Gestione delle risorse di Centro di Azure per soluzioni SAP con il controllo degli accessi in base al ruolo di Azure

Il controllo degli accessi in base al ruolo di Azure consente la gestione granulare degli accessi per Azure. È possibile usare il controllo degli accessi in base al ruolo di Azure per gestire l'istanza virtuale per le risorse delle soluzioni SAP all'interno del Centro di Azure per le soluzioni SAP. Ad esempio, è possibile separare i compiti all'interno del team e concedere solo la quantità di accesso necessaria agli utenti per svolgere il proprio lavoro.

Gli utenti o le identità gestite assegnate dall'utente richiedono ruoli o autorizzazioni minimi per usare le diverse funzionalità nel Centro di Azure per le soluzioni SAP.

Sono disponibili ruoli predefiniti di Azure per le soluzioni SAP nel Centro di Azure oppure è possibile creare ruoli personalizzati di Azure per un maggiore controllo. Centro di Azure per soluzioni SAP offre i ruoli predefiniti seguenti per distribuire e gestire sistemi SAP in Azure:

• Il ruolo di amministratore delle soluzioni AZURE Center for SAP ha le autorizzazioni necessarie per un utente per distribuire l'infrastruttura, installare SAP e gestire i sistemi SAP dal Centro di Azure per le soluzioni SAP. Il ruolo consente agli utenti di:
  • Distribuire l'infrastruttura per un nuovo sistema SAP
  • Installare il software SAP
  • Registrare sistemi SAP esistenti come risorsa virtual instance for SAP solutions (VIS).
  • Visualizzare l'integrità e lo stato dei sistemi SAP.
  • Eseguire operazioni come Avvio e Arresto nella risorsa VIS.
  • Eseguire tutte le azioni possibili con Il Centro di Azure per le soluzioni SAP, inclusa l'eliminazione della risorsa VIS.
• Il ruolo del servizio soluzioni SAP di Centro di Azure per soluzioni SAP è destinato all'uso dall'identità gestita assegnata dall'utente. Il servizio azure Center for SAP solutions usa questa identità per distribuire e gestire i sistemi SAP. Questo ruolo dispone delle autorizzazioni per supportare le funzionalità di distribuzione e gestione nel Centro di Azure per le soluzioni SAP.
• Il ruolo lettore delle soluzioni SAP di Centro di Azure per soluzioni SAP dispone delle autorizzazioni per visualizzare tutte le risorse VIS.

Nota

Per usare un'identità gestita assegnata dall'utente esistente per distribuire un nuovo sistema SAP o registrare un sistema esistente, l'utente deve avere anche il ruolo Operatore identità gestita. Questo ruolo è necessario per assegnare un'identità gestita assegnata dall'utente alla risorsa virtual instance for SAP solutions.

Nota

Se si sta creando una nuova identità gestita assegnata dall'utente quando si distribuisce un nuovo sistema SAP o si registra un sistema esistente, l'utente deve avere anche i ruoli Collaboratore identità gestita e Operatore identità gestita. Questi ruoli sono necessari per creare un'identità assegnata dall'utente, assegnarvi le assegnazioni di ruolo necessarie e assegnarla alla risorsa VIS.

Distribuire l'infrastruttura per il nuovo sistema SAP

Per distribuire l'infrastruttura per un nuovo sistema SAP, un'identità gestita assegnata dall'utente e dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Managed Identity Operator (Operatore per identità gestita)

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Resources/subscriptions/resourcegroups/deployments/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Compute/sshPublicKeys/write
Microsoft.Compute/sshPublicKeys/read
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/availabilitySets/read
Microsoft.Compute/availabilitySets/write
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/networkInterfaces/ipconfigurations/join/action
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/fileServices/shares/write

Installare il software SAP

Per installare il software SAP, un'identità gestita assegnata dall'utente e dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP
Lettore e accesso ai dati

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/disks/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/write

Registrare e gestire il sistema SAP esistente

Per registrare un sistema SAP esistente e gestirlo con il Centro di Azure per le soluzioni SAP, un'identità gestita assegnata dall'utente o dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP
Managed Identity Operator (Operatore per identità gestita)

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapvirtualInstances/*/read
Microsoft.Workloads/sapVirtualInstances/*/write
Microsoft.Workloads/Locations/*/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Compute/virtualMachines/read

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/tags/*

Visualizzare le risorse vis

Per visualizzare le risorse VIS, un'identità gestita assegnata dall'utente o dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Lettore di soluzioni SAP per Centro di Azure

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Insights/Metrics/Read
Microsoft.ResourceHealth/AvailabilityStatuses/read
Microsoft.Advisor/configurations/read
Microsoft.Advisor/recommendations/read

Ruoli predefiniti per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.

Autorizzazioni predefinite per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.

Avviare il sistema SAP

Per avviare il sistema SAP da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/start/action

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Arrestare il sistema SAP

Per arrestare il sistema SAP da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/stop/action

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Avviare l'istanza di SAP Central Services

Per avviare l'istanza di SAP Central Services da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Arrestare l'istanza di SAP Central Services

Per arrestare l'istanza di SAP Central Services da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Avviare l'istanza del server applicazioni SAP

Per avviare l'istanza del server applicazioni SAP da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Arrestare l'istanza del server applicazioni SAP

Per arrestare l'istanza del server applicazioni SAP da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Avviare l'istanza del database SAP HANA

Per avviare l'istanza del database SAP HANA da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Arrestare l'istanza del database SAP HANA

Per arrestare l'istanza del database SAP HANA da una risorsa VIS, un'identità gestita assegnata dall'utente e dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action

Ruoli predefiniti per le identità gestite assegnate dall'utente
Ruolo del servizio Centro di Azure per soluzioni SAP

Autorizzazioni minime per le identità gestite assegnate dall'utente
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Visualizzare l'analisi dei costi

Per visualizzare l'analisi dei costi, un utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Lettore Gestione costi

Autorizzazioni minime per gli utenti
Microsoft.Consumption/*/read**
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Billing/billingProperty/read

Ruoli predefiniti per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.

Autorizzazioni minime per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.

Visualizzare Informazioni dettagliate sulla qualità

Per visualizzare Quality Insights, un utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Lettore di soluzioni SAP per Centro di Azure

Autorizzazioni minime per gli utenti
Nessuno, ad eccezione dell'assegnazione di ruolo minima.

Ruoli predefiniti per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.

Autorizzazioni minime per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.

Configurare Monitoraggio di Azure per soluzioni SAP

Per configurare Monitoraggio di Azure per le soluzioni SAP per le risorse SAP, un utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Collaboratore

Autorizzazioni minime per gli utenti
Nessuno, ad eccezione dell'assegnazione di ruolo minima.

Ruoli predefiniti per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.

Autorizzazioni minime per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.

Eliminare la risorsa VIS

Per eliminare una risorsa VIS, un'identità gestita assegnata dall'utente o dall'utente richiede il ruolo o le autorizzazioni seguenti.

Ruoli predefiniti per gli utenti
Azure Center per l'amministratore delle soluzioni SAP

Autorizzazioni minime per gli utenti
Microsoft.Workloads/sapVirtualInstances/delete
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read

Ruoli predefiniti per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.

Autorizzazioni minime per le identità gestite assegnate dall'utente
Questo scenario non è applicabile alle identità gestite assegnate dall'utente.

Passaggi successivi

• Gestire le risorse VIS nel Centro di Azure per soluzioni SAP