Управление доступом на основе ролей (RBAC) в Azure позволяет разделять обязанности в команде и назначать только те разрешения, которые необходимы пользователям для развертывания и управления системами SAP в Центре решений SAP в Azure. Пользователям или управляемым удостоверениям, назначаемым пользователем, требуются определенные роли или минимальные разрешения для каждой функции.
В этой статье перечислены встроенные роли и минимальные разрешения, необходимые пользователям и назначенным пользователями управляемым удостоверениям для каждой возможности Azure Центра решений для SAP.
Встроенные роли
Используйте встроенные роли Azure для Azure Центра решений SAP или создавайте пользовательские роли Azure для более тщательного контроля. центр Azure для решений SAP предоставляет следующие встроенные роли для развертывания систем SAP и управления ими на Azure:
- Роль администратора Azure Center for SAP Solutions имеет необходимые разрешения для развертывания инфраструктуры, установки SAP и управления системами SAP из центра решений Azure для SAP. Роль позволяет пользователям:
- Развертывание инфраструктуры для новой системы SAP.
- Установите программное обеспечение SAP.
- Зарегистрируйте существующие системы SAP в качестве виртуального экземпляра для ресурсов решений SAP (VIS ).
- Просмотр работоспособности и состояния систем SAP.
- Выполняйте такие операции, как запуск и остановка ресурса VIS.
- Выполните все действия, доступные в центре Azure для решений SAP, включая удаление ресурса VIS.
- Роль службы решений SAP Azure Center для решений SAP предназначена для использования управляемым удостоверением, назначаемым пользователем. Центр Azure для решений SAP использует это удостоверение для развертывания систем SAP и управления ими. Эта роль имеет разрешения на поддержку возможностей развертывания и управления в центре Azure для решений SAP.
- Роль Azure Center for SAP solutions reader имеет разрешения на просмотр всех ресурсов VIS.
Примечание.
Чтобы использовать существующее управляемое удостоверение, назначаемое пользователем, для развертывания новой системы SAP или регистрации существующей системы необходимо также иметь роль оператора управляемых удостоверений . Эта роль необходима для назначения пользователем назначаемого управляемого удостоверения ресурсу виртуального экземпляра для решений SAP.
Если вы создаете управляемое удостоверение, назначаемое пользователем, при развертывании новой системы SAP или регистрируете существующую систему, вам также необходимо иметь роли Managed Identity Contributor и Managed Identity Operator. Эти роли необходимы для создания пользовательского удостоверения, выполнения необходимых назначений ролей и его назначения ресурсу VIS.
Развертывание инфраструктуры для новой системы SAP
Чтобы развернуть инфраструктуру для новой SAP системы, пользователю и управляемому удостоверению, назначенному пользователем, требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
|
Оператор управляемой идентичности |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/write |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action |
Microsoft.Resources/subscriptions/resourcegroups/deployments/read |
Microsoft.Resources/subscriptions/resourcegroups/deployments/write |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Network/virtualNetworks/subnets/write |
Microsoft.Compute/sshPublicKeys/write |
Microsoft.Compute/sshPublicKeys/read |
Microsoft.Compute/sshPublicKeys/*/generateKeyPair/action |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/disks/read |
Microsoft.Compute/disks/write |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Compute/availabilitySets/read |
Microsoft.Compute/availabilitySets/write |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/write |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/backendAddressPools/write |
Microsoft.Network/loadBalancers/backendAddressPools/join/action |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/write |
Microsoft.Network/networkInterfaces/join/action |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/networkInterfaces/ipconfigurations/join/action |
Microsoft.Network/privateEndpoints/read |
Microsoft.Network/privateEndpoints/write |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action |
Microsoft.Network/virtualNetworks/subnets/join/action |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/write |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/write |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
Microsoft.Storage/storageAccounts/fileServices/shares/write |
Установка программного обеспечения SAP
Чтобы установить программное обеспечение SAP, пользователю и управляемому удостоверению, назначаемому пользователем, требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/write |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
|
Модуль чтения и доступ к данным |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/disks/read |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/disks/write |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/privateEndpoints/read |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
Microsoft.Storage/storageAccounts/write |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/fileServices/write |
Microsoft.Storage/storageAccounts/fileServices/shares/write |
Регистрация существующей системы SAP и управление ими
Чтобы зарегистрировать существующую систему SAP и управлять этой системой с помощью Azure Center for SAP solutions, требуется следующая роль или разрешения для пользователя или назначенной пользователем управляемой идентичности.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
|
Оператор управляемой идентичности |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapvirtualInstances/*/read |
