SAP授权 - Amazon SDK对于 SAP ABAP
配置授权SAP最终用户的授权
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SAP授权

配置所需的授权取决于SDK版本。SDK

配置授权

有关更多详细信息,请参阅以下选项卡。

SDK for SAP ABAP

需要以下授权才能SDK进行配置。SAP ABAP

  • S_TCODE

    • TCD = /AWS1/IMG

  • S_TABU_DIS

    • ACTVT = 02, 03

    • DICBERCLS

      从以下授权组中选择:

      • /AWS1/CFG- 适用于 SAP ABAP 的 Amazon SDK v1-Config

      • /AWS1/MOD- 适用于 SAP ABAP 的 Amazon SDK v1-运行时间

      • /AWS1/PFL- 适用于 SAP ABAP 的 Amazon SDK v1-个人资料 SDK

      • /AWS1/RES- 适用于 SAP ABAP 的 Amazon SDK v1-逻辑资源

      • /AWS1/TRC- 适用于 SAP ABAP 的 Amazon SDK v1-Trace

SDK for SAP ABAP - BTP edition

使用以下步骤允许SDK对SAPABAP配置进行BTP版本访问。

  1. 使用业务角色模板创建新的SAP_BR_BPC_EXPERT业务角色。此模板提供对 “自定义业务配置” 应用程序的访问权限。

  2. 在 “一般角色详细信息” 下,转到 “访问类别”,然后在 “读取、写入、值帮助” 中选择 “不受限制”。

  3. 转到业务目录选项卡,然后分配/AWS1/RTBTP_BCAT业务目录以提供对SDK配置的访问权限。

  4. 转到企业用户选项卡,然后分配业务用户以授予对SDK配置的访问权限。

SAP最终用户的授权

先决条件:定义SDK配置文件

在SAP安全管理员定义其角色之前,业务分析师将在交易/AWS1/IMG中为 for SAP ABAP 或 for BTP 版本的 “自定义业务配置” 应用程序定义配置SDK文件。 Amazon SDK SDK SAP ABAP通常,SDK配置文件将根据其业务职能命名:ZFINANCEZBILLING、ZMFG、ZPAYROLL、等。对于每个SDK配置文件,业务分析师将使用简称定义逻辑IAM角色,例如CFO、AUDITOR、REPORTING。这些角色将由IAM安全管理员映射到实际IAM角色。

定义PFCG我们的业务角色

注意

PFCG角色被称为ABAP环境中的SAPBTP业务角色。

然后,SAP安全管理员将添加授权对象/AWS1/SESS以授予对SDK配置文件的访问权限。

身份验证对象 /AWS1/SESS

  • 字段 /AWS1/PROF = ZFINANCE

还应根据用户的工作职能,将用户映射到每个SDK配置文件的逻辑IAM角色。例如,具有报告访问权限的财务审计师可能会被授权IAM担任名为的逻辑角色AUDITOR

身份验证对象 /AWS1/LROL

  • 字段 /AWS1/PROF = ZFINANCE

  • 字段 /AWS1/LROL = AUDITOR

同时CFO,拥有读/写权限的,可能具有授权其逻PFCG辑角色的角色。CFO

身份验证对象 /AWS1/LROL

  • 字段 /AWS1/PROF = ZFINANCE

  • 字段 /AWS1/LROL = CFO

通常,每个SDK配置文件只能授权用户使用一个逻辑IAM角色。如果用户获得了多个角色的授权(例如,如果同时对两个IAM角色CFOAUDITOR逻辑IAM角色都进行了授权),则通过确保优先级较高(序列号较低)的角色生效来 Amazon SDK打破平局。CFO

与所有安全场景一样,应授予用户履行其工作职能的最低权限。管理PFCG角色的简单策略是根据PFCG角色授权的SDK配置文件和逻辑角色来命名单个角色。例如,角色Z_AWS_PFL_ZFINANCE_CFO授予对配置文件ZFINANCE和逻辑IAM角色的访问权限CFO。 然后可以将这些单一角色分配给定义工作职能的复合角色。每家公司都有自己的角色管理策略,我们鼓励您PFCG制定适合自己的策略。