Hantering av resurser för Azure Center for SAP solutions med Azure RBAC

Artikel
10/27/2023

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) möjliggör detaljerad åtkomsthantering för Azure. Du kan använda Azure RBAC för att hantera virtuella instanser för SAP-lösningar i Azure Center för SAP-lösningar. Du kan till exempel separera uppgifter inom ditt team och endast bevilja den mängd åtkomst som användarna behöver för att utföra sina jobb.

Användare eller användartilldelade hanterade identiteter kräver minimiroller eller behörigheter för att använda de olika funktionerna i Azure Center för SAP-lösningar.

Det finns inbyggda Azure-roller för Azure Center för SAP-lösningar, eller så kan du skapa anpassade Azure-roller för mer kontroll. Azure Center for SAP-lösningar tillhandahåller följande inbyggda roller för att distribuera och hantera SAP-system i Azure:

Administratörsrollen för Azure Center for SAP-lösningar har de behörigheter som krävs för att en användare ska kunna distribuera infrastruktur, installera SAP och hantera SAP-system från Azure Center för SAP-lösningar. Med rollen kan användarna:
- Distribuera infrastruktur för ett nytt SAP-system
- Installera SAP-programvara
- Registrera befintliga SAP-system som en VIS-resurs (Virtual Instance for SAP Solutions).
- Visa hälsotillståndet och statusen för SAP-system.
- Utför åtgärder som Start och Stopp på VIS-resursen.
- Utför alla möjliga åtgärder med Azure Center för SAP-lösningar, inklusive borttagning av VIS-resursen.
Tjänstrollen Azure Center for SAP-lösningar är avsedd att användas av den användartilldelade hanterade identiteten. Azure Center for SAP-lösningstjänsten använder den här identiteten för att distribuera och hantera SAP-system. Den här rollen har behörighet att stödja distributions- och hanteringsfunktionerna i Azure Center för SAP-lösningar.
Läsarrollen för Azure Center for SAP-lösningar har behörighet att visa alla VIS-resurser.

Kommentar

Om du vill använda en befintlig användartilldelad hanterad identitet för att distribuera ett nytt SAP-system eller registrera ett befintligt system måste användaren också ha rollen Hanterad identitetsoperatör . Den här rollen krävs för att tilldela en användartilldelad hanterad identitet till resursen Virtuell instans för SAP-lösningar.

Kommentar

Om du skapar en ny användartilldelad hanterad identitet när du distribuerar ett nytt SAP-system eller registrerar ett befintligt system måste användaren också ha rollerna Hanterad identitetsdeltagare och Hanterad identitetsoperator . Dessa roller krävs för att skapa en användartilldelad identitet, göra nödvändiga rolltilldelningar till den och tilldela den till VIS-resursen.

Distribuera infrastruktur för nytt SAP-system

För att distribuera infrastrukturen för ett nytt SAP-system kräver en användare och användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar
Hanterad identitetsoperator

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/write`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/read`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/write`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Network/virtualNetworks/subnets/write`
`Microsoft.Compute/sshPublicKeys/write`
`Microsoft.Compute/sshPublicKeys/read`
`Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/disks/read`
`Microsoft.Compute/disks/write`
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Compute/availabilitySets/read`
`Microsoft.Compute/availabilitySets/write`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/write`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/backendAddressPools/write`
`Microsoft.Network/loadBalancers/backendAddressPools/join/action`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/write`
`Microsoft.Network/networkInterfaces/join/action`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/join/action`
`Microsoft.Network/privateEndpoints/read`
`Microsoft.Network/privateEndpoints/write`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action`
`Microsoft.Network/virtualNetworks/subnets/join/action`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/write`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/write`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/write`

Installera SAP-programvara

För att installera SAP-programvara kräver en användare och användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/write`
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar
Läsare och dataåtkomst

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/disks/read`
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/disks/write`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/privateEndpoints/read`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action`
`Microsoft.Storage/storageAccounts/write`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/fileServices/write`
`Microsoft.Storage/storageAccounts/fileServices/shares/write`

Registrera och hantera befintligt SAP-system

För att registrera ett befintligt SAP-system och hantera systemet med Azure Center för SAP-lösningar kräver en användare eller användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar
Hanterad identitetsoperator

Lägsta behörigheter för användare
`Microsoft.Workloads/sapvirtualInstances/*/read`
`Microsoft.Workloads/sapVirtualInstances/*/write`
`Microsoft.Workloads/Locations/*/read`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Compute/virtualMachines/read`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Resources/subscriptions/resourceGroups/write`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/*`
`Microsoft.Resources/tags/*`

Visa VIS-resurser

För att visa VIS-resurser kräver en användare eller användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Azure Center for SAP-lösningsläsare

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action`
`Microsoft.Insights/Metrics/Read`
`Microsoft.ResourceHealth/AvailabilityStatuses/read`
`Microsoft.Advisor/configurations/read`
`Microsoft.Advisor/recommendations/read`

Inbyggda roller för användartilldelade hanterade identiteter
Det här scenariot gäller inte för användartilldelade hanterade identiteter.

