ベストプラクティス 7.2 – SAP ワークロードへの特権アクセスを管理する - SAP Lens

ベストプラクティス 7.2 – SAP ワークロードへの特権アクセスを管理する

可能な場合は、最小特権のアプローチを採用します。ユーザビリティと効率性を管理しつつ、最小限のユーザーセットに、特定のロールを遂行するために必要な最小アクセスのみを付与します。管理アカウント (例えば、 <sid>adm) は、SAP ワークロードの信頼性やデータのセキュリティに大きな影響を与えるアクセス権をデフォルトで持ちます。このリスクをどのように制限できるか検討してください。

提案 7.2.1 – AWS 認証情報と認証を管理する

AWS Identity and Access Management (IAM) により、AWS のサービスとリソースへのアクセスを安全に管理できます。IAM を使用すると、さまざまな SAP およびクラウド管理タスクについて AWS ユーザーとグループを作成し、管理できます。IAM 許可を使用して、AWS リソースへのユーザーアクセスを許可および拒否します。特に特権 (ルート) アクセスの制限と保護については、標準ガイダンスに従う必要があります。

ユーザーに割り当てられていないが、SAP アプリケーションのオペレーションに必要なアクセスについては、最小特権の確保に特に注意を払います。

提案 7.2.2 – SAP 管理認証情報と認証を管理する

必要なときだけ、期間限定の昇格された許可を承認および付与するプロセスを実装します。誰にどのような理由でアクセスが付与されたかに対処する監査機能を使用します。

特権アカウントのユーザーネーム/パスワードの使用を制限します。可能な場合は、直接アクセスを無効にします。特権アクセス管理ソリューションやパスワードボールトなど、認証情報を安全に保存します。

ランブック、RunCommand、および Secrets Manager を使用する特定のタスクについて、オペレーティングシステムへの直接アクセスを制限するために、システムマネージャーをどのように使用できるか評価します。