Manajemen sumber daya Azure Center for SAP solutions dengan Azure RBAC

Artikel
10/27/2023

Kontrol akses berbasis peran Azure (Azure RBAC) memungkinkan manajemen akses terperinci untuk Azure. Anda dapat menggunakan Azure RBAC untuk mengelola sumber daya solusi Virtual Instance for SAP dalam Azure Center untuk solusi SAP. Misalnya, Anda dapat memisahkan tugas dalam tim Anda dan hanya memberikan jumlah akses yang dibutuhkan pengguna untuk melakukan pekerjaan mereka.

Pengguna atau identitas terkelola yang ditetapkan pengguna memerlukan peran atau izin minimum untuk menggunakan kemampuan yang berbeda di Azure Center untuk solusi SAP.

Ada peran bawaan Azure untuk solusi Azure Center for SAP, atau Anda dapat membuat peran kustom Azure untuk kontrol lebih lanjut. Azure Center untuk solusi SAP menyediakan peran bawaan berikut untuk menyebarkan dan mengelola sistem SAP di Azure:

Peran administrator solusi Azure Center untuk SAP memiliki izin yang diperlukan bagi pengguna untuk menyebarkan infrastruktur, menginstal SAP, dan mengelola sistem SAP dari Azure Center untuk solusi SAP. Peran ini memungkinkan pengguna untuk:
- Menyebarkan infrastruktur untuk sistem SAP baru
- Menginstal perangkat lunak SAP
- Daftarkan sistem SAP yang ada sebagai sumber daya Virtual Instance for SAP solutions (VIS ).
- Lihat kesehatan dan status sistem SAP.
- Lakukan operasi seperti Mulai dan Hentikan pada sumber daya VIS.
- Lakukan semua tindakan yang mungkin dengan solusi Azure Center for SAP, termasuk penghapusan sumber daya VIS.
Peran layanan solusi Azure Center untuk SAP ditujukan untuk digunakan oleh identitas terkelola yang ditetapkan pengguna. Layanan solusi Azure Center for SAP menggunakan identitas ini untuk menyebarkan dan mengelola sistem SAP. Peran ini memiliki izin untuk mendukung kemampuan penyebaran dan manajemen di Azure Center untuk solusi SAP.
Peran pembaca solusi Azure Center untuk SAP memiliki izin untuk melihat semua sumber daya VIS.

Catatan

Untuk menggunakan identitas terkelola yang ditetapkan pengguna yang ada untuk menyebarkan sistem SAP baru atau mendaftarkan sistem yang ada, pengguna juga harus memiliki peran Operator Identitas Terkelola . Peran ini diperlukan untuk menetapkan identitas terkelola yang ditetapkan pengguna ke sumber daya solusi Virtual Instance for SAP.

Catatan

Jika Anda membuat identitas terkelola baru yang ditetapkan pengguna saat menyebarkan sistem SAP baru atau mendaftarkan sistem yang ada, pengguna juga harus memiliki peran Kontributor Identitas Terkelola dan Operator Identitas Terkelola . Peran ini diperlukan untuk membuat identitas yang ditetapkan pengguna, membuat penetapan peran yang diperlukan untuk itu dan menetapkannya ke sumber daya VIS.

Menyebarkan infrastruktur untuk sistem SAP baru

Untuk menyebarkan infrastruktur untuk sistem SAP baru, pengguna dan identitas terkelola yang ditetapkan pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP
Operator Identitas Terkelola

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/write`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/read`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/write`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Network/virtualNetworks/subnets/write`
`Microsoft.Compute/sshPublicKeys/write`
`Microsoft.Compute/sshPublicKeys/read`
`Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/disks/read`
`Microsoft.Compute/disks/write`
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Compute/availabilitySets/read`
`Microsoft.Compute/availabilitySets/write`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/write`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/backendAddressPools/write`
`Microsoft.Network/loadBalancers/backendAddressPools/join/action`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/write`
`Microsoft.Network/networkInterfaces/join/action`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/join/action`
`Microsoft.Network/privateEndpoints/read`
`Microsoft.Network/privateEndpoints/write`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action`
`Microsoft.Network/virtualNetworks/subnets/join/action`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/write`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/write`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/write`

Menginstal perangkat lunak SAP

Untuk menginstal perangkat lunak SAP, identitas terkelola yang ditetapkan pengguna dan pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/write`
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP
Pembaca dan Akses Data

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/disks/read`
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/disks/write`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/privateEndpoints/read`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action`
`Microsoft.Storage/storageAccounts/write`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/fileServices/write`
`Microsoft.Storage/storageAccounts/fileServices/shares/write`

Mendaftarkan dan mengelola sistem SAP yang ada

Untuk mendaftarkan sistem SAP yang ada dan mengelola sistem tersebut dengan azure Center untuk solusi SAP, identitas terkelola yang ditetapkan pengguna atau pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP
Operator Identitas Terkelola

