As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usando o perfil de origem para acesso entre contas
O perfil de origem permite que os sistemas SAP acessem AWS recursos em várias contas, encadeando as suposições da função do IAM. Um perfil assume uma função, que então assume outra função, e assim por diante, semelhante ao `source_profile` parâmetro na CLI AWS . Isso é útil para cenários de acesso entre contas em que você precisa percorrer várias AWS contas para alcançar seus recursos de destino.
**Exemplo:** Seu sistema SAP é executado na Conta A (111111111111) e precisa acessar os buckets do Amazon S3 na Conta C (333333333333). Você configura três perfis:
1. `DEV_BASE`obtém credenciais básicas dos metadados da instância do Amazon EC2 e assume a função P na Conta A
1. `SHARED_SERVICES`usa `DEV_BASE` credenciais para assumir a função Q na conta B (222222222222)
1. `PROD_S3_ACCESS`usa `SHARED_SERVICES` credenciais para assumir a Função R na Conta C
Quando seu aplicativo usa`PROD_S3_ACCESS`, o SDK executa automaticamente a cadeia: obtenha credenciais dos metadados da instância → assuma a função P → assuma a função Q → assuma a função R.
## Pré-requisitos
Os seguintes pré-requisitos devem ser atendidos antes de configurar o perfil de origem:
+ As funções do IAM para cada etapa da cadeia devem ser criadas pelo administrador do IAM. Cada função deve ter:
+ Permissões para ligar para o necessário Serviços da AWS
+ Relação de confiança configurada para permitir que a função anterior na cadeia a assuma
Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).
+ Crie autorização para executar a transação `/AWS1/IMG`. Consulte mais informações em [Autorizações para configuração](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/authorizations.html#configuration-authorizations).
+ Os usuários devem ter `/AWS1/SESS` autorização para TODOS os perfis da cadeia, incluindo perfis intermediários.
## Procedimento
Siga estas instruções para configurar o perfil de origem.
**Topics**
+ [Etapa 1 — Configurar o perfil básico](#step1-base-profile)
+ [Etapa 2 — Configurar perfis encadeados](#step2-chained-profiles)
### Etapa 1 — Configurar o perfil básico
O perfil básico é o primeiro perfil na cadeia e deve usar um método de autenticação padrão.
1. Execute a `/n/AWS1/IMG` transação para iniciar o Guia de AWS SDK para SAP ABAP Implementação (IMG).
1. **Selecione **AWS SDK for SAP ABAP Settings** > **Application Configurations** > SDK Profile.**
1. Crie um novo perfil para usar como seu perfil base selecionando **Novas entradas** e inserindo o nome e a descrição do perfil. Selecione **Salvar**.
**nota**
Se você estiver usando um perfil existente que já esteja configurado com um método de autenticação padrão (INST, SSF ou RLA), você pode pular as etapas restantes desta seção e prosseguir diretamente para. [Etapa 2 — Configurar perfis encadeados](#step2-chained-profiles)
1. Selecione o perfil que você criou e, em seguida, selecione **Autenticação e configurações** > **Novas entradas** e insira os seguintes detalhes:
+ **SID**: O ID do sistema SAP
+ **Cliente**: O cliente do sistema SAP
+ **ID do cenário**: selecione o `DEFAULT` cenário criado pelo administrador do Basis
+ **AWS Região**: AWS região para a qual você deseja fazer chamadas
+ **Método de autenticação**: selecione uma das seguintes opções:
+ **Função da instância via metadados** para sistemas SAP executados no Amazon EC2
+ **Credenciais do SSF Storage para sistemas** locais ou outros sistemas em nuvem
+ **IAM Roles Anywhere** para autenticação baseada em certificados
Selecione **Salvar**.
1. Selecione **IAM Role Mapping** > **New Entries** e insira:
+ **Número de sequência**: 1
+ **Função lógica do IAM**: um nome descritivo (por exemplo,`DEV_BASE_ROLE`)
+ **ARN da função do IAM**: o ARN da função do IAM na primeira conta (por exemplo,) `arn:aws:iam::111111111111:role/DevBaseRole`
Selecione **Salvar**.
### Etapa 2 — Configurar perfis encadeados
Configure cada perfil intermediário e final na cadeia.
**Para `SHARED_SERVICES` perfil (correntes de`DEV_BASE`):**
1. Execute a `/n/AWS1/IMG` transação.
1. **Selecione **AWS SDK for SAP ABAP Settings** > **Application Configurations** > SDK Profile.**
1. Selecione **Novas entradas**. Insira o nome do perfil (por exemplo,`SHARED_SERVICES`) e a descrição. Selecione **Salvar**.
1. Selecione o perfil que você criou e, em seguida, selecione **Autenticação e configurações** > **Novas entradas** e insira os seguintes detalhes:
+ **SID**: O ID do sistema SAP
+ **Cliente**: O cliente do sistema SAP
+ **ID do cenário**: selecione o `DEFAULT` cenário criado pelo administrador do Basis
+ **AWS Região**: AWS região para a qual você deseja fazer chamadas
+ **Método de autenticação**: selecione **Perfil de origem** no menu suspenso
+ **ID do perfil de origem**: insira o ID do perfil base (por exemplo,`DEV_BASE`)
Selecione **Salvar**.
1. Selecione **IAM Role Mapping** > **New Entries** e insira:
+ **Número de sequência**: 1
+ **Função lógica do IAM**: um nome descritivo (por exemplo,`SHARED_ROLE`)
+ **ARN da função do IAM:** `arn:aws:iam::222222222222:role/SharedServicesRole`
Selecione **Salvar**.
**Para `PROD_S3_ACCESS` perfil (correntes de`SHARED_SERVICES`):**
Repita as mesmas etapas`SHARED_SERVICES`, mas:
+ Use `PROD_S3_ACCESS` como nome
+ Definir **ID do perfil de origem** como `SHARED_SERVICES`
+ Use `PROD_S3_ROLE` e `arn:aws:iam::333333333333:role/ProdS3AccessRole` no mapeamento de funções do IAM
Para ver as melhores práticas de segurança, incluindo gerenciamento de funções do IAM, configuração de políticas de confiança e requisitos de autorização, consulte [Melhores práticas para a segurança do IAM](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html).