Správa prostředků služby Azure Center for SAP solutions s využitím Azure RBAC
Článek 10/27/2023
Přispěvatelé: 3
Váš názor
V tomto článku
Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje podrobnou správu přístupu pro Azure. Azure RBAC můžete použít ke správě virtuální instance pro prostředky řešení SAP v rámci Azure Center pro řešení SAP. Můžete například oddělit povinnosti v rámci vašeho týmu a udělit jenom množství přístupu, které uživatelé potřebují k výkonu svých úloh.
Uživatelé nebo spravované identity přiřazené uživatelem vyžadují minimální role nebo oprávnění k používání různých funkcí v Azure Center pro řešení SAP.
Existují předdefinované role Azure pro řešení Azure Center pro SAP nebo můžete vytvořit vlastní role Azure pro větší kontrolu. Azure Center pro řešení SAP poskytuje následující předdefinované role pro nasazení a správu systémů SAP v Azure:
Role správce řešení Azure Center for SAP má požadovaná oprávnění pro uživatele k nasazení infrastruktury, instalaci SAP a správě systémů SAP ze služby Azure Center pro řešení SAP. Role umožňuje uživatelům:
Nasazení infrastruktury pro nový systém SAP
Instalace softwaru SAP
Zaregistrujte existující systémy SAP jako virtuální instanci pro prostředek SAP Solutions (VIS).
Zobrazení stavu a stavu systémů SAP
Proveďte operace, jako je spuštění a zastavení prostředku VIS.
Proveďte všechny možné akce se službou Azure Center pro řešení SAP, včetně odstranění prostředku VIS.
Role služby Azure Center pro řešení SAP je určená pro použití spravovanou identitou přiřazenou uživatelem. Služba Azure Center for SAP solutions používá tuto identitu k nasazení a správě systémů SAP. Tato role má oprávnění k podpoře možností nasazení a správy v Azure Center pro řešení SAP.Role čtenáře
Poznámka:
Pokud chcete použít existující spravovanou identitu přiřazenou uživatelem pro nasazení nového systému SAP nebo registraci existujícího systému, musí mít také roli operátora spravované identity. Tato role se vyžaduje k přiřazení spravované identity přiřazené uživatelem k prostředku řešení SAP pro virtuální instanci.
Poznámka:
Pokud vytváříte novou spravovanou identitu přiřazenou uživatelem při nasazení nového systému SAP nebo zaregistrujete existující systém, musí mít uživatel také role Přispěvatel spravovaných identit a Operátor spravované identity. Tyto role se vyžadují k vytvoření identity přiřazené uživatelem, k jeho přiřazení a přiřazení k prostředku VIS.
Nasazení infrastruktury pro nový systém SAP
K nasazení infrastruktury pro nový systém SAP vyžaduje spravovaná identita přiřazená uživatelem
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Operátor spravované identity
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Resources/subscriptions/resourcegroups/deployments/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Compute/sshPublicKeys/write
Microsoft.Compute/sshPublicKeys/read
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/availabilitySets/read
Microsoft.Compute/availabilitySets/write
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/networkInterfaces/ipconfigurations/join/action
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/fileServices/shares/write
Instalace softwaru SAP
K instalaci softwaru SAP vyžaduje spravovaná identita přiřazená uživatelem
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Čtenář a přístup k datům
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/disks/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/write
Registrace a správa stávajícího systému SAP
Pokud chcete zaregistrovat stávající systém SAP a spravovat ho ve službě Azure Center pro řešení SAP, vyžaduje spravovaná identita přiřazená uživatelem nebo uživatelem následující roli nebo oprávnění.
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Operátor spravované identity
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapvirtualInstances/*/read
Microsoft.Workloads/sapVirtualInstances/*/write
Microsoft.Workloads/Locations/*/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Compute/virtualMachines/read
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/tags/*
Zobrazení prostředků VIS
K zobrazení prostředků VIS vyžaduje spravovaná identita přiřazená uživatelem
Předdefinované role pro uživatele
Čtenář řešení Azure Center pro SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Insights/Metrics/Read
Microsoft.ResourceHealth/AvailabilityStatuses/read
Microsoft.Advisor/configurations/read
Microsoft.Advisor/recommendations/read
Předdefinované role pro spravované identity přiřazené uživatelem
Tento scénář se nevztahuje na spravované identity přiřazené uživatelem.
