将证书与 IAM Roles Anywhere 结合使用 - AWS SDK对于 SAP ABAP
先决条件过程

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将证书与 IAM Roles Anywhere 结合使用

AWS 通过使用基于证书的身份验证和 Roles Anywhere,可以在 SAP 系统上进行身份验证 AWS Identity and Access Management 。您必须在 STRUST 中设置证书,并在 /AWS1/IMG 中配置 SDK 配置文件。

先决条件

在开始设置证书之前,必须满足以下先决条件。

  • 您的证书颁发机构(CA)颁发的 X.509 证书必须满足以下要求。

    • 签名证书必须是 v3 证书。

    • 链不得超过 5 个证书。

    • 证书必须支持 RSA 或 ECDSA 算法。

  • 在 IAM Roles Anywhere 中将您的 CA 注册为信任锚点,然后创建一个配置文件来指定 IAM Roles Anywhere 的角色/策略。有关更多信息,请参阅 R oles Anywhere 中的 AWS Identity and Access Management 创建信任锚和个人资料

  • SAP 用户的 IAM 角色必须由 IAM 管理员创建。角色必须具有调用所需角色的权限 AWS 服务。有关更多信息,请参阅 IAM 安全最佳实践

  • 创建授权以运行 /AWS1/IMG 事务。有关更多信息,请参阅针对配置的授权

过程

按照以下说明设置基于证书的身份验证。

步骤 1 – 使用 SAP 的安全存储和转发(SSF)定义 SSF 应用程序

  1. 运行事务代码 SE16 来定义 SSF 应用程序。

  2. 输入 SSFAPPLIC 表名称,然后选择新建条目

  3. APPLIC 字段中输入 SSF 应用程序的名称,在 DESCRIPT 字段中输入描述,并为其余字段选择 Selected (X) 选项。

步骤 2 – 设置 SSF 参数

  1. 运行启动/n/AWS1/IMG 适用于 SAP ABAP 的 AWS SDK 实施指南 (IMG)。

  2. 选择 适用于 SAP ABAP 的 AWS SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置

  3. 运行设置 SSF 参数 IMG 活动。

  4. 选择新建条目,然后选择在上一步中创建的 SSF 应用程序。选择保存

  5. 将哈希算法修改为 SHA256,并将加密算法修改为 AES256-CBC。将其它设置保留为默认设置,然后选择保存

步骤 3 - 创建 PSE 和证书请求

  1. 运行 /n/AWS1/IMG 事务,然后选择 适用于 SAP ABAP 的 AWS SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置

  2. 运行 Create PSE for SSF Application IMG 活动。

  3. 对于 STRUST 事务选择编辑

  4. 右键选择在步骤 1 – 使用 SAP 的安全存储和转发(SSF)定义 SSF 应用程序 中创建的 SSF 应用程序,然后选择创建。保留所有其它默认设置,然后选择继续

  5. 选择创建证书请求。参阅下图。保留默认选项,然后选择继续。复制或导出生成的证书请求,并将其提供给您的 CA。您的 CA 会验证请求,并使用签名的公有密钥证书进行响应。

    “为 SSF AWS IAM 角色创建证书请求 Anywhere 签名证书” 的图标。

    签名过程因您的 CA 及其使用的技术而异。有关示例,请参阅使用私有证书颁发机构颁发 AWS 私有终端实体证书。

步骤 4 - 将证书响应导入到相关的 PSE

  1. 运行 /n/AWS1/IMG 事务,然后选择 适用于 SAP ABAP 的 AWS SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置

  2. 运行 Create PSE for SSF Application IMG 活动。

  3. 对于 STRUST 事务选择编辑

  4. 选择 SSF 应用程序,然后选择位于主题下方 PSE 部分中的导入证书响应。将证书响应复制并粘贴到文本框中,或者从文件系统导入文件。选择继续 > 保存

  5. 通过两次选择主题即可查看证书详细信息。信息显示在证书部分中。

步骤 5 – 配置 SDK 配置文件以使用 IAM Roles Anywhere

  1. 运行 /n/AWS1/IMG 事务,然后选择 适用于 SAP ABAP 的 AWS SDK 设置 > 技术先决条件 > 应用程序配置

  2. 创建新的 SDK 配置文件并对其命名。

  3. 选择 IAM Roles Anywhere 作为身份验证方法。

    • 在左侧窗格中,选择身份验证和设置

    • 创建一个新条目,然后输入 SAP 系统的信息以及 AWS 区域。

    • 对于身份验证方法选择 IAM Roles Anywhere,然后选择保存

    • 选择输入详细信息,然后在弹出窗口中,选择在步骤 1 – 使用 SAP 的安全存储和转发(SSF)定义 SSF 应用程序 中创建的 SSF 应用程序。输入在先决条件中创建的信任锚点 ARN配置文件 ARN。参阅下图。选择继续

      信任锚和个人资料的 Amazon 资源名称 (ARN) 示例。

  4. 在左侧窗格中,选择 IAM 角色映射。输入名称,并提供 IAM 管理员提供的 IAM 角色的 ARN。

有关更多信息,请参阅应用程序配置