

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用來源描述檔進行跨帳戶存取
<a name="source-profile"></a>

來源描述檔可讓 SAP 系統透過鏈結 IAM 角色假設，跨多個帳戶存取 AWS 資源。一個設定檔會擔任角色，然後擔任另一個角色，以此類推，類似於 CLI AWS 中的 `source_profile` 參數。這適用於您需要周遊多個 AWS 帳戶以到達目標資源的跨帳戶存取案例。

**範例：**您的 SAP 系統在帳戶 A ((111111111111) 中執行，且需要存取帳戶 C ((333333333333) 中的 Amazon S3 儲存貯體。您可以設定三個設定檔：

1. `DEV_BASE` 從 Amazon EC2 執行個體中繼資料取得基本憑證，並擔任帳戶 A 中的角色 P

1. `SHARED_SERVICES` 使用`DEV_BASE`登入資料擔任帳戶 B 中的角色 Q (222222222222)

1. `PROD_S3_ACCESS` 使用`SHARED_SERVICES`登入資料來擔任帳戶 C 中的角色 R

當您的應用程式使用 時`PROD_S3_ACCESS`，開發套件會自動執行鏈結：從執行個體中繼資料取得登入資料 → 擔任角色 P → 擔任角色 Q → 擔任角色 R。

## 先決條件
<a name="source-profile-prerequisites"></a>

在設定來源描述檔之前，必須符合下列先決條件：
+ 鏈中每個步驟的 IAM 角色必須由 IAM 管理員建立。每個角色必須具有：
  + 呼叫所需 的許可 AWS 服務
  + 將信任關係設定為允許鏈中的上一個角色擔任它

  如需詳細資訊，請參閱 [IAM 安全的最佳實務](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html)。
+ 建立執行`/AWS1/IMG`交易的授權。如需詳細資訊，請參閱[組態的授權](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/authorizations.html#configuration-authorizations)。
+ 使用者必須擁有鏈結中所有設定檔`/AWS1/SESS`的授權，包括中繼設定檔。

## 程序
<a name="source-profile-procedure"></a>

請依照這些指示來設定來源描述檔。

**Topics**
+ [步驟 1 – 設定基本設定檔](#step1-base-profile)
+ [步驟 2 – 設定鏈結的設定檔](#step2-chained-profiles)

### 步驟 1 – 設定基本設定檔
<a name="step1-base-profile"></a>

基本設定檔是鏈中的第一個設定檔，必須使用標準身分驗證方法。

1. 執行`/n/AWS1/IMG`交易以啟動 適用於 SAP ABAP 的 AWS SDK 實作指南 (IMG)。

1. 選取**AWS 適用於 SAP ABAP 的 SDK 設定** > **應用程式組態** > **SDK 設定檔**。

1. 選取新增**項目**並輸入設定檔名稱和描述，以建立新的設定檔做為基本設定檔。選取**儲存**。
**注意**  
如果您使用的是已使用標準身分驗證方法 (INST、SSF 或 RLA) 設定的現有設定檔，您可以略過本節中的其餘步驟，直接前往 [步驟 2 – 設定鏈結的設定檔](#step2-chained-profiles)。

1. 選取您建立的設定檔，然後選取**身分驗證和設定** > **新項目**，然後輸入下列詳細資訊：
   + **SID**：SAP 系統的系統 ID
   + **用戶端**：SAP 系統的用戶端
   + **案例 ID**：選取您的 Basis 管理員建立的`DEFAULT`案例
   + 您要呼叫的區域**AWS **： AWS 區域
   + **身分驗證方法**：選取下列其中一項：
     + 透過在 Amazon EC2 上執行之 SAP 系統的**中繼資料的執行個體角色** 
     + 內部部署或其他雲端系統的 **SSF Storage 登入資料** 
     + 用於憑證型身分驗證的 **IAM Roles Anywhere** 

   選取**儲存**。

1. 選取 **IAM 角色映射** > **新項目**，然後輸入：
   + **序號**：1
   + **邏輯 IAM 角色**：描述性名稱 （例如 `DEV_BASE_ROLE`)
   + **IAM 角色 ARN**：第一個帳戶中 IAM 角色的 ARN （例如 `arn:aws:iam::111111111111:role/DevBaseRole`)

   選取**儲存**。

### 步驟 2 – 設定鏈結的設定檔
<a name="step2-chained-profiles"></a>

設定鏈結中的每個中繼和最終設定檔。

**對於`SHARED_SERVICES`設定檔 （來自 的鏈`DEV_BASE`)：**

1. 執行`/n/AWS1/IMG`交易。

1. 選取**AWS 適用於 SAP ABAP 的 SDK 設定** > **應用程式組態** > **SDK 設定檔**。

1. 選取**新項目**。輸入設定檔名稱 （例如 `SHARED_SERVICES`) 和描述。選取**儲存**。

1. 選取您建立的設定檔，然後選取**身分驗證和設定** > **新項目**，然後輸入下列詳細資訊：
   + **SID**：SAP 系統的系統 ID
   + **用戶端**：SAP 系統的用戶端
   + **案例 ID**：選取您的 Basis 管理員建立的`DEFAULT`案例
   + 您要呼叫的區域**AWS **： AWS 區域
   + **身分驗證方法**：從下拉式清單中選取**來源設定檔** 
   + **來源設定檔 ID**：輸入基本設定檔的設定檔 ID （例如 `DEV_BASE`)

   選取**儲存**。

1. 選取 **IAM 角色映射** > **新項目**，然後輸入：
   + **序號**：1
   + **邏輯 IAM 角色**：描述性名稱 （例如 `SHARED_ROLE`)
   + **IAM 角色 ARN**： `arn:aws:iam::222222222222:role/SharedServicesRole`

   選取**儲存**。

**對於`PROD_S3_ACCESS`設定檔 （來自 的鏈`SHARED_SERVICES`)：**

重複與 相同的步驟`SHARED_SERVICES`，但：
+ 使用 `PROD_S3_ACCESS`做為名稱
+ 將**來源設定檔 ID** 設定為 `SHARED_SERVICES`
+ 在 IAM 角色映射`arn:aws:iam::333333333333:role/ProdS3AccessRole`中使用 `PROD_S3_ROLE`和

如需 IAM 角色管理、信任政策組態和授權需求等安全最佳實務，請參閱 [IAM 安全的最佳實務](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html)。