Il controllo degli accessi in base al ruolo di Azure consente la gestione granulare degli accessi per Azure. È possibile utilizzare Azure RBAC per gestire le risorse dell'istanza virtuale dedicate alle soluzioni SAP all'interno dell'Azure Center per le soluzioni SAP. Ad esempio, è possibile separare i compiti all'interno del team e concedere solo la quantità di accesso necessaria agli utenti per svolgere il proprio lavoro.
Gli utenti o le identità gestite assegnate dall'utente richiedono ruoli o autorizzazioni minimi per usare le diverse funzionalità nel Centro di Azure per le soluzioni SAP.
Sono disponibili ruoli predefiniti di Azure per le soluzioni SAP nel Centro di Azure oppure è possibile creare ruoli personalizzati di Azure per un maggiore controllo. Centro di Azure per soluzioni SAP offre i ruoli predefiniti seguenti per distribuire e gestire sistemi SAP in Azure:
- Il ruolo di amministratore delle soluzioni AZURE Center for SAP ha le autorizzazioni necessarie per un utente per distribuire l'infrastruttura, installare SAP e gestire i sistemi SAP dal Centro di Azure per le soluzioni SAP. Il ruolo consente agli utenti di:
- Distribuire l'infrastruttura per un nuovo sistema SAP
- Installare il software SAP
- Registrare sistemi SAP esistenti come risorsa virtual instance for SAP solutions (VIS).
- Visualizzare l'integrità e lo stato dei sistemi SAP.
- Eseguire operazioni come Avvio e Arresto nella risorsa VIS.
- Eseguire tutte le azioni possibili con Il Centro di Azure per le soluzioni SAP, inclusa l'eliminazione della risorsa VIS.
- Il ruolo del servizio Centro di Azure per soluzioni SAP è destinato all'uso dall'identità gestita assegnata dall'utente. Il servizio azure Center for SAP solutions usa questa identità per distribuire e gestire i sistemi SAP. Questo ruolo dispone delle autorizzazioni per supportare le funzionalità di distribuzione e gestione nel Centro di Azure per le soluzioni SAP.
- Il ruolo lettore del Centro Azure per soluzioni SAP dispone delle autorizzazioni per visualizzare tutte le risorse VIS.
Annotazioni
Per usare un'identità gestita assegnata dall'utente esistente per distribuire un nuovo sistema SAP o registrare un sistema esistente, l'utente deve avere anche il ruolo Operatore identità gestita . Questo ruolo è necessario per assegnare un'identità gestita assegnata dall'utente alla risorsa virtual instance for SAP solutions.
Annotazioni
Se si sta creando una nuova identità gestita assegnata dall'utente quando si distribuisce un nuovo sistema SAP o si registra un sistema esistente, l'utente deve avere anche i ruoli Collaboratore identità gestita e Operatore identità gestita . Questi ruoli sono necessari per creare un'identità assegnata dall'utente, assegnarvi le assegnazioni di ruolo necessarie e assegnarla alla risorsa VIS.
Distribuire l'infrastruttura per il nuovo sistema SAP
Per distribuire l'infrastruttura per un nuovo sistema SAP, un utente e un'identità gestita assegnata dall'utente richiedono il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Managed Identity Operator (Operatore per identità gestita) |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/write |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action |
Microsoft.Resources/subscriptions/resourcegroups/deployments/read |
Microsoft.Resources/subscriptions/resourcegroups/deployments/write |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Network/virtualNetworks/subnets/write |
Microsoft.Compute/sshPublicKeys/write |
Microsoft.Compute/sshPublicKeys/read |
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/disks/read |
Microsoft.Compute/disks/write |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Compute/availabilitySets/read |
Microsoft.Compute/availabilitySets/write |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/write |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/backendAddressPools/write |
Microsoft.Network/loadBalancers/backendAddressPools/join/action |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/write |
Microsoft.Network/networkInterfaces/join/action |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/networkInterfaces/ipconfigurations/join/action |
Microsoft.Network/privateEndpoints/read |
Microsoft.Network/privateEndpoints/write |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action |
Microsoft.Network/virtualNetworks/subnets/join/action |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/write |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/write |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
Microsoft.Storage/storageAccounts/fileServices/shares/write |
Installare il software SAP
Per installare il software SAP, un utente e un'identità gestita assegnata dall'utente richiedono il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/write |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Lettore e accesso ai dati |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/disks/read |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/disks/write |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/privateEndpoints/read |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
Microsoft.Storage/storageAccounts/write |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/fileServices/write |
Microsoft.Storage/storageAccounts/fileServices/shares/write |
Registrare e gestire il sistema SAP esistente
Per registrare un sistema SAP esistente e gestirlo con il Centro di Azure per le soluzioni SAP, un'identità gestita assegnata dall'utente o dall'utente richiede il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Managed Identity Operator (Operatore per identità gestita) |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapvirtualInstances/*/read |
