

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation du profil source pour l'accès entre comptes
<a name="source-profile"></a>

Le profil source permet aux systèmes SAP d'accéder aux AWS ressources de plusieurs comptes en enchaînant les hypothèses relatives aux rôles IAM. Un profil assume un rôle, qui assume ensuite un autre rôle, et ainsi de suite, similaire au `source_profile` paramètre de la AWS CLI. Cela est utile pour les scénarios d'accès entre comptes dans lesquels vous devez parcourir plusieurs AWS comptes pour atteindre vos ressources cibles.

**Exemple :** votre système SAP s'exécute dans le compte A (111111111111) et doit accéder aux compartiments Amazon S3 dans le compte C (333333333333). Vous configurez trois profils :

1. `DEV_BASE`obtient les informations d'identification de base à partir des métadonnées de l'instance Amazon EC2 et assume le rôle P dans le compte A

1. `SHARED_SERVICES`utilise les `DEV_BASE` informations d'identification pour assumer le rôle Q dans le compte B (222222222222)

1. `PROD_S3_ACCESS`utilise les `SHARED_SERVICES` informations d'identification pour assumer le rôle R dans le compte C

Lorsque votre application l'utilise`PROD_S3_ACCESS`, le SDK exécute automatiquement la chaîne : obtenir les informations d'identification à partir des métadonnées de l'instance → assumer le rôle P → assumer le rôle Q → assumer le rôle R.

## Conditions préalables
<a name="source-profile-prerequisites"></a>

Les conditions préalables suivantes doivent être remplies avant de configurer le profil source :
+ Les rôles IAM pour chaque étape de la chaîne doivent être créés par l'administrateur IAM. Chaque rôle doit comporter les éléments suivants :
  + Autorisations pour appeler le numéro requis Services AWS
  + Relation de confiance configurée pour permettre au rôle précédent dans la chaîne de l'assumer

  Pour plus d'informations, consultez la section [Meilleures pratiques pour la sécurité IAM](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).
+ Créez une autorisation pour exécuter `/AWS1/IMG` la transaction. Pour plus d'informations, consultez la section [Autorisations pour la configuration](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/authorizations.html#configuration-authorizations).
+ Les utilisateurs doivent disposer `/AWS1/SESS` d'une autorisation pour TOUS les profils de la chaîne, y compris les profils intermédiaires.

## Procédure
<a name="source-profile-procedure"></a>

Suivez ces instructions pour configurer le profil source.

**Topics**
+ [

### Étape 1 — Configuration du profil de base
](#step1-base-profile)
+ [

### Étape 2 — Configuration des profils chaînés
](#step2-chained-profiles)

### Étape 1 — Configuration du profil de base
<a name="step1-base-profile"></a>

Le profil de base est le premier profil de la chaîne et doit utiliser une méthode d'authentification standard.

1. Exécutez la `/n/AWS1/IMG` transaction pour lancer le guide d' AWS SDK pour SAP ABAP implémentation (IMG).

1. Sélectionnez les **paramètres du AWS SDK pour SAP ABAP** > **Configurations des applications** > Profil du **SDK**.

1. Créez un nouveau profil à utiliser comme profil de base en sélectionnant **Nouvelles entrées** et en saisissant le nom et la description du profil. Cliquez sur **Enregistrer**.
**Note**  
Si vous utilisez un profil existant déjà configuré avec une méthode d'authentification standard (INST, SSF ou RLA), vous pouvez ignorer les étapes restantes de cette section et passer directement à. [Étape 2 — Configuration des profils chaînés](#step2-chained-profiles)

1. Sélectionnez le profil que vous avez créé, puis sélectionnez **Authentification et paramètres** > **Nouvelles entrées**, puis entrez les informations suivantes :
   + **SID** : ID système du système SAP
   + **Client** : le client du système SAP
   + **ID du scénario** : sélectionnez le `DEFAULT` scénario créé par votre administrateur Basis
   + **AWS Région** : AWS région vers laquelle vous souhaitez passer des appels
   + **Méthode d'authentification** : sélectionnez l'une des options suivantes :
     + **Rôle d'instance via les métadonnées** pour les systèmes SAP exécutés sur Amazon EC2
     + **Informations d'identification provenant de SSF Storage** pour les systèmes sur site ou autres systèmes cloud
     + **IAM Roles Anywhere** pour l'authentification basée sur des certificats

   Cliquez sur **Enregistrer**.

1. Sélectionnez **Mappage des rôles IAM** > **Nouvelles entrées**, puis entrez :
   + **Numéro de séquence** : 1
   + **Rôle IAM logique** : nom descriptif (par exemple,`DEV_BASE_ROLE`)
   + ARN du **rôle IAM : ARN** du rôle IAM dans le premier compte (par exemple,) `arn:aws:iam::111111111111:role/DevBaseRole`

   Cliquez sur **Enregistrer**.

### Étape 2 — Configuration des profils chaînés
<a name="step2-chained-profiles"></a>

Configurez chaque profil intermédiaire et final de la chaîne.

**Pour le `SHARED_SERVICES` profil (chaînes à partir de`DEV_BASE`) :**

1. Exécutez la `/n/AWS1/IMG` transaction.

1. Sélectionnez les **paramètres du AWS SDK pour SAP ABAP** > **Configurations des applications** > Profil du **SDK**.

1. Sélectionnez **Nouvelles entrées**. Entrez le nom du profil (par exemple,`SHARED_SERVICES`) et sa description. Cliquez sur **Enregistrer**.

1. Sélectionnez le profil que vous avez créé, puis sélectionnez **Authentification et paramètres** > **Nouvelles entrées** et entrez les informations suivantes :
   + **SID** : ID système du système SAP
   + **Client** : le client du système SAP
   + **ID du scénario** : sélectionnez le `DEFAULT` scénario créé par votre administrateur Basis
   + **AWS Région** : AWS région vers laquelle vous souhaitez passer des appels
   + **Méthode d'authentification** : sélectionnez le **profil source dans** le menu déroulant
   + **ID du profil source** : entrez l'identifiant du profil de base (par exemple,`DEV_BASE`)

   Cliquez sur **Enregistrer**.

1. Sélectionnez **Mappage des rôles IAM** > **Nouvelles entrées**, puis entrez :
   + **Numéro de séquence** : 1
   + **Rôle IAM logique** : nom descriptif (par exemple,`SHARED_ROLE`)
   + **ARN du rôle IAM** : `arn:aws:iam::222222222222:role/SharedServicesRole`

   Cliquez sur **Enregistrer**.

**Pour le `PROD_S3_ACCESS` profil (chaînes à partir de`SHARED_SERVICES`) :**

Répétez les mêmes étapes que`SHARED_SERVICES`, mais :
+ Utiliser `PROD_S3_ACCESS` comme nom
+ Définissez l'**ID du profil source** sur `SHARED_SERVICES`
+ Utilisation `PROD_S3_ROLE` et `arn:aws:iam::333333333333:role/ProdS3AccessRole` dans le mappage des rôles IAM

Pour connaître les meilleures pratiques de sécurité, notamment la gestion des rôles IAM, la configuration des politiques de confiance et les exigences en matière d'autorisation, consultez la section [Meilleures pratiques pour la sécurité IAM](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).