Azure RBAC を使用した Azure Center for SAP solutions のリソースの管理
[アーティクル] 05/27/2023
3 人の共同作成者
フィードバック
この記事の内容
Azure ロールベースのアクセス制御 (Azure RBAC) により、Azure の詳細なアクセス管理が可能になります。 Azure RBAC を使用して、Azure Center for SAP ソリューション内の SAP ソリューション リソースの Virtual Instance を管理できます。 たとえば、チーム内で職務を分離し、ユーザーがジョブを実行するために必要なアクセス権の量のみを付与できます。
ユーザー または ユーザー割り当てマネージド ID では 、Azure Center for SAP ソリューションのさまざまな機能を使用するために、最小限のロールまたはアクセス許可が必要です。
Azure Center for SAP ソリューションには Azure 組み込みロール があります。または、より詳細な制御のために Azure カスタム ロールを作成 できます。 Azure Center for SAP ソリューションには、Azure に SAP システムをデプロイおよび管理するための次の組み込みロールが用意されています。
Azure Center for SAP ソリューション管理者 ロールには、ユーザーが Azure Center for SAP ソリューションからインフラストラクチャのデプロイ、SAP のインストール、および SAP システムの管理を行うために必要なアクセス許可があります。 ロールを使用すると、ユーザーは次のことができます。
新しい SAP システムのインフラストラクチャをデプロイする
SAP ソフトウェアをインストールする
既存の SAP システムを 仮想インスタンス for SAP ソリューション (VIS) リソースとして登録します。
SAP システムの正常性と状態を表示します。
VIS リソースに 対して Start や Stop などの操作を実行します。
VIS リソースの削除を含め、Azure Center for SAP ソリューションで考えられるすべてのアクションを実行します。
Azure Center for SAP solutions サービス ロール は、ユーザー割り当てマネージド ID で使用することを目的としています。 Azure Center for SAP ソリューション サービスでは、この ID を使用して SAP システムをデプロイおよび管理します。 このロールには、Azure Center for SAP ソリューションのデプロイと管理機能をサポートするためのアクセス許可があります。Azure Center for SAP ソリューション閲覧者 ロールには、すべての VIS リソースを表示するためのアクセス許可があります。
Note
新しい SAP システムをデプロイしたり、既存のシステムを登録したりするために既存のユーザー割り当てマネージド ID を使用するには、マネージド ID オペレーター ロールも必要です。 このロールは、ユーザー割り当てマネージド ID を Virtual Instance for SAP solutions リソースに割り当てるために必要です。
Note
新しい SAP システムをデプロイするとき、または既存のシステムを登録するときに、新しいユーザー割り当てマネージド ID を作成する場合、ユーザーには マネージド ID 共同作成者 ロールと マネージド ID オペレーター ロールも必要です。 これらのロールは、ユーザー割り当て ID を作成し、それに必要なロールの割り当てを行い、VIS リソースに割り当てるために必要です。
新しい SAP システムのインフラストラクチャをデプロイする
新しい SAP システムのインフラストラクチャをデプロイするには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
Managed Identity Operator
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Resources/subscriptions/resourcegroups/deployments/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Compute/sshPublicKeys/write
Microsoft.Compute/sshPublicKeys/read
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/availabilitySets/read
Microsoft.Compute/availabilitySets/write
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/networkInterfaces/ipconfigurations/join/action
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/fileServices/shares/write
SAP ソフトウェアをインストールする
SAP ソフトウェアをインストールするには、 ユーザー と ユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
Reader and Data Access
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/disks/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/write
既存の SAP システムの登録と管理
既存の SAP システムを登録し、そのシステムを Azure Center for SAP ソリューションに管理するには、 ユーザー または ユーザー割り当てマネージド ID に次の ロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
Managed Identity Operator
ユーザー の最小アクセス許可
Microsoft.Workloads/sapvirtualInstances/*/read
Microsoft.Workloads/sapVirtualInstances/*/write
Microsoft.Workloads/Locations/*/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Compute/virtualMachines/read
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/tags/*
VIS リソースを表示する
VIS リソースを表示するには、 ユーザー または ユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP ソリューションリーダー
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Insights/Metrics/Read
Microsoft.ResourceHealth/AvailabilityStatuses/read
Microsoft.Advisor/configurations/read
Microsoft.Advisor/recommendations/read
ユーザー割り当てマネージド ID の組み込みロール
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。
ユーザー割り当てマネージド ID の組み込みアクセス許可
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。
SAP システムを起動する
VIS リソースから SAP システムを起動するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/start/action
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP システムを停止する
VIS リソースから SAP システムを停止するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/stop/action
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP Central サービス インスタンスを開始する
VIS リソースから SAP Central サービス インスタンスを開始するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP Central サービス インスタンスを停止する
VIS リソースから SAP Central サービス インスタンスを停止するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP アプリケーション サーバー インスタンスを起動する
VIS リソースから SAP アプリケーション サーバー インスタンスを開始するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP アプリケーション サーバー インスタンスを停止する
VIS リソースから SAP アプリケーション サーバー インスタンスを停止するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP HANA データベース インスタンスを開始する
VIS リソースから SAP HANA Database インスタンスを開始するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP HANA Database インスタンスを停止する
VIS リソースから SAP HANA Database インスタンスを停止するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action
ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
コスト分析を表示する
コスト分析を表示するには、 ユーザー には次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Cost Management 閲覧者
ユーザー の最小アクセス許可
Microsoft.Consumption/*/read**
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Billing/billingProperty/read
ユーザー割り当てマネージド ID の組み込みロール
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。
ユーザー割り当てマネージド ID の最小アクセス許可
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。
Quality Insights の表示
Quality Insights を表示するには、 ユーザー には次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP ソリューションリーダー
ユーザー の最小アクセス許可
なし(ロールの最小割り当てを除く)。
ユーザー割り当てマネージド ID の組み込みロール
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。
ユーザー割り当てマネージド ID の最小アクセス許可
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。
Azure Monitor for SAP ソリューションを設定する
SAP リソース用の Azure Monitor for SAP ソリューションを設定するには、 ユーザー に次のロールまたはアクセス許可が必要です。
ユーザー の最小アクセス許可
なし(ロールの最小割り当てを除く)。
ユーザー割り当てマネージド ID の組み込みロール
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。
ユーザー割り当てマネージド ID の最小アクセス許可
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。
VIS リソースを削除する
VIS リソースを削除するには、 ユーザー または ユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。
ユーザー の組み込みロール
Azure Center for SAP solutions の管理者
ユーザー の最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/delete
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
ユーザー割り当てマネージド ID の組み込みロール
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。
ユーザー割り当てマネージド ID の最小アクセス許可
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。
次のステップ