Gestion des ressources du Centre Azure pour les solutions SAP avec Azure RBAC
Article 10/27/2023
4 contributeurs
Commentaires
Dans cet article
Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) permet de gérer les accès granulaires pour Azure. Vous pouvez utiliser Azure RBAC pour gérer virtual Instance pour les ressources de solutions SAP au sein d’Azure Center pour les solutions SAP. Par exemple, vous pouvez séparer les tâches au sein de votre équipe et accorder uniquement la quantité d’accès dont les utilisateurs ont besoin pour effectuer leurs travaux.
Les utilisateurs ou les identités managées affectées par l’utilisateur nécessitent des rôles ou des autorisations minimaux pour utiliser les différentes fonctionnalités dans Azure Center pour les solutions SAP.
Il existe des rôles intégrés Azure pour azure Center pour les solutions SAP, ou vous pouvez créer des rôles personnalisés Azure pour plus de contrôle. Les solutions Azure Center pour SAP fournissent les rôles intégrés suivants pour déployer et gérer des systèmes SAP sur Azure :
Le rôle d’administrateur de solutions Azure Center pour SAP dispose des autorisations requises pour qu’un utilisateur déploie l’infrastructure, installe SAP et gère les systèmes SAP à partir d’Azure Center pour les solutions SAP. Le rôle permet aux utilisateurs de :
Déployer une infrastructure pour un nouveau système SAP
Installer le logiciel SAP
Inscrivez des systèmes SAP existants en tant que ressource VIS (Virtual Instance for SAP Solutions).
Affichez l’intégrité et l’état des systèmes SAP.
Effectuez des opérations telles que Démarrer et Arrêter sur la ressource VIS.
Effectuez toutes les actions possibles avec les solutions Azure Center pour SAP, notamment la suppression de la ressource VIS.
Le rôle de service azure Center pour solutions SAP est destiné à être utilisé par l’identité managée affectée par l’utilisateur. Le service de solutions Azure Center pour SAP utilise cette identité pour déployer et gérer des systèmes SAP. Ce rôle dispose des autorisations nécessaires pour prendre en charge les fonctionnalités de déploiement et de gestion dans Azure Center pour les solutions SAP.
Le rôle lecteur du lecteur de solutions Azure Center pour SAP dispose des autorisations nécessaires pour afficher toutes les ressources VIS.
Remarque
Pour utiliser une identité managée affectée par l’utilisateur existante pour déployer un nouveau système SAP ou inscrire un système existant, l’utilisateur doit également avoir le rôle Opérateur d’identité managée. Ce rôle est requis pour affecter une identité managée affectée par l’utilisateur à la ressource de solutions SAP virtual Instance pour SAP.
Remarque
Si vous créez une identité managée affectée par l’utilisateur lorsque vous déployez un nouveau système SAP ou inscrivez un système existant, l’utilisateur doit également avoir les rôles Contributeur d’identité managée et Opérateur d’identité managée. Ces rôles sont nécessaires pour créer une identité affectée par l’utilisateur, lui attribuer les attributions de rôles nécessaires et l’affecter à la ressource VIS.
Déployer l’infrastructure pour un nouveau système SAP
Pour déployer l’infrastructure pour un nouveau système SAP, une identité managée affectée par l’utilisateur et l’utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Opérateur d’identités gérées
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Resources/subscriptions/resourcegroups/deployments/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Compute/sshPublicKeys/write
Microsoft.Compute/sshPublicKeys/read
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/availabilitySets/read
Microsoft.Compute/availabilitySets/write
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/networkInterfaces/ipconfigurations/join/action
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/fileServices/shares/write
Installer le logiciel SAP
Pour installer un logiciel SAP, une identité managée affectée par l’utilisateur et l’utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Lecteur et accès aux données
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/disks/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/write
Inscrire et gérer le système SAP existant
Pour inscrire un système SAP existant et gérer ce système avec des solutions Azure Center pour SAP, une identité managée affectée par l’utilisateur ou l’utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Opérateur d’identités gérées
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapvirtualInstances/*/read
Microsoft.Workloads/sapVirtualInstances/*/write
Microsoft.Workloads/Locations/*/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Compute/virtualMachines/read
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/tags/*
Afficher les ressources VIS
Pour afficher les ressources VIS, une identité managée affectée par l’utilisateur ou l’utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Lecteur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Insights/Metrics/Read
Microsoft.ResourceHealth/AvailabilityStatuses/read
Microsoft.Advisor/configurations/read
Microsoft.Advisor/recommendations/read
Rôles intégrés pour les identités managées affectées par l’utilisateur
Ce scénario n’est pas applicable aux identités managées affectées par l’utilisateur.
