS CLI. Cela est utile pour les scénarios d'accès entre comptes dans lesquels vous devez parcourir plusieurs AWS comptes pour atteindre vos ressources cibles.

Exemple : votre système SAP s'exécute dans le compte A (111111111111) et doit accéder aux compartiments Amazon S3 dans le compte C (333333333333). Vous configurez trois profils :

  1. DEV_BASEobtient les informations d'identification de base à partir des métadonnées de l'instance Amazon EC2 et assume le rôle P dans le compte A

  2. SHARED_SERVICESutilise les DEV_BASE informations d'identification pour assumer le rôle Q dans le compte B (222222222222)

  3. PROD_S3_ACCESSutilise les SHARED_SERVICES informations d'identification pour assumer le rôle R dans le compte C

Lorsque votre application l'utilisePROD_S3_ACCESS, le SDK exécute automatiquement la chaîne : obtenir les informations d'identification à partir des métadonnées de l'instance → assumer le rôle P → assumer le rôle Q → assumer le rôle R.

Conditions préalables

Les conditions préalables suivantes doivent être remplies avant de configurer le profil source :

  • Les rôles IAM pour chaque étape de la chaîne doivent être créés par l'administrateur IAM. Chaque rôle doit comporter les éléments suivants :

    • Autorisations pour appeler le numéro requis Services AWS

    • Relation de confiance configurée pour permettre au rôle précédent dans la chaîne de l'assumer

    Pour plus d'informations, consultez la section Meilleures pratiques pour la sécurité IAM.

  • Créez une autorisation pour exécuter /AWS1/IMG la transaction. Pour plus d'informations, consultez la section Autorisations pour la configuration.

  • Les utilisateurs doivent disposer /AWS1/SESS d'une autorisation pour TOUS les profils de la chaîne, y compris les profils intermédiaires.

Procédure

Suivez ces instructions pour configurer le profil source.

Étape 1 — Configuration du profil de base

Le profil de base est le premier profil de la chaîne et doit utiliser une méthode d'authentification standard.

  1. Exécutez la /n/AWS1/IMG transaction pour lancer le guide d' AWS SDK pour SAP ABAP implémentation (IMG).

  2. Sélectionnez les paramètres du AWS SDK pour SAP ABAP > Configurations des applications > Profil du SDK.

  3. Créez un nouveau profil à utiliser comme profil de base en sélectionnant Nouvelles entrées et en saisissant le nom et la description du profil. Cliquez sur Enregistrer.

    Note

    Si vous utilisez un profil existant déjà configuré avec une méthode d'authentification standard (INST, SSF ou RLA), vous pouvez ignorer les étapes restantes de cette section et passer directement à. Étape 2 — Configuration des profils chaînés

  4. Sélectionnez le profil que vous avez créé, puis sélectionnez Authentification et paramètres > Nouvelles entrées, puis entrez les informations suivantes :

    • SID : ID système du système SAP

    • Client : le client du système SAP

    • ID du scénario : sélectionnez le DEFAULT scénario créé par votre administrateur Basis

    • AWS Région : AWS région vers laquelle vous souhaitez passer des appels

    • Méthode d'authentification : sélectionnez l'une des options suivantes :

      • Rôle d'instance via les métadonnées pour les systèmes SAP exécutés sur Amazon EC2

      • Informations d'identification provenant de SSF Storage pour les systèmes sur site ou autres systèmes cloud

      • IAM Roles Anywhere pour l'authentification basée sur des certificats

    Cliquez sur Enregistrer.

  5. Sélectionnez Mappage des rôles IAM > Nouvelles entrées, puis entrez :

    • Numéro de séquence : 1

    • Rôle IAM logique : nom descriptif (par exemple,DEV_BASE_ROLE)

    • ARN du rôle IAM : ARN du rôle IAM dans le premier compte (par exemple,) arn:aws:iam::111111111111:role/DevBaseRole

    Cliquez sur Enregistrer.

Étape 2 — Configuration des profils chaînés

Configurez chaque profil intermédiaire et final de la chaîne.

Pour le SHARED_SERVICES profil (chaînes à partir deDEV_BASE) :

  1. Exécutez la /n/AWS1/IMG transaction.

  2. Sélectionnez les paramètres du AWS SDK pour SAP ABAP > Configurations des applications > Profil du SDK.

  3. Sélectionnez Nouvelles entrées. Entrez le nom du profil (par exemple,SHARED_SERVICES) et sa description. Cliquez sur Enregistrer.

  4. Sélectionnez le profil que vous avez créé, puis sélectionnez Authentification et paramètres > Nouvelles entrées et entrez les informations suivantes :

    • SID : ID système du système SAP

    • Client : le client du système SAP

    • ID du scénario : sélectionnez le DEFAULT scénario créé par votre administrateur Basis

    • AWS Région : AWS région vers laquelle vous souhaitez passer des appels

    • Méthode d'authentification : sélectionnez le profil source dans le menu déroulant

    • ID du profil source : entrez l'identifiant du profil de base (par exemple,DEV_BASE)

    Cliquez sur Enregistrer.

  5. Sélectionnez Mappage des rôles IAM > Nouvelles entrées, puis entrez :

    • Numéro de séquence : 1

    • Rôle IAM logique : nom descriptif (par exemple,SHARED_ROLE)

    • ARN du rôle IAM : arn:aws:iam::222222222222:role/SharedServicesRole

    Cliquez sur Enregistrer.

Pour le PROD_S3_ACCESS profil (chaînes à partir deSHARED_SERVICES) :

Répétez les mêmes étapes queSHARED_SERVICES, mais :

  • Utiliser PROD_S3_ACCESS comme nom

  • Définissez l'ID du profil source sur SHARED_SERVICES

  • Utilisation PROD_S3_ROLE et arn:aws:iam::333333333333:role/ProdS3AccessRole dans le mappage des rôles IAM

Pour connaître les meilleures pratiques de sécurité, notamment la gestion des rôles IAM, la configuration des politiques de confiance et les exigences en matière d'autorisation, consultez la section Meilleures pratiques pour la sécurité IAM.