Beheer van resources voor Azure Center voor SAP-oplossingen met Azure RBAC
Artikel 10/27/2023
4 inzenders
Feedback
In dit artikel
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) maakt gedetailleerd toegangsbeheer mogelijk voor Azure. U kunt Azure RBAC gebruiken voor het beheren van virtual instance voor SAP-oplossingen in Azure Center voor SAP-oplossingen. U kunt bijvoorbeeld taken in uw team scheiden en alleen de hoeveelheid toegang verlenen die gebruikers nodig hebben om hun taken uit te voeren.
Gebruikers of door de gebruiker toegewezen beheerde identiteiten vereisen minimale rollen of machtigingen voor het gebruik van de verschillende mogelijkheden in Azure Center voor SAP-oplossingen.
Er zijn ingebouwde Azure-rollen voor Azure Center voor SAP-oplossingen of u kunt aangepaste Azure-rollen maken voor meer controle. Azure Center voor SAP-oplossingen biedt de volgende ingebouwde rollen voor het implementeren en beheren van SAP-systemen in Azure:
De beheerdersrol azure Center voor SAP-oplossingen heeft de vereiste machtigingen voor een gebruiker om infrastructuur te implementeren, SAP-systemen te installeren en SAP-systemen te beheren vanuit Azure Center voor SAP-oplossingen. Met de rol kunnen gebruikers het volgende doen:
Infrastructuur implementeren voor een nieuw SAP-systeem
SAP-software installeren
Registreer bestaande SAP-systemen als een virtual instance voor SAP-oplossingen (VIS) resource.
Bekijk de status en status van SAP-systemen.
Voer bewerkingen uit zoals Starten en Stoppen op de VIS-resource.
Doe alle mogelijke acties met Azure Center voor SAP-oplossingen, inclusief het verwijderen van de VIS-resource.
De servicerol Azure Center voor SAP-oplossingen is bedoeld voor gebruik door de door de gebruiker toegewezen beheerde identiteit. De Azure Center for SAP-oplossingenservice gebruikt deze identiteit om SAP-systemen te implementeren en te beheren. Deze rol heeft machtigingen voor de ondersteuning van de implementatie- en beheermogelijkheden in Azure Center voor SAP-oplossingen.
De rol lezer van Azure Center voor SAP-oplossingen heeft machtigingen om alle VIS-resources weer te geven.
Notitie
Als u een bestaande door de gebruiker toegewezen beheerde identiteit wilt gebruiken voor het implementeren van een nieuw SAP-systeem of het registreren van een bestaand systeem, moet de gebruiker ook de rol Managed Identity Operator hebben. Deze rol is vereist voor het toewijzen van een door de gebruiker toegewezen beheerde identiteit aan de resource virtual instance voor SAP-oplossingen.
Notitie
Als u een nieuwe door de gebruiker toegewezen beheerde identiteit maakt wanneer u een nieuw SAP-systeem implementeert of een bestaand systeem registreert, moet de gebruiker ook de rollen Inzender voor beheerde identiteit en Managed Identity Operator hebben. Deze rollen zijn vereist voor het maken van een door de gebruiker toegewezen identiteit, het maken van de benodigde roltoewijzingen en het toewijzen aan de VIS-resource.
Infrastructuur implementeren voor nieuw SAP-systeem
Voor het implementeren van een infrastructuur voor een nieuw SAP-systeem vereist een door de gebruiker en de gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Operator voor beheerde identiteit
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Resources/subscriptions/resourcegroups/deployments/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Compute/sshPublicKeys/write
Microsoft.Compute/sshPublicKeys/read
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/availabilitySets/read
Microsoft.Compute/availabilitySets/write
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/networkInterfaces/ipconfigurations/join/action
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/fileServices/shares/write
SAP-software installeren
Voor het installeren van SAP-software is voor een door de gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen vereist.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Lezer en gegevenstoegang
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/disks/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/write
Bestaand SAP-systeem registreren en beheren
Als u een bestaand SAP-systeem wilt registreren en dat systeem wilt beheren met Azure Center voor SAP-oplossingen, heeft een door een gebruiker of gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen nodig.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Operator voor beheerde identiteit
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapvirtualInstances/*/read
Microsoft.Workloads/sapVirtualInstances/*/write
Microsoft.Workloads/Locations/*/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Compute/virtualMachines/read
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/tags/*
VIS-resources weergeven
Voor het weergeven van VIS-resources is voor een door een gebruiker of gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen vereist.
