本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM 安全的最佳實務
IAM 管理員將負責以下三個關鍵領域。
-
確保 SAP 系統可以使用 Amazon EC2 中繼資料或私密金鑰登入資料進行自我驗證。
-
確保 SAP 系統具有使用 提升自我所需的許可
sts:assumeRole
。 -
對於每個邏輯 IAM 角色,為具有執行業務功能所需許可的 SAP 使用者建立 IAM 角色 (例如,Amazon S3、DynamoDB 或其他 服務的必要許可)。這些是 SAP 使用者將擔任的角色。
如需詳細資訊,請參閱 SAP Lens: AWS Well-Architected Framework 中的安全章節。
Amazon EC2 執行個體描述檔的最佳實務
您的 SAP 系統執行所在的 Amazon EC2 執行個體,根據其執行個體描述檔具有一組授權。一般而言,執行個體描述檔只需要具有呼叫 的許可sts:assumeRole
,以允許 SAP 系統視需要擔任業務特定的 IAM 角色。這種提升到其他角色可確保 ABAP 程式可以擔任角色,為使用者提供執行其任務所需的最低權限。例如,執行個體描述檔可能包含下列陳述式。
上述範例允許 SAP 系統擔任 CFO、AUDITOR 或 REPORTING user 的 IAM 角色。 AWS SDK 將根據使用者在 SAP 中的 PFCG 角色,為使用者選擇正確的 IAM 角色。
Amazon EC2 執行個體描述檔也可以用於其他 函數。
這些解決方案也可能需要備份或容錯移轉特定角色的sts:assumeRole
許可,或者可能需要直接指派給執行個體描述檔的許可。
SAP 使用者的 IAM 角色
ABAP 程式需要許可才能執行使用者的任務:讀取 DynamoDB 資料表、在 Amazon S3 中的 PDF 物件上叫用 Amazon Textract、執行 AWS Lambda 函數。相同的安全模型用於 AWS SDKs。您可以使用用於另一個 AWS SDK 的現有 IAM 角色。
SAP 業務分析師將針對所需的每個邏輯角色,向 IAM 管理員詢問 arn:aws: 的 IAM 角色。例如,在金融案例中,業務分析師可以定義下列邏輯 IAM 角色。
-
CFO
-
AUDITOR
-
REPORTING
IAM 管理員會為每個邏輯 IAM 角色定義 IAM 角色。
CFO
-
arn:aws:iam::
0123456789
:role/finance-cfo -
讀取和寫入許可至 Amazon S3 儲存貯體
-
讀取和寫入許可至 DynamoDB 資料庫
AUDITOR
-
arn:aws:iam::
0123456789
:role/finance-auditor -
Amazon S3 儲存貯體的讀取許可
-
DynamoDB 資料庫的讀取許可
REPORTING
-
arn:aws:iam::
0123456789
:role/finance-reporting -
DynamoDB 資料庫的讀取許可
-
沒有 Amazon S3 儲存貯體的許可
業務分析師會將 IAM 角色輸入映射表中,以將邏輯 IAM 角色映射至實體 IAM 角色。
SAP 使用者的 IAM 角色需要允許信任委託人sts:assumeRole
的動作。信任的委託人可能會根據 SAP 系統在 上的身分驗證方式而有所不同 AWS。如需詳細資訊,請參閱指定委託人。
以下是一些最常見的 SAP 案例範例。
-
在已指派執行個體描述檔的 Amazon EC2 上執行的 SAP 系統 – 在此,Amazon EC2 執行個體描述檔會連接至 IAM 角色。
-
在沒有執行個體描述檔的 Amazon EC2 上執行的 SAP 系統 – 在此,Amazon EC2 會擔任 SAP 使用者的角色。
-
內部部署執行的 SAP 系統 – 內部部署執行的 SAP 系統只能使用私密存取金鑰進行身分驗證。如需詳細資訊,請參閱 上的 SAP 系統身分驗證 AWS。
在此,SAP 使用者擔任的任何 IAM 角色都必須具有信任 SAP 使用者的信任關係。