Praktik terbaik untuk Keamanan IAM - AWS SDK untuk SAP ABAP
Praktik terbaik untuk profil instans Amazon EC2Peran IAM untuk pengguna SAPPertimbangan Keamanan Profil Sumber

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk Keamanan IAM

Administrator IAM akan bertanggung jawab atas tiga bidang utama berikut.

  • Memastikan bahwa sistem SAP dapat mengautentikasi dirinya sendiri dengan metadata Amazon EC2 atau kredenal Secret Key.

  • Memastikan bahwa sistem SAP memiliki izin yang dibutuhkan untuk meningkatkan dirinya sendiri. sts:assumeRole

  • Untuk setiap peran IAM logis, membuat peran IAM untuk pengguna SAP dengan izin yang diperlukan untuk menjalankan fungsi bisnis (misalnya, izin yang diperlukan untuk Amazon S3, DynamoDB, atau layanan lainnya). Ini adalah peran yang akan diasumsikan oleh pengguna SAP.

Untuk informasi selengkapnya, lihat bagian Keamanan di SAP Lens: AWS Well-Architected Framework.

Praktik terbaik untuk profil instans Amazon EC2

Instans Amazon EC2 tempat sistem SAP Anda berjalan memiliki serangkaian otorisasi berdasarkan profil instansnya. Umumnya, profil instance hanya perlu memiliki izin untuk memanggilsts:assumeRole, untuk memungkinkan sistem SAP untuk mengambil peran IAM khusus bisnis sesuai kebutuhan. Peningkatan ke peran lain ini memastikan bahwa program ABAP dapat mengambil peran yang memberi pengguna hak istimewa paling sedikit yang diperlukan untuk melakukan pekerjaan mereka. Misalnya, profil instance mungkin berisi pernyataan berikut.

JSON

{
 "Version":"2012-10-17",		 	 	 
 "Statement": [
   {
     "Sid": "VisualEditor0",
     "Effect": "Allow",
     "Action": "sts:AssumeRole",
     "Resource":[
        "arn:aws:iam::012345678912:role/finance-cfo",
        "arn:aws:iam::012345678912:role/finance-auditor",
        "arn:aws:iam::012345678912:role/finance-reporting"
      ]
   }
 ]
}

Contoh sebelumnya ini memungkinkan sistem SAP untuk mengambil peran IAM untuk CFO, AUDITOR, atau pengguna PELAPORAN. AWS SDK akan memilih peran IAM yang benar untuk pengguna berdasarkan peran PFCG pengguna di SAP.

Profil instans Amazon EC2 juga dapat digunakan untuk fungsi lainnya.

Solusi ini mungkin juga memerlukan sts:assumeRole izin untuk peran khusus untuk pencadangan atau failover atau mereka mungkin memerlukan izin untuk ditetapkan langsung ke profil instans.

Peran IAM untuk pengguna SAP

Program ABAP memerlukan izin untuk melakukan pekerjaan pengguna: membaca tabel DynamoDB, memanggil Amazon Texttract pada objek PDF di Amazon S3, jalankan fungsi. AWS Lambda Model keamanan yang sama digunakan di semua AWS SDKs. Anda dapat menggunakan peran IAM yang sudah ada yang digunakan untuk AWS SDK lain.

Analis bisnis SAP akan meminta administrator IAM untuk arn:aws: dari peran IAM untuk setiap peran logis yang diperlukan. Misalnya, dalam skenario keuangan, analis bisnis dapat menentukan peran IAM logis berikut.

  • CFO

  • AUDITOR

  • REPORTING

Administrator IAM akan mendefinisikan peran IAM untuk setiap peran IAM logis.

