Amazon WorkSpaces 作为远程访问解决方案 - 常规 SAP 指南
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WorkSpaces 作为远程访问解决方案

使用 Amazon WorkSpaces 可以为访问 SAP 系统提供安全、可扩展和托管的虚拟桌面环境。该虚拟桌面可用作 SAP 终端用户软件(例如 SAPGUI)的集中管理的托管平台,能连接到 RISE with SAP 中的 SAP S/4HANA 环境。

Amazon Personal 提供永久虚拟桌面,专为需要配置高度个性化的桌面供其专用(类似于分配给 WorkSpaces 个人的物理台式机)的用户量身定制。

Amazon P WorkSpaces ool 提供非永久虚拟桌面,专为需要访问临时基础设施上托管的精心策划的桌面环境的用户量身定制。

下图显示了如何使用亚马逊 WorkSpaces 作为带有 SAP 的 RISE 的远程访问解决方案。

亚马逊是 WorkSpaces RISE 与 SAP 合作的远程访问解决方案

交通流

  1. 用户通过 Web 浏览器或WorkSpaces 客户端启动与 Amazon WorkSpaces URL 的连接。

  2. 用户通过 Amazon 托管 VPC 内的身份验证网关进行身份验证。当终端用户登录时,身份验证网关会根据 Directory Services 对用户进行验证;在用户通过验证后,该网关会为用户建立安全会话,使其能够访问自己的虚拟桌面。这种会话管理可确保用户在活动会话期间 WorkSpaces 保持可访问状态,并有助于维护会话的完整性和安全性。此架构部分在端口 443 上将安全套接字层(SSL)与 TCP 协议结合使用。

  3. 连接通过另一个 VPC 附件路由到单独的 Amazon VPC 中的域控制器。域控制器负责管理用户的权限和访问控制策略。它可确保用户拥有与其角色及组成员资格对应的资源访问权限。这通常通过集成来完成(例如 Amazon 托管 Microsoft AD 或通过 Amazon Directory Service 连接的本地 AD)

  4. Transit Gateway 管理 Direct Connect 或 VPN 之间的 VPCs 路由。 Amazon Direct Connect 或 VPN 提供 Amazon 与 SAP RISE 环境的安全连接。

  5. 在用户设备和 SAP 托管的 RISE VPC 之间建立安全会话。

  6. Amazon 托管 VPC 内的流媒体服务网关开始将虚拟桌面环境流式传输到用户的设备。这种直播在 Amazon 基础架构内受到保护和管理。流式传输网关通过互联网将桌面流安全地传输到用户设备。此时,用户设备可通过 SAP 终端用户软件(例如 SAPGUI)访问托管在 RISE 环境中的 SAP 应用程序(例如 SAP S/4)。

  7. 根据您的组织和用户需求,Amazon WorkSpaces 允许您访问以下 2 种类型的 WorkSpaces

    WorkSpaces 在@@ 化配置中,池 WorkSpaces 是动态分配给共享池中的用户的。当某个用户登录时,该用户可能并不总是连接到同一台设备,并且已安装应用程序或用户配置等更改通常不会在各个会话之间保留。

    WorkSpaces 个人,在此配置中,为每个用户分配了自己的专用虚拟桌面,他们可以在其中安装应用程序、保存文件以及在会话之间保留其设置和数据。

为亚马逊设置 SAP WorkSpaces RISE Access

  1. 要使用或设置 Amazon 连接 WorkSpaces 到 SAP RISE,请按照入门指南进行操作 WorkSpaces。

  2. 有关将亚马逊 WorkSpaces 与 SAP 集成的更多信息 Single-sign-on,请参阅如何将亚马逊 WorkSpaces 与 SAP 单点登录集成

  3. WorkSpaces 从 SAP 软件下载中安装你的 SAPGUI

  4. WorkSpaces 使用你@@ 的 SAP 系统详细信息通过 SAPGUI 客户端连接到 SAP 系统

Amazon WorkSpaces 运营最佳实践

  1. 监控:Amazon CloudWatch 用于监控您的性能和运行状况 WorkSpaces

  2. Backup and Recovery:确保您的 WorkSpaces 关键数据已备份,并制定了恢复计划

  3. 更新和维护:定期更新您的软件和系统 WorkSpaces ,以确保安全性和合规性。默认情况下,Windows WorkSpaces 将每周自动更新一次

  4. 优化 性能

    扩展和性能调整:您可以根据用户需求在标准、功耗、性能和计算类型 WorkSpaces 之间切换。

  5. 成本管理

    WorkSpaces 捆绑包:考虑购买包含最终用户软件需求的虚拟桌面套装。通常,对于简单的 SAPGUI 访问,选择“Value”类型可节省成本。有关更多详细信息,请参阅Amazon WorkSpaces 定价页面

