Práticas recomendadas de segurança do IAM - AWS SDK para SAP ABAP
Prática recomendada para o perfil de EC2 instância da AmazonPerfil do IAM para usuários do SAP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas de segurança do IAM

O administrador do IAM será responsável pelas três áreas principais a seguir.

  • Garantir que o sistema SAP possa se autenticar com EC2 metadados da Amazon ou credenciais de chave secreta.

  • Garantir que o sistema SAP tenha as permissões necessárias para se elevar com o sts:assumeRole.

  • Para cada perfil lógico do IAM, criar um perfil do IAM para usuários do SAP com as permissões necessárias para realizar as funções de negócios (por exemplo, as permissões necessárias para Amazon S3, DynamoDB ou outros serviços). Essas são os perfis que o usuário assumirá.

Para obter mais informações, consulte o capítulo Segurança no SAP Lens: AWS Well-Architected Framework.

Prática recomendada para o perfil de EC2 instância da Amazon

A EC2 instância da Amazon na qual seu sistema SAP é executado tem um conjunto de autorizações com base em seu perfil de instância. Geralmente, o perfil da instância só precisa ter permissões para chamar sts:assumeRole, para permitir que o sistema SAP assuma perfis do IAM específicos da empresa, conforme o necessário. Essa elevação para outros perfis garante que um programa ABAP possa assumir um perfil que dê ao usuário o privilégio mínimo necessário para realizar o trabalho. Por exemplo, um perfil de instância pode conter a seguinte declaração.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::0123456789:role/finance-cfo",
                "arn:aws:iam::0123456789:role/finance-auditor",
                "arn:aws:iam::0123456789:role/finance-reporting"
            ]
        }
    ]
}

Esse exemplo anterior permite que o sistema SAP assuma as funções do IAM para o usuário CFO, AUDITOR ou REPORTING. AWS O SDK escolherá a função correta do IAM para o usuário com base na função PFCG do usuário no SAP.

O perfil de EC2 instância da Amazon também pode ser usado para outras funções.

Essas soluções também podem exigir permissões sts:assumeRole para perfis específicos de backup ou failover ou podem exigir que as permissões sejam atribuídas diretamente ao perfil de instância.

Perfil do IAM para usuários do SAP

O programa ABAP precisa de permissões para realizar o trabalho do usuário: ler uma tabela do DynamoDB, invocar o Amazon Textract em um objeto PDF no Amazon S3, executar uma função. AWS Lambda O mesmo modelo de segurança é usado em todos AWS SDKs. Você pode usar um perfil do IAM existente que foi usado para outro AWS SDK.

O analista de negócios da SAP solicitará ao administrador do IAM o perfil arn:aws: de um perfil do IAM para cada perfil lógico necessário. Por exemplo, em um cenário financeiro, o analista de negócios pode definir os seguintes perfis lógicos do IAM.

  • CFO

  • AUDITOR

  • REPORTING

O administrador do IAM definirá os perfis do IAM para cada perfil lógico do IAM.

CFO

  • arn:aws:iam::0123456789:role/finance-cfo

  • permissões de gravação de dados em um bucket do Amazon S3.

  • permissões de leitura e gravação em um banco de dados do DynamoDB

AUDITOR

  • arn:aws:iam::0123456789:role/finance-auditor

  • permissões de leitura em um bucket do Amazon S3

  • permissões de leitura em um banco de dados do DynamoDB

REPORTING

  • arn:aws:iam::0123456789:role/finance-reporting

  • permissões de leitura em um banco de dados do DynamoDB

  • nenhuma permissão para o bucket do Amazon S3

O analista de negócios inserirá os perfis do IAM em uma tabela de mapeamento para mapear os perfis lógicos do IAM com os perfis físicos do IAM.

Os perfis do IAM para usuários do SAP precisam permitir a ação sts:assumeRole de entidades principais confiáveis. As entidades principais confiáveis podem variar de acordo com a forma como o sistema SAP é autenticado na AWS. Para obter mais informações, consulte Especificar uma entidade principal.

Veja alguns dos cenários de exemplo comuns do SAP:

  • Sistema SAP executado na Amazon EC2 com um perfil de instância atribuído — aqui, um perfil de EC2 instância da Amazon é anexado a uma função do IAM.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "AWS": "arn:aws:iam::123456789012:role/SapInstanceProfile" 
            }
        }
    ]
}

  • Sistemas SAP executados na Amazon EC2 sem um perfil de instância — aqui, a Amazon EC2 assume funções para usuários SAP. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "Service": [ "ec2.amazonaws.com" ] 
            }
        }
    ]
}

  • Sistemas SAP executados on-premises: os sistemas SAP executados on-premises só podem ser autenticados usando a chave de acesso secreta. Para obter mais informações, consulte Autenticação do sistema do SAP em AWS.

    Aqui qualquer perfil do IAM assumido por um usuário do SAP deve ter uma relação de confiança que confie no usuário do SAP.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": { 
                "AWS": "arn:aws:iam::123456789012:user/SAP_SYSTEM_S4H" 
            }
        }
    ]
}