

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 교차 계정 액세스를 위한 소스 프로파일 사용
<a name="source-profile"></a>

소스 프로파일을 사용하면 SAP 시스템이 IAM 역할 가정을 연결하여 여러 계정의 AWS 리소스에 액세스할 수 있습니다. 한 프로필은 역할을 수임한 다음 AWS CLI의 `source_profile` 파라미터와 유사한 다른 역할 등을 수임합니다. 이는 대상 리소스에 도달하기 위해 여러 계정을 통과해야 하는 교차 AWS 계정 액세스 시나리오에 유용합니다.

**예:** SAP 시스템은 계정 A(111111111111)에서 실행되며 계정 C(333333333333)의 Amazon S3 버킷에 액세스해야 합니다. 세 가지 프로파일을 구성합니다.

1. `DEV_BASE`는 Amazon EC2 인스턴스 메타데이터에서 기본 자격 증명을 가져오고 계정 A에서 역할 P를 수임합니다.

1. `SHARED_SERVICES`는 자격 `DEV_BASE` 증명을 사용하여 계정 B(222222222222)에서 역할 Q를 수임합니다.

1. `PROD_S3_ACCESS`는 자격 `SHARED_SERVICES` 증명을 사용하여 계정 C에서 역할 R을 수임합니다.

애플리케이션에서 `PROD_S3_ACCESS`를 사용하는 경우 SDK는 체인을 자동으로 실행합니다. 인스턴스 메타데이터에서 자격 증명 가져오기 → 역할 P 수임 → 역할 Q 수임 → 역할 R 수임.

## 사전 조건
<a name="source-profile-prerequisites"></a>

소스 프로파일을 구성하기 전에 다음 사전 조건을 충족해야 합니다.
+ 체인의 각 단계에 대한 IAM 역할은 IAM 관리자가 생성해야 합니다. 각 역할에는 다음이 있어야 합니다.
  + 필요한를 호출할 수 있는 권한 AWS 서비스
  + 체인의 이전 역할이 이를 수임할 수 있도록 구성된 신뢰 관계

  자세한 내용은 [IAM 보안 모범 사례](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html)를 참조하세요.
+ `/AWS1/IMG` 트랜잭션을 실행하기 위한 권한을 생성하십시오. 자세한 내용은 [구성을 위한 권한 부여](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/authorizations.html#configuration-authorizations) 섹션을 참조하십시오.
+ 사용자는 중간 프로파일을 포함하여 체인의 모든 프로파일에 대한 `/AWS1/SESS` 권한이 있어야 합니다.

## 절차
<a name="source-profile-procedure"></a>

다음 지침에 따라 소스 프로파일을 구성합니다.

**Topics**
+ [

### 1단계 - 기본 프로파일 구성
](#step1-base-profile)
+ [

### 2단계 - 체인 프로필 구성
](#step2-chained-profiles)

### 1단계 - 기본 프로파일 구성
<a name="step1-base-profile"></a>

기본 프로필은 체인의 첫 번째 프로필이며 표준 인증 방법을 사용해야 합니다.

1. `/n/AWS1/IMG` 트랜잭션을 실행하여 AWS SDK for SAP ABAP 구현 가이드(IMG)를 시작합니다.

1. **AWS SDK for SAP ABAP 설정** > **애플리케이션 구성** > **SDK 프로필을** 선택합니다.

1. 새 항목을 선택하여 **기본 프로필로 사용할 새** 프로필을 생성하고 프로필 이름과 설명을 입력합니다. **저장**을 선택합니다.
**참고**  
표준 인증 방법(INST, SSF 또는 RLA)으로 이미 구성된 기존 프로파일을 사용하는 경우이 섹션의 나머지 단계를 건너뛰고 로 바로 진행할 수 있습니다[2단계 - 체인 프로필 구성](#step2-chained-profiles).

1. 생성한 프로필을 선택한 다음 **인증 및 설정** > **새 항목을** 선택하고 다음 세부 정보를 입력합니다.
   + **SID**: SAP 시스템의 시스템 ID
   + **클라이언트**: SAP 시스템의 클라이언트
   + **시나리오 ID**: 기본 관리자가 생성한 `DEFAULT` 시나리오 선택
   + **AWS 리전**: 호출하려는 AWS 리전
   + **인증 방법**: 다음 중 하나를 선택합니다.
     + Amazon EC2에서 실행되는 SAP 시스템용 **메타데이터를 통한 인스턴스 역할** 
     + 온프레미스 또는 기타 클라우드 시스템을 위한 **SSF 스토리지의 자격 증명** 
     + 인증서 기반 인증을 위한 **IAM Roles Anywhere** 

   **저장**을 선택합니다.

1. **IAM 역할 매핑** > **새 항목을** 선택하고 다음을 입력합니다.
   + **시퀀스 번호**: 1
   + **논리적 IAM 역할**: 설명이 포함된 이름(예: `DEV_BASE_ROLE`)
   + **IAM 역할 ARN**: 첫 번째 계정에 있는 IAM 역할의 ARN(예: `arn:aws:iam::111111111111:role/DevBaseRole`)

   **저장**을 선택합니다.

### 2단계 - 체인 프로필 구성
<a name="step2-chained-profiles"></a>

체인의 각 중간 및 최종 프로파일을 구성합니다.

**`SHARED_SERVICES` 프로필(의 체인`DEV_BASE`):**

1. `/n/AWS1/IMG` 트랜잭션을 실행합니다.

1. **AWS SDK for SAP ABAP 설정** > **애플리케이션 구성** > **SDK 프로필을** 선택합니다.

1. **새 항목**을 선택합니다. 프로필 이름(예: `SHARED_SERVICES`)과 설명을 입력합니다. **저장**을 선택합니다.

1. 생성한 프로필을 선택한 다음 **인증 및 설정** > **새 항목을** 선택하고 다음 세부 정보를 입력합니다.
   + **SID**: SAP 시스템의 시스템 ID
   + **클라이언트**: SAP 시스템의 클라이언트
   + **시나리오 ID**: 기본 관리자가 생성한 `DEFAULT` 시나리오 선택
   + **AWS 리전**: 호출하려는 AWS 리전
   + **인증 방법**: 드롭다운에서 **소스 프로필을** 선택합니다.
   + **소스 프로필 ID**: 기본 프로필의 프로필 ID를 입력합니다(예: `DEV_BASE`).

   **저장**을 선택합니다.

1. **IAM 역할 매핑** > **새 항목을** 선택하고 다음을 입력합니다.
   + **시퀀스 번호**: 1
   + **논리적 IAM 역할**: 설명이 포함된 이름(예: `SHARED_ROLE`)
   + **IAM 역할 ARN**: `arn:aws:iam::222222222222:role/SharedServicesRole`

   **저장**을 선택합니다.

**`PROD_S3_ACCESS` 프로필(의 체인`SHARED_SERVICES`):**

와 동일한 단계를 반복`SHARED_SERVICES`하지만 다음을 수행합니다.
+ `PROD_S3_ACCESS` 이름으로 사용
+ **소스 프로필 ID**를 로 설정 `SHARED_SERVICES`
+ IAM 역할 매핑`arn:aws:iam::333333333333:role/ProdS3AccessRole`에서 `PROD_S3_ROLE` 및 사용

IAM 역할 관리, 신뢰 정책 구성 및 권한 부여 요구 사항을 포함한 보안 모범 사례는 [IAM 보안 모범 사례를 참조하세요](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).