Menggunakan Profil Sumber untuk Akses Lintas Akun - AWS SDK untuk SAP ABAP
PrasyaratProsedur

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Profil Sumber untuk Akses Lintas Akun

Profil sumber memungkinkan sistem SAP untuk mengakses AWS sumber daya di beberapa akun dengan merantai asumsi peran IAM. Satu profil mengasumsikan peran, yang kemudian mengasumsikan peran lain, dan seterusnya, mirip dengan source_profile parameter di CLI AWS . Ini berguna untuk skenario akses lintas akun di mana Anda perlu melintasi beberapa AWS akun untuk mencapai sumber daya target Anda.

Contoh: Sistem SAP Anda berjalan di Akun A (11111111111111) dan perlu mengakses bucket Amazon S3 di Akun C (333333333333). Anda mengkonfigurasi tiga profil:

  1. DEV_BASEmendapatkan kredensi dasar dari metadata instans Amazon EC2 dan mengasumsikan Peran P di Akun A

  2. SHARED_SERVICESmenggunakan DEV_BASE kredensil untuk mengambil Peran Q di Akun B (222222222222)

  3. PROD_S3_ACCESSmenggunakan SHARED_SERVICES kredensil untuk mengambil Peran R di Akun C

Saat aplikasi Anda menggunakanPROD_S3_ACCESS, SDK secara otomatis mengeksekusi chain: get credentials from instance metadata → asumsikan Role P → asumsikan Role Q → asumsikan Role R.

Prasyarat

Prasyarat berikut harus dipenuhi sebelum mengonfigurasi profil sumber:

  • Peran IAM untuk setiap langkah dalam rantai harus dibuat oleh administrator IAM. Setiap peran harus memiliki:

    • Izin untuk memanggil yang diperlukan Layanan AWS

    • Hubungan kepercayaan dikonfigurasi untuk memungkinkan peran sebelumnya dalam rantai untuk mengasumsikannya

    Untuk informasi selengkapnya, lihat Praktik terbaik untuk Keamanan IAM.

  • Buat otorisasi untuk menjalankan /AWS1/IMG transaksi. Untuk informasi selengkapnya, lihat Otorisasi untuk konfigurasi.

  • Pengguna harus memiliki /AWS1/SESS otorisasi untuk SEMUA profil dalam rantai, termasuk profil perantara.

Prosedur

Ikuti petunjuk ini untuk mengonfigurasi profil sumber.

Langkah 1 - Konfigurasikan profil dasar

Profil dasar adalah profil pertama dalam rantai dan harus menggunakan metode otentikasi standar.

  1. Jalankan /n/AWS1/IMG transaksi untuk meluncurkan AWS SDK untuk SAP ABAP Implementation Guide (IMG).

  2. Pilih AWS SDK untuk Pengaturan SAP ABAP > Konfigurasi Aplikasi > Profil SDK.

  3. Buat profil baru untuk digunakan sebagai profil dasar Anda dengan memilih Entri Baru dan masukkan nama profil dan deskripsi. Pilih Simpan.

    catatan

    Jika Anda menggunakan profil yang sudah ada yang sudah dikonfigurasi dengan metode otentikasi standar (INST, SSF, atau RLA), Anda dapat melewati langkah-langkah yang tersisa di bagian ini dan melanjutkan langsung ke. Langkah 2 - Konfigurasikan profil berantai

  4. Pilih profil yang Anda buat, lalu pilih Otentikasi dan Pengaturan > Entri Baru, dan masukkan detail berikut:

    • SID: ID sistem sistem SAP

    • Klien: Klien dari sistem SAP

    • ID Skenario: Pilih DEFAULT skenario yang dibuat oleh administrator Basis

    • AWS Wilayah: AWS Wilayah tempat Anda ingin melakukan panggilan

    • Metode Otentikasi: Pilih salah satu dari berikut ini:

      • Peran Instans melalui Metadata untuk sistem SAP yang berjalan di Amazon EC2

      • Kredensil dari SSF Storage untuk sistem cloud lokal atau lainnya

      • Peran IAM Di Mana Saja untuk otentikasi berbasis sertifikat

    Pilih Simpan.

  5. Pilih Pemetaan Peran IAM > Entri Baru, dan masukkan:

    • Nomor urut: 1

    • Peran IAM Logis: Nama deskriptif (mis.,) DEV_BASE_ROLE

    • Peran IAM ARN: ARN peran IAM di akun pertama (mis.,) arn:aws:iam::111111111111:role/DevBaseRole

    Pilih Simpan.

Langkah 2 - Konfigurasikan profil berantai

Konfigurasikan setiap profil perantara dan akhir dalam rantai.

Untuk SHARED_SERVICES profil (rantai dariDEV_BASE):

  1. Jalankan /n/AWS1/IMG transaksi.

  2. Pilih AWS SDK untuk Pengaturan SAP ABAP > Konfigurasi Aplikasi > Profil SDK.

  3. Pilih Entri Baru. Masukkan nama profil (mis.,SHARED_SERVICES) dan deskripsi. Pilih Simpan.

  4. Pilih profil yang Anda buat, lalu pilih Otentikasi dan Pengaturan > Entri Baru dan masukkan detail berikut:

    • SID: ID sistem sistem SAP

    • Klien: Klien dari sistem SAP

    • ID Skenario: Pilih DEFAULT skenario yang dibuat oleh administrator Basis

    • AWS Wilayah: AWS Wilayah tempat Anda ingin melakukan panggilan

    • Metode Otentikasi: Pilih Profil Sumber dari dropdown

    • ID Profil Sumber: Masukkan ID profil profil dasar (mis.,DEV_BASE)

    Pilih Simpan.

  5. Pilih Pemetaan Peran IAM > Entri Baru, dan masukkan:

    • Nomor urut: 1

    • Peran IAM Logis: Nama deskriptif (mis.,) SHARED_ROLE

    • Peran IAM ARN: arn:aws:iam::222222222222:role/SharedServicesRole

    Pilih Simpan.

Untuk PROD_S3_ACCESS profil (rantai dariSHARED_SERVICES):

Ulangi langkah yang sama sepertiSHARED_SERVICES, tetapi:

  • Gunakan PROD_S3_ACCESS sebagai nama

  • Setel ID Profil Sumber ke SHARED_SERVICES

  • Gunakan PROD_S3_ROLE dan arn:aws:iam::333333333333:role/ProdS3AccessRole dalam Pemetaan Peran IAM

Untuk praktik terbaik keamanan termasuk manajemen peran IAM, konfigurasi kebijakan kepercayaan, dan persyaratan otorisasi, lihat Praktik terbaik untuk Keamanan IAM.