本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SAP 授权
配置 SDK 所需的授权取决于 SDK 的版本。
配置授权
有关更多详细信息,请参阅以下选项卡。
最终用户的 SAP 授权
先决条件:定义 SDK 配置文件
在 SAP 安全管理员定义其角色之前,业务分析师将在交易/AWS1/IMG中为 SAP ABAP 的 SD Amazon K 或适用于 SAP ABAP 的 SDK 的自定义业务配置应用程序——BTP 版本定义 SDK 配置文件。SDK 配置文件通常根据业务职能命名:ZFINANCE、ZBILLING、ZMFG、ZPAYROLL 等。业务分析师会使用短名称(如 CFO、AUDITOR 和 REPORTING),为每个 SDK 配置文件定义 IAM 逻辑角色。IAM 安全管理员会将这些角色映射到 IAM 真实角色。
定义 PFCG 或业务角色
注意
在 SAP BTP、ABAP 环境中,PFCG 角色被称为业务角色。
随后,SAP 安全管理员会添加授权对象 /AWS1/SESS,授予对 SDK 配置文件的访问权限。
身份验证对象 /AWS1/SESS
-
字段
/AWS1/PROF=ZFINANCE
还应根据用户的工作职能,将其映射到各 SDK 配置文件的 IAM 逻辑角色。例如,财务审计员具有报告访问权限,可能会映射到 AUDITOR IAM 逻辑角色。
身份验证对象 /AWS1/LROL
-
字段
/AWS1/PROF=ZFINANCE -
字段
/AWS1/LROL=AUDITOR
同时,CFO 具有读/写权限,可能会获得 PFCG 角色中的 CFO 逻辑角色。
身份验证对象 /AWS1/LROL
-
字段
/AWS1/PROF=ZFINANCE -
字段
/AWS1/LROL=CFO
在每个 SDK 配置文件中,每位用户通常只能获得一个 IAM 逻辑角色。如果用户获得多个 IAM 角色的授权(例如,如果首席财务官同时获得两个角色CFO和AUDITOR逻辑 IAM 角色的授权),那么 Amazon SDK 会确保优先级更高(序列号较低)的角色生效,从而打破局面。
与所有安全场景一样,应授予用户履行其工作职能的最低权限。根据 SDK 配置文件及其授权的逻辑角色来命名单一 PFCG 角色,这是管理 PFCG 角色的一种简单策略。例如,Z_AWS_PFL_ZFINANCE_CFO 角色可授予对 ZFINANCE 配置文件和 CFO IAM 逻辑角色的访问权限。这些单一角色可分配给负责定义工作职能的复合角色。每家公司都有独一无二的角色管理策略,亚马逊鼓励您制定适合贵公司的 PFCG 策略。