使用 Azure RBAC 管理適用於 SAP 解決方案資源的 Azure 中心
Azure 角色型存取控制 (Azure RBAC) 可針對 Azure 進行細微的存取管理。 您可以使用 Azure RBAC 來管理適用于 SAP 解決方案的 Azure 中心內的 SAP 解決方案資源虛擬實例。 例如,您可以在小組內區隔職責,並只授與使用者執行其工作所需的存取權數量。
使用者 或 使用者指派的受控識別 需要最低角色或許可權,才能使用 Azure Center for SAP 解決方案中的不同功能。
Azure Center for SAP 解決方案有 Azure 內建角色 ,或者您可以 建立 Azure 自訂角色 以取得更多控制權。 適用于 SAP 的 Azure 中心解決方案提供下列內建角色,以在 Azure 上部署和管理 SAP 系統:
- 適用于 SAP 解決方案的 Azure 中心系統管理員 角色具有使用者從適用于 SAP 解決方案的 Azure 中心部署基礎結構、安裝 SAP 及管理 SAP 系統所需的許可權。 角色可讓使用者:
- 為新的 SAP 系統部署基礎結構
- 安裝 SAP 軟體
- 將現有的 SAP 系統註冊為 SAP 解決方案 (VIS) 資源的虛擬實例。
- 檢視 SAP 系統的健康情況和狀態。
- 在 VIS 資源上執行啟動 和 停止 等 作業。
- 使用適用于 SAP 的 Azure 中心解決方案執行所有可能的動作,包括刪除 VIS 資源。
- 適用于 SAP 解決方案的 Azure 中心服務角色 是供使用者指派的受控識別使用。 Azure Center for SAP 解決方案服務會使用此身分識別來部署和管理 SAP 系統。 此角色具有在 Azure Center for SAP 解決方案中支援部署和管理功能的許可權。
- 適用于 SAP 解決方案的 Azure 中心讀者 角色具有檢視所有 VIS 資源的許可權。
注意
若要使用現有的使用者指派受控識別來部署新的 SAP 系統或註冊現有的系統,使用者也必須具有 受控識別操作員 角色。 需要此角色,才能將使用者指派的受控識別指派給 SAP 解決方案資源的虛擬實例。
注意
如果您要在部署新的 SAP 系統或註冊現有的系統時建立新的使用者指派受控識別,使用者也必須具有 受控識別參與者 和 受控識別操作員 角色。 需要這些角色才能建立使用者指派的身分識別、對它進行必要的角色指派,並將它指派給 VIS 資源。
部署新 SAP 系統的基礎結構
若要部署新 SAP 系統的基礎結構, 使用者 和 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
受控識別操作員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/write |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action |
Microsoft.Resources/subscriptions/resourcegroups/deployments/read |
Microsoft.Resources/subscriptions/resourcegroups/deployments/write |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Network/virtualNetworks/subnets/write |
Microsoft.Compute/sshPublicKeys/write |
Microsoft.Compute/sshPublicKeys/read |
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/disks/read |
Microsoft.Compute/disks/write |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Compute/availabilitySets/read |
Microsoft.Compute/availabilitySets/write |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/write |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/backendAddressPools/write |
Microsoft.Network/loadBalancers/backendAddressPools/join/action |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/write |
Microsoft.Network/networkInterfaces/join/action |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/networkInterfaces/ipconfigurations/join/action |
Microsoft.Network/privateEndpoints/read |
Microsoft.Network/privateEndpoints/write |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action |
Microsoft.Network/virtualNetworks/subnets/join/action |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/write |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/write |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
Microsoft.Storage/storageAccounts/fileServices/shares/write |
安裝 SAP 軟體
若要安裝 SAP 軟體, 使用者 和 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/write |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/blobServices/read |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
讀取器和資料存取 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/disks/read |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/disks/write |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/privateEndpoints/read |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Storage/storageAccounts/read |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/blobServices/containers/read |
Microsoft.Storage/storageAccounts/fileServices/read |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
Microsoft.Storage/storageAccounts/write |
Microsoft.Storage/storageAccounts/listAccountSas/action |
Microsoft.Storage/storageAccounts/fileServices/write |
Microsoft.Storage/storageAccounts/fileServices/shares/write |
註冊和管理現有的 SAP 系統
若要向適用于 SAP 解決方案的 Azure 中心註冊現有的 SAP 系統並管理系統, 使用者 或 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
受控識別操作員 |
使用者的最低許可權 |
Microsoft.Workloads/sapvirtualInstances/*/read |
Microsoft.Workloads/sapVirtualInstances/*/write |
