Gestão de recursos do Azure Center for SAP solutions com o RBAC do Azure
Artigo 10/27/2023
3 contribuidores
Comentários
Neste artigo
O controle de acesso baseado em função do Azure (Azure RBAC) habilita o gerenciamento de acesso granular para o Azure. Você pode usar o RBAC do Azure para gerenciar recursos de soluções de Instância Virtual para SAP no Centro do Azure para soluções SAP. Por exemplo, você pode separar tarefas dentro de sua equipe e conceder apenas a quantidade de acesso que os usuários precisam para executar seus trabalhos.
Os usuários ou identidades gerenciadas atribuídas pelo usuário exigem funções ou permissões mínimas para usar os diferentes recursos no Centro do Azure para soluções SAP.
Há funções internas do Azure para soluções do Centro do Azure para SAP ou você pode criar funções personalizadas do Azure para obter mais controle. O Centro do Azure para soluções SAP fornece as seguintes funções internas para implantar e gerenciar sistemas SAP no Azure:
A função de administrador do Centro do Azure para soluções SAP tem as permissões necessárias para um utilizador implementar infraestruturas, instalar SAP e gerir sistemas SAP a partir do Centro do Azure para soluções SAP. A função permite que os usuários:
Implantar infraestrutura para um novo sistema SAP
Instalar o software SAP
Registrar sistemas SAP existentes como um recurso de instância virtual para soluções SAP (VIS).
Veja a integridade e o status dos sistemas SAP.
Execute operações como Iniciar e Parar no recurso VIS.
Execute todas as ações possíveis com as soluções do Centro do Azure para SAP, incluindo a exclusão do recurso VIS.
A função de serviço do Centro do Azure para soluções SAP destina-se a ser usada pela identidade gerenciada atribuída pelo usuário. O serviço Azure Center for SAP solutions usa essa identidade para implantar e gerenciar sistemas SAP. Essa função tem permissões para dar suporte aos recursos de implantação e gerenciamento no Centro do Azure para soluções SAP.
A função de leitor do Centro do Azure para soluções SAP tem permissões para exibir todos os recursos do VIS.
Nota
Para usar uma identidade gerenciada atribuída pelo usuário existente para implantar um novo sistema SAP ou registrar um sistema existente, o usuário também deve ter a função Operador de Identidade Gerenciada . Essa função é necessária para atribuir uma identidade gerenciada atribuída pelo usuário ao recurso Virtual Instance for SAP solutions.
Nota
Se você estiver criando uma nova identidade gerenciada atribuída pelo usuário ao implantar um novo sistema SAP ou registrar um sistema existente, o usuário também deverá ter as funções de Colaborador de Identidade Gerenciada e Operador de Identidade Gerenciada . Essas funções são necessárias para criar uma identidade atribuída pelo usuário, fazer as atribuições de função necessárias a ela e atribuí-la ao recurso VIS.
Implantar infraestrutura para o novo sistema SAP
Para implantar a infraestrutura para um novo sistema SAP, uma identidade gerenciada atribuída ao usuário e ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Operador de identidade gerenciada
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Resources/subscriptions/resourcegroups/deployments/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Compute/sshPublicKeys/write
Microsoft.Compute/sshPublicKeys/read
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/availabilitySets/read
Microsoft.Compute/availabilitySets/write
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/networkInterfaces/ipconfigurations/join/action
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/fileServices/shares/write
Instalar o software SAP
Para instalar o software SAP, uma identidade gerenciada atribuída ao usuário e ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Leitor e Acesso a Dados
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/disks/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/write
Registrar e gerenciar o sistema SAP existente
Para registrar um sistema SAP existente e gerenciar esse sistema com as soluções do Azure Center for SAP, uma identidade gerenciada atribuída ao usuário ou ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Operador de identidade gerenciada
Permissões mínimas para usuários
Microsoft.Workloads/sapvirtualInstances/*/read
Microsoft.Workloads/sapVirtualInstances/*/write
Microsoft.Workloads/Locations/*/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Compute/virtualMachines/read
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/tags/*
Ver recursos do VIS
Para visualizar os recursos do VIS, um utilizador ou uma identidade gerida atribuída pelo utilizador requer a seguinte função ou permissões.
Funções internas para usuários
Leitor de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Insights/Metrics/Read
Microsoft.ResourceHealth/AvailabilityStatuses/read
Microsoft.Advisor/configurations/read
Microsoft.Advisor/recommendations/read
Funções internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.
Permissões internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.
Iniciar o sistema SAP
Para iniciar o sistema SAP a partir de um recurso VIS, uma identidade gerenciada atribuída ao usuário e ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/start/action
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Parar o sistema SAP
Para parar o sistema SAP a partir de um recurso VIS, uma identidade gerenciada atribuída ao usuário e ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/stop/action
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Iniciar a instância de serviços do SAP Central
Para iniciar a instância de serviços do SAP Central a partir de um recurso VIS, uma identidade gerenciada atribuída ao usuário e ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Parar a instância de serviços do SAP Central
Para interromper a instância de serviços do SAP Central a partir de um recurso VIS, uma identidade gerenciada atribuída ao usuário e ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Iniciar instância do servidor de aplicativos SAP
Para iniciar a instância do servidor de aplicativos SAP a partir de um recurso VIS, uma identidade gerenciada atribuída ao usuário e ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Parar a instância do servidor de aplicativos SAP
Para interromper a instância do servidor de aplicativos SAP a partir de um recurso VIS, uma identidade gerenciada atribuída ao usuário e ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Iniciar instância do banco de dados SAP HANA
Para iniciar a instância do banco de dados SAP HANA a partir de um recurso VIS, uma identidade gerenciada atribuída ao usuário e ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Parar a instância do banco de dados SAP HANA
Para interromper a instância do banco de dados SAP HANA a partir de um recurso VIS, uma identidade gerenciada atribuída ao usuário e ao usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action
Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Azure Center for SAP solutions
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Ver análise de custos
Para exibir a análise de custo, um usuário requer a seguinte função ou permissões.
Funções internas para usuários
Leitor de Gestão de Custos
Permissões mínimas para usuários
Microsoft.Consumption/*/read**
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Billing/billingProperty/read
Funções internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.
Ver Insights de Qualidade
Para exibir o Quality Insights, um usuário precisa da seguinte função ou permissões.
Funções internas para usuários
Leitor de soluções do Azure Center for SAP
Permissões mínimas para usuários
Nenhuma, exceto a atribuição mínima de função.
Funções internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.
Configurar o Azure Monitor para soluções SAP
Para configurar o Azure Monitor para soluções SAP para seus recursos SAP, um usuário precisa da seguinte função ou permissões.
Funções internas para usuários
Contribuinte
Permissões mínimas para usuários
Nenhuma, exceto a atribuição mínima de função.
Funções internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.
Excluir recurso VIS
Para excluir um recurso VIS, um usuário ou identidade gerenciada atribuída pelo usuário requer a seguinte função ou permissões.
Funções internas para usuários
Administrador de soluções do Azure Center for SAP
Permissões mínimas para usuários
Microsoft.Workloads/sapVirtualInstances/delete
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Funções internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.
Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.
Próximos passos