CFO

  • arn:aws:iam::0123456789:role/finance-cfo

  • izin baca dan tulis ke bucket Amazon S3

  • membaca dan menulis izin ke database DynamoDB

AUDITOR

  • arn:aws:iam::0123456789:role/finance-auditor

  • baca izin ke bucket Amazon S3

  • membaca izin ke database DynamoDB

REPORTING

  • arn:aws:iam::0123456789:role/finance-reporting

  • membaca izin ke database DynamoDB

  • tidak ada izin untuk ember Amazon S3

Analis bisnis akan memasukkan peran IAM ke dalam tabel pemetaan untuk memetakan peran IAM logis dengan peran IAM fisik.

Peran IAM untuk pengguna SAP harus memungkinkan sts:assumeRole tindakan untuk prinsipal tepercaya. Prinsipal tepercaya dapat bervariasi berdasarkan bagaimana sistem SAP diautentikasi. AWS Untuk detail selengkapnya, lihat Menentukan prinsipal.

Berikut ini adalah beberapa contoh skenario SAP yang paling umum.

  • Sistem SAP berjalan di Amazon EC2 dengan profil instans yang ditetapkan - di sini, profil instans Amazon EC2 dilampirkan ke peran IAM.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "AWS": "arn:aws:iam::123456789012:role/SapInstanceProfile" 
            }
        }
    ]
}

  • Sistem SAP berjalan di Amazon EC2 tanpa profil instans — di sini, Amazon EC2 mengambil peran untuk pengguna SAP.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "Service": [ "ec2.amazonaws.com" ] 
            }
        }
    ]
}

  • Sistem SAP yang berjalan di tempat — Sistem SAP yang berjalan di tempat hanya dapat mengautentikasi menggunakan Kunci Akses Rahasia. Untuk informasi selengkapnya, lihat otentikasi sistem SAP aktif. AWS

    Di sini, setiap peran IAM yang diasumsikan oleh pengguna SAP harus memiliki hubungan kepercayaan yang mempercayai pengguna SAP.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "AWS": "arn:aws:iam::123456789012:user/SAP_SYSTEM_S4H" 
            }
        }
    ]
}

Pertimbangan Keamanan Profil Sumber

Saat menggunakan profil sumber:

Manajemen Peran IAM

Kritis: Peran IAM dalam rantai profil sumber harus dikelola secara ketat untuk mencegah akses yang tidak sah dan eskalasi hak istimewa:

  • Menerapkan prinsip hak istimewa terkecil - Berikan hanya izin minimum yang diperlukan untuk tujuan spesifik setiap peran

  • Mengaudit izin peran secara teratur - Tinjau dan perbarui kebijakan peran setiap triwulan atau saat persyaratan berubah

  • Memantau penggunaan peran - Gunakan untuk melacak panggilan AssumeRole API dan mengidentifikasi pola yang tidak biasa

  • Batasi hubungan kepercayaan - Batasi prinsip mana yang dapat mengambil peran masing-masing hanya kepada mereka yang benar-benar membutuhkan akses

  • Gunakan kondisi dalam kebijakan kepercayaan - Tambahkan kondisi seperti IP sumber, persyaratan MFA, atau batasan berbasis waktu jika sesuai

  • Tujuan peran dokumen - Menjaga dokumentasi yang jelas tentang kasus penggunaan yang dimaksudkan setiap peran dan izin yang diperlukan

Otorisasi dan Kontrol Akses

  • Pastikan semua profil perantara dalam rantai memiliki kebijakan kepercayaan yang sesuai yang dikonfigurasi

  • Pengguna harus memiliki /AWS1/SESS otorisasi untuk SEMUA profil dalam rantai, termasuk profil perantara

  • Setiap peran IAM harus secara eksplisit mempercayai peran sebelumnya dalam rantai

Pengamanan Teknis

  • SDK memberlakukan kedalaman rantai maksimum 5 profil untuk mencegah panggilan STS API yang berlebihan

  • Referensi melingkar secara otomatis terdeteksi dan dicegah

  • Metode otentikasi profil dasar divalidasi untuk memastikannya menggunakan metode standar (INST, SSF, atau RLA)

Untuk informasi selengkapnya tentang mengonfigurasi profil sumber, lihat Menggunakan Profil Sumber untuk Akses Lintas Akun.