Управление доступом на основе ролей Azure (Azure RBAC) обеспечивает детализированное управление доступом для Azure. С помощью Azure RBAC можно управлять виртуальным экземпляром для ресурсов решений SAP в Центре Azure для решений SAP. Например, вы можете разделить обязанности в команде и предоставить только тот уровень доступа, который необходим пользователям для выполнения их работы.
Пользователям или назначенным пользователем управляемым удостоверениям требуются минимальные роли или разрешения для использования различных возможностей в Центре Azure для решений SAP.
Существуют встроенные роли Azure для решений SAP для Центра Azure или вы можете создать пользовательские роли Azure для получения дополнительных элементов управления. Центр Azure для решений SAP предоставляет следующие встроенные роли для развертывания систем SAP и управления ими в Azure:
- Роль администратора решений SAP в Центре Azure имеет необходимые разрешения для развертывания инфраструктуры, установки SAP и управления системами SAP из Центра Azure для решений SAP. Роль позволяет пользователям:
- Развертывание инфраструктуры для новой системы SAP
- Установка программного обеспечения SAP
- Зарегистрируйте существующие системы SAP в качестве виртуального экземпляра для ресурсов решений SAP (VIS ).
- Просмотр работоспособности и состояния систем SAP.
- Выполняйте такие операции, как запуск и остановка ресурса VIS.
- Выполните все возможные действия с помощью Центра Azure для решений SAP, включая удаление ресурса VIS.
-
Роль службы Центра Azure для решений SAP предназначена для использования управляемым удостоверением, назначаемым пользователем. Служба решений SAP для Центра Azure использует это удостоверение для развертывания систем SAP и управления ими. Эта роль имеет разрешения на поддержку возможностей развертывания и управления в Центре Azure для решений SAP.
- Роль читателя решений SAP в Центре Azure имеет разрешения на просмотр всех ресурсов VIS.
Примечание.
Чтобы использовать существующее управляемое удостоверение, назначаемое пользователем, для развертывания новой системы SAP или регистрации существующей системы, пользователь также должен иметь роль оператора управляемого удостоверения . Эта роль необходима для назначения пользователем назначаемого управляемого удостоверения ресурсу виртуального экземпляра для решений SAP.
Примечание.
Если вы создаете управляемое удостоверение, назначаемое пользователем при развертывании новой системы SAP или регистрируете существующую систему, пользователь также должен иметь роли Соавтор управляемых удостоверений и Оператор управляемых удостоверений. Эти роли необходимы для создания идентичности, назначаемой пользователем, затем выполняйте необходимые назначения ролей и присваивайте его ресурсу VIS.
Развертывание инфраструктуры для новой системы SAP
Чтобы развернуть инфраструктуру для новой системы SAP, пользователю и управляемому удостоверению, назначаемому пользователем, требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
|
Оператор управляемой идентичности |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/write |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action |
Microsoft.Resources/subscriptions/resourcegroups/deployments/read |
Microsoft.Resources/subscriptions/resourcegroups/deployments/write |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Network/virtualNetworks/subnets/write |
Microsoft.Compute/sshPublicKeys/write |
Microsoft.Compute/sshPublicKeys/read |
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/disks/read |
Microsoft.Compute/disks/write |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Compute/availabilitySets/read |
Microsoft.Compute/availabilitySets/write |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/write |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/backendAddressPools/write |
Microsoft.Network/loadBalancers/backendAddressPools/join/action |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/write |
Microsoft.Network/networkInterfaces/join/action |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/networkInterfaces/ipconfigurations/join/action |
Microsoft.Network/privateEndpoints/read |
Microsoft.Network/privateEndpoints/write |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action |
Microsoft.Network/virtualNetworks/subnets/join/action |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/write |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/write |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
Microsoft.Storage/storageAccounts/fileServices/shares/write |
Установка программного обеспечения SAP
Чтобы установить программное обеспечение SAP, пользователь и управляемое удостоверение, назначаемое пользователем, требуют следующую роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/write |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
|
Модуль чтения и доступ к данным |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/disks/read |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/disks/write |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/privateEndpoints/read |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
Microsoft.Storage/storageAccounts/write |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/fileServices/write |
Microsoft.Storage/storageAccounts/fileServices/shares/write |
Регистрация существующей системы SAP и управление ими
Чтобы зарегистрировать существующую систему SAP и управлять этой системой в Центре Azure для решений SAP, пользователь или управляемая идентичность, назначаемая пользователем, требуют следующей роли или разрешений.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
