

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Quellprofil für kontoübergreifenden Zugriff verwenden
<a name="source-profile"></a>

Das Quellprofil ermöglicht SAP-Systemen den Zugriff auf AWS Ressourcen über mehrere Konten hinweg, indem IAM-Rollenannahmen verkettet werden. Ein Profil nimmt eine Rolle an, die dann eine andere Rolle annimmt usw., ähnlich dem `source_profile` Parameter in AWS CLI. Dies ist nützlich für kontenübergreifende Zugriffsszenarien, in denen Sie mehrere AWS Konten durchqueren müssen, um Ihre Zielressourcen zu erreichen.

**Beispiel:** Ihr SAP-System läuft in Konto A (111111111111) und muss auf Amazon S3 S3-Buckets in Konto C (333333333333) zugreifen. Sie konfigurieren drei Profile:

1. `DEV_BASE`ruft Basisanmeldedaten aus den Metadaten der Amazon EC2 EC2-Instanz ab und nimmt Rolle P in Konto A an

1. `SHARED_SERVICES`verwendet `DEV_BASE` Anmeldeinformationen, um Rolle Q in Konto B (222222222222) anzunehmen

1. `PROD_S3_ACCESS`verwendet `SHARED_SERVICES` Anmeldeinformationen, um Rolle R in Konto C anzunehmen

Wenn Ihre Anwendung verwendet`PROD_S3_ACCESS`, führt das SDK automatisch die Kette aus: Anmeldeinformationen aus den Instanzmetadaten abrufen → Rolle P annehmen → Rolle Q annehmen → Rolle R annehmen.

## Voraussetzungen
<a name="source-profile-prerequisites"></a>

Vor der Konfiguration des Quellprofils müssen die folgenden Voraussetzungen erfüllt sein:
+ IAM-Rollen für jeden Schritt in der Kette müssen vom IAM-Administrator erstellt werden. Jede Rolle muss über Folgendes verfügen:
  + Berechtigungen zum Aufrufen der erforderlichen AWS-Services
  + Die Vertrauensstellung ist so konfiguriert, dass sie von der vorherigen Rolle in der Kette übernommen werden kann

  Weitere Informationen finden Sie unter [Bewährte Methoden für IAM-Sicherheit](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).
+ Erstellen Sie eine Autorisierung zur Ausführung der `/AWS1/IMG` Transaktion. Weitere Informationen finden Sie unter [Autorisierungen für die Konfiguration](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/authorizations.html#configuration-authorizations).
+ Benutzer müssen über eine `/AWS1/SESS` Autorisierung für ALLE Profile in der Kette verfügen, einschließlich Zwischenprofilen.

## Verfahren
<a name="source-profile-procedure"></a>

Folgen Sie diesen Anweisungen, um das Quellprofil zu konfigurieren.

**Topics**
+ [Schritt 1 — Konfigurieren Sie das Basisprofil](#step1-base-profile)
+ [Schritt 2 — Verkettete Profile konfigurieren](#step2-chained-profiles)

### Schritt 1 — Konfigurieren Sie das Basisprofil
<a name="step1-base-profile"></a>

Das Basisprofil ist das erste Profil in der Kette und muss eine Standardauthentifizierungsmethode verwenden.

1. Führen Sie die `/n/AWS1/IMG` Transaktion aus, um den AWS SDK für SAP ABAP Implementierungsleitfaden (IMG) zu starten.

1. Wählen Sie **AWS SDK für SAP ABAP-Einstellungen** > **Anwendungskonfigurationen** > **SDK-Profil** aus.

1. Erstellen Sie ein neues Profil, das Sie als Basisprofil verwenden möchten, indem Sie **Neue Einträge** auswählen und den Profilnamen und die Beschreibung eingeben. Wählen Sie **Speichern** aus.
**Anmerkung**  
Wenn Sie ein vorhandenes Profil verwenden, das bereits mit einer Standardauthentifizierungsmethode (INST, SSF oder RLA) konfiguriert ist, können Sie die verbleibenden Schritte in diesem Abschnitt überspringen und direkt mit fortfahren. [Schritt 2 — Verkettete Profile konfigurieren](#step2-chained-profiles)