Integrovaná oprávnění pro spravované identity přiřazené uživatelem
Tento scénář se nevztahuje na spravované identity přiřazené uživatelem.
Spuštění systému SAP
K spuštění systému SAP z prostředku VIS vyžaduje spravovaná identita přiřazená uživatelem
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/start/action
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Zastavení systému SAP
K zastavení systému SAP z prostředku VIS vyžaduje spravovaná identita přiřazená uživatelem
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/stop/action
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Spuštění instance služeb SAP Central
Pokud chcete spustit instanci služby SAP Central z prostředku VIS, vyžaduje spravovaná identita přiřazená uživatelem uživatelem následující roli nebo oprávnění.
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Zastavení instance služeb SAP Central
K zastavení instance služby SAP Central z prostředku VIS vyžaduje spravovaná identita přiřazená uživatelem uživatelem následující roli nebo oprávnění.
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Spuštění instance aplikačního serveru SAP
Pokud chcete spustit instanci aplikačního serveru SAP z prostředku VIS, vyžaduje spravovaná identita přiřazená uživatelem
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Zastavení instance aplikačního serveru SAP
K zastavení instance aplikačního serveru SAP z prostředku VIS vyžaduje spravovaná identita přiřazená uživatelem uživatelem následující roli nebo oprávnění.
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Spuštění instance databáze SAP HANA
Pokud chcete spustit instanci databáze SAP HANA z prostředku VIS, vyžaduje spravovaná identita přiřazená uživatelem uživatelem následující roli nebo oprávnění.
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Zastavení instance databáze SAP HANA
Pokud chcete zastavit instanci databáze SAP HANA z prostředku VIS, vyžaduje spravovaná identita přiřazená uživatelem uživatelem následující roli nebo oprávnění.
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action
Předdefinované role pro spravované identity přiřazené uživatelem
Role služby Azure Center pro řešení SAP
Minimální oprávnění pro spravované identity přiřazené uživatelem
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Zobrazení analýzy nákladů
K zobrazení analýzy nákladů vyžaduje uživatel následující roli nebo oprávnění.
Předdefinované role pro uživatele
Čtenář služby Cost Management
Minimální oprávnění pro uživatele
Microsoft.Consumption/*/read**
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Billing/billingProperty/read
Předdefinované role pro spravované identity přiřazené uživatelem
Tento scénář se nevztahuje na spravované identity přiřazené uživatelem.
Minimální oprávnění pro spravované identity přiřazené uživatelem
Tento scénář se nevztahuje na spravované identity přiřazené uživatelem.
Zobrazit Přehledy kvality
Pokud chcete zobrazit Přehledy pro zvýšení kvality, vyžaduje uživatel následující roli nebo oprávnění.
Předdefinované role pro uživatele
Čtenář řešení Azure Center pro SAP
Minimální oprávnění pro uživatele
Žádné, s výjimkou minimálního přiřazení role.
Předdefinované role pro spravované identity přiřazené uživatelem
Tento scénář se nevztahuje na spravované identity přiřazené uživatelem.
Minimální oprávnění pro spravované identity přiřazené uživatelem
Tento scénář se nevztahuje na spravované identity přiřazené uživatelem.
Nastavení služby Azure Monitor pro řešení SAP
K nastavení služby Azure Monitor pro řešení SAP pro prostředky SAP vyžaduje uživatel následující roli nebo oprávnění.
Předdefinované role pro uživatele
Přispěvatel
Minimální oprávnění pro uživatele
Žádné, s výjimkou minimálního přiřazení role.
Předdefinované role pro spravované identity přiřazené uživatelem
Tento scénář se nevztahuje na spravované identity přiřazené uživatelem.
Minimální oprávnění pro spravované identity přiřazené uživatelem
Tento scénář se nevztahuje na spravované identity přiřazené uživatelem.
Odstranění prostředku VIS
K odstranění prostředku VIS vyžaduje spravovaná identita přiřazená uživatelem uživatelem následující roli nebo oprávnění.
Předdefinované role pro uživatele
Správce řešení Azure Center for SAP
Minimální oprávnění pro uživatele
Microsoft.Workloads/sapVirtualInstances/delete
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Předdefinované role pro spravované identity přiřazené uživatelem
Tento scénář se nevztahuje na spravované identity přiřazené uživatelem.
Minimální oprávnění pro spravované identity přiřazené uživatelem
Tento scénář se nevztahuje na spravované identity přiřazené uživatelem.
Další kroky