|
Оператор управляемой идентичности |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapvirtualInstances/*/read |
Microsoft.Workloads/sapVirtualInstances/*/write |
Microsoft.Workloads/Locations/*/read |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Compute/virtualMachines/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Resources/subscriptions/resourceGroups/write |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Resources/subscriptions/resourcegroups/deployments/* |
Microsoft.Resources/tags/* |
Просмотр ресурсов VIS
Чтобы просматривать ресурсы VIS, пользователь или управляемое удостоверение, назначенное пользователем, требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Читатель Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action |
Microsoft.Insights/Metrics/Read |
Microsoft.ResourceHealth/AvailabilityStatuses/read |
Microsoft.Advisor/configurations/read |
Microsoft.Advisor/recommendations/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем. |
| Встроенные разрешения для управляемых удостоверений, назначаемых пользователем |
| Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем. |
Запуск системы SAP
Чтобы запустить систему SAP из ресурса VIS, пользователь и пользовательское управляемое удостоверение требуют следующую роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/start/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Остановка системы SAP
Чтобы остановить систему SAP из ресурса VIS, пользователю и управляемому удостоверению, назначенному пользователем, требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/stop/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Запуск экземпляра служб SAP Central
Чтобы запустить экземпляр служб SAP Central из ресурса VIS, пользователю и управляемому удостоверению, назначенному пользователем, требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Остановка экземпляра служб SAP Central
Чтобы остановить экземпляр служб SAP Central из ресурса VIS, для управляемого удостоверения, назначаемого пользователем, требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Запуск экземпляра сервера приложений SAP
Чтобы запустить экземпляр сервера приложений SAP из ресурса VIS, пользователю и назначаемому пользователем управляемому удостоверению требуется следующая роль или следующее разрешение.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Остановка экземпляра сервера приложений SAP
Чтобы остановить экземпляр сервера приложений SAP из ресурса VIS, пользователю и управляемому удостоверению, назначаемому пользователем, требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Запуск экземпляра базы данных SAP HANA
Чтобы запустить экземпляр базы данных SAP HANA из ресурса VIS, необходимо, чтобы пользователь и управляемое удостоверение, назначаемое пользователем, имели следующую роль или разрешения.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Остановка экземпляра базы данных SAP HANA
Чтобы остановить экземпляр базы данных SAP HANA из ресурса VIS, пользователь и назначаемое пользователем управляемое удостоверение требуют следующей роли или разрешений.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
|
Роль службы решений SAP в Центре Azure |
| Минимальные разрешения для пользовательских управляемых удостоверений |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Просмотр анализа затрат
Чтобы просмотреть анализ затрат, пользователю требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Руководство по управлению затратами |
| Минимальные разрешения для пользователей |
Microsoft.Consumption/*/read** |
Microsoft.CostManagement/*/read |
Microsoft.Billing/billingPeriods/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Billing/billingProperty/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем. |
| Минимальные разрешения для пользовательских управляемых удостоверений |
| Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем. |
Просмотр показателей качества
Чтобы просмотреть Аналитику качества, пользователю требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Читатель Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
| Нет, кроме минимального назначения роли. |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем. |
| Минимальные разрешения для пользовательских управляемых удостоверений |
| Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем. |
Настройка Azure Monitor для решений SAP
Чтобы настроить Azure Monitor для решений SAP для ресурсов SAP, пользователю требуется следующая роль или разрешения.
| Встроенные роли для пользователей |
|
Участник |
| Минимальные разрешения для пользователей |
| Нет, кроме минимального назначения роли. |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем. |
| Минимальные разрешения для пользовательских управляемых удостоверений |
| Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем. |
Удаление ресурса VIS
Чтобы удалить ресурс VIS, пользователю или управляемой идентификации, назначенной пользователем, требуется следующая роль или разрешение.
| Встроенные роли для пользователей |
|
Администратор Центра решений Azure для SAP |
| Минимальные разрешения для пользователей |
Microsoft.Workloads/sapVirtualInstances/delete |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
| Встроенные роли для назначаемых пользователем управляемых удостоверений |
| Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем. |
| Минимальные разрешения для пользовательских управляемых удостоверений |
| Этот сценарий не применим к управляемым удостоверениям, назначаемым пользователем. |
Дальнейшие действия