Ingebouwde rollen voor gebruikers
Lezer van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Insights/Metrics/Read
Microsoft.ResourceHealth/AvailabilityStatuses/read
Microsoft.Advisor/configurations/read
Microsoft.Advisor/recommendations/read
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Dit scenario is niet van toepassing op door de gebruiker toegewezen beheerde identiteiten .
Ingebouwde machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Dit scenario is niet van toepassing op door de gebruiker toegewezen beheerde identiteiten .
SAP-systeem starten
Als u het SAP-systeem wilt starten vanuit een VIS-resource, heeft een door de gebruiker en de gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen nodig.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/start/action
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP-systeem stoppen
Als u het SAP-systeem van een VIS-resource wilt stoppen, zijn voor een door de gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen vereist.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/stop/action
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP Central-servicesexemplaren starten
Als u het SAP Central-servicesexemplaren wilt starten vanuit een VIS-resource, heeft een door de gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen nodig.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP Central-servicesexemplaren stoppen
Als u het SAP Central-servicesexemplaren van een VIS-resource wilt stoppen, zijn voor een door de gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen vereist.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP-toepassingsserverexemplaren starten
Als u het SAP-toepassingsserverexemplaren wilt starten vanuit een VIS-resource, zijn voor een door de gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen vereist.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP-toepassingsserverexemplaren stoppen
Voor het stoppen van het SAP-toepassingsserverexemplaren van een VIS-resource is voor een door de gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen vereist.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP HANA Database-exemplaar starten
Als u het SAP HANA Database-exemplaar wilt starten vanuit een VIS-resource, heeft een door een gebruiker en een gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen nodig.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
SAP HANA Database-exemplaar stoppen
Als u het SAP HANA Database-exemplaar wilt stoppen vanuit een VIS-resource, heeft een door de gebruiker en de gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen nodig.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Servicerol voor Azure Center voor SAP-oplossingen
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Kostenanalyse weergeven
Voor het weergeven van de kostenanalyse heeft een gebruiker de volgende rol of machtigingen nodig.
Ingebouwde rollen voor gebruikers
Kostenbeheerlezer
Minimale machtigingen voor gebruikers
Microsoft.Consumption/*/read**
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Billing/billingProperty/read
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Dit scenario is niet van toepassing op door de gebruiker toegewezen beheerde identiteiten .
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Dit scenario is niet van toepassing op door de gebruiker toegewezen beheerde identiteiten .
Kwaliteitsinzichten weergeven
Voor het weergeven van Kwaliteitsinzichten heeft een gebruiker de volgende rol of machtigingen nodig.
Ingebouwde rollen voor gebruikers
Lezer van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Geen, behalve de minimale roltoewijzing.
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Dit scenario is niet van toepassing op door de gebruiker toegewezen beheerde identiteiten .
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Dit scenario is niet van toepassing op door de gebruiker toegewezen beheerde identiteiten .
Azure Monitor voor SAP-oplossingen instellen
Voor het instellen van Azure Monitor voor SAP-oplossingen voor uw SAP-resources heeft een gebruiker de volgende rol of machtigingen nodig.
Ingebouwde rollen voor gebruikers
Inzender
Minimale machtigingen voor gebruikers
Geen, behalve de minimale roltoewijzing.
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Dit scenario is niet van toepassing op door de gebruiker toegewezen beheerde identiteiten .
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Dit scenario is niet van toepassing op door de gebruiker toegewezen beheerde identiteiten .
VIS-resource verwijderen
Als u een VIS-resource wilt verwijderen, hebt u voor een door de gebruiker toegewezen beheerde identiteit de volgende rol of machtigingen nodig.
Ingebouwde rollen voor gebruikers
Beheerder van Azure Center voor SAP-oplossingen
Minimale machtigingen voor gebruikers
Microsoft.Workloads/sapVirtualInstances/delete
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Ingebouwde rollen voor door de gebruiker toegewezen beheerde identiteiten
Dit scenario is niet van toepassing op door de gebruiker toegewezen beheerde identiteiten .
Minimale machtigingen voor door de gebruiker toegewezen beheerde identiteiten
Dit scenario is niet van toepassing op door de gebruiker toegewezen beheerde identiteiten .
Volgende stappen