Izin minimum untuk pengguna
`Microsoft.Workloads/sapvirtualInstances/*/read`
`Microsoft.Workloads/sapVirtualInstances/*/write`
`Microsoft.Workloads/Locations/*/read`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Compute/virtualMachines/read`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Resources/subscriptions/resourceGroups/write`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/*`
`Microsoft.Resources/tags/*`

Melihat sumber daya VIS

Untuk melihat sumber daya VIS, identitas terkelola yang ditetapkan pengguna atau pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Pembaca solusi Azure Center for SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action`
`Microsoft.Insights/Metrics/Read`
`Microsoft.ResourceHealth/AvailabilityStatuses/read`
`Microsoft.Advisor/configurations/read`
`Microsoft.Advisor/recommendations/read`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Skenario ini tidak berlaku untuk identitas terkelola yang ditetapkan pengguna.

Izin bawaan untuk identitas terkelola yang ditetapkan pengguna
Skenario ini tidak berlaku untuk identitas terkelola yang ditetapkan pengguna.

Mulai sistem SAP

Untuk memulai sistem SAP dari sumber daya VIS, pengguna dan identitas terkelola yang ditetapkan pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/start/action`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Hentikan sistem SAP

Untuk menghentikan sistem SAP dari sumber daya VIS, pengguna dan identitas terkelola yang ditetapkan pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/stop/action`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Memulai instans layanan SAP Central

Untuk memulai instans layanan SAP Central dari sumber daya VIS, pengguna dan identitas terkelola yang ditetapkan pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Menghentikan instans layanan SAP Central

Untuk menghentikan instans layanan SAP Central dari sumber daya VIS, identitas terkelola yang ditetapkan pengguna dan pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Memulai instans server Aplikasi SAP

Untuk memulai instans server Aplikasi SAP dari sumber daya VIS, pengguna dan identitas terkelola yang ditetapkan pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Menghentikan instans server Aplikasi SAP

Untuk menghentikan instans server Aplikasi SAP dari sumber daya VIS, identitas terkelola yang ditetapkan pengguna dan pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Memulai instans Database SAP Hana

Untuk memulai instans Database SAP Hana dari sumber daya VIS, pengguna dan identitas terkelola yang ditetapkan pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Menghentikan instans Database SAP Hana

Untuk menghentikan instans Database SAP Hana dari sumber daya VIS, pengguna dan identitas terkelola yang ditetapkan pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Peran layanan solusi Azure Center untuk SAP

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Lihat analisis biaya

Untuk melihat analisis biaya, pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Pembaca Cost Management

Izin minimum untuk pengguna
`Microsoft.Consumption//read*`
`Microsoft.CostManagement/*/read`
`Microsoft.Billing/billingPeriods/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Billing/billingProperty/read`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Skenario ini tidak berlaku untuk identitas terkelola yang ditetapkan pengguna.

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
Skenario ini tidak berlaku untuk identitas terkelola yang ditetapkan pengguna.

Lihat Wawasan Kualitas

Untuk melihat Quality Insights, pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Pembaca solusi Azure Center for SAP

Izin minimum untuk pengguna
Tidak ada, kecuali penetapan peran minimum.

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Skenario ini tidak berlaku untuk identitas terkelola yang ditetapkan pengguna.

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
Skenario ini tidak berlaku untuk identitas terkelola yang ditetapkan pengguna.

Menyiapkan Azure Monitor untuk solusi SAP

Untuk menyiapkan Azure Monitor untuk solusi SAP untuk sumber daya SAP Anda, pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Kontributor

Izin minimum untuk pengguna
Tidak ada, kecuali penetapan peran minimum.

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Skenario ini tidak berlaku untuk identitas terkelola yang ditetapkan pengguna.

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
Skenario ini tidak berlaku untuk identitas terkelola yang ditetapkan pengguna.

Menghapus sumber daya VIS

Untuk menghapus sumber daya VIS, identitas terkelola yang ditetapkan pengguna atau pengguna memerlukan peran atau izin berikut.

Peran bawaan untuk pengguna
Administrator solusi Azure Center untuk SAP

Izin minimum untuk pengguna
`Microsoft.Workloads/sapVirtualInstances/delete`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`

Peran bawaan untuk identitas terkelola yang ditetapkan pengguna
Skenario ini tidak berlaku untuk identitas terkelola yang ditetapkan pengguna.

Izin minimum untuk identitas terkelola yang ditetapkan pengguna
Skenario ini tidak berlaku untuk identitas terkelola yang ditetapkan pengguna.

Langkah berikutnya

Mengelola sumber daya VIS di Azure Center untuk solusi SAP

Bagikan melalui