共用方式為


使用 Azure RBAC 管理適用於 SAP 解決方案資源的 Azure 中心

Azure 角色型存取控制 (Azure RBAC) 可針對 Azure 進行細微的存取管理。 您可以使用 Azure RBAC 來管理適用于 SAP 解決方案的 Azure 中心內的 SAP 解決方案資源虛擬實例。 例如,您可以在小組內區隔職責,並只授與使用者執行其工作所需的存取權數量。

使用者 使用者指派的受控識別 需要最低角色或許可權,才能使用 Azure Center for SAP 解決方案中的不同功能。

Azure Center for SAP 解決方案有 Azure 內建角色 ,或者您可以 建立 Azure 自訂角色 以取得更多控制權。 適用于 SAP 的 Azure 中心解決方案提供下列內建角色,以在 Azure 上部署和管理 SAP 系統:

  • 適用于 SAP 解決方案的 Azure 中心系統管理員 角色具有使用者從適用于 SAP 解決方案的 Azure 中心部署基礎結構、安裝 SAP 及管理 SAP 系統所需的許可權。 角色可讓使用者:
    • 為新的 SAP 系統部署基礎結構
    • 安裝 SAP 軟體
    • 將現有的 SAP 系統註冊為 SAP 解決方案 (VIS) 資源的虛擬實例。
    • 檢視 SAP 系統的健康情況和狀態。
    • 在 VIS 資源上執行啟動 停止 作業。
    • 使用適用于 SAP 的 Azure 中心解決方案執行所有可能的動作,包括刪除 VIS 資源。
  • 適用于 SAP 解決方案的 Azure 中心服務角色 是供使用者指派的受控識別使用。 Azure Center for SAP 解決方案服務會使用此身分識別來部署和管理 SAP 系統。 此角色具有在 Azure Center for SAP 解決方案中支援部署和管理功能的許可權。
  • 適用于 SAP 解決方案的 Azure 中心讀者 角色具有檢視所有 VIS 資源的許可權。

注意

若要使用現有的使用者指派受控識別來部署新的 SAP 系統或註冊現有的系統,使用者也必須具有 受控識別操作員 角色。 需要此角色,才能將使用者指派的受控識別指派給 SAP 解決方案資源的虛擬實例。

注意

如果您要在部署新的 SAP 系統或註冊現有的系統時建立新的使用者指派受控識別,使用者也必須具有 受控識別參與者 受控識別操作員 角色。 需要這些角色才能建立使用者指派的身分識別、對它進行必要的角色指派,並將它指派給 VIS 資源。

部署新 SAP 系統的基礎結構

若要部署新 SAP 系統的基礎結構, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
受控識別操作員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Resources/subscriptions/resourcegroups/deployments/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Compute/sshPublicKeys/write
Microsoft.Compute/sshPublicKeys/read
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
使用者指派受控識別的最低 許可權
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/availabilitySets/read
Microsoft.Compute/availabilitySets/write
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/networkInterfaces/ipconfigurations/join/action
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/fileServices/shares/write

安裝 SAP 軟體

若要安裝 SAP 軟體, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
讀取器和資料存取
使用者指派受控識別的最低 許可權
Microsoft.Compute/disks/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/write

註冊和管理現有的 SAP 系統

若要向適用于 SAP 解決方案的 Azure 中心註冊現有的 SAP 系統並管理系統, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
受控識別操作員
使用者的最低許可權
Microsoft.Workloads/sapvirtualInstances/*/read
Microsoft.Workloads/sapVirtualInstances/*/write
Microsoft.Workloads/Locations/*/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Compute/virtualMachines/read
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
使用者指派受控識別的最低 許可權
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/tags/*

檢視 VIS 資源

若要檢視 VIS 資源, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心讀者
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Insights/Metrics/Read
Microsoft.ResourceHealth/AvailabilityStatuses/read
Microsoft.Advisor/configurations/read
Microsoft.Advisor/recommendations/read
使用者指派受控識別的內建角色
此案例不適用於 使用者指派的受控識別
使用者指派受控識別的內建許可權
此案例不適用於 使用者指派的受控識別

啟動 SAP 系統

若要從 VIS 資源啟動 SAP 系統, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/start/action
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
使用者指派受控識別的最低 許可權
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

停止 SAP 系統

若要從 VIS 資源停止 SAP 系統, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/stop/action
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
使用者指派受控識別的最低 許可權
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

啟動 SAP Central 服務實例

若要從 VIS 資源啟動 SAP Central 服務實例, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
使用者指派受控識別的最低 許可權
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

停止 SAP Central 服務實例

若要從 VIS 資源停止 SAP Central 服務實例, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
使用者指派受控識別的最低 許可權
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

啟動 SAP 應用程式伺服器實例

若要從 VIS 資源啟動 SAP 應用程式伺服器實例, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
使用者指派受控識別的最低 許可權
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

停止 SAP 應用程式伺服器實例

若要從 VIS 資源停止 SAP 應用程式伺服器實例, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
使用者指派受控識別的最低 許可權
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

啟動 SAP HANA 資料庫實例

若要從 VIS 資源啟動 SAP HANA 資料庫實例, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
使用者指派受控識別的最低 許可權
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

停止 SAP HANA 資料庫實例

若要從 VIS 資源停止 SAP HANA 資料庫實例, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action
使用者指派受控識別的內建角色
適用于 SAP 解決方案的 Azure 中心服務角色
使用者指派受控識別的最低 許可權
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

檢視成本分析

若要檢視成本分析, 使用者 需要下列角色或許可權。

使用者的 內建角色
成本管理讀者
使用者的最低許可權
Microsoft.Consumption/*/read**
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Billing/billingProperty/read
使用者指派受控識別的內建角色
此案例不適用於 使用者指派的受控識別
使用者指派受控識別的最低 許可權
此案例不適用於 使用者指派的受控識別

檢視品質深入解析

若要檢視 Quality Insights, 使用者 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心讀者
使用者的最低許可權
無,但角色指派下限除外。
使用者指派受控識別的內建角色
此案例不適用於 使用者指派的受控識別
使用者指派受控識別的最低 許可權
此案例不適用於 使用者指派的受控識別

設定適用于 SAP 解決方案的 Azure 監視器

若要為您的 SAP 資源設定適用于 SAP 解決方案的 Azure 監視器, 使用者 需要下列角色或許可權。

使用者的 內建角色
參與者
使用者的最低許可權
無,但角色指派下限除外。
使用者指派受控識別的內建角色
此案例不適用於 使用者指派的受控識別
使用者指派受控識別的最低 許可權
此案例不適用於 使用者指派的受控識別

刪除 VIS 資源

若要刪除 VIS 資源, 使用者 使用者指派的受控識別 需要下列角色或許可權。

使用者的 內建角色
適用于 SAP 解決方案的 Azure 中心管理員
使用者的最低許可權
Microsoft.Workloads/sapVirtualInstances/delete
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
使用者指派受控識別的內建角色
此案例不適用於 使用者指派的受控識別
使用者指派受控識別的最低 許可權
此案例不適用於 使用者指派的受控識別

下一步