本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 上的 SAP 系統身分驗證 AWS
在 SAP 系統可以 AWS 代表 SAP 使用者呼叫 之前,SAP 系統必須向 進行自我驗證 AWS。 適用於 SAP ABAP 的 AWS SDK 支援以下在 的 SDK 設定檔設定中選取的三種基本身分驗證方法`IMG`。
AWS 適用於 SAP ABAP 的 SDK - BTP 版本只能使用 SAP Credential Store 的 [私密存取金鑰身分驗證](#key-authentication)方法進行身分驗證。
對於跨帳戶存取案例,適用於 SAP ABAP 的 SDK 也支援來源描述檔,可使用任何基本身分驗證方法跨帳戶鏈結多個 IAM 角色假設。如需詳細資訊,請參閱[跨帳戶存取的來源描述檔身分驗證](#source-profile-auth)。
**Topics**
+ [Amazon EC2 執行個體中繼資料身分驗證](#metadata-authentication)
+ [私密存取金鑰身分驗證](#key-authentication)
+ [使用 IAM Roles Anywhere 的憑證型身分驗證](#iam-auth)
+ [跨帳戶存取的來源描述檔身分驗證](#source-profile-auth)
+ [下一步驟](#next-step)
## Amazon EC2 執行個體中繼資料身分驗證
在 Amazon EC2 上執行的 SAP 系統可以從 Amazon EC2 執行個體中繼資料取得短期、自動輪換的登入資料。如需詳細資訊,請參閱[使用 Amazon EC2 執行個體中繼資料的登入](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-metadata.html)資料。
我們強烈建議在使用適用於 SAP ABAP 的 SDK 時使用此身分驗證方法。若要啟用,Basis 管理員必須啟用傳出 HTTP 通訊。不需要進一步的基礎組態。
**注意**
此身分驗證方法僅適用於 SAP 系統在 Amazon EC2 上執行的情況。內部部署或其他雲端環境中託管的 SAP 系統無法使用此方法進行身分驗證。
## 私密存取金鑰身分驗證
透過此方法,您可以使用存取金鑰 ID 和私密存取金鑰來驗證 SAP 系統 AWS。SAP 系統 AWS 使用 IAM 使用者登入 。如需詳細資訊,請參閱[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
基礎管理員會從 AWS IAM 管理員收到存取金鑰 ID 和私密存取金鑰。您的 SAP 系統必須設定為存放存取金鑰 ID 和私密存取金鑰。
+ **安全、存放和轉送 (SSF)**
+ 使用 SSF 功能來驗證適用於 SAP ABAP 的 AWS SDK。如需詳細資訊,請參閱[數位簽章和加密](https://help.sap.com/docs/SAP_NETWEAVER_750/cf1026f0534f408e849ee7feed288a66/53251a355d0c4d78e10000009b38f83b.html)。
+ 您也可以使用`SSF02` 報告測試 SSF 的 `envelope`和 `develope`功能。如需詳細資訊,請參閱[測試 SSF 安裝](https://help.sap.com/docs/SAP_NETWEAVER_750/cf1026f0534f408e849ee7feed288a66/43b948d4f32c11d2a6100000e835363f.html)。
+ `/AWS1/IMG` 交易中說明設定 SSF for SDK for SAP ABAP 的步驟。前往**技術先決條件**,然後選取現場部署系統**的其他設定**。如需詳細組態步驟,請參閱[搭配 SSF 加密使用私密存取金鑰身分](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/ssf-authentication.html)驗證。
+ **SAP 登入資料存放區**
+ 使用 SAP Credential Store 驗證適用於 SAP ABAP 的 AWS SDK - BTP 版本。如需詳細資訊,請參閱[什麼是 SAP 登入資料存放區?](https://help.sap.com/docs/credential-store/sap-credential-store/what-is-sap-credential-store)
+ 如需組態步驟,請參閱[使用 SAP 登入資料存放區](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/credential-store.html)。
## 使用 IAM Roles Anywhere 的憑證型身分驗證
憑證授權機構 (CA) 發行的 X.509 憑證可用於向 AWS Identity and Access Management Roles Anywhere 進行身分驗證。憑證必須在 中設定`STRUST`。CA 必須向 IAM Roles Anywhere 註冊為信任錨點,而且必須建立設定檔來指定 IAM Roles Anywhere 將擔任的角色和政策。如需詳細資訊,請參閱在 [AWS Identity and Access Management Roles Anywhere 中建立信任錨點和設定檔](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html)。
如需如何搭配適用於 SAP ABAP 的 SDK 使用 IAM Roles Anywhere 的詳細步驟,請參閱[搭配 IAM Roles Anywhere 使用憑證](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/using-iam.html)。
**注意**
憑證撤銷僅透過使用匯入的憑證撤銷清單來支援。如需詳細資訊,請參閱[撤銷](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html#revocationenecccbjjgtgentfriblgthntkkbilrejgclhlttdlff )。
## 跨帳戶存取的來源描述檔身分驗證
來源描述檔是一項進階功能,可讓您跨 AWS 帳戶鏈結多個 IAM 角色假設。使用此方法,一個設定檔會擔任角色,然後擔任另一個角色,以此類推,類似於 AWS CLI 中的 `source_profile` 參數。
來源描述檔適用於三種基本身分驗證方法 (執行個體中繼資料、私密存取金鑰或憑證類型) 中的任一種。鏈結中的第一個設定檔必須使用其中一個基本方法,而鏈結中的後續設定檔必須使用上一個設定檔的登入資料來擔任下一個角色。
這適用於您需要周遊多個 AWS 帳戶以到達目標資源的跨帳戶存取案例。如需詳細組態步驟,請參閱[使用來源設定檔進行跨帳戶存取](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/source-profile.html)。
## 下一步驟
在 中驗證 SAP 系統之後 AWS,適用於 SAP ABAP 的 SDK 會自動執行`sts:assumeRole` ,以擔任 SAP 使用者業務職能的適當 IAM 角色。