Inbyggda behörigheter för användartilldelade hanterade identiteter
Det här scenariot gäller inte för användartilldelade hanterade identiteter.

Starta SAP-system

För att starta SAP-systemet från en VIS-resurs kräver en användare och användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/start/action`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Stoppa SAP-system

För att stoppa SAP-systemet från en VIS-resurs kräver en användare och användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/stop/action`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Starta SAP Central-tjänstinstansen

För att starta SAP Central-tjänstinstansen från en VIS-resurs kräver en användare och användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Stoppa SAP Central-tjänstinstans

För att stoppa SAP Central-tjänstinstansen från en VIS-resurs kräver en användare och användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Starta SAP-programserverinstansen

För att starta SAP-programserverinstansen från en VIS-resurs kräver en användare och användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Stoppa SAP-programserverinstans

För att stoppa SAP-programserverinstansen från en VIS-resurs kräver en användare och användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Starta SAP HANA Database-instansen

För att starta SAP HANA Database-instansen från en VIS-resurs kräver en användare och användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Stoppa SAP HANA Database-instans

För att stoppa SAP HANA Database-instansen från en VIS-resurs kräver en användare och användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action`

Inbyggda roller för användartilldelade hanterade identiteter
Tjänstroll för Azure Center for SAP-lösningar

Minsta behörighet för användartilldelade hanterade identiteter
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Visa kostnadsanalys

För att visa kostnadsanalysen kräver en användare följande roll eller behörigheter.

Inbyggda roller för användare
Cost Management-läsare

Lägsta behörigheter för användare
`Microsoft.Consumption//read*`
`Microsoft.CostManagement/*/read`
`Microsoft.Billing/billingPeriods/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Billing/billingProperty/read`

Inbyggda roller för användartilldelade hanterade identiteter
Det här scenariot gäller inte för användartilldelade hanterade identiteter.

Minsta behörighet för användartilldelade hanterade identiteter
Det här scenariot gäller inte för användartilldelade hanterade identiteter.

Visa kvalitetsinsikter

Om du vill visa Kvalitetsinsikter kräver en användare följande roll eller behörigheter.

Inbyggda roller för användare
Azure Center for SAP-lösningsläsare

Lägsta behörigheter för användare
Ingen, förutom den minsta rolltilldelningen.

Inbyggda roller för användartilldelade hanterade identiteter
Det här scenariot gäller inte för användartilldelade hanterade identiteter.

Minsta behörighet för användartilldelade hanterade identiteter
Det här scenariot gäller inte för användartilldelade hanterade identiteter.

Konfigurera Azure Monitor för SAP-lösningar

Om du vill konfigurera Azure Monitor för SAP-lösningar för dina SAP-resurser kräver en användare följande roll eller behörigheter.

Inbyggda roller för användare
Deltagare

Lägsta behörigheter för användare
Ingen, förutom den minsta rolltilldelningen.

Inbyggda roller för användartilldelade hanterade identiteter
Det här scenariot gäller inte för användartilldelade hanterade identiteter.

Minsta behörighet för användartilldelade hanterade identiteter
Det här scenariot gäller inte för användartilldelade hanterade identiteter.

Ta bort VIS-resurs

För att ta bort en VIS-resurs kräver en användare eller användartilldelad hanterad identitet följande roll eller behörigheter.

Inbyggda roller för användare
Administratör för Azure Center for SAP-lösningar

Lägsta behörigheter för användare
`Microsoft.Workloads/sapVirtualInstances/delete`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`

Inbyggda roller för användartilldelade hanterade identiteter
Det här scenariot gäller inte för användartilldelade hanterade identiteter.

Minsta behörighet för användartilldelade hanterade identiteter
Det här scenariot gäller inte för användartilldelade hanterade identiteter.

Nästa steg

Hantera VIS-resurser i Azure Center för SAP-lösningar

Dela via