本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将证书与 IAM Roles Anywhere 结合使用
AWS 通过使用基于证书的身份验证和 Roles Anywhere,可以在 SAP 系统上进行身份验证 AWS Identity and Access Management 。您必须在 `STRUST` 中设置证书,并在 `/AWS1/IMG` 中配置 SDK 配置文件。
## 先决条件
在开始设置证书之前,必须满足以下先决条件。
+ 您的证书颁发机构(CA)颁发的 X.509 证书必须满足以下要求。
+ 签名证书必须是 v3 证书。
+ 链不得超过 5 个证书。
+ 证书必须支持 RSA 或 ECDSA 算法。
+ 将您的 CA 注册为 IAM Anywhere 角色作为信任锚点,然后创建一个配置文件以指定 IAM Anywhere 角色 roles/policies 的配置文件。有关更多信息,请参阅 R [oles Anywhere 中的 AWS Identity and Access Management 创建信任锚和个人资料](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html)。
+ SAP 用户的 IAM 角色必须由 IAM 管理员创建。角色必须具有调用所需角色的权限 AWS 服务。有关更多信息,请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html)。
+ 创建授权以运行 `/AWS1/IMG` 事务。有关更多信息,请参阅[针对配置的授权](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/authorizations.html#configuration-authorizations)。
## 过程
按照以下说明设置基于证书的身份验证。
**Topics**
+ [
### 步骤 1 – 使用 SAP 的安全存储和转发(SSF)定义 SSF 应用程序
](#step1)
+ [
### 步骤 2 – 设置 SSF 参数
](#step2)
+ [
### 步骤 3 - 创建 PSE 和证书请求
](#step3)
+ [
### 步骤 4 - 将证书响应导入到相关的 PSE
](#step4)
+ [
### 步骤 5 – 配置 SDK 配置文件以使用 IAM Roles Anywhere
](#step5)
### 步骤 1 – 使用 SAP 的安全存储和转发(SSF)定义 SSF 应用程序
1. 运行事务代码 `SE16` 来定义 SSF 应用程序。
1. 输入 `SSFAPPLIC` 表名称,然后选择**新建条目**。
1. 在 `APPLIC` 字段中输入 SSF 应用程序的名称,在 `DESCRIPT` 字段中输入描述,并为其余字段选择 `Selected (X)` 选项。
### 步骤 2 – 设置 SSF 参数
1. 运行启动`/n/AWS1/IMG` 适用于 SAP ABAP 的 AWS SDK 实施指南 (IMG)。
1. 选择 **适用于 SAP ABAP 的 AWS SDK 设置** > **技术先决条件** > **适用于本地系统的其它设置**。
1. 运行**设置 SSF 参数** IMG 活动。
1. 选择**新建条目**,然后选择在上一步中创建的 SSF 应用程序。选择**保存**。
1. 将哈希算法修改为 **SHA256**,将加密算法修改为 **AES256-CBC**。将其它设置保留为默认设置,然后选择**保存**。
### 步骤 3 - 创建 PSE 和证书请求
1. 运行 `/n/AWS1/IMG` 事务,然后选择 **适用于 SAP ABAP 的 AWS SDK 设置** > **技术先决条件** > **适用于本地系统的其它设置**。
1. 运行 `Create PSE for SSF Application` IMG 活动。
1. 对于 `STRUST` 事务选择**编辑**。
1. 右键选择在[步骤 1 – 使用 SAP 的安全存储和转发(SSF)定义 SSF 应用程序](#step1) 中创建的 SSF 应用程序,然后选择**创建**。保留所有其它默认设置,然后选择**继续**。
1. 选择**创建证书请求**。参阅下图。保留默认选项,然后选择**继续**。复制或导出生成的证书请求,并将其提供给您的 CA。您的 CA 会验证请求,并使用签名的公有密钥证书进行响应。
![\[“为 SSF AWS IAM 角色创建证书请求 Anywhere 签名证书” 的图标。\]](http://docs.aws.amazon.com/zh_cn/sdk-for-sapabap/latest/developer-guide/images/using-iam-image1.png)
签名过程因您的 CA 及其使用的技术而异。有关示例,请参阅使用[私有证书颁发机构颁发 AWS 私有终端实体](https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html)证书。
### 步骤 4 - 将证书响应导入到相关的 PSE
1. 运行 `/n/AWS1/IMG` 事务,然后选择 **适用于 SAP ABAP 的 AWS SDK 设置** > **技术先决条件** > **适用于本地系统的其它设置**。
1. 运行 `Create PSE for SSF Application` IMG 活动。
1. 对于 `STRUST` 事务选择**编辑**。
1. 选择 SSF 应用程序,然后选择位于主题下方 PSE 部分中的**导入证书响应**。将证书响应复制并粘贴到文本框中,或者从文件系统导入文件。选择**继续** > **保存**。
1. 通过两次选择主题即可查看证书详细信息。信息显示在证书部分中。
### 步骤 5 – 配置 SDK 配置文件以使用 IAM Roles Anywhere
1. 运行事`/n/AWS1/IMG`务,然后选择**适用于 SAP ABAP 的 AWS SDK 设置** > **应用程序配置**。
1. 创建新的 SDK 配置文件并对其命名。
1. 选择 IAM Roles Anywhere 作为身份验证方法。
+ 在左侧窗格中,选择**身份验证和设置**。
+ 创建一个新条目,然后输入 SAP 系统的信息以及 AWS 区域。
+ 对于身份验证方法选择 **IAM Roles Anywhere**,然后选择**保存**。
+ 选择**输入详细信息**,然后在弹出窗口中,选择在[步骤 1 – 使用 SAP 的安全存储和转发(SSF)定义 SSF 应用程序](#step1) 中创建的 SSF 应用程序。输入在[先决条件](#using-iam-prerequisites)中创建的**信任锚点 ARN** 和**配置文件 ARN**。参阅下图。选择**继续**。
![\[信任锚和个人资料的 Amazon 资源名称 (ARN) 示例。\]](http://docs.aws.amazon.com/zh_cn/sdk-for-sapabap/latest/developer-guide/images/using-iam-image2.png)
1. 在左侧窗格中,选择 **IAM 角色映射**。输入名称,并提供 IAM 管理员提供的 IAM 角色的 ARN。
有关更多信息,请参阅[应用程序配置](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/application-configuration.html)。