本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# SAP 授权
配置 SDK 所需的授权取决于 SDK 的版本。
**Topics**
+ [配置授权](#configuration-authorizations)
+ [最终用户的 SAP 授权](#user-authorizations)
## 配置授权
有关更多详细信息,请参阅以下选项卡。
------
#### [ SDK for SAP ABAP ]
必须具有以下权限才能配置适用于 SAP ABAP 的 SDK。
+ S\$1`TCODE`
+ `TCD` = `/AWS1/IMG`
+ `S_TABU_DIS`
+ `ACTVT` = `02`, `03`
+ `DICBERCLS`
**从以下授权组中选择:**
+ `/AWS1/CFG`- 适用于 SAP ABAP 的 AWS SDK v1-Config
+ `/AWS1/MOD`- 适用于 SAP ABAP 的 AWS SDK v1-运行时间
+ `/AWS1/PFL`- 适用于 SAP ABAP 的 AWS SDK v1-软件开发工具包配置文件
+ `/AWS1/RES`- 适用于 SAP ABAP 的 AWS SDK v1-逻辑资源
+ `/AWS1/TRC`- 适用于 SAP ABAP 的 AWS SDK v1-Trace
------
#### [ SDK for SAP ABAP - BTP edition ]
使用以下步骤允许适用于 SAP ABAP 的 SDK-BTP 版本访问配置。
1. 使用业务角色模板创建新的`SAP_BR_BPC_EXPERT`业务角色。此模板提供对 “自定义业务配置” 应用程序的访问权限。
1. 在 “**一般角色详细信息**” 下,转到 “**访问类别**”,然后在 “*读取、写入、值帮助*” 中选择 “**不受限制**”。
1. 前往**业务目录**选项卡,然后分配`/AWS1/RTBTP_BCAT`业务目录以提供对 SDK 配置的访问权限。
1. 前往**企业用户**选项卡,然后分配业务用户以授予对 SDK 配置的访问权限。
------
## 最终用户的 SAP 授权
**先决条件:定义 SDK 配置文件**
在 SAP 安全管理员定义其角色之前,业务分析师将在交易`/AWS1/IMG`中为 SAP ABAP 的 SD AWS K 或适用于 SAP ABAP 的 SDK 的自定义业务配置应用程序——BTP 版本定义 SDK 配置文件。SDK 配置文件通常根据业务职能命名:ZFINANCE、ZBILLING、ZMFG、ZPAYROLL 等。业务分析师会使用短名称(如 CFO、AUDITOR 和 REPORTING),为每个 SDK 配置文件定义 IAM 逻辑角色。IAM 安全管理员会将这些角色映射到 IAM 真实角色。
**定义 PFCG 或业务角色**
**注意**
在 SAP BTP、ABAP 环境中,PFCG 角色被称为业务角色。
随后,SAP 安全管理员会添加授权对象 `/AWS1/SESS`,授予对 SDK 配置文件的访问权限。
身份验证对象 `/AWS1/SESS`
+ 字段 `/AWS1/PROF` = `ZFINANCE`
还应根据用户的工作职能,将其映射到各 SDK 配置文件的 IAM 逻辑角色。例如,财务审计员具有报告访问权限,可能会映射到 `AUDITOR` IAM 逻辑角色。
身份验证对象 `/AWS1/LROL`
+ 字段 `/AWS1/PROF` = `ZFINANCE`
+ 字段 `/AWS1/LROL` = `AUDITOR`
同时,CFO 具有读/写权限,可能会获得 PFCG 角色中的 `CFO` 逻辑角色。
身份验证对象 `/AWS1/LROL`
+ 字段 `/AWS1/PROF` = `ZFINANCE`
+ 字段 `/AWS1/LROL` = `CFO`
在每个 SDK 配置文件中,每位用户通常只能获得一个 IAM 逻辑角色。如果用户获得多个 IAM 角色的授权(例如,如果首席财务官同时获得两个角色`CFO`和`AUDITOR`逻辑 IAM 角色的授权),那么 AWS SDK 会确保优先级更高(序列号较低)的角色生效,从而打破局面。
与所有安全场景一样,应授予用户履行其工作职能的最低权限。根据 SDK 配置文件及其授权的逻辑角色来命名单一 PFCG 角色,这是管理 PFCG 角色的一种简单策略。例如,`Z_AWS_PFL_ZFINANCE_CFO` 角色可授予对 `ZFINANCE` 配置文件和 `CFO` IAM 逻辑角色的访问权限。这些单一角色可分配给负责定义工作职能的复合角色。每家公司都有独一无二的角色管理策略,亚马逊鼓励您制定适合贵公司的 PFCG 策略。