1. Wählen Sie das von Ihnen erstellte Profil aus, wählen Sie dann **Authentifizierung und Einstellungen** > **Neue Einträge** aus und geben Sie die folgenden Details ein:
   + **SID**: Die System-ID des SAP-Systems
   + **Kunde**: Der Kunde des SAP-Systems
   + **Szenario-ID**: Wählen Sie das von Ihrem Basis-Administrator erstellte `DEFAULT` Szenario aus
   + **AWS Region**: AWS Region, in die Sie Anrufe tätigen möchten
   + **Authentifizierungsmethode**: Wählen Sie eine der folgenden Methoden:
     + **Instanzrolle über Metadaten** für SAP-Systeme, die auf Amazon EC2 laufen
     + **Anmeldeinformationen aus SSF Storage** für lokale oder andere Cloud-Systeme
     + **IAM Roles Anywhere** für zertifikatsbasierte Authentifizierung

   Wählen Sie **Speichern** aus.

1. Wählen Sie **IAM-Rollenzuordnung** > **Neue Einträge** aus und geben Sie Folgendes ein:
   + **Sequenznummer**: 1
   + **Logische IAM-Rolle**: Ein beschreibender Name (z. B.) `DEV_BASE_ROLE`
   + **IAM-Rollen-ARN**: Der ARN der IAM-Rolle im ersten Konto (z. B.) `arn:aws:iam::111111111111:role/DevBaseRole`

   Wählen Sie **Speichern** aus.

### Schritt 2 — Verkettete Profile konfigurieren
<a name="step2-chained-profiles"></a>

Konfigurieren Sie jedes Zwischen- und Endprofil in der Kette.

**Für das `SHARED_SERVICES` Profil (Ketten von`DEV_BASE`):**

1. Führen Sie die `/n/AWS1/IMG` Transaktion aus.

1. Wählen Sie **AWS SDK für SAP ABAP-Einstellungen** > **Anwendungskonfigurationen** > **SDK-Profil** aus.

1. Wählen Sie **Neue Einträge** aus. Geben Sie den Profilnamen (z. B.`SHARED_SERVICES`) und eine Beschreibung ein. Wählen Sie **Speichern** aus.

1. Wählen Sie das von Ihnen erstellte Profil aus, wählen Sie dann **Authentifizierung und Einstellungen** > **Neue Einträge** und geben Sie die folgenden Details ein:
   + **SID**: Die System-ID des SAP-Systems
   + **Kunde**: Der Kunde des SAP-Systems
   + **Szenario-ID**: Wählen Sie das von Ihrem Basis-Administrator erstellte `DEFAULT` Szenario aus
   + **AWS Region**: AWS Region, in die Sie Anrufe tätigen möchten
   + **Authentifizierungsmethode**: Wählen Sie im Drop-down-Menü das **Quellprofil** aus
   + **Quellprofil-ID**: Geben Sie die Profil-ID des Basisprofils ein (z. B.`DEV_BASE`)

   Wählen Sie **Speichern** aus.

1. Wählen Sie „**IAM-Rollenzuordnung**“ > „**Neue Einträge**“ und geben Sie Folgendes ein:
   + **Sequenznummer**: 1
   + **Logische IAM-Rolle**: Ein beschreibender Name (z. B.) `SHARED_ROLE`
   + **IAM-Rolle ARN**: `arn:aws:iam::222222222222:role/SharedServicesRole`

   Wählen Sie **Speichern** aus.

**Für das `PROD_S3_ACCESS` Profil (Ketten von`SHARED_SERVICES`):**

Wiederholen Sie die gleichen Schritte wie`SHARED_SERVICES`, aber:
+ `PROD_S3_ACCESS`Als Namen verwenden
+ Stellen Sie die **Quellprofil-ID** auf ein `SHARED_SERVICES`
+ Verwenden Sie `PROD_S3_ROLE` und `arn:aws:iam::333333333333:role/ProdS3AccessRole` in der IAM-Rollenzuweisung

Bewährte Sicherheitsmethoden, einschließlich IAM-Rollenverwaltung, Konfiguration von Vertrauensrichtlinien und Autorisierungsanforderungen, finden Sie unter [Bewährte Methoden für IAM-Sicherheit](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).