本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
上的 SAP 系統身分驗證 AWS
在 SAP 系統可以 AWS 代表 SAP 使用者呼叫 之前,SAP 系統必須向 進行自我驗證 AWS。 適用於 SAP ABAP 的 AWS SDK 支援以下在 的 SDK 設定檔設定中選取的三種基本身分驗證方法IMG。
AWS 適用於 SAP ABAP 的 SDK - BTP 版本只能使用 SAP Credential Store 的 私密存取金鑰身分驗證方法進行身分驗證。
對於跨帳戶存取案例,適用於 SAP ABAP 的 SDK 也支援來源描述檔,可使用任何基本身分驗證方法跨帳戶鏈結多個 IAM 角色假設。如需詳細資訊,請參閱跨帳戶存取的來源描述檔身分驗證。
Amazon EC2 執行個體中繼資料身分驗證
在 Amazon EC2 上執行的 SAP 系統可以從 Amazon EC2 執行個體中繼資料取得短期、自動輪換的登入資料。如需詳細資訊,請參閱使用 Amazon EC2 執行個體中繼資料的登入資料。
我們強烈建議在使用適用於 SAP ABAP 的 SDK 時使用此身分驗證方法。若要啟用,Basis 管理員必須啟用傳出 HTTP 通訊。不需要進一步的基礎組態。
注意
此身分驗證方法僅適用於 SAP 系統在 Amazon EC2 上執行的情況。內部部署或其他雲端環境中託管的 SAP 系統無法使用此方法進行身分驗證。
私密存取金鑰身分驗證
透過此方法,您可以使用存取金鑰 ID 和私密存取金鑰來驗證 SAP 系統 AWS。SAP 系統 AWS 使用 IAM 使用者登入 。如需詳細資訊,請參閱管理 IAM 使用者的存取金鑰。
基礎管理員會從 AWS IAM 管理員收到存取金鑰 ID 和私密存取金鑰。您的 SAP 系統必須設定為存放存取金鑰 ID 和私密存取金鑰。
-
安全、存放和轉送 (SSF)
-
使用 SSF 功能來驗證適用於 SAP ABAP 的 AWS SDK。如需詳細資訊,請參閱數位簽章和加密
。 -
您也可以使用
SSF02報告測試 SSF 的envelope和develope功能。如需詳細資訊,請參閱測試 SSF 安裝。 -
/AWS1/IMG交易中說明設定 SSF for SDK for SAP ABAP 的步驟。前往技術先決條件,然後選取現場部署系統的其他設定。如需詳細組態步驟,請參閱搭配 SSF 加密使用私密存取金鑰身分驗證。
-
-
SAP 登入資料存放區
-
使用 SAP Credential Store 驗證適用於 SAP ABAP 的 AWS SDK - BTP 版本。如需詳細資訊,請參閱什麼是 SAP 登入資料存放區?
-
如需組態步驟,請參閱使用 SAP 登入資料存放區。
-
使用 IAM Roles Anywhere 的憑證型身分驗證
憑證授權機構 (CA) 發行的 X.509 憑證可用於向 AWS Identity and Access Management Roles Anywhere 進行身分驗證。憑證必須在 中設定STRUST。CA 必須向 IAM Roles Anywhere 註冊為信任錨點,而且必須建立設定檔來指定 IAM Roles Anywhere 將擔任的角色和政策。如需詳細資訊,請參閱在 AWS Identity and Access Management Roles Anywhere 中建立信任錨點和設定檔。
如需如何搭配適用於 SAP ABAP 的 SDK 使用 IAM Roles Anywhere 的詳細步驟,請參閱搭配 IAM Roles Anywhere 使用憑證。
注意
憑證撤銷僅透過使用匯入的憑證撤銷清單來支援。如需詳細資訊,請參閱撤銷。
跨帳戶存取的來源描述檔身分驗證
來源描述檔是一項進階功能,可讓您跨 AWS 帳戶鏈結多個 IAM 角色假設。使用此方法,一個設定檔會擔任角色,然後擔任另一個角色,以此類推,類似於 AWS CLI 中的 source_profile 參數。
來源描述檔適用於三種基本身分驗證方法 (執行個體中繼資料、私密存取金鑰或憑證類型) 中的任一種。鏈結中的第一個設定檔必須使用其中一個基本方法,而鏈結中的後續設定檔必須使用上一個設定檔的登入資料來擔任下一個角色。
這適用於您需要周遊多個 AWS 帳戶以到達目標資源的跨帳戶存取案例。如需詳細組態步驟,請參閱使用來源設定檔進行跨帳戶存取。
下一步驟
在 中驗證 SAP 系統之後 AWS,適用於 SAP ABAP 的 SDK 會自動執行sts:assumeRole ,以擔任 SAP 使用者業務職能的適當 IAM 角色。
