你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure RBAC 管理 Azure SAP 解决方案中心资源

项目
10/27/2023

Azure 基于角色的访问控制（Azure RBAC）为 Azure 启用精细的访问管理。可以使用 Azure RBAC 在 Azure Center for SAP 解决方案中管理 SAP 解决方案资源的虚拟实例。例如，可以在团队中分离职责，并仅授予用户执行其作业所需的访问权限量。

用户或用户分配的托管标识需要最低角色或权限才能使用 Azure Center for SAP 解决方案中的不同功能。

Azure Center for SAP 解决方案有 Azure 内置角色，也可以为更多控制创建 Azure 自定义角色。 Azure Center for SAP 解决方案提供以下内置角色，用于在 Azure 上部署和管理 SAP 系统：

Azure Center for SAP 解决方案管理员角色具有用户从 Azure Center for SAP 解决方案部署基础结构、安装 SAP 和管理 SAP 系统所需的权限。该角色允许用户：
- 为新的 SAP 系统部署基础结构
- 安装 SAP 软件
- 将现有 SAP 系统注册为 SAP 解决方案（VIS）资源的虚拟实例。
- 查看 SAP 系统的运行状况和状态。
- 对 VIS 资源执行启动和停止等操作。
- 使用适用于 SAP 解决方案的 Azure 中心执行所有可能的操作，包括删除 VIS 资源。
Azure Center for SAP 解决方案服务角色旨在供用户分配的托管标识使用。 Azure Center for SAP 解决方案服务使用此标识来部署和管理 SAP 系统。此角色有权支持 Azure Center for SAP 解决方案中的部署和管理功能。
适用于 SAP 解决方案的 Azure 中心读取者 角色有权查看所有 VIS 资源。

注意

若要使用现有用户分配的托管标识来部署新的 SAP 系统或注册现有系统，用户还必须具有 托管标识操作员 角色。需要此角色才能将用户分配的托管标识分配给 SAP 解决方案资源的虚拟实例。

注意

如果在部署新的 SAP 系统或注册现有系统时创建新的用户分配的托管标识，则用户还必须具有 托管标识参与者 和 托管标识操作员 角色。创建用户分配的标识需要这些角色，对其进行必要的角色分配，并将其分配给 VIS 资源。

为新的 SAP 系统部署基础结构

若要为新的 SAP 系统部署基础结构，用户和 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员
托管的标识操作员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/write`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/read`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/write`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Network/virtualNetworks/subnets/write`
`Microsoft.Compute/sshPublicKeys/write`
`Microsoft.Compute/sshPublicKeys/read`
`Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色

用户分配的托管标识的最低权限
`Microsoft.Compute/disks/read`
`Microsoft.Compute/disks/write`
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Compute/availabilitySets/read`
`Microsoft.Compute/availabilitySets/write`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/write`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/backendAddressPools/write`
`Microsoft.Network/loadBalancers/backendAddressPools/join/action`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/write`
`Microsoft.Network/networkInterfaces/join/action`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/join/action`
`Microsoft.Network/privateEndpoints/read`
`Microsoft.Network/privateEndpoints/write`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action`
`Microsoft.Network/virtualNetworks/subnets/join/action`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/write`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/write`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/write`

安装 SAP 软件

若要安装 SAP 软件，用户和 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/write`
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色
读取器和数据访问

用户分配的托管标识的最低权限
`Microsoft.Compute/disks/read`
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/disks/write`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/privateEndpoints/read`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action`
`Microsoft.Storage/storageAccounts/write`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/fileServices/write`
`Microsoft.Storage/storageAccounts/fileServices/shares/write`

注册和管理现有 SAP 系统

若要向适用于 SAP 解决方案的 Azure 中心注册现有 SAP 系统并管理该系统，用户或 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员
托管的标识操作员

