使用來源描述檔進行跨帳戶存取

來源描述檔可讓 SAP 系統透過鏈結 IAM 角色假設，跨多個帳戶存取 AWS 資源。一個設定檔會擔任角色，然後擔任另一個角色，以此類推，類似於 CLI AWS 中的 source_profile 參數。這適用於您需要周遊多個 AWS 帳戶以到達目標資源的跨帳戶存取案例。

範例：您的 SAP 系統在帳戶 A ((111111111111) 中執行，且需要存取帳戶 C ((333333333333) 中的 Amazon S3 儲存貯體。您可以設定三個設定檔：

當您的應用程式使用時PROD_S3_ACCESS，開發套件會自動執行鏈結：從執行個體中繼資料取得登入資料 → 擔任角色 P → 擔任角色 Q → 擔任角色 R。

先決條件

在設定來源描述檔之前，必須符合下列先決條件：

鏈中每個步驟的 IAM 角色必須由 IAM 管理員建立。每個角色必須具有：
- 呼叫所需的許可 AWS 服務
- 將信任關係設定為允許鏈中的上一個角色擔任它
如需詳細資訊，請參閱 IAM 安全的最佳實務。
建立執行/AWS1/IMG交易的授權。如需詳細資訊，請參閱組態的授權。
使用者必須擁有鏈結中所有設定檔/AWS1/SESS的授權，包括中繼設定檔。

請依照這些指示來設定來源描述檔。

基本設定檔是鏈中的第一個設定檔，必須使用標準身分驗證方法。

執行/n/AWS1/IMG交易以啟動適用於 SAP ABAP 的 AWS SDK 實作指南 (IMG)。
選取AWS 適用於 SAP ABAP 的 SDK 設定 > 應用程式組態 > SDK 設定檔。
選取新增項目並輸入設定檔名稱和描述，以建立新的設定檔做為基本設定檔。選取儲存。

注意
如果您使用的是已使用標準身分驗證方法 (INST、SSF 或 RLA) 設定的現有設定檔，您可以略過本節中的其餘步驟，直接前往步驟 2 – 設定鏈結的設定檔。
選取您建立的設定檔，然後選取身分驗證和設定 > 新項目，然後輸入下列詳細資訊：
- SID：SAP 系統的系統 ID
- 用戶端：SAP 系統的用戶端
- 案例 ID：選取您的 Basis 管理員建立的DEFAULT案例
- 您要呼叫的區域AWS ： AWS 區域
- 身分驗證方法：選取下列其中一項：
  - 透過在 Amazon EC2 上執行之 SAP 系統的中繼資料的執行個體角色
  - 內部部署或其他雲端系統的 SSF Storage 登入資料
  - 用於憑證型身分驗證的 IAM Roles Anywhere
選取儲存。
選取 IAM 角色映射 > 新項目，然後輸入：
- 序號：1
- 邏輯 IAM 角色：描述性名稱（例如 DEV_BASE_ROLE)
- IAM 角色 ARN：第一個帳戶中 IAM 角色的 ARN （例如 arn:aws:iam::111111111111:role/DevBaseRole)
選取儲存。

設定鏈結中的每個中繼和最終設定檔。

對於SHARED_SERVICES設定檔（來自的鏈DEV_BASE)：

執行/n/AWS1/IMG交易。
選取AWS 適用於 SAP ABAP 的 SDK 設定 > 應用程式組態 > SDK 設定檔。
選取新項目。輸入設定檔名稱（例如 SHARED_SERVICES) 和描述。選取儲存。
選取您建立的設定檔，然後選取身分驗證和設定 > 新項目，然後輸入下列詳細資訊：
- SID：SAP 系統的系統 ID
- 用戶端：SAP 系統的用戶端
- 案例 ID：選取您的 Basis 管理員建立的DEFAULT案例
- 您要呼叫的區域AWS ： AWS 區域
- 身分驗證方法：從下拉式清單中選取來源設定檔
- 來源設定檔 ID：輸入基本設定檔的設定檔 ID （例如 DEV_BASE)
選取儲存。
選取 IAM 角色映射 > 新項目，然後輸入：
- 序號：1
- 邏輯 IAM 角色：描述性名稱（例如 SHARED_ROLE)
- IAM 角色 ARN： arn:aws:iam::222222222222:role/SharedServicesRole
選取儲存。

對於PROD_S3_ACCESS設定檔（來自的鏈SHARED_SERVICES)：

重複與相同的步驟SHARED_SERVICES，但：

如需 IAM 角色管理、信任政策組態和授權需求等安全最佳實務，請參閱 IAM 安全的最佳實務。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

IAM Roles Anywhere

登入資料存放區