Управление ресурсами Центра Azure для решений SAP с использованием Azure RBAC

Статья
05/27/2023

Управление доступом на основе ролей Azure (Azure RBAC) обеспечивает детализированное управление доступом для Azure. С помощью Azure RBAC можно управлять виртуальным экземпляром для ресурсов решений SAP в Центре Azure для решений SAP. Например, вы можете разделить обязанности в команде и предоставить только объем доступа, который пользователи должны выполнять свои задания.

Пользователям или управляемым удостоверениям, назначенным пользователем, требуются минимальные роли или разрешения для использования различных возможностей в Центре Azure для решений SAP.

Существуют встроенные роли Azure для решений SAP для Центра Azure или вы можете создать пользовательские роли Azure для получения дополнительных элементов управления. Центр Azure для решений SAP предоставляет следующие встроенные роли для развертывания систем SAP и управления ими в Azure:

Роль администратора решений SAP в Центре Azure имеет необходимые разрешения для развертывания инфраструктуры, установки SAP и управления системами SAP из Центра Azure для решений SAP. Роль позволяет пользователям:
- Развертывание инфраструктуры для новой системы SAP
- Установка программного обеспечения SAP
- Зарегистрируйте существующие системы SAP в качестве виртуального экземпляра для ресурсов решений SAP (VIS ).
- Просмотр работоспособности и состояния систем SAP.
- Выполняйте такие операции, как запуск и остановка ресурса VIS.
- Выполните все возможные действия с помощью Центра Azure для решений SAP, включая удаление ресурса VIS.
Роль службы решений SAP Центра Azure для решений SAP предназначена для использования управляемым удостоверением, назначаемым пользователем. Служба решений SAP для Центра Azure использует это удостоверение для развертывания систем SAP и управления ими. Эта роль имеет разрешения на поддержку возможностей развертывания и управления в Центре Azure для решений SAP.
Роль читателя решений SAP в Центре Azure имеет разрешения на просмотр всех ресурсов VIS.

Примечание.

Чтобы использовать существующее управляемое удостоверение, назначаемое пользователем, для развертывания новой системы SAP или регистрации существующей системы, пользователь также должен иметь роль оператора управляемого удостоверения. Эта роль необходима для назначения управляемого удостоверения, назначаемого пользователем, ресурсу виртуального экземпляра для решений SAP.

Примечание.

Если вы создаете управляемое удостоверение, назначаемое пользователем при развертывании новой системы SAP или регистрируете существующую систему, пользователь также должен иметь роли "Участник управляемых удостоверений" и "Оператор управляемых удостоверений". Эти роли необходимы для создания удостоверения, назначаемого пользователем, внесите в него необходимые назначения ролей и назначьте его ресурсу VIS.

Развертывание инфраструктуры для новой системы SAP

Чтобы развернуть инфраструктуру для новой системы SAP, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure
Оператор управляемого удостоверения

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/write`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/read`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/write`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Network/virtualNetworks/subnets/write`
`Microsoft.Compute/sshPublicKeys/write`
`Microsoft.Compute/sshPublicKeys/read`
`Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/disks/read`
`Microsoft.Compute/disks/write`
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Compute/availabilitySets/read`
`Microsoft.Compute/availabilitySets/write`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/write`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/backendAddressPools/write`
`Microsoft.Network/loadBalancers/backendAddressPools/join/action`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/write`
`Microsoft.Network/networkInterfaces/join/action`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/join/action`
`Microsoft.Network/privateEndpoints/read`
`Microsoft.Network/privateEndpoints/write`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action`
`Microsoft.Network/virtualNetworks/subnets/join/action`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/write`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/write`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/write`

Установка программного обеспечения SAP

Чтобы установить программное обеспечение SAP, управляемое удостоверение, назначаемое пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/write`
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure
Модуль чтения и доступ к данным

