

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso del perfil de origen para el acceso entre cuentas
<a name="source-profile"></a>

El perfil de origen permite a los sistemas SAP acceder a AWS los recursos de varias cuentas al encadenar las suposiciones de las funciones de IAM. Un perfil asume un rol, que luego asume otro rol, y así sucesivamente, similar al `source_profile` parámetro de AWS CLI. Esto resulta útil en situaciones de acceso entre cuentas en las que es necesario recorrer varias AWS cuentas para llegar a los recursos objetivo.

**Ejemplo:** su sistema SAP se ejecuta en la cuenta A (1111) y necesita acceder a los buckets de Amazon S3 en la cuenta C (333333333333). Se configuran tres perfiles:

1. `DEV_BASE`obtiene las credenciales base de los metadatos de la instancia Amazon EC2 y asume la función P en la cuenta A

1. `SHARED_SERVICES`usa `DEV_BASE` credenciales para asumir el rol Q en la cuenta B (222222222222)

1. `PROD_S3_ACCESS`usa `SHARED_SERVICES` credenciales para asumir el rol R en la cuenta C

Cuando su aplicación lo usa`PROD_S3_ACCESS`, el SDK ejecuta automáticamente la cadena: obtener credenciales de los metadatos de la instancia → asumir el rol P → asumir el rol Q → asumir el rol R.

## Requisitos previos
<a name="source-profile-prerequisites"></a>

Se deben cumplir los siguientes requisitos previos antes de configurar el perfil de origen:
+ El administrador de IAM debe crear las funciones de IAM para cada paso de la cadena. Cada función debe tener:
  + Permisos para llamar a los requeridos Servicios de AWS
  + Relación de confianza configurada para permitir que el rol anterior de la cadena la asuma

  Para obtener más información, consulte [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).
+ Cree una autorización para ejecutar la transacción `/AWS1/IMG`. Para obtener más información, consulte [Autorizaciones para configuración](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/authorizations.html#configuration-authorizations).
+ Los usuarios deben tener `/AWS1/SESS` autorización para TODOS los perfiles de la cadena, incluidos los perfiles intermedios.

## Procedimiento
<a name="source-profile-procedure"></a>

Siga estas instrucciones para configurar el perfil de origen.

**Topics**
+ [

### Paso 1: Configurar el perfil base
](#step1-base-profile)
+ [

### Paso 2: Configurar perfiles encadenados
](#step2-chained-profiles)

### Paso 1: Configurar el perfil base
<a name="step1-base-profile"></a>

El perfil base es el primer perfil de la cadena y debe utilizar un método de autenticación estándar.

1. Ejecute la `/n/AWS1/IMG` transacción para lanzar AWS SDK para SAP ABAP la Guía de implementación (IMG).

1. Seleccione **AWS SDK para SAP ABAP Settings > Configuraciones** **de aplicaciones** > **SDK Profile**.

1. Cree un perfil nuevo para usarlo como perfil base. Para ello, seleccione **Nuevas entradas** e introduzca el nombre y la descripción del perfil. Seleccione **Guardar**.
**nota**  
Si utiliza un perfil existente que ya está configurado con un método de autenticación estándar (INST, SSF o RLA), puede omitir los pasos restantes de esta sección y pasar directamente a. [Paso 2: Configurar perfiles encadenados](#step2-chained-profiles)

1. Seleccione el perfil que creó y, a continuación, seleccione **Autenticación y configuración** > **Nuevas entradas** e introduzca los siguientes detalles:
   + **SID**: el ID del sistema SAP
   + **Cliente**: El cliente del sistema SAP
   + **ID de escenario**: seleccione el `DEFAULT` escenario creado por su administrador de Basis
   + **AWS Región**: AWS región a la que quieres hacer llamadas
   + **Método de autenticación**: selecciona una de las siguientes opciones:
     + **Función de instancia mediante metadatos** para sistemas SAP que se ejecutan en Amazon EC2
     + **Credenciales de SSF Storage para sistemas** locales u otros sistemas en la nube
     + **IAM Roles Anywhere** para la autenticación basada en certificados

   Seleccione **Guardar**.

1. Seleccione **IAM Role Mapping** > **Nuevas entradas** e introduzca:
   + **Número de secuencia**: 1
   + **Función lógica de IAM**: un nombre descriptivo (por ejemplo,`DEV_BASE_ROLE`)
   + ARN del **rol de IAM: el ARN** del rol de IAM en la primera cuenta (por ejemplo,) `arn:aws:iam::111111111111:role/DevBaseRole`

   Seleccione **Guardar**.

### Paso 2: Configurar perfiles encadenados
<a name="step2-chained-profiles"></a>

Configure cada perfil intermedio y final de la cadena.

**Para el `SHARED_SERVICES` perfil (cadenas desde`DEV_BASE`):**

1. Ejecute la `/n/AWS1/IMG` transacción.

1. Seleccione **AWS SDK para SAP ABAP Settings > Configuraciones** **de aplicaciones** > **SDK Profile**.

1. Seleccione **Nuevas entradas**. Introduzca el nombre del perfil (por ejemplo,`SHARED_SERVICES`) y la descripción. Seleccione **Guardar**.

1. Seleccione el perfil que ha creado y, a continuación, seleccione **Autenticación y configuración** > **Nuevas entradas** e introduzca los siguientes detalles:
   + **SID**: el ID del sistema SAP
   + **Cliente**: El cliente del sistema SAP
   + **ID de escenario**: seleccione el `DEFAULT` escenario creado por su administrador de Basis
   + **AWS Región**: AWS región a la que quieres hacer llamadas
   + **Método de autenticación**: selecciona el **perfil de origen** en el menú desplegable
   + **ID de perfil de origen**: introduzca el ID de perfil del perfil base (por ejemplo,`DEV_BASE`)

   Seleccione **Guardar**.

1. Seleccione **IAM Role Mapping** > **Nuevas entradas** e introduzca:
   + **Número de secuencia**: 1
   + **Función lógica de IAM**: un nombre descriptivo (por ejemplo,`SHARED_ROLE`)
   + ARN del **rol de IAM**: `arn:aws:iam::222222222222:role/SharedServicesRole`

   Seleccione **Guardar**.

**Para el `PROD_S3_ACCESS` perfil (cadenas desde`SHARED_SERVICES`):**

Repita los mismos pasos que`SHARED_SERVICES`, pero:
+ `PROD_S3_ACCESS`Úselo como nombre
+ Establezca el **ID del perfil de origen** en `SHARED_SERVICES`
+ Utilice `PROD_S3_ROLE` y `arn:aws:iam::333333333333:role/ProdS3AccessRole` en el mapeo de roles de IAM

Para obtener información sobre las prácticas recomendadas de seguridad, incluida la administración de funciones de IAM, la configuración de la política de confianza y los requisitos de autorización, consulte [las prácticas recomendadas para la seguridad de IAM](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).