Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo del profilo di origine per l'accesso su più account
Il profilo di origine consente ai sistemi SAP di accedere alle AWS risorse su più account concatenando i presupposti dei ruoli IAM. Un profilo assume un ruolo, che quindi assume un altro ruolo e così via, in modo simile al `source_profile` parametro in AWS CLI. Ciò è utile per gli scenari di accesso tra account diversi in cui è necessario utilizzare più AWS account per raggiungere le risorse di destinazione.
**Esempio:** il tuo sistema SAP viene eseguito nell'account A (1111) e deve accedere ai bucket Amazon S3 nell'account C (3333). Si configurano tre profili:
1. `DEV_BASE`ottiene le credenziali di base dai metadati delle istanze Amazon EC2 e assume il ruolo P nell'account A
1. `SHARED_SERVICES`utilizza `DEV_BASE` le credenziali per assumere il ruolo Q nell'account B (222222222222)
1. `PROD_S3_ACCESS`utilizza `SHARED_SERVICES` le credenziali per assumere il ruolo R nell'account C
Quando l'applicazione lo utilizza`PROD_S3_ACCESS`, l'SDK esegue automaticamente la catena: ottieni le credenziali dai metadati dell'istanza → assumi il ruolo P → assumi il ruolo Q → assumi il ruolo R.
## Prerequisiti
I seguenti prerequisiti devono essere soddisfatti prima di configurare il profilo di origine:
+ I ruoli IAM per ogni fase della catena devono essere creati dall'amministratore IAM. Ogni ruolo deve avere:
+ Autorizzazioni per chiamare i dati richiesti Servizi AWS
+ Relazione di fiducia configurata per consentire al ruolo precedente nella catena di assumerla
Per ulteriori informazioni, consulta [Best practice for IAM Security](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).
+ Crea l'autorizzazione per eseguire `/AWS1/IMG` la transazione. Per ulteriori informazioni, consulta [Autorizzazioni per la configurazione](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/authorizations.html#configuration-authorizations).
+ Gli utenti devono disporre `/AWS1/SESS` dell'autorizzazione per TUTTI i profili della catena, compresi i profili intermedi.
## Procedura
Segui queste istruzioni per configurare il profilo di origine.
**Topics**
+ [Fase 1 — Configurare il profilo di base](#step1-base-profile)
+ [Passaggio 2: configurare i profili concatenati](#step2-chained-profiles)
### Fase 1 — Configurare il profilo di base
Il profilo di base è il primo profilo della catena e deve utilizzare un metodo di autenticazione standard.
1. Esegui la `/n/AWS1/IMG` transazione per avviare la Guida AWS SDK per SAP ABAP all'implementazione (IMG).
1. **Seleziona **Impostazioni AWS SDK per SAP ABAP** > **Configurazioni dell'applicazione** > Profilo SDK.**
1. Crea un nuovo profilo da utilizzare come profilo di base selezionando **Nuove voci** e inserisci il nome e la descrizione del profilo. Seleziona **Salva**.
**Nota**
Se utilizzi un profilo esistente già configurato con un metodo di autenticazione standard (INST, SSF o RLA), puoi saltare i passaggi rimanenti di questa sezione e procedere direttamente a. [Passaggio 2: configurare i profili concatenati](#step2-chained-profiles)
1. Seleziona il profilo che hai creato, quindi seleziona **Autenticazione e impostazioni** > **Nuove voci** e inserisci i seguenti dettagli:
+ **SID**: l'ID di sistema del sistema SAP
+ **Client**: il client del sistema SAP
+ **ID scenario**: seleziona lo `DEFAULT` scenario creato dall'amministratore di Basis
+ **AWS Regione**: AWS regione verso la quale si desidera effettuare chiamate
+ **Metodo di autenticazione**: seleziona una delle seguenti opzioni:
+ **Ruolo dell'istanza tramite metadati** per sistemi SAP in esecuzione su Amazon EC2
+ **Credenziali da SSF Storage per sistemi locali** o altri sistemi cloud
+ **IAM Roles Anywhere** per l'autenticazione basata su certificati
Seleziona **Salva**.
1. Seleziona **IAM Role Mapping** > **New Entries** e inserisci:
+ **Numero di sequenza**: 1
+ **Ruolo IAM logico**: un nome descrittivo (ad es.) `DEV_BASE_ROLE`
+ **ARN del ruolo IAM**: l'ARN del ruolo IAM nel primo account (ad es.) `arn:aws:iam::111111111111:role/DevBaseRole`
Seleziona **Salva**.
### Passaggio 2: configurare i profili concatenati
Configura ogni profilo intermedio e finale della catena.
**Per il `SHARED_SERVICES` profilo (catene da`DEV_BASE`):**
1. Esegui la `/n/AWS1/IMG` transazione.
1. **Seleziona **Impostazioni AWS SDK per SAP ABAP** > **Configurazioni dell'applicazione > Profilo** SDK.**
1. **Seleziona** Nuove voci. Inserisci il nome del profilo (ad es.`SHARED_SERVICES`) e la descrizione. Seleziona **Salva**.
1. Seleziona il profilo che hai creato, quindi seleziona **Autenticazione e impostazioni** > **Nuove voci** e inserisci i seguenti dettagli:
+ **SID**: l'ID di sistema del sistema SAP
+ **Client**: il client del sistema SAP
+ **ID scenario**: seleziona lo `DEFAULT` scenario creato dall'amministratore di Basis
+ **AWS Regione**: AWS regione verso la quale si desidera effettuare chiamate
+ **Metodo di autenticazione**: seleziona il **profilo di origine** dal menu a discesa
+ **ID del profilo di origine**: inserisci l'ID del profilo di base (ad esempio,`DEV_BASE`)
Seleziona **Salva**.
1. Seleziona **IAM Role Mapping** > **New Entries** e inserisci:
+ **Numero di sequenza**: 1
+ **Ruolo IAM logico**: un nome descrittivo (ad es.) `SHARED_ROLE`
+ **Ruolo IAM ARN:** `arn:aws:iam::222222222222:role/SharedServicesRole`
Seleziona **Salva**.
**Per il `PROD_S3_ACCESS` profilo (catene da`SHARED_SERVICES`):**
Ripeti gli stessi passaggi di`SHARED_SERVICES`, ma:
+ Usa `PROD_S3_ACCESS` come nome
+ Imposta l'**ID del profilo di origine** su `SHARED_SERVICES`
+ Usa `PROD_S3_ROLE` e `arn:aws:iam::333333333333:role/ProdS3AccessRole` nella mappatura dei ruoli IAM
Per le migliori pratiche di sicurezza, tra cui la gestione dei ruoli IAM, la configurazione delle policy di fiducia e i requisiti di autorizzazione, consulta [Best practices for IAM Security](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).