    监控使用情况:使用 C Amazon ost Explorer 和预算来有效地监控和管理成本。

    对于非持久、安全的桌面访问,可以考虑将 P WorkSpaces ools 视为极具成本效益的选择。

通过执行这些步骤,您可以将 Amazon WorkSpaces 设置为使用 SAP 系统的 RISE 的有效远程访问解决方案,从而确保安全、可扩展和高效的运营。

WorkSpaces RISE 的好处

在部署SAP的RISE中使用Amazon WorkSpaces 作为远程访问解决方案可以带来多项好处,尤其是在安全、访问控制和运营效率方面。以下是该方案的核心优势:

  1. 增强的安全性与可控的访问权限

    隔离环境: WorkSpaces 提供一个隔离的环境,在该环境中,可以严格控制对 RISE 部署中的 SAP 系统的访问。这有助于防止对关键系统进行未经授权的直接访问。

    不直接暴露互联网:通过 WorkSpaces 用作远程访问解决方案,您可以限制对 SAP 环境的互联网访问。外部用户或管理员必须首先连接到安全的 WorkSpaces、限制对 SAP 系统的暴露。

    安全协议 (PCoIP/WSP): WorkSpaces 使用 PCo IP 或 WSP 等安全流媒体协议,确保在传输过程中对数据进行加密。

    减少攻击面:通过 WorkSpaces 将其用作 SAP 系统的唯一访问点,您可以将 SAP 环境与通过互联网或公司网络的直接访问隔离开来,从而减少攻击面。

    VPC 集成: WorkSpaces 可以部署在亚马逊虚拟私有云 (VPC) 的私有子网中,确保使用 SAP 基础设施安全直接地连接到 RISE。

    Amazon Direct Connect 或 VPN:您可以使用 Amazon Direct Connect 或 VPN 连接在 WorkSpaces 和 SAP 环境之间提供安全的网络路径,从而进一步增强安全性。

  2. 集中管理

    统一接入点:Amazon WorkSpaces 充当使用 SAP 环境管理和运营 RISE 的单一访问点,从而简化了监控和控制。

    审计和记录: Amazon CloudTrail 和 Amazon 等 Amazon 服务 CloudWatch 可以记录用户操作并监控用户在上的活动 WorkSpaces。这有助于进行安全审计并跟踪对 SAP 系统的访问。

    与 Amazon IAM 集成:通过 Amazon 身份和访问管理 (IAM) 进行基于角色的访问控制 (RBAC),可确保对 SAP 资源的精细访问。 WorkSpaces 这将最大限度地降低未经授权的访问风险,并满足合规性要求。

  3. 提升了运营效率:

    按需扩展性: WorkSpaces 可以快速配置并按需扩展,因此无需漫长的设置过程即可轻松为需要访问 SAP 环境的管理员或开发人员提供访问权限。

    最少的维护:Amazon WorkSpaces 完全托管,这减少了维护物理服务器或传统远程桌面基础设施的开销。更新和补丁由处理 Amazon,从而腾出时间进行更关键的操作。

    成本效益: WorkSpaces 可以配置为仅在使用时收费(按小时定价),这使其成为临时或不经常访问的经济实惠的解决方案,尤其是在非连续运行时。

    远程访问:通过远程访问 WorkSpaces,管理员和用户可以从任何有互联网连接的位置安全地访问 SAP 环境。这对于为 SAP 环境提供支持的分布式团队或远程员工特别有用。

    弹性和可用性: WorkSpaces 可以与 Amazon 备份解决方案集成并分布在多个 Amazon 可用区 (AZs),从而确保冗余和高可用性。

    快速恢复:在 SAP 环境出现故障或灾难时, WorkSpaces 提供一种快速且可扩展的方式来重新连接到备用环境或备份系统。