Azure RBAC を使用した Azure Center for SAP solutions のリソースの管理

Azure ロールベースのアクセス制御 (Azure RBAC) により、Azure の詳細なアクセス管理が可能になります。 Azure RBAC を使用して、Azure Center for SAP ソリューション内の SAP ソリューション リソースの Virtual Instance を管理できます。 たとえば、チーム内で職務を分離し、ユーザーがジョブを実行するために必要なアクセス権の量のみを付与できます。

ユーザー または ユーザー割り当てマネージド ID では 、Azure Center for SAP ソリューションのさまざまな機能を使用するために、最小限のロールまたはアクセス許可が必要です。

Azure Center for SAP ソリューションには Azure 組み込みロール があります。または、より詳細な制御のために Azure カスタム ロールを作成 できます。 Azure Center for SAP ソリューションには、Azure に SAP システムをデプロイおよび管理するための次の組み込みロールが用意されています。

• Azure Center for SAP ソリューション管理者ロールには、ユーザーが Azure Center for SAP ソリューションからインフラストラクチャのデプロイ、SAP のインストール、および SAP システムの管理を行うために必要なアクセス許可があります。 ロールを使用すると、ユーザーは次のことができます。
  • 新しい SAP システムのインフラストラクチャをデプロイする
  • SAP ソフトウェアをインストールする
  • 既存の SAP システムを 仮想インスタンス for SAP ソリューション (VIS) リソースとして登録します。
  • SAP システムの正常性と状態を表示します。
  • VIS リソースに 対して Start や Stop などの操作を実行します。
  • VIS リソースの削除を含め、Azure Center for SAP ソリューションで考えられるすべてのアクションを実行します。
• Azure Center for SAP solutions サービス ロールは、ユーザー割り当てマネージド ID で使用することを目的としています。 Azure Center for SAP ソリューション サービスでは、この ID を使用して SAP システムをデプロイおよび管理します。 このロールには、Azure Center for SAP ソリューションのデプロイと管理機能をサポートするためのアクセス許可があります。
• Azure Center for SAP ソリューション閲覧者ロールには、すべての VIS リソースを表示するためのアクセス許可があります。

Note

新しい SAP システムをデプロイしたり、既存のシステムを登録したりするために既存のユーザー割り当てマネージド ID を使用するには、マネージド ID オペレーター ロールも必要です。 このロールは、ユーザー割り当てマネージド ID を Virtual Instance for SAP solutions リソースに割り当てるために必要です。

Note

新しい SAP システムをデプロイするとき、または既存のシステムを登録するときに、新しいユーザー割り当てマネージド ID を作成する場合、ユーザーには マネージド ID 共同作成者 ロールと マネージド ID オペレーター ロールも必要です。 これらのロールは、ユーザー割り当て ID を作成し、それに必要なロールの割り当てを行い、VIS リソースに割り当てるために必要です。

新しい SAP システムのインフラストラクチャをデプロイする

新しい SAP システムのインフラストラクチャをデプロイするには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者
Managed Identity Operator

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Resources/subscriptions/resourcegroups/deployments/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Compute/sshPublicKeys/write
Microsoft.Compute/sshPublicKeys/read
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/availabilitySets/read
Microsoft.Compute/availabilitySets/write
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/networkInterfaces/ipconfigurations/join/action
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/fileServices/shares/write

SAP ソフトウェアをインストールする

SAP ソフトウェアをインストールするには、 ユーザー と ユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール
Reader and Data Access

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/disks/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/write

既存の SAP システムの登録と管理

既存の SAP システムを登録し、そのシステムを Azure Center for SAP ソリューションに管理するには、 ユーザー または ユーザー割り当てマネージド ID に次の ロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者
Managed Identity Operator

ユーザーの最小アクセス許可
Microsoft.Workloads/sapvirtualInstances/*/read
Microsoft.Workloads/sapVirtualInstances/*/write
Microsoft.Workloads/Locations/*/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Compute/virtualMachines/read

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/tags/*

VIS リソースを表示する

VIS リソースを表示するには、 ユーザー または ユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP ソリューションリーダー

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Insights/Metrics/Read
Microsoft.ResourceHealth/AvailabilityStatuses/read
Microsoft.Advisor/configurations/read
Microsoft.Advisor/recommendations/read

ユーザー割り当てマネージド ID の組み込みロール
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。

ユーザー割り当てマネージド ID の組み込みアクセス許可
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。

SAP システムを起動する

VIS リソースから SAP システムを起動するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/start/action

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

SAP システムを停止する

VIS リソースから SAP システムを停止するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/stop/action

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

SAP Central サービス インスタンスを開始する

VIS リソースから SAP Central サービス インスタンスを開始するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

SAP Central サービス インスタンスを停止する

VIS リソースから SAP Central サービス インスタンスを停止するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

SAP アプリケーション サーバー インスタンスを起動する

VIS リソースから SAP アプリケーション サーバー インスタンスを開始するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

SAP アプリケーション サーバー インスタンスを停止する

VIS リソースから SAP アプリケーション サーバー インスタンスを停止するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

SAP HANA データベース インスタンスを開始する

VIS リソースから SAP HANA Database インスタンスを開始するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

SAP HANA Database インスタンスを停止する

VIS リソースから SAP HANA Database インスタンスを停止するには、 ユーザー 割 り当てマネージド ID とユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action

ユーザー割り当てマネージド ID の組み込みロール
Azure Center for SAP solutions サービスのロール

ユーザー割り当てマネージド ID の最小アクセス許可
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

コスト分析を表示する

コスト分析を表示するには、 ユーザー には次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Cost Management 閲覧者

ユーザーの最小アクセス許可
Microsoft.Consumption/*/read**
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Billing/billingProperty/read

ユーザー割り当てマネージド ID の組み込みロール
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。

ユーザー割り当てマネージド ID の最小アクセス許可
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。

Quality Insights の表示

Quality Insights を表示するには、 ユーザー には次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP ソリューションリーダー

ユーザーの最小アクセス許可
なし(ロールの最小割り当てを除く)。

ユーザー割り当てマネージド ID の組み込みロール
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。

ユーザー割り当てマネージド ID の最小アクセス許可
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。

Azure Monitor for SAP ソリューションを設定する

SAP リソース用の Azure Monitor for SAP ソリューションを設定するには、 ユーザー に次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Contributor

ユーザーの最小アクセス許可
なし(ロールの最小割り当てを除く)。

ユーザー割り当てマネージド ID の組み込みロール
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。

ユーザー割り当てマネージド ID の最小アクセス許可
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。

VIS リソースを削除する

VIS リソースを削除するには、 ユーザー または ユーザー割り当てマネージド ID に 次のロールまたはアクセス許可が必要です。

ユーザーの組み込みロール
Azure Center for SAP solutions の管理者

ユーザーの最小アクセス許可
Microsoft.Workloads/sapVirtualInstances/delete
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read

ユーザー割り当てマネージド ID の組み込みロール
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。

ユーザー割り当てマネージド ID の最小アクセス許可
このシナリオは、 ユーザー割り当てマネージド ID には適用されません。

次のステップ

• Azure Center for SAP ソリューションで VIS リソースを管理する