교차 계정 액세스를 위한 소스 프로파일 사용 - AWS SDK for SAP ABAP
사전 조건절차

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

교차 계정 액세스를 위한 소스 프로파일 사용

소스 프로파일을 사용하면 SAP 시스템이 IAM 역할 가정을 연결하여 여러 계정의 AWS 리소스에 액세스할 수 있습니다. 한 프로필은 역할을 수임한 다음 AWS CLI의 source_profile 파라미터와 유사한 다른 역할 등을 수임합니다. 이는 대상 리소스에 도달하기 위해 여러 계정을 통과해야 하는 교차 AWS 계정 액세스 시나리오에 유용합니다.

예: SAP 시스템은 계정 A(111111111111)에서 실행되며 계정 C(333333333333)의 Amazon S3 버킷에 액세스해야 합니다. 세 가지 프로파일을 구성합니다.

  1. DEV_BASE는 Amazon EC2 인스턴스 메타데이터에서 기본 자격 증명을 가져오고 계정 A에서 역할 P를 수임합니다.

  2. SHARED_SERVICES는 자격 DEV_BASE 증명을 사용하여 계정 B(222222222222)에서 역할 Q를 수임합니다.

  3. PROD_S3_ACCESS는 자격 SHARED_SERVICES 증명을 사용하여 계정 C에서 역할 R을 수임합니다.

애플리케이션에서 PROD_S3_ACCESS를 사용하는 경우 SDK는 체인을 자동으로 실행합니다. 인스턴스 메타데이터에서 자격 증명 가져오기 → 역할 P 수임 → 역할 Q 수임 → 역할 R 수임.

사전 조건

소스 프로파일을 구성하기 전에 다음 사전 조건을 충족해야 합니다.

  • 체인의 각 단계에 대한 IAM 역할은 IAM 관리자가 생성해야 합니다. 각 역할에는 다음이 있어야 합니다.

    • 필요한를 호출할 수 있는 권한 AWS 서비스

    • 체인의 이전 역할이 이를 수임할 수 있도록 구성된 신뢰 관계

    자세한 내용은 IAM 보안 모범 사례를 참조하세요.

  • /AWS1/IMG 트랜잭션을 실행하기 위한 권한을 생성하십시오. 자세한 내용은 구성을 위한 권한 부여 섹션을 참조하십시오.

  • 사용자는 중간 프로파일을 포함하여 체인의 모든 프로파일에 대한 /AWS1/SESS 권한이 있어야 합니다.

절차

다음 지침에 따라 소스 프로파일을 구성합니다.

1단계 - 기본 프로파일 구성

기본 프로필은 체인의 첫 번째 프로필이며 표준 인증 방법을 사용해야 합니다.

  1. /n/AWS1/IMG 트랜잭션을 실행하여 AWS SDK for SAP ABAP 구현 가이드(IMG)를 시작합니다.

  2. AWS SDK for SAP ABAP 설정 > 애플리케이션 구성 > SDK 프로필을 선택합니다.

  3. 새 항목을 선택하여 기본 프로필로 사용할 새 프로필을 생성하고 프로필 이름과 설명을 입력합니다. 저장을 선택합니다.

    참고

    표준 인증 방법(INST, SSF 또는 RLA)으로 이미 구성된 기존 프로파일을 사용하는 경우이 섹션의 나머지 단계를 건너뛰고 로 바로 진행할 수 있습니다2단계 - 체인 프로필 구성.

  4. 생성한 프로필을 선택한 다음 인증 및 설정 > 새 항목을 선택하고 다음 세부 정보를 입력합니다.

    • SID: SAP 시스템의 시스템 ID

    • 클라이언트: SAP 시스템의 클라이언트

    • 시나리오 ID: 기본 관리자가 생성한 DEFAULT 시나리오 선택

    • AWS 리전: 호출하려는 AWS 리전

    • 인증 방법: 다음 중 하나를 선택합니다.

      • Amazon EC2에서 실행되는 SAP 시스템용 메타데이터를 통한 인스턴스 역할

      • 온프레미스 또는 기타 클라우드 시스템을 위한 SSF 스토리지의 자격 증명

      • 인증서 기반 인증을 위한 IAM Roles Anywhere

    저장을 선택합니다.

  5. IAM 역할 매핑 > 새 항목을 선택하고 다음을 입력합니다.

    • 시퀀스 번호: 1

    • 논리적 IAM 역할: 설명이 포함된 이름(예: DEV_BASE_ROLE)

    • IAM 역할 ARN: 첫 번째 계정에 있는 IAM 역할의 ARN(예: arn:aws:iam::111111111111:role/DevBaseRole)

    저장을 선택합니다.

2단계 - 체인 프로필 구성

체인의 각 중간 및 최종 프로파일을 구성합니다.

SHARED_SERVICES 프로필(의 체인DEV_BASE):

  1. /n/AWS1/IMG 트랜잭션을 실행합니다.

  2. AWS SDK for SAP ABAP 설정 > 애플리케이션 구성 > SDK 프로필을 선택합니다.

  3. 새 항목을 선택합니다. 프로필 이름(예: SHARED_SERVICES)과 설명을 입력합니다. 저장을 선택합니다.

  4. 생성한 프로필을 선택한 다음 인증 및 설정 > 새 항목을 선택하고 다음 세부 정보를 입력합니다.

    • SID: SAP 시스템의 시스템 ID

    • 클라이언트: SAP 시스템의 클라이언트

    • 시나리오 ID: 기본 관리자가 생성한 DEFAULT 시나리오 선택

    • AWS 리전: 호출하려는 AWS 리전

    • 인증 방법: 드롭다운에서 소스 프로필을 선택합니다.

    • 소스 프로필 ID: 기본 프로필의 프로필 ID를 입력합니다(예: DEV_BASE).

    저장을 선택합니다.

  5. IAM 역할 매핑 > 새 항목을 선택하고 다음을 입력합니다.

    • 시퀀스 번호: 1

    • 논리적 IAM 역할: 설명이 포함된 이름(예: SHARED_ROLE)

    • IAM 역할 ARN: arn:aws:iam::222222222222:role/SharedServicesRole

    저장을 선택합니다.

PROD_S3_ACCESS 프로필(의 체인SHARED_SERVICES):

와 동일한 단계를 반복SHARED_SERVICES하지만 다음을 수행합니다.

  • PROD_S3_ACCESS 이름으로 사용

  • 소스 프로필 ID를 로 설정 SHARED_SERVICES

  • IAM 역할 매핑arn:aws:iam::333333333333:role/ProdS3AccessRole에서 PROD_S3_ROLE 및 사용

IAM 역할 관리, 신뢰 정책 구성 및 권한 부여 요구 사항을 포함한 보안 모범 사례는 IAM 보안 모범 사례를 참조하세요.