在任何地方使用带有IAM角色的证书 - Amazon SDK对于 SAP ABAP
先决条件过程
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在任何地方使用带有IAM角色的证书

SAP Amazon 通过在 Roles Anywhere 上使用基于证书的身份验证,可以对系统进行身份验证 Amazon Identity and Access Management 。您必须在中设置证书STRUST,并在中配置配置SDK文件/AWS1/IMG

先决条件

在开始设置证书之前,必须满足以下先决条件。

  • 您的证书颁发机构(CA)颁发的 X.509 证书必须满足以下要求。

    • 签名证书必须是 v3 证书。

    • 链不得超过 5 个证书。

    • 证书必须支持RSA或ECDSA算法。

  • 将你的 CA 注册为 Roles Anywhere 作为信任锚点,然后创建一个配置文件来指定 Roles Anywhere 的IAM角色/策略。IAM有关更多信息,请参阅 R oles Anywhere 中的 Amazon Identity and Access Management 创建信任锚和个人资料

  • IAMSAP用户的角色必须由IAM管理员创建。角色必须具有调用所需角色的权限 Amazon Web Services 服务。有关更多信息,请参阅IAM安全最佳实践

  • 创建授权以运行 /AWS1/IMG 事务。有关更多信息,请参阅针对配置的授权

过程

按照以下说明设置基于证书的身份验证。

步骤 1-使用SAP的 “安全存储和转发” (SSF) 定义SSF应用程序

  1. 运行事务代码SE16来定义SSF应用程序。

  2. 输入 SSFAPPLIC 表名称,然后选择新建条目

  3. 在归档中输入SSF应用程序的名称,在APPLIC归档中DESCRIPT输入描述,然后为其余字段选择Selected (X)选项。

步骤 2-设置SSF参数

  1. 运行启动/n/AWS1/IMG 适用于 SAP ABAP 的 Amazon SDK 实施指南 (IMG)。

  2. 选择 适用于 SAP ABAP 的 Amazon SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置

  3. 运行 “设置SSF参数” IMG 活动。

  4. 选择 “新建条目”,然后选择在上一步中创建的SSF应用程序。选择保存

  5. 将哈希算法修改为 SHA256,将加密算法修改为 AES256-CBC。将其它设置保留为默认设置,然后选择保存

步骤 3-创建PSE和证书请求

  1. 运行 /n/AWS1/IMG 事务,然后选择 适用于 SAP ABAP 的 Amazon SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置

  2. 运行Create PSE for SSF ApplicationIMG活动。

  3. 对于 STRUST 事务选择编辑

  4. 右键选择在中创建的SSF应用程序步骤 1-使用SAP的 “安全存储和转发” (SSF) 定义SSF应用程序,然后选择创建。保留所有其它默认设置,然后选择继续

  5. 选择创建证书请求。参阅下图。保留默认选项,然后选择继续。复制或导出生成的证书请求,并将其提供给您的 CA。您的 CA 会验证请求,并使用签名的公有密钥证书进行响应。

    “为SSF Amazon IAM角色创建证书请求 Anywhere 签名证书” 的图标。

    签名过程因您的 CA 及其使用的技术而异。有关示例,请参阅使用私有证书颁发机构颁发 Amazon 私有终端实体证书。

第 4 步-将证书响应导入相关的 PSE

  1. 运行 /n/AWS1/IMG 事务,然后选择 适用于 SAP ABAP 的 Amazon SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置

  2. 运行Create PSE for SSF ApplicationIMG活动。

  3. 对于 STRUST 事务选择编辑

  4. 选择SSF应用程序,然后选择主题下方PSE部分中的 “导入证书响应”。将证书响应复制并粘贴到文本框中,或者从文件系统导入文件。选择继续 > 保存

  5. 通过两次选择主题即可查看证书详细信息。信息显示在证书部分中。

第 5 步 — 配置SDK配置文件以在任何地方使用IAM角色

  1. 运行事/n/AWS1/IMG务,然后选择 “适用于 SAP ABAP 的 Amazon SDK 设置” > “应用程序配置”。

  2. 创建一个新的SDK个人资料并命名它。

  3. 选择 “无处不在的IAM角色” 作为身份验证方法。

    • 在左侧窗格中,选择身份验证和设置

    • 创建一个新条目,然后输入SAP系统的信息,然后 Amazon Web Services 区域。

    • 选择任意IAM角色作为身份验证方法,然后选择保存

    • 选择 “输入详细信息”,然后在弹出窗口中,选择在中创建的SSF应用程序步骤 1-使用SAP的 “安全存储和转发” (SSF) 定义SSF应用程序。输入在中创建的信任锚点ARN个人资料ARN先决条件。参阅下图。选择继续

      信任锚和个人资料的 Amazon 资源名称 (ARN) 示例。

  4. 在左侧窗格中,选择 “IAM角色映射”。输入名称,并提供IAM管理员ARN提供的IAM角色。

有关更多信息,请参阅应用程序配置