Microsoft.Workloads/sapVirtualInstances/*/write |
Microsoft.Workloads/Locations/*/read |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Compute/virtualMachines/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Resources/subscriptions/resourceGroups/write |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Resources/subscriptions/resourcegroups/deployments/* |
Microsoft.Resources/tags/* |
Просмотр ресурсов VIS
Чтобы просматривать ресурсы VIS, пользователь или управляемое удостоверение, назначенное пользователем, требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Azure Center for SAP Solutions Reader |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action |
Microsoft.Insights/Metrics/Read |
Microsoft.ResourceHealth/AvailabilityStatuses/read |
Microsoft.Advisor/configurations/read |
Microsoft.Advisor/recommendations/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Этот сценарий не применяется к управляемым удостоверениям, назначаемым пользователем. |
| Встроенные разрешения для управляемых удостоверений, назначаемых пользователем |
| Этот сценарий не применяется к управляемым удостоверениям, назначаемым пользователем. |
Запуск системы SAP
Чтобы запустить систему SAP из ресурса VIS, пользователю и управляемому удостоверению, назначенному пользователем, требуется следующая роль или разрешение.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/start/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Остановка системы SAP
Чтобы остановить систему SAP из ресурса VIS, пользователь и управляемое удостоверение, назначаемое пользователем, требуют следующую роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/stop/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Запуск экземпляра служб SAP Central
Чтобы запустить экземпляр служб SAP Central от ресурса VIS, пользователю и назначаемому пользователем управляемому удостоверению требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Остановка экземпляра служб SAP Central
Чтобы остановить экземпляр служб SAP Central из ресурса VIS, пользователь и управляемое удостоверение, назначаемое пользователем, должны иметь следующую роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Запуск экземпляра сервера приложений SAP
Чтобы запустить экземпляр сервера приложений SAP из ресурса VIS, пользователю и управляемому удостоверению, назначаемому пользователем требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Остановка экземпляра сервера приложений SAP
Чтобы остановить экземпляр сервера приложений SAP из ресурса VIS, пользователь и управляемое удостоверение назначаемое пользователем требуют следующей роли и разрешений.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Запуск экземпляра базы данных SAP HANA
Чтобы запустить экземпляр базы данных SAP HANA из ресурса VIS, user и пользовательская назначенная управляемая идентичность требуют следующей роли или разрешений.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Остановка экземпляра базы данных SAP HANA
Чтобы остановить экземпляр базы данных SAP HANA из ресурса VIS, пользователь и управляемая идентичность, назначенная пользователем требуют наличия следующей роли или разрешений.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Роль службы Azure Center для решений SAP |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Просмотр анализа затрат
Чтобы просмотреть анализ затрат, пользователю требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Руководство по управлению затратами |
| Минимальные разрешения для пользователей |
Microsoft.Consumption/*/read |
Microsoft.CostManagement/*/read |
Microsoft.Billing/billingPeriods/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Billing/billingProperty/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Этот сценарий не применяется к управляемым удостоверениям, назначаемым пользователем. |
| Минимальные разрешения для пользовательских управляемых удостоверений |
| Этот сценарий не применяется к управляемым удостоверениям, назначаемым пользователем. |
Просмотр показателей качества
Чтобы просмотреть Аналитику качества, пользователю требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Azure Center for SAP Solutions Reader |
| Минимальные разрешения для пользователей |
| Нет, кроме минимального назначения роли. |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Этот сценарий не применяется к управляемым удостоверениям, назначаемым пользователем. |
| Минимальные разрешения для пользовательских управляемых удостоверений |
| Этот сценарий не применяется к управляемым удостоверениям, назначаемым пользователем. |
Настройка Azure Monitor для решений SAP
Чтобы настроить Azure Monitor для решений SAP применительно к ресурсам SAP, пользователь пользователь должен обладать следующей ролью или разрешениями.
| Встроенные роли для пользователей |
|
Участник |
| Минимальные разрешения для пользователей |
| Нет, кроме минимального назначения роли. |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Этот сценарий не применяется к управляемым удостоверениям, назначаемым пользователем. |
| Минимальные разрешения для пользовательских управляемых удостоверений |
| Этот сценарий не применяется к управляемым удостоверениям, назначаемым пользователем. |
Удаление ресурса VIS
Чтобы удалить ресурс VIS, пользователю или управляемой идентификации, назначенной пользователем, требуется следующая роль или разрешение.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/delete |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Этот сценарий не применяется к управляемым удостоверениям, назначаемым пользователем. |
| Минимальные разрешения для пользовательских управляемых удостоверений |
| Этот сценарий не применяется к управляемым удостоверениям, назначаемым пользователем. |
Связанный контент
- Управление ресурсами VIS в Azure Center для решений SAP