用户的最低权限
`Microsoft.Workloads/sapvirtualInstances/*/read`
`Microsoft.Workloads/sapVirtualInstances/*/write`
`Microsoft.Workloads/Locations/*/read`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Compute/virtualMachines/read`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色

用户分配的托管标识的最低权限
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Resources/subscriptions/resourceGroups/write`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/*`
`Microsoft.Resources/tags/*`

查看 VIS 资源

若要查看 VIS 资源，用户或 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心读取者

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action`
`Microsoft.Insights/Metrics/Read`
`Microsoft.ResourceHealth/AvailabilityStatuses/read`
`Microsoft.Advisor/configurations/read`
`Microsoft.Advisor/recommendations/read`

用户分配的托管标识的内置角色
此方案不适用于用户分配的托管标识。

用户分配的托管标识的内置权限
此方案不适用于用户分配的托管标识。

启动 SAP 系统

若要从 VIS 资源启动 SAP 系统，用户和 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/start/action`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色

用户分配的托管标识的最低权限
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

停止 SAP 系统

若要从 VIS 资源中停止 SAP 系统，用户和 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/stop/action`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色

用户分配的托管标识的最低权限
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

启动 SAP Central 服务实例

若要从 VIS 资源启动 SAP Central 服务实例，用户和 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色

用户分配的托管标识的最低权限
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

停止 SAP Central 服务实例

若要从 VIS 资源停止 SAP Central 服务实例，用户和 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色

用户分配的托管标识的最低权限
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

启动 SAP 应用程序服务器实例

若要从 VIS 资源启动 SAP 应用程序服务器实例，用户和 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色

用户分配的托管标识的最低权限
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

停止 SAP 应用程序服务器实例

若要从 VIS 资源停止 SAP 应用程序服务器实例，用户和 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色

用户分配的托管标识的最低权限
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

启动 SAP HANA 数据库实例

若要从 VIS 资源启动 SAP HANA 数据库实例，用户和 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色

用户分配的托管标识的最低权限
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

停止 SAP HANA 数据库实例

若要从 VIS 资源停止 SAP HANA 数据库实例，用户和 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action`

用户分配的托管标识的内置角色
适用于 SAP 解决方案服务的 Azure 中心服务角色

用户分配的托管标识的最低权限
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

查看成本分析

若要查看成本分析，用户需要以下角色或权限。

用户的内置角色
成本管理读者

用户的最低权限
`Microsoft.Consumption//read*`
`Microsoft.CostManagement/*/read`
`Microsoft.Billing/billingPeriods/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Billing/billingProperty/read`

用户分配的托管标识的内置角色
此方案不适用于用户分配的托管标识。

用户分配的托管标识的最低权限
此方案不适用于用户分配的托管标识。

查看质量见解

若要查看 Quality Insights，用户需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心读取者

用户的最低权限
除最小角色分配外，无。

用户分配的托管标识的内置角色
此方案不适用于用户分配的托管标识。

用户分配的托管标识的最低权限
此方案不适用于用户分配的托管标识。

设置适用于 SAP 解决方案的 Azure Monitor

若要为 SAP 资源设置适用于 SAP 解决方案的 Azure Monitor，用户需要以下角色或权限。

用户的内置角色
参与者

用户的最低权限
除最小角色分配外，无。

用户分配的托管标识的内置角色
此方案不适用于用户分配的托管标识。

用户分配的托管标识的最低权限
此方案不适用于用户分配的托管标识。

删除 VIS 资源

若要删除 VIS 资源，用户或 用户分配的托管标识 需要以下角色或权限。

用户的内置角色
适用于 SAP 解决方案的 Azure 中心管理员

用户的最低权限
`Microsoft.Workloads/sapVirtualInstances/delete`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`

用户分配的托管标识的内置角色
此方案不适用于用户分配的托管标识。

用户分配的托管标识的最低权限
此方案不适用于用户分配的托管标识。

后续步骤

在 Azure Center for SAP 解决方案中管理 VIS 资源

通过