Microsoft.Workloads/sapVirtualInstances/*/write |
Microsoft.Workloads/Locations/*/read |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Compute/virtualMachines/read |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Resources/subscriptions/resourceGroups/write |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Resources/subscriptions/resourcegroups/deployments/* |
Microsoft.Resources/tags/* |
Visualizzare le risorse VIS
Per visualizzare le risorse VIS, un utente o un'identità gestita assegnata dall'utente richiede il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Lettore di soluzioni SAP per Centro di Azure |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action |
Microsoft.Insights/Metrics/Read |
Microsoft.ResourceHealth/AvailabilityStatuses/read |
Microsoft.Advisor/configurations/read |
Microsoft.Advisor/recommendations/read |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Questo scenario non è applicabile alle identità gestite assegnate dall'utente. |
Autorizzazioni predefinite per le identità gestite assegnate dall'utente |
Questo scenario non è applicabile alle identità gestite assegnate dall'utente. |
Avviare il sistema SAP
Per avviare il sistema SAP da una risorsa VIS, un utente e l'identità gestita assegnata dall'utente richiedono i seguenti ruoli o autorizzazioni.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/start/action |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Arrestare il sistema SAP
Per arrestare il sistema SAP da una risorsa VIS, utente e identità gestita assegnata all'utente richiede il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/stop/action |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Avviare l'istanza di SAP Central Services
Per avviare l'istanza di SAP Central Services da una risorsa VIS, un utente e un'identità gestita assegnata all'utente richiedono il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Interrompere l'istanza di SAP Central Services
Per arrestare l'istanza di SAP Central Services da una risorsa VIS, un utente e un'identità gestita assegnata dall'utente richiedono il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Avvia l'istanza del server applicazioni SAP
Per avviare l'istanza del server delle applicazioni SAP da una risorsa VIS, un utente e la sua identità gestita assegnata richiedono i seguenti ruoli o autorizzazioni.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Fermare l'istanza del server applicazioni SAP
Per arrestare l'istanza del server applicazioni SAP da una risorsa VIS, un utente e un'identità gestita assegnata dall'utente richiedono il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Avvia l'istanza del database SAP HANA
Per avviare l'istanza del database SAP HANA da una risorsa VIS, un utente e un'identità gestita assegnata dall'utente richiedono il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Arrestare l'istanza del database SAP HANA
Per arrestare l'istanza del database SAP HANA da una risorsa VIS, un utente e un'identità gestita assegnata dall'utente richiedono il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Ruolo del servizio Centro di Azure per soluzioni SAP |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Visualizzare l'analisi dei costi
Per visualizzare l'analisi dei costi, un utente richiede il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Lettore Gestione dei costi |
Autorizzazioni minime per gli utenti |
Microsoft.Consumption/*/read** |
Microsoft.CostManagement/*/read |
Microsoft.Billing/billingPeriods/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Billing/billingProperty/read |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Questo scenario non è applicabile alle identità gestite assegnate dall'utente. |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Questo scenario non è applicabile alle identità gestite assegnate dall'utente. |
Visualizzare Informazioni dettagliate sulla qualità
Per visualizzare Quality Insights, un utente richiede il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Lettore di soluzioni SAP per Centro di Azure |
Autorizzazioni minime per gli utenti |
Nessuno, ad eccezione dell'assegnazione di ruolo minima. |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Questo scenario non è applicabile alle identità gestite assegnate dall'utente. |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Questo scenario non è applicabile alle identità gestite assegnate dall'utente. |
Configurare Monitoraggio di Azure per soluzioni SAP
Per configurare Azure Monitor per le soluzioni SAP, per le risorse SAP, un utente richiede il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Collaboratore |
Autorizzazioni minime per gli utenti |
Nessuno, ad eccezione dell'assegnazione di ruolo minima. |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Questo scenario non è applicabile alle identità gestite assegnate dall'utente. |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Questo scenario non è applicabile alle identità gestite assegnate dall'utente. |
Eliminare la risorsa VIS
Per eliminare una risorsa VIS, un utente o un'identità gestita assegnata dall'utente richiede il ruolo o le autorizzazioni seguenti.
Ruoli predefiniti per gli utenti |
Azure Center per l'amministratore delle soluzioni SAP |
Autorizzazioni minime per gli utenti |
Microsoft.Workloads/sapVirtualInstances/delete |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
Ruoli predefiniti per le identità gestite assegnate dall'utente |
Questo scenario non è applicabile alle identità gestite assegnate dall'utente. |
Autorizzazioni minime per le identità gestite assegnate dall'utente |
Questo scenario non è applicabile alle identità gestite assegnate dall'utente. |
Passaggi successivi