Microsoft.Workloads/Locations/*/read |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Compute/virtualMachines/read |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/write |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/extensions/delete |
Microsoft.Compute/virtualMachines/instanceView/read |
Microsoft.Network/loadBalancers/read |
Microsoft.Network/loadBalancers/backendAddressPools/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read |
Microsoft.Network/networkInterfaces/read |
Microsoft.Network/networkInterfaces/ipconfigurations/read |
Microsoft.Network/virtualNetworks/read |
Microsoft.Network/virtualNetworks/subnets/read |
Microsoft.Resources/subscriptions/resourceGroups/write |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Resources/subscriptions/resourcegroups/deployments/* |
Microsoft.Resources/tags/* |
檢視 VIS 資源
若要檢視 VIS 資源, 使用者 或 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心讀者 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/Operations/read |
Microsoft.Workloads/Locations/OperationStatuses/read |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action |
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action |
Microsoft.Insights/Metrics/Read |
Microsoft.ResourceHealth/AvailabilityStatuses/read |
Microsoft.Advisor/configurations/read |
Microsoft.Advisor/recommendations/read |
使用者指派受控識別的內建角色 |
此案例不適用於 使用者指派的受控識別 。 |
使用者指派受控識別的內建許可權 |
此案例不適用於 使用者指派的受控識別 。 |
啟動 SAP 系統
若要從 VIS 資源啟動 SAP 系統, 使用者 和 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/start/action |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
停止 SAP 系統
若要從 VIS 資源停止 SAP 系統, 使用者 和 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/stop/action |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
啟動 SAP Central 服務實例
若要從 VIS 資源啟動 SAP Central 服務實例, 使用者 和 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
停止 SAP Central 服務實例
若要從 VIS 資源停止 SAP Central 服務實例, 使用者 和 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
啟動 SAP 應用程式伺服器實例
若要從 VIS 資源啟動 SAP 應用程式伺服器實例, 使用者 和 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
停止 SAP 應用程式伺服器實例
若要從 VIS 資源停止 SAP 應用程式伺服器實例, 使用者 和 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
啟動 SAP HANA 資料庫實例
若要從 VIS 資源啟動 SAP HANA 資料庫實例, 使用者 和 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
停止 SAP HANA 資料庫實例
若要從 VIS 資源停止 SAP HANA 資料庫實例, 使用者 和 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action |
使用者指派受控識別的內建角色 |
適用于 SAP 解決方案的 Azure 中心服務角色 |
使用者指派受控識別的最低 許可權 |
Microsoft.Compute/virtualMachines/read |
Microsoft.Compute/virtualMachines/extensions/read |
Microsoft.Compute/virtualMachines/extensions/write |
Microsoft.Compute/virtualMachines/instanceView/read |
檢視成本分析
若要檢視成本分析, 使用者 需要下列角色或許可權。
使用者的最低許可權 |
Microsoft.Consumption/*/read** |
Microsoft.CostManagement/*/read |
Microsoft.Billing/billingPeriods/read |
Microsoft.Resources/subscriptions/read |
Microsoft.Resources/subscriptions/resourceGroups/read |
Microsoft.Billing/billingProperty/read |
使用者指派受控識別的內建角色 |
此案例不適用於 使用者指派的受控識別 。 |
使用者指派受控識別的最低 許可權 |
此案例不適用於 使用者指派的受控識別 。 |
檢視品質深入解析
若要檢視 Quality Insights, 使用者 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心讀者 |
使用者指派受控識別的內建角色 |
此案例不適用於 使用者指派的受控識別 。 |
使用者指派受控識別的最低 許可權 |
此案例不適用於 使用者指派的受控識別 。 |
設定適用于 SAP 解決方案的 Azure 監視器
若要為您的 SAP 資源設定適用于 SAP 解決方案的 Azure 監視器, 使用者 需要下列角色或許可權。
使用者指派受控識別的內建角色 |
此案例不適用於 使用者指派的受控識別 。 |
使用者指派受控識別的最低 許可權 |
此案例不適用於 使用者指派的受控識別 。 |
刪除 VIS 資源
若要刪除 VIS 資源, 使用者 或 使用者指派的受控識別 需要下列角色或許可權。
使用者的 內建角色 |
適用于 SAP 解決方案的 Azure 中心管理員 |
使用者的最低許可權 |
Microsoft.Workloads/sapVirtualInstances/delete |
Microsoft.Workloads/sapVirtualInstances/read |
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read |
Microsoft.Workloads/sapVirtualInstances/centralInstances/read |
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read |
使用者指派受控識別的內建角色 |
此案例不適用於 使用者指派的受控識別 。 |
使用者指派受控識別的最低 許可權 |
此案例不適用於 使用者指派的受控識別 。 |
下一步