本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# SAP 系统身份验证已开启 AWS
<a name="system-authentication"></a>

 AWS 在 SAP 系统能够代表 SAP 用户向发出呼叫之前，SAP 系统必须对其进行身份验证 AWS。 适用于 SAP ABAP 的 AWS SDK 支持在中的 SDK 配置文件设置中选择的以下三种基本身份验证方法`IMG`。

AWS 适用于 SAP ABAP 的 SDK-BTP 版本只能使用 SAP 凭据存储使用该[使用秘密访问密钥进行身份验证](#key-authentication)方法进行身份验证。

对于跨账户访问场景，适用于 SAP ABAP 的 SDK 还支持来源配置文件，该配置文件允许使用任何基本身份验证方法在账户之间链接多个 IAM 角色假设。有关更多信息，请参阅 [跨账户访问的来源个人资料身份验证](#source-profile-auth)。

**Topics**
+ [

## 使用 Amazon EC2 实例元数据进行身份验证
](#metadata-authentication)
+ [

## 使用秘密访问密钥进行身份验证
](#key-authentication)
+ [

## 使用 IAM Roles Anywhere 进行基于证书的身份验证
](#iam-auth)
+ [

## 跨账户访问的来源个人资料身份验证
](#source-profile-auth)
+ [

## 后续步骤
](#next-step)

## 使用 Amazon EC2 实例元数据进行身份验证
<a name="metadata-authentication"></a>

运行在 Amazon EC2 上的 SAP 系统可从 Amazon EC2 实例元数据中获取自动轮换的短期凭证。有关更多信息，请参阅[使用适用于 Amazon EC2 实例元数据的凭证](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-metadata.html)。

亚马逊强烈建议您在使用适用于 SAP ABAP 的 SDK 时选择这种身份验证方法。如需采用此方法，基础管理员必须启用 HTTP 出站通信。无需进一步基础配置。

**注意**  
这种身份验证方式仅适用于您在 Amazon EC2 上运行 SAP 系统的情况。托管在本地或其他云环境中的 SAP 系统无法使用此方法进行身份验证。

## 使用秘密访问密钥进行身份验证
<a name="key-authentication"></a>

此方法使用访问密钥 ID 和秘密访问密钥，对 AWS SAP 系统进行身份验证。SAP 系统 AWS 使用 IAM 用户登录。有关更多信息，请参阅[管理适用于 IAM 用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。

基础管理员会收到 AWS IAM 管理员发送的访问密钥 ID 和秘密访问密钥。您的 SAP 系统必须配置为存储访问密钥 ID 和私有访问密钥。
+ **安全、存储和转发 (SSF)**
  + 使用 SSF 功能对 SAP ABAP AWS 的 SDK 进行身份验证。有关更多信息，请参阅[数字签名和加密](https://help.sap.com/docs/SAP_NETWEAVER_750/cf1026f0534f408e849ee7feed288a66/53251a355d0c4d78e10000009b38f83b.html)。
  + 您还可以使用 `SSF02` 报告测试 SSF `envelope` 和 `develope` 功能。有关更多信息，请参阅[测试 SSF 安装流程](https://help.sap.com/docs/SAP_NETWEAVER_750/cf1026f0534f408e849ee7feed288a66/43b948d4f32c11d2a6100000e835363f.html)。
  + `/AWS1/IMG` 事务描述了为适用于 SAP ABAP 的 SDK 配置 SSF 的步骤。转到**技术先决条件**，然后选择适用于本地系统的**其他设置**。有关详细的配置步骤，请参阅将私有[访问密钥身份验证与 SSF 加密结合使用](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/ssf-authentication.html)。
+ **SAP 凭据存储**
  + 使用 SAP 凭据存储对适用于 SAP ABAP 的 S AWS DK 进行身份验证——BTP 版本。有关更多信息，请参阅[什么是 SAP 凭据存储](https://help.sap.com/docs/credential-store/sap-credential-store/what-is-sap-credential-store)？
  + 有关配置步骤，请参阅[使用 SAP 凭据存储](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/credential-store.html)。

## 使用 IAM Roles Anywhere 进行基于证书的身份验证
<a name="iam-auth"></a>

您的证书颁发机构 (CA) 颁发的 X.509 证书可用于对 Roles Anywhere 进行 AWS Identity and Access Management 身份验证。必须在 `STRUST` 中配置此证书。CA 必须在 IAM Roles Anywhere 中注册为信任锚点，并且必须创建配置文件以指定 IAM Roles Anywhere 将代入的角色和策略。有关更多信息，请参阅 R [oles Anywhere 中的 AWS Identity and Access Management 创建信任锚和个人资料](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html)。

有关如何通过适用于 SAP ABAP 的 SDK 使用 IAM Roles Anywhere 的详细步骤，请参阅[将证书与 IAM Roles Anywhere 结合使用](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/using-iam.html)。

**注意**  
只有通过使用导入的证书吊销列表才能支持证书吊销。有关更多信息，请参阅[吊销](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html#revocationenecccbjjgtgentfriblgthntkkbilrejgclhlttdlff           )。

## 跨账户访问的来源个人资料身份验证
<a name="source-profile-auth"></a>

来源配置文件是一项高级功能，可让您跨 AWS 账户链接多个 IAM 角色假设。使用此方法，一个配置文件扮演一个角色，然后该配置文件扮演另一个角色，依此类推，类似于 AWS CLI 中的`source_profile`参数。

源配置文件适用于三种基本身份验证方法（实例元数据、私有访问密钥或基于证书）中的任何一种。链中的第一个配置文件必须使用这些基本方法之一，链中的后续配置文件使用前一个配置文件中的凭据来担任下一个角色。

这对于需要遍历多个账户才能到达目标资源的跨 AWS 账户访问场景非常有用。有关详细的配置步骤，请参阅[使用来源配置文件进行跨账户访问](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/source-profile.html)。

## 后续步骤
<a name="next-step"></a>

在中对您的 SAP 系统进行身份验证后 AWS，适用于 SAP ABAP 的 SDK 会自动执行，为该 SAP 用户的业务职能承担相应的 IAM 角色。`sts:assumeRole`