Gerenciamento de recursos do Centro do Azure para soluções SAP com o RBAC do Azure

Artigo
10/27/2023

O controle de acesso baseado em função do Azure (RBAC do Azure) permite o gerenciamento de acesso granular para o Azure. Você pode usar o RBAC do Azure para gerenciar recursos de soluções SAP da Instância Virtual no Centro do Azure para soluções SAP. Por exemplo, você pode separar tarefas dentro de sua equipe e conceder apenas a quantidade de acesso que os usuários precisam para executar seus trabalhos.

Os usuários ou identidades gerenciadas atribuídas pelo usuário exigem funções ou permissões mínimas para usar os diferentes recursos no Centro do Azure para soluções SAP.

Há funções internas do Azure para soluções SAP do Azure Center ou você pode criar funções personalizadas do Azure para obter mais controle. As soluções do Azure Center for SAP fornecem as seguintes funções internas para implantar e gerenciar sistemas SAP no Azure:

A função de administrador do Azure Center for SAP solutions tem as permissões necessárias para um usuário implantar infraestrutura, instalar o SAP e gerenciar sistemas SAP a partir do Azure Center for SAP solutions. A função permite que os usuários:
- Implantar infraestrutura para um novo sistema SAP
- Instalar o software SAP
- Registre os sistemas SAP existentes como um recurso Virtual Instance for SAP solutions (VIS).
- Visualize a integridade e o status dos sistemas SAP.
- Execute operações como Iniciar e Parar no recurso VIS.
- Faça todas as ações possíveis com o Azure Center for SAP solutions, incluindo a exclusão do recurso VIS.
A função de serviço do Centro do Azure para soluções SAP destina-se ao uso pela identidade gerenciada atribuída pelo usuário. O serviço de soluções do Centro do Azure para SAP usa essa identidade para implantar e gerenciar sistemas SAP. Essa função tem permissões para dar suporte aos recursos de implantação e gerenciamento no Centro do Azure para soluções SAP.
A função de leitor do Centro do Azure para soluções SAP tem permissões para exibir todos os recursos do VIS.

Observação

Para usar uma identidade gerenciada atribuída pelo usuário existente para implantar um novo sistema SAP ou registrar um sistema existente, o usuário também deve ter a função Operador de Identidade Gerenciada . Essa função é necessária para atribuir uma identidade gerenciada atribuída pelo usuário ao recurso de soluções Virtual Instance for SAP.

Observação

Se você estiver criando uma nova identidade gerenciada atribuída pelo usuário ao implantar um novo sistema SAP ou registrar um sistema existente, o usuário também deverá ter as funções Colaborador de Identidade Gerenciada e Operador de Identidade Gerenciada. Essas funções são necessárias para criar uma identidade atribuída pelo usuário, fazer as atribuições de função necessárias a ela e atribuí-la ao recurso VIS.

Implantar infraestrutura para o novo sistema SAP

Para implantar a infraestrutura de um novo sistema SAP, uma identidade gerenciada atribuída pelo usuário e pelo usuário requer a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP
Operador de Identidade Gerenciada

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/write`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/read`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/write`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Network/virtualNetworks/subnets/write`
`Microsoft.Compute/sshPublicKeys/write`
`Microsoft.Compute/sshPublicKeys/read`
`Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/disks/read`
`Microsoft.Compute/disks/write`
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Compute/availabilitySets/read`
`Microsoft.Compute/availabilitySets/write`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/write`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/backendAddressPools/write`
`Microsoft.Network/loadBalancers/backendAddressPools/join/action`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/write`
`Microsoft.Network/networkInterfaces/join/action`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/join/action`
`Microsoft.Network/privateEndpoints/read`
`Microsoft.Network/privateEndpoints/write`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action`
`Microsoft.Network/virtualNetworks/subnets/join/action`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/write`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/write`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/write`

Instalar o software SAP

Para instalar o software SAP, uma identidade gerenciada atribuída pelo usuário e pelo usuário requer a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/write`
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/blobServices/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP
Acesso a Dados e Leitor

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/disks/read`
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/disks/write`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/privateEndpoints/read`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Storage/storageAccounts/read`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/read`
`Microsoft.Storage/storageAccounts/fileServices/read`
`Microsoft.Storage/storageAccounts/fileServices/shares/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action`
`Microsoft.Storage/storageAccounts/write`
`Microsoft.Storage/storageAccounts/listAccountSas/action`
`Microsoft.Storage/storageAccounts/fileServices/write`
`Microsoft.Storage/storageAccounts/fileServices/shares/write`

Registrar e gerenciar o sistema SAP existente

Para registrar um sistema SAP existente e gerenciar esse sistema com o Azure Center for SAP solutions, um usuário ou identidade gerenciada atribuída pelo usuário requer a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP
Operador de Identidade Gerenciada

