Gestione delle risorse di Centro di Azure per soluzioni SAP con il controllo degli accessi in base al ruolo di Azure
Articolo 10/27/2023
3 contributori
Commenti e suggerimenti
In questo articolo
Il controllo degli accessi in base al ruolo di Azure consente la gestione granulare degli accessi per Azure. È possibile usare il controllo degli accessi in base al ruolo di Azure per gestire l'istanza virtuale per le risorse delle soluzioni SAP all'interno del Centro di Azure per le soluzioni SAP. Ad esempio, è possibile separare i compiti all'interno del team e concedere solo la quantità di accesso necessaria agli utenti per svolgere il proprio lavoro.
Gli utenti o le identità gestite assegnate dall'utente richiedono ruoli o autorizzazioni minimi per usare le diverse funzionalità nel Centro di Azure per le soluzioni SAP.
Sono disponibili ruoli predefiniti di Azure per le soluzioni SAP nel Centro di Azure oppure è possibile creare ruoli personalizzati di Azure per un maggiore controllo. Centro di Azure per soluzioni SAP offre i ruoli predefiniti seguenti per distribuire e gestire sistemi SAP in Azure:
Il ruolo di amministratore delle soluzioni AZURE Center for SAP ha le autorizzazioni necessarie per un utente per distribuire l'infrastruttura, installare SAP e gestire i sistemi SAP dal Centro di Azure per le soluzioni SAP. Il ruolo consente agli utenti di:
Distribuire l'infrastruttura per un nuovo sistema SAP
Installare il software SAP
Registrare sistemi SAP esistenti come risorsa virtual instance for SAP solutions (VIS).
Visualizzare l'integrità e lo stato dei sistemi SAP.
Eseguire operazioni come Avvio e Arresto nella risorsa VIS.
Eseguire tutte le azioni possibili con Il Centro di Azure per le soluzioni SAP, inclusa l'eliminazione della risorsa VIS.
Il ruolo del servizio soluzioni SAP di Centro di Azure per soluzioni SAP è destinato all'uso dall'identità gestita assegnata dall'utente. Il servizio azure Center for SAP solutions usa questa identità per distribuire e gestire i sistemi SAP. Questo ruolo dispone delle autorizzazioni per supportare le funzionalità di distribuzione e gestione nel Centro di Azure per le soluzioni SAP.
Il ruolo lettore delle soluzioni SAP di Centro di Azure per soluzioni SAP dispone delle autorizzazioni per visualizzare tutte le risorse VIS.
Nota
Per usare un'identità gestita assegnata dall'utente esistente per distribuire un nuovo sistema SAP o registrare un sistema esistente, l'utente deve avere anche il ruolo Operatore identità gestita. Questo ruolo è necessario per assegnare un'identità gestita assegnata dall'utente alla risorsa virtual instance for SAP solutions.
Nota
Se si sta creando una nuova identità gestita assegnata dall'utente quando si distribuisce un nuovo sistema SAP o si registra un sistema esistente, l'utente deve avere anche i ruoli Collaboratore identità gestita e Operatore identità gestita. Questi ruoli sono necessari per creare un'identità assegnata dall'utente, assegnarvi le assegnazioni di ruolo necessarie e assegnarla alla risorsa VIS.
Distribuire l'infrastruttura per il nuovo sistema SAP
Per distribuire l'infrastruttura per un nuovo sistema SAP, un'identità gestita assegnata dall'utente e dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Managed Identity Operator (Operatore per identità gestita)
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Resources/subscriptions/resourcegroups/deployments/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Compute/sshPublicKeys/write
Microsoft.Compute/sshPublicKeys/read
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/availabilitySets/read
Microsoft.Compute/availabilitySets/write
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/networkInterfaces/ipconfigurations/join/action
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/fileServices/shares/write
Installare il software SAP
Per installare il software SAP, un'identità gestita assegnata dall'utente e dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Lettore e accesso ai dati
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/disks/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/write
Registrare e gestire il sistema SAP esistente
Per registrare un sistema SAP esistente e gestirlo con il Centro di Azure per le soluzioni SAP, un'identità gestita assegnata dall'utente o dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Managed Identity Operator (Operatore per identità gestita)
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapvirtualInstances/*/read
Microsoft.Workloads/sapVirtualInstances/*/write
Microsoft.Workloads/Locations/*/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Compute/virtualMachines/read
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/tags/*
Visualizzare le risorse vis
Per visualizzare le risorse VIS, un'identità gestita assegnata dall'utente o dall'utente
Ruoli predefiniti per gli utenti
Lettore di soluzioni SAP per Centro di Azure
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Insights/Metrics/Read
Microsoft.ResourceHealth/AvailabilityStatuses/read
Microsoft.Advisor/configurations/read
Microsoft.Advisor/recommendations/read
Ruoli predefiniti per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.
Autorizzazioni predefinite per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.
Avviare il sistema SAP
Per avviare il sistema SAP da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/start/action
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Arrestare il sistema SAP
Per arrestare il sistema SAP da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/stop/action
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Avviare l'istanza di SAP Central Services
Per avviare l'istanza di SAP Central Services da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Arrestare l'istanza di SAP Central Services
Per arrestare l'istanza di SAP Central Services da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Avviare l'istanza del server applicazioni SAP
Per avviare l'istanza del server applicazioni SAP da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Arrestare l'istanza del server applicazioni SAP
Per arrestare l'istanza del server applicazioni SAP da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Avviare l'istanza del database SAP HANA
Per avviare l'istanza del database SAP HANA da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Arrestare l'istanza del database SAP HANA
Per arrestare l'istanza del database SAP HANA da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action
Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Visualizzare l'analisi dei costi
Per visualizzare l'analisi dei costi, un utente richiede il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti
Lettore Gestione costi
Autorizzazioni minime per gli utenti
Microsoft.Consumption/*/read**
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Billing/billingProperty/read
Ruoli predefiniti per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.
Autorizzazioni minime per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.
Visualizzare Informazioni dettagliate sulla qualità
Per visualizzare Quality Insights, un utente richiede il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti
Lettore di soluzioni SAP per Centro di Azure
Autorizzazioni minime per gli utenti
Nessuno, ad eccezione dell'assegnazione di ruolo minima.
Ruoli predefiniti per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.
Autorizzazioni minime per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.
Configurare Monitoraggio di Azure per soluzioni SAP
Per configurare Monitoraggio di Azure per le soluzioni SAP per le risorse SAP, un utente richiede il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti
Collaboratore
Autorizzazioni minime per gli utenti
Nessuno, ad eccezione dell'assegnazione di ruolo minima.
Ruoli predefiniti per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.
Autorizzazioni minime per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.
Eliminare la risorsa VIS
Per eliminare una risorsa VIS, un'identità gestita assegnata dall'utente o dall'utente
Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/delete
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Ruoli predefiniti per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.
Autorizzazioni minime per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.
Passaggi successivi