Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine der Herausforderungen für Kunden besteht darin, dass für den Schlüsseltresor und das Speicherkonto, die als Teil der verwalteten Ressourcengruppe für Azure Monitor für SAP-Lösungen erstellt werden, der öffentliche Zugriff aktiviert ist. Kunden möchten diesen öffentlichen Zugriff deaktivieren, um sicherheitskonform zu sein, aber das Blockieren des öffentlichen Zugriffs auf diese Ressourcen kann zu funktionalen Problemen innerhalb von AMS führen. Mit diesem Feature können Sie die systemseitig zugewiesene Identität der Ressource von Azure Monitor für SAP-Lösungen verwenden, und unser Dienst nutzt den Modus für vertrauenswürdigen Zugriff, um mit dem Schlüsseltresor und dem Speicherkonto zu interagieren. Mit diesem Feature können Sie dann den öffentlichen Zugriff blockieren und nur den Datenverkehr aus dem AMS-Subnetz in Ihrem Schlüsseltresor- und Speicherkonto in der amS-verwalteten Ressourcengruppe zulassen. Dieses Feature bietet mehr Sicherheit und Kontrolle über Ihre AMS-Ressourcen, da Sie den Zugriff auf den Schlüsseltresor und das Speicherkonto nur auf den AMS-Dienst und das Subnetz beschränken und unbefugten oder böswilligen Zugriff von außerhalb verhindern können.
Voraussetzungen und Schritte zum Aktivieren des vertrauenswürdigen Zugriffs mithilfe der vom System zugewiesenen verwalteten Identität
Um den vertrauenswürdigen Zugriff mithilfe des MSI-Features zu verwenden, müssen Sie die folgenden Voraussetzungen erfüllen und die folgenden Schritte ausführen:
- Migrieren zum dedizierten App-Dienstplan: Führen Sie hier die folgenden Schritte aus:
Hinweis
Die Migration zum dedizierten App-Serviceplan ist ein obligatorischer Schritt, um Funktions-App-Skalierungsprobleme zu vermeiden, nachdem der öffentliche Zugriff des Speicherkontos deaktiviert wurde.
Von Bedeutung
Das Feature für vertrauenswürdigen Zugriff funktioniert nur, wenn ROUTE ALL während der Monitorerstellung aktiviert ist.
Schritte, die beim Erstellen der neuen AMS zu befolgen sind
- Melden Sie sich beim Azure-Portal an, und erstellen Sie eine neue Azure Monitor for SAP-Lösungsressource.
- Füllen Sie die erforderlichen Felder aus, z. B. den Namen, die Beschreibung usw.
- Aktivieren Sie im Abschnitt "Netzwerk" die Option "Alles routen".
- Wählen Sie im Abschnitt "Identität" die Option "Vom System zugewiesene verwaltete Identität aktivieren" aus.
- Klicken Sie auf "Speichern", um die Monitorinstanz zu erstellen.
- Erstellen Sie alle erforderlichen Anbieter.
Zu befolgende Schritte für die bestehende AMS
- Melden Sie sich beim Azure-Portal an, und navigieren Sie zur Ressource von Azure Monitor für SAP-Lösungen.
- Migrieren zum dedizierten App-Dienstplan: Führen Sie hier die folgenden Schritte aus:
- Wechseln Sie zur Registerkarte „Identität“, und aktivieren Sie die systemseitig zugewiesene Identität. Warten Sie, bis der Vorgang abgeschlossen ist. Der Status sollte dann „erfolgreich“ lauten.
Identität bei bestehendem AMS deaktivieren
- Wechseln Sie zur Registerkarte "Identität" für AMS, und deaktivieren Sie die Identität, und speichern Sie sie.