Permissões mínimas para usuários
`Microsoft.Workloads/sapvirtualInstances/*/read`
`Microsoft.Workloads/sapVirtualInstances/*/write`
`Microsoft.Workloads/Locations/*/read`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Compute/virtualMachines/read`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/write`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/extensions/delete`
`Microsoft.Compute/virtualMachines/instanceView/read`
`Microsoft.Network/loadBalancers/read`
`Microsoft.Network/loadBalancers/backendAddressPools/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/read`
`Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read`
`Microsoft.Network/networkInterfaces/read`
`Microsoft.Network/networkInterfaces/ipconfigurations/read`
`Microsoft.Network/virtualNetworks/read`
`Microsoft.Network/virtualNetworks/subnets/read`
`Microsoft.Resources/subscriptions/resourceGroups/write`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Resources/subscriptions/resourcegroups/deployments/*`
`Microsoft.Resources/tags/*`

Exibir recursos do VIS

Para exibir recursos do VIS, uma identidade gerenciada atribuída pelo usuário ou usuário requer a seguinte função ou permissões.

Funções internas para usuários
Leitor de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/Operations/read`
`Microsoft.Workloads/Locations/OperationStatuses/read`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action`
`Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action`
`Microsoft.Insights/Metrics/Read`
`Microsoft.ResourceHealth/AvailabilityStatuses/read`
`Microsoft.Advisor/configurations/read`
`Microsoft.Advisor/recommendations/read`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.

Permissões internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.

Iniciar o sistema SAP

Para iniciar o sistema SAP a partir de um recurso VIS, uma identidade gerenciada atribuída pelo usuário e pelo usuário requer a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/start/action`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Parar o sistema SAP

Para interromper o sistema SAP de um recurso VIS, um usuário e uma identidade gerenciada atribuída pelo usuário exigem a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/stop/action`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Iniciar instância de serviços do SAP Central

Para iniciar a instância de serviços do SAP Central a partir de um recurso VIS, uma identidade gerenciada atribuída pelo usuário e pelo usuário requer a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Parar a instância de serviços do SAP Central

Para interromper a instância de serviços do SAP Central de um recurso VIS, uma identidade gerenciada atribuída pelo usuário e pelo usuário requer a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Iniciar instância do servidor de aplicativos SAP

Para iniciar a instância do servidor de aplicativos SAP a partir de um recurso VIS, uma identidade gerenciada atribuída pelo usuário e pelo usuário requer a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Parar instância do servidor de aplicativos SAP

Para interromper a instância do servidor de aplicativos SAP de um recurso VIS, uma identidade gerenciada atribuída pelo usuário e pelo usuário requer a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Iniciar instância do banco de dados SAP HANA

Para iniciar a instância do banco de dados SAP HANA a partir de um recurso VIS, uma identidade gerenciada atribuída pelo usuário e pelo usuário requer a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Parar instância do banco de dados SAP HANA

Para interromper a instância do banco de dados SAP HANA de um recurso VIS, uma identidade gerenciada atribuída pelo usuário e pelo usuário requer a função ou as permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Função de serviço do Centro do Azure para soluções SAP

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
`Microsoft.Compute/virtualMachines/read`
`Microsoft.Compute/virtualMachines/extensions/read`
`Microsoft.Compute/virtualMachines/extensions/write`
`Microsoft.Compute/virtualMachines/instanceView/read`

Exibir análise de custo

Para exibir a análise de custo, um usuário requer a seguinte função ou permissões.

Funções internas para usuários
Leitor do Gerenciamento de Custos

Permissões mínimas para usuários
`Microsoft.Consumption//read*`
`Microsoft.CostManagement/*/read`
`Microsoft.Billing/billingPeriods/read`
`Microsoft.Resources/subscriptions/read`
`Microsoft.Resources/subscriptions/resourceGroups/read`
`Microsoft.Billing/billingProperty/read`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.

Exibir insights de qualidade

Para exibir o Quality Insights, um usuário requer a seguinte função ou permissões.

Funções internas para usuários
Leitor de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
Nenhuma, exceto a atribuição mínima de função.

Funções internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.

Configurar o Azure Monitor para soluções SAP

Para configurar o Azure Monitor para soluções SAP para seus recursos SAP, um usuário requer a seguinte função ou permissões.

Funções internas para usuários
Colaborador

Permissões mínimas para usuários
Nenhuma, exceto a atribuição mínima de função.

Funções internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.

Excluir recurso VIS

Para excluir um recurso VIS, um usuário ou identidade gerenciada atribuída pelo usuário requer a função ou permissões a seguir.

Funções internas para usuários
Administrador de soluções do Centro do Azure para SAP

Permissões mínimas para usuários
`Microsoft.Workloads/sapVirtualInstances/delete`
`Microsoft.Workloads/sapVirtualInstances/read`
`Microsoft.Workloads/sapVirtualInstances/applicationInstances/read`
`Microsoft.Workloads/sapVirtualInstances/centralInstances/read`
`Microsoft.Workloads/sapVirtualInstances/databaseInstances/read`

Funções internas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.

Permissões mínimas para identidades gerenciadas atribuídas pelo usuário
Esse cenário não é aplicável a identidades gerenciadas atribuídas pelo usuário.

Próximas etapas

Gerenciar recursos do VIS no Azure Center para soluções SAP

Compartilhar via