クロスアカウントアクセスのソースプロファイルの使用 - AWS SDK for SAP ABAP
前提条件手順

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスアカウントアクセスのソースプロファイルの使用

ソースプロファイルを使用すると、SAP システムは IAM ロールの前提条件を連鎖させることで、複数のアカウントの AWS リソースにアクセスできます。1 つのプロファイルはロールを引き受け、CLI AWS の source_profileパラメータと同様に別のロールを引き受けます。これは、ターゲットリソースに到達するために複数のアカウントをトラバースする必要があるクロス AWS アカウントアクセスシナリオに役立ちます。

例: SAP システムはアカウント A (111111111111) で実行され、アカウント C (333333333333) の Amazon S3 バケットにアクセスする必要があります。3 つのプロファイルを設定します。

  1. DEV_BASE Amazon EC2 インスタンスメタデータから基本認証情報を取得し、アカウント A でロール P を引き受ける

  2. SHARED_SERVICESDEV_BASE認証情報を使用してアカウント B のロール Q を引き受けます (222222222222)

  3. PROD_S3_ACCESSSHARED_SERVICES認証情報を使用してアカウント C でロール R を引き受けます

アプリケーションが を使用する場合PROD_S3_ACCESS、SDK は自動的にチェーンを実行します。インスタンスメタデータから認証情報を取得する → ロール P を引き受ける → ロール Q を引き受ける → ロール R を引き受けます。

前提条件

ソースプロファイルを設定する前に、次の前提条件を満たす必要があります。

  • チェーンの各ステップの IAM ロールは、IAM 管理者が作成する必要があります。各ロールには以下が必要です。

    • 必要な を呼び出すアクセス許可 AWS のサービス

    • チェーン内の以前のロールが引き受けることを許可するように設定された信頼関係

    詳細については、「IAM セキュリティのベストプラクティス」を参照してください。

  • /AWS1/IMG トランザクションを実行する許可を作成します。詳細については、「設定の権限」を参照してください。

  • ユーザーは、中間プロファイルを含む、チェーン内のすべてのプロファイルに対する/AWS1/SESS認可を持っている必要があります。

手順

ソースプロファイルを設定するには、次の手順に従います。

ステップ 1 – ベースプロファイルを設定する

ベースプロファイルはチェーン内の最初のプロファイルであり、標準の認証方法を使用する必要があります。

  1. /n/AWS1/IMG トランザクションを実行して、 AWS SDK for SAP ABAP 実装ガイド (IMG) を起動します。

  2. AWS SDK for SAP ABAP 設定 > アプリケーション設定 > SDK プロファイルを選択します。

  3. 新しいエントリを選択し、プロファイル名と説明を入力して、ベースプロファイルとして使用する新しいプロファイルを作成します。[保存] を選択します。

    注記

    標準認証方法 (INST、SSF、または RLA) で既に設定されている既存のプロファイルを使用している場合は、このセクションの残りのステップをスキップして、 に直接進むことができますステップ 2 – 連鎖プロファイルを設定する

  4. 作成したプロファイルを選択し、認証と設定 > 新規エントリを選択し、次の詳細を入力します。

    • SID: SAP システムのシステム ID

    • クライアント: SAP システムのクライアント

    • シナリオ ID: Basis 管理者が作成したDEFAULTシナリオを選択します。

    • AWS リージョン: 呼び出し先の AWS リージョン

    • 認証方法: 次のいずれかを選択します。

      • Amazon EC2 で実行されている SAP システムのメタデータを介したインスタンスロール

      • オンプレミスまたはその他のクラウドシステムの SSF ストレージからの認証情報

      • 証明書ベースの認証用の IAM Roles Anywhere

    [保存] を選択します。

  5. IAM ロールマッピング > 新しいエントリを選択し、次のように入力します。

    • シーケンス番号: 1

    • 論理 IAM ロール: わかりやすい名前 (例: DEV_BASE_ROLE)

    • IAM ロール ARN: 最初のアカウントの IAM ロールの ARN (例: arn:aws:iam::111111111111:role/DevBaseRole)

    [保存] を選択します。

ステップ 2 – 連鎖プロファイルを設定する

チェーン内の各中間プロファイルと最終プロファイルを設定します。

SHARED_SERVICESプロファイル ( からのチェーンDEV_BASE):

  1. /n/AWS1/IMG トランザクションを実行します。

  2. AWS SDK for SAP ABAP 設定 > アプリケーション設定 > SDK プロファイルを選択します。

  3. [新規エントリ] を選択します。プロファイル名 (例: SHARED_SERVICES) と説明を入力します。[保存] を選択します。

  4. 作成したプロファイルを選択し、認証と設定 > 新規エントリを選択し、次の詳細を入力します。

    • SID: SAP システムのシステム ID

    • クライアント: SAP システムのクライアント

    • シナリオ ID: Basis 管理者が作成したDEFAULTシナリオを選択します。

    • AWS Region: 呼び出し先の AWS リージョン

    • 認証方法: ドロップダウンからソースプロファイルを選択する

    • ソースプロファイル ID: ベースプロファイルのプロファイル ID を入力します (例: DEV_BASE)

    [保存] を選択します。

  5. IAM ロールマッピング > 新しいエントリを選択し、次のように入力します。

    • シーケンス番号: 1

    • 論理 IAM ロール: わかりやすい名前 (例: SHARED_ROLE)

    • IAM ロール ARN: arn:aws:iam::222222222222:role/SharedServicesRole

    [保存] を選択します。

PROD_S3_ACCESSプロファイル ( からのチェーンSHARED_SERVICES):

と同じ手順を繰り返しますがSHARED_SERVICES、以下を実行します。

  • を名前PROD_S3_ACCESSとして使用する

  • ソースプロファイル ID を に設定する SHARED_SERVICES

  • IAM ロールマッピングarn:aws:iam::333333333333:role/ProdS3AccessRolePROD_S3_ROLEと を使用する

IAM ロール管理、信頼ポリシー設定、認可要件などのセキュリティのベストプラクティスについては、「IAM セキュリティのベストプラクティス」を参照してください。