翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# クロスアカウントアクセスのソースプロファイルの使用
ソースプロファイルを使用すると、SAP システムは IAM ロールの前提条件を連鎖させることで、複数のアカウントの AWS リソースにアクセスできます。1 つのプロファイルはロールを引き受け、CLI AWS の `source_profile`パラメータと同様に別のロールを引き受けます。これは、ターゲットリソースに到達するために複数のアカウントをトラバースする必要があるクロス AWS アカウントアクセスシナリオに役立ちます。
**例:** SAP システムはアカウント A (111111111111) で実行され、アカウント C (333333333333) の Amazon S3 バケットにアクセスする必要があります。3 つのプロファイルを設定します。
1. `DEV_BASE` Amazon EC2 インスタンスメタデータから基本認証情報を取得し、アカウント A でロール P を引き受ける
1. `SHARED_SERVICES` は`DEV_BASE`認証情報を使用してアカウント B のロール Q を引き受けます (222222222222)
1. `PROD_S3_ACCESS` は`SHARED_SERVICES`認証情報を使用してアカウント C でロール R を引き受けます
アプリケーションが を使用する場合`PROD_S3_ACCESS`、SDK は自動的にチェーンを実行します。インスタンスメタデータから認証情報を取得する → ロール P を引き受ける → ロール Q を引き受ける → ロール R を引き受けます。
## 前提条件
ソースプロファイルを設定する前に、次の前提条件を満たす必要があります。
+ チェーンの各ステップの IAM ロールは、IAM 管理者が作成する必要があります。各ロールには以下が必要です。
+ 必要な を呼び出すアクセス許可 AWS のサービス
+ チェーン内の以前のロールが引き受けることを許可するように設定された信頼関係
詳細については、「[IAM セキュリティのベストプラクティス](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html)」を参照してください。
+ `/AWS1/IMG` トランザクションを実行する許可を作成します。詳細については、「[設定の権限](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/authorizations.html#configuration-authorizations)」を参照してください。
+ ユーザーは、中間プロファイルを含む、チェーン内のすべてのプロファイルに対する`/AWS1/SESS`認可を持っている必要があります。
## 手順
ソースプロファイルを設定するには、次の手順に従います。
**Topics**
+ [ステップ 1 – ベースプロファイルを設定する](#step1-base-profile)
+ [ステップ 2 – 連鎖プロファイルを設定する](#step2-chained-profiles)
### ステップ 1 – ベースプロファイルを設定する
ベースプロファイルはチェーン内の最初のプロファイルであり、標準の認証方法を使用する必要があります。
1. `/n/AWS1/IMG` トランザクションを実行して、 AWS SDK for SAP ABAP 実装ガイド (IMG) を起動します。
1. **AWS SDK for SAP ABAP 設定** > **アプリケーション設定** > **SDK プロファイル**を選択します。
1. 新しい**エントリを選択し、プロファイル名**と説明を入力して、ベースプロファイルとして使用する新しいプロファイルを作成します。**[保存]** を選択します。
**注記**
標準認証方法 (INST、SSF、または RLA) で既に設定されている既存のプロファイルを使用している場合は、このセクションの残りのステップをスキップして、 に直接進むことができます[ステップ 2 – 連鎖プロファイルを設定する](#step2-chained-profiles)。
1. 作成したプロファイルを選択し、**認証と設定** > **新規エントリ**を選択し、次の詳細を入力します。
+ **SID**: SAP システムのシステム ID
+ **クライアント**: SAP システムのクライアント
+ **シナリオ ID**: Basis 管理者が作成した`DEFAULT`シナリオを選択します。
+ **AWS リージョン**: 呼び出し先の AWS リージョン
+ **認証方法**: 次のいずれかを選択します。
+ Amazon EC2 で実行されている SAP **システムのメタデータを介したインスタンスロール**
+ オンプレミスまたはその他のクラウドシステムの **SSF ストレージからの認証情報**
+ 証明書ベースの認証用の **IAM Roles Anywhere**
**[保存]** を選択します。
1. **IAM ロールマッピング** > **新しいエントリ**を選択し、次のように入力します。
+ **シーケンス番号**: 1
+ **論理 IAM ロール**: わかりやすい名前 (例: `DEV_BASE_ROLE`)
+ **IAM ロール ARN**: 最初のアカウントの IAM ロールの ARN (例: `arn:aws:iam::111111111111:role/DevBaseRole`)
**[保存]** を選択します。
### ステップ 2 – 連鎖プロファイルを設定する
チェーン内の各中間プロファイルと最終プロファイルを設定します。
**`SHARED_SERVICES`プロファイル ( からのチェーン`DEV_BASE`):**
1. `/n/AWS1/IMG` トランザクションを実行します。
1. **AWS SDK for SAP ABAP 設定** > **アプリケーション設定** > **SDK プロファイル**を選択します。
1. **[新規エントリ]** を選択します。プロファイル名 (例: `SHARED_SERVICES`) と説明を入力します。**[保存]** を選択します。
1. 作成したプロファイルを選択し、**認証と設定** > **新規エントリ**を選択し、次の詳細を入力します。
+ **SID**: SAP システムのシステム ID
+ **クライアント**: SAP システムのクライアント
+ **シナリオ ID**: Basis 管理者が作成した`DEFAULT`シナリオを選択します。
+ **AWS Region**: 呼び出し先の AWS リージョン
+ **認証方法**: ドロップダウンから**ソースプロファイル**を選択する
+ **ソースプロファイル ID**: ベースプロファイルのプロファイル ID を入力します (例: `DEV_BASE`)
**[保存]** を選択します。
1. **IAM ロールマッピング** > **新しいエントリ**を選択し、次のように入力します。
+ **シーケンス番号**: 1
+ **論理 IAM ロール**: わかりやすい名前 (例: `SHARED_ROLE`)
+ **IAM ロール ARN**: `arn:aws:iam::222222222222:role/SharedServicesRole`
**[保存]** を選択します。
**`PROD_S3_ACCESS`プロファイル ( からのチェーン`SHARED_SERVICES`):**
と同じ手順を繰り返しますが`SHARED_SERVICES`、以下を実行します。
+ を名前`PROD_S3_ACCESS`として使用する
+ **ソースプロファイル ID** を に設定する `SHARED_SERVICES`
+ IAM ロールマッピング`arn:aws:iam::333333333333:role/ProdS3AccessRole`で `PROD_S3_ROLE`と を使用する
IAM ロール管理、信頼ポリシー設定、認可要件などのセキュリティのベストプラクティスについては、[「IAM セキュリティのベストプラクティス](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html)」を参照してください。