Usando o perfil de origem para acesso entre contas - AWS SDK para SAP ABAP
Pré-requisitosProcedimento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o perfil de origem para acesso entre contas

O perfil de origem permite que os sistemas SAP acessem AWS recursos em várias contas, encadeando as suposições da função do IAM. Um perfil assume uma função, que então assume outra função, e assim por diante, semelhante ao source_profile parâmetro na CLI AWS . Isso é útil para cenários de acesso entre contas em que você precisa percorrer várias AWS contas para alcançar seus recursos de destino.

Exemplo: Seu sistema SAP é executado na Conta A (111111111111) e precisa acessar os buckets do Amazon S3 na Conta C (333333333333). Você configura três perfis:

  1. DEV_BASEobtém credenciais básicas dos metadados da instância do Amazon EC2 e assume a função P na Conta A

  2. SHARED_SERVICESusa DEV_BASE credenciais para assumir a função Q na conta B (222222222222)

  3. PROD_S3_ACCESSusa SHARED_SERVICES credenciais para assumir a Função R na Conta C

Quando seu aplicativo usaPROD_S3_ACCESS, o SDK executa automaticamente a cadeia: obtenha credenciais dos metadados da instância → assuma a função P → assuma a função Q → assuma a função R.

Pré-requisitos

Os seguintes pré-requisitos devem ser atendidos antes de configurar o perfil de origem:

  • As funções do IAM para cada etapa da cadeia devem ser criadas pelo administrador do IAM. Cada função deve ter:

    • Permissões para ligar para o necessário Serviços da AWS

    • Relação de confiança configurada para permitir que a função anterior na cadeia a assuma

    Para obter mais informações, consulte Práticas recomendadas de segurança no IAM.

  • Crie autorização para executar a transação /AWS1/IMG. Consulte mais informações em Autorizações para configuração.

  • Os usuários devem ter /AWS1/SESS autorização para TODOS os perfis da cadeia, incluindo perfis intermediários.

Procedimento

Siga estas instruções para configurar o perfil de origem.

Etapa 1 — Configurar o perfil básico

O perfil básico é o primeiro perfil na cadeia e deve usar um método de autenticação padrão.

  1. Execute a /n/AWS1/IMG transação para iniciar o Guia de AWS SDK para SAP ABAP Implementação (IMG).

  2. Selecione AWS SDK for SAP ABAP Settings > Application Configurations > SDK Profile.

  3. Crie um novo perfil para usar como seu perfil base selecionando Novas entradas e inserindo o nome e a descrição do perfil. Selecione Salvar.

    nota

    Se você estiver usando um perfil existente que já esteja configurado com um método de autenticação padrão (INST, SSF ou RLA), você pode pular as etapas restantes desta seção e prosseguir diretamente para. Etapa 2 — Configurar perfis encadeados

  4. Selecione o perfil que você criou e, em seguida, selecione Autenticação e configurações > Novas entradas e insira os seguintes detalhes:

    • SID: O ID do sistema SAP

    • Cliente: O cliente do sistema SAP

    • ID do cenário: selecione o DEFAULT cenário criado pelo administrador do Basis

    • AWS Região: AWS região para a qual você deseja fazer chamadas

    • Método de autenticação: selecione uma das seguintes opções:

      • Função da instância via metadados para sistemas SAP executados no Amazon EC2

      • Credenciais do SSF Storage para sistemas locais ou outros sistemas em nuvem

      • IAM Roles Anywhere para autenticação baseada em certificados

    Selecione Salvar.

  5. Selecione IAM Role Mapping > New Entries e insira:

    • Número de sequência: 1

    • Função lógica do IAM: um nome descritivo (por exemplo,DEV_BASE_ROLE)

    • ARN da função do IAM: o ARN da função do IAM na primeira conta (por exemplo,) arn:aws:iam::111111111111:role/DevBaseRole

    Selecione Salvar.

Etapa 2 — Configurar perfis encadeados

Configure cada perfil intermediário e final na cadeia.

Para SHARED_SERVICES perfil (correntes deDEV_BASE):

  1. Execute a /n/AWS1/IMG transação.

  2. Selecione AWS SDK for SAP ABAP Settings > Application Configurations > SDK Profile.

  3. Selecione Novas entradas. Insira o nome do perfil (por exemplo,SHARED_SERVICES) e a descrição. Selecione Salvar.

  4. Selecione o perfil que você criou e, em seguida, selecione Autenticação e configurações > Novas entradas e insira os seguintes detalhes:

    • SID: O ID do sistema SAP

    • Cliente: O cliente do sistema SAP

    • ID do cenário: selecione o DEFAULT cenário criado pelo administrador do Basis

    • AWS Região: AWS região para a qual você deseja fazer chamadas

    • Método de autenticação: selecione Perfil de origem no menu suspenso

    • ID do perfil de origem: insira o ID do perfil base (por exemplo,DEV_BASE)

    Selecione Salvar.

  5. Selecione IAM Role Mapping > New Entries e insira:

    • Número de sequência: 1

    • Função lógica do IAM: um nome descritivo (por exemplo,SHARED_ROLE)

    • ARN da função do IAM: arn:aws:iam::222222222222:role/SharedServicesRole

    Selecione Salvar.

Para PROD_S3_ACCESS perfil (correntes deSHARED_SERVICES):

Repita as mesmas etapasSHARED_SERVICES, mas:

  • Use PROD_S3_ACCESS como nome

  • Definir ID do perfil de origem como SHARED_SERVICES

  • Use PROD_S3_ROLE e arn:aws:iam::333333333333:role/ProdS3AccessRole no mapeamento de funções do IAM

Para ver as melhores práticas de segurança, incluindo gerenciamento de funções do IAM, configuração de políticas de confiança e requisitos de autorização, consulte Melhores práticas para a segurança do IAM.