Utilizzo del profilo di origine per l'accesso su più account - AWS SDK per SAP ABAP
PrerequisitiProcedura

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo del profilo di origine per l'accesso su più account

Il profilo di origine consente ai sistemi SAP di accedere alle AWS risorse su più account concatenando i presupposti dei ruoli IAM. Un profilo assume un ruolo, che quindi assume un altro ruolo e così via, in modo simile al source_profile parametro in AWS CLI. Ciò è utile per gli scenari di accesso tra account diversi in cui è necessario utilizzare più AWS account per raggiungere le risorse di destinazione.

Esempio: il tuo sistema SAP viene eseguito nell'account A (1111) e deve accedere ai bucket Amazon S3 nell'account C (3333). Si configurano tre profili:

  1. DEV_BASEottiene le credenziali di base dai metadati delle istanze Amazon EC2 e assume il ruolo P nell'account A

  2. SHARED_SERVICESutilizza DEV_BASE le credenziali per assumere il ruolo Q nell'account B (222222222222)

  3. PROD_S3_ACCESSutilizza SHARED_SERVICES le credenziali per assumere il ruolo R nell'account C

Quando l'applicazione lo utilizzaPROD_S3_ACCESS, l'SDK esegue automaticamente la catena: ottieni le credenziali dai metadati dell'istanza → assumi il ruolo P → assumi il ruolo Q → assumi il ruolo R.

Prerequisiti

I seguenti prerequisiti devono essere soddisfatti prima di configurare il profilo di origine:

  • I ruoli IAM per ogni fase della catena devono essere creati dall'amministratore IAM. Ogni ruolo deve avere:

    • Autorizzazioni per chiamare i dati richiesti Servizi AWS

    • Relazione di fiducia configurata per consentire al ruolo precedente nella catena di assumerla

    Per ulteriori informazioni, consulta Best practice for IAM Security.

  • Crea l'autorizzazione per eseguire /AWS1/IMG la transazione. Per ulteriori informazioni, consulta Autorizzazioni per la configurazione.

  • Gli utenti devono disporre /AWS1/SESS dell'autorizzazione per TUTTI i profili della catena, compresi i profili intermedi.

Procedura

Segui queste istruzioni per configurare il profilo di origine.

Fase 1 — Configurare il profilo di base

Il profilo di base è il primo profilo della catena e deve utilizzare un metodo di autenticazione standard.

  1. Esegui la /n/AWS1/IMG transazione per avviare la Guida AWS SDK per SAP ABAP all'implementazione (IMG).

  2. Seleziona Impostazioni AWS SDK per SAP ABAP > Configurazioni dell'applicazione > Profilo SDK.

  3. Crea un nuovo profilo da utilizzare come profilo di base selezionando Nuove voci e inserisci il nome e la descrizione del profilo. Seleziona Salva.

    Nota

    Se utilizzi un profilo esistente già configurato con un metodo di autenticazione standard (INST, SSF o RLA), puoi saltare i passaggi rimanenti di questa sezione e procedere direttamente a. Passaggio 2: configurare i profili concatenati

  4. Seleziona il profilo che hai creato, quindi seleziona Autenticazione e impostazioni > Nuove voci e inserisci i seguenti dettagli:

    • SID: l'ID di sistema del sistema SAP

    • Client: il client del sistema SAP

    • ID scenario: seleziona lo DEFAULT scenario creato dall'amministratore di Basis

    • AWS Regione: AWS regione verso la quale si desidera effettuare chiamate

    • Metodo di autenticazione: seleziona una delle seguenti opzioni:

      • Ruolo dell'istanza tramite metadati per sistemi SAP in esecuzione su Amazon EC2

      • Credenziali da SSF Storage per sistemi locali o altri sistemi cloud

      • IAM Roles Anywhere per l'autenticazione basata su certificati

    Seleziona Salva.

  5. Seleziona IAM Role Mapping > New Entries e inserisci:

    • Numero di sequenza: 1

    • Ruolo IAM logico: un nome descrittivo (ad es.) DEV_BASE_ROLE

    • ARN del ruolo IAM: l'ARN del ruolo IAM nel primo account (ad es.) arn:aws:iam::111111111111:role/DevBaseRole

    Seleziona Salva.

Passaggio 2: configurare i profili concatenati

Configura ogni profilo intermedio e finale della catena.

Per il SHARED_SERVICES profilo (catene daDEV_BASE):

  1. Esegui la /n/AWS1/IMG transazione.

  2. Seleziona Impostazioni AWS SDK per SAP ABAP > Configurazioni dell'applicazione > Profilo SDK.

  3. Seleziona Nuove voci. Inserisci il nome del profilo (ad es.SHARED_SERVICES) e la descrizione. Seleziona Salva.

  4. Seleziona il profilo che hai creato, quindi seleziona Autenticazione e impostazioni > Nuove voci e inserisci i seguenti dettagli:

    • SID: l'ID di sistema del sistema SAP

    • Client: il client del sistema SAP

    • ID scenario: seleziona lo DEFAULT scenario creato dall'amministratore di Basis

    • AWS Regione: AWS regione verso la quale si desidera effettuare chiamate

    • Metodo di autenticazione: seleziona il profilo di origine dal menu a discesa

    • ID del profilo di origine: inserisci l'ID del profilo di base (ad esempio,DEV_BASE)

    Seleziona Salva.

  5. Seleziona IAM Role Mapping > New Entries e inserisci:

    • Numero di sequenza: 1

    • Ruolo IAM logico: un nome descrittivo (ad es.) SHARED_ROLE

    • Ruolo IAM ARN: arn:aws:iam::222222222222:role/SharedServicesRole

    Seleziona Salva.

Per il PROD_S3_ACCESS profilo (catene daSHARED_SERVICES):

Ripeti gli stessi passaggi diSHARED_SERVICES, ma:

  • Usa PROD_S3_ACCESS come nome

  • Imposta l'ID del profilo di origine su SHARED_SERVICES

  • Usa PROD_S3_ROLE e arn:aws:iam::333333333333:role/ProdS3AccessRole nella mappatura dei ruoli IAM

Per le migliori pratiche di sicurezza, tra cui la gestione dei ruoli IAM, la configurazione delle policy di fiducia e i requisiti di autorizzazione, consulta Best practices for IAM Security.