Autorisations intégrées pour les identités managées affectées par l’utilisateur
Ce scénario n’est pas applicable aux identités managées affectées par l’utilisateur.
Démarrer le système SAP
Pour démarrer le système SAP à partir d’une ressource VIS, une identité managée affectée par l’utilisateur et un utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/start/action
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Arrêter le système SAP
Pour arrêter le système SAP d’une ressource VIS, une identité managée affectée par l’utilisateur et un utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/stop/action
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Démarrer l’instance des services centraux SAP
Pour démarrer l’instance de services SAP Central à partir d’une ressource VIS, une identité managée affectée par l’utilisateur et un utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Arrêter l’instance des services centraux SAP
Pour arrêter l’instance de services SAP Central à partir d’une ressource VIS, une identité managée affectée par l’utilisateur et un utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Démarrer l’instance du serveur d’applications SAP
Pour démarrer l’instance du serveur d’applications SAP à partir d’une ressource VIS, une identité managée affectée par l’utilisateur et un utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Arrêter l’instance du serveur d’applications SAP
Pour arrêter l’instance du serveur d’applications SAP à partir d’une ressource VIS, une identité managée affectée par l’utilisateur et un utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Démarrer une instance de base de données SAP HANA
Pour démarrer l’instance de base de données SAP HANA à partir d’une ressource VIS, une identité managée affectée par l’utilisateur et un utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Arrêter l’instance de base de données SAP HANA
Pour arrêter l’instance de base de données SAP HANA à partir d’une ressource VIS, une identité managée affectée par l’utilisateur et l’utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action
Rôles intégrés pour les identités managées affectées par l’utilisateur
Rôle de service azure Center pour solutions SAP
Autorisations minimales pour les identités managées affectées par l’utilisateur
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Afficher l’analyse des coûts
Pour afficher l’analyse des coûts, un utilisateur a besoin du rôle ou des autorisations suivants.
Rôles intégrés pour les utilisateurs
Lecteur Cost Management
Autorisations minimales pour les utilisateurs
Microsoft.Consumption/*/read**
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Billing/billingProperty/read
Rôles intégrés pour les identités managées affectées par l’utilisateur
Ce scénario n’est pas applicable aux identités managées affectées par l’utilisateur.
Autorisations minimales pour les identités managées affectées par l’utilisateur
Ce scénario n’est pas applicable aux identités managées affectées par l’utilisateur.
Afficher les Recommandations qualité
Pour afficher la qualité Recommandations, un utilisateur a besoin du rôle ou des autorisations suivants.
Rôles intégrés pour les utilisateurs
Lecteur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Aucun, sauf l’attribution minimale de rôle.
Rôles intégrés pour les identités managées affectées par l’utilisateur
Ce scénario n’est pas applicable aux identités managées affectées par l’utilisateur.
Autorisations minimales pour les identités managées affectées par l’utilisateur
Ce scénario n’est pas applicable aux identités managées affectées par l’utilisateur.
Configurer Azure Monitor pour les solutions SAP
Pour configurer Azure Monitor pour les solutions SAP pour vos ressources SAP, un utilisateur a besoin du rôle ou des autorisations suivants.
Rôles intégrés pour les utilisateurs
Contributeur
Autorisations minimales pour les utilisateurs
Aucun, sauf l’attribution minimale de rôle.
Rôles intégrés pour les identités managées affectées par l’utilisateur
Ce scénario n’est pas applicable aux identités managées affectées par l’utilisateur.
Autorisations minimales pour les identités managées affectées par l’utilisateur
Ce scénario n’est pas applicable aux identités managées affectées par l’utilisateur.
Supprimer la ressource VIS
Pour supprimer une ressource VIS, un utilisateur ou une identité managée affectée par l’utilisateur nécessite le rôle ou les autorisations suivants.
Rôles intégrés pour les utilisateurs
Administrateur de solutions Azure Center pour SAP
Autorisations minimales pour les utilisateurs
Microsoft.Workloads/sapVirtualInstances/delete
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Rôles intégrés pour les identités managées affectées par l’utilisateur
Ce scénario n’est pas applicable aux identités managées affectées par l’utilisateur.
Autorisations minimales pour les identités managées affectées par l’utilisateur
Ce scénario n’est pas applicable aux identités managées affectées par l’utilisateur.
Étapes suivantes