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/disks/read`
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/disks/write`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/privateEndpoints/read`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action`
`Microsoft.Storage/storageAccounts/write`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/fileServices/write`
`Microsoft.Storage/storageAccounts/fileServices/shares/write`

Регистрация существующей системы SAP и управление ими

Чтобы зарегистрировать существующую систему SAP и управлять этой системой в Центре Azure для решений SAP, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure
Оператор управляемого удостоверения

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapvirtualInstances/*/read`
`Microsoft.Workloads/sapVirtualInstances/*/write`
`Microsoft.Workloads/Locations/*/read`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Compute/virtualMachines/read`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Resources/subscriptions/resourceGroups/write`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/*`
`Microsoft.Resources/tags/*`

Просмотр ресурсов VIS

Чтобы просмотреть ресурсы VIS, управляемое удостоверение, назначаемое пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Читатель решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action`
`Microsoft.Insights/Metrics/Read`
`Microsoft.ResourceHealth/AvailabilityStatuses/read`
`Microsoft.Advisor/configurations/read`
`Microsoft.Advisor/recommendations/read`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем.

Встроенные разрешения для управляемых удостоверений, назначаемых пользователем
Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем.

Запуск системы SAP

Чтобы запустить систему SAP из ресурса VIS, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/start/action`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Остановка системы SAP

Чтобы остановить систему SAP из ресурса VIS, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/stop/action`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Запуск экземпляра служб SAP Central

Чтобы запустить экземпляр служб SAP Central из ресурса VIS, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Остановка экземпляра служб SAP Central

Чтобы остановить экземпляр служб SAP Central из ресурса VIS, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Запуск экземпляра сервера приложений SAP

Чтобы запустить экземпляр сервера приложений SAP из ресурса VIS, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Остановка экземпляра сервера приложений SAP

Чтобы остановить экземпляр сервера приложений SAP из ресурса VIS, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Запуск экземпляра базы данных SAP HANA

Чтобы запустить экземпляр базы данных SAP HANA из ресурса VIS, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Остановка экземпляра базы данных SAP HANA

Чтобы остановить экземпляр базы данных SAP HANA из ресурса VIS, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Роль службы решений SAP в Центре Azure

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Просмотр анализа затрат

Чтобы просмотреть анализ затрат, пользователю требуется следующая роль или разрешения.

Встроенные роли для пользователей
Читатель службы "Управление затратами"

Минимальные разрешения для пользователей
`Microsoft.Consumption//read*`
`Microsoft.CostManagement/*/read`
`Microsoft.Billing/billingPeriods/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Billing/billingProperty/read`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем.

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем.

Просмотр Аналитика качества

Чтобы просмотреть Аналитика качества, пользователю требуется следующая роль или разрешения.

Встроенные роли для пользователей
Читатель решений SAP Для Центра Azure

Минимальные разрешения для пользователей
Нет, кроме минимального назначения роли.

Встроенные роли для управляемых удостоверений, назначенных пользователем
Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем.

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем.

Настройка Azure Monitor для решений SAP

Чтобы настроить Azure Monitor для решений SAP для ресурсов SAP, пользователю требуется следующая роль или разрешения.

Встроенные роли для пользователей
Участник

Минимальные разрешения для пользователей
Нет, кроме минимального назначения роли.

Встроенные роли для управляемых удостоверений, назначенных пользователем
Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем.

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем.

Удаление ресурса VIS

Чтобы удалить ресурс VIS, управляемому удостоверению, назначаемого пользователем, требуется следующая роль или разрешения.

Встроенные роли для пользователей
Администратор решений SAP Для Центра Azure

Минимальные разрешения для пользователей
`Microsoft.Workloads/sapVirtualInstances/delete`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`

Встроенные роли для управляемых удостоверений, назначенных пользователем
Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем.

Минимальные разрешения для управляемых удостоверений, назначенных пользователем
Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем.

Следующие шаги

Управление ресурсами VIS в Центре Azure для решений SAP

Поделиться через