Compartir a través de

Administración de recursos de Azure Center for SAP solutions con RBAC de Azure

  • Artículo

El control de acceso basado en rol de Azure (Azure RBAC) permite la administración de acceso pormenorizado para Azure. Puede usar Azure RBAC para administrar instancias virtuales para los recursos de soluciones de SAP en el Centro de Azure para soluciones de SAP. Por ejemplo, puede separar las tareas dentro del equipo y conceder solo la cantidad de acceso que los usuarios necesitan para realizar sus trabajos.

Los usuarios o las identidades administradas asignadas por el usuario requieren roles o permisos mínimos para usar las distintas funcionalidades del Centro de Azure para soluciones de SAP.

Hay roles integrados de Azure para soluciones de Azure Center para SAP o puede crear roles personalizados de Azure para obtener más control. El Centro de Azure para soluciones de SAP proporciona los siguientes roles integrados para implementar y administrar sistemas SAP en Azure:

  • El rol de administrador de soluciones del Centro de Azure para SAP tiene los permisos necesarios para que un usuario implemente la infraestructura, instale SAP y administre sistemas SAP desde el Centro de Azure para soluciones de SAP. El rol permite a los usuarios:
    • Implementación de la infraestructura para un nuevo sistema SAP
    • Instalación del software de SAP
    • Registre los sistemas SAP existentes como una instancia virtual para los recursos de soluciones de SAP (VIS).
    • Vea el estado y el estado de los sistemas SAP.
    • Realice operaciones como Start y Stop en el recurso VIS.
    • Realice todas las acciones posibles con las soluciones del Centro de Azure para SAP, incluida la eliminación del recurso VIS.
  • El rol de servicio Centro de Azure para soluciones de SAP está diseñado para que lo use la identidad administrada asignada por el usuario. El servicio Azure Center for SAP solutions usa esta identidad para implementar y administrar sistemas SAP. Este rol tiene permisos para admitir las funcionalidades de implementación y administración en el Centro de Azure para soluciones de SAP.
  • El rol lector de soluciones del Centro de Azure para SAP tiene permisos para ver todos los recursos vis.

Nota:

Para usar una identidad administrada asignada por el usuario existente para implementar un nuevo sistema SAP o registrar un sistema existente, el usuario también debe tener el rol Operador de identidad administrada. Este rol es necesario para asignar una identidad administrada asignada por el usuario al recurso Instancia virtual para soluciones de SAP.

Nota:

Si va a crear una nueva identidad administrada asignada por el usuario al implementar un nuevo sistema SAP o registrar un sistema existente, el usuario también debe tener los roles Colaborador de identidad administrada y Operador de identidad administrada. Estos roles son necesarios para crear una identidad asignada por el usuario, hacer las asignaciones de roles necesarias y asignarla al recurso VIS.

Implementación de la infraestructura para el nuevo sistema SAP

Para implementar la infraestructura de un nuevo sistema SAP, una identidad administrada asignada por el usuario y el usuario requiere el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Operador de identidad administrada
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Resources/subscriptions/resourcegroups/deployments/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Compute/sshPublicKeys/write
Microsoft.Compute/sshPublicKeys/read
Microsoft.Compute/sshPublicKeys /*/generateKeyPair/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/availabilitySets/read
Microsoft.Compute/availabilitySets/write
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/networkInterfaces/ipconfigurations/join/action
Microsoft.Network/privateEndpoints/read
Microsoft.Network/privateEndpoints/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/joinLoadBalancer/action
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/fileServices/shares/write

Instalación del software de SAP

Para instalar software de SAP, una identidad administrada asignada por el usuario y el usuario requiere el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/write
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/blobServices/read
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Lector y acceso a los datos
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/disks/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/privateEndpoints/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/fileServices/read
Microsoft.Storage/storageAccounts/fileServices/shares/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listAccountSas/action
Microsoft.Storage/storageAccounts/fileServices/write
Microsoft.Storage/storageAccounts/fileServices/shares/write

Registro y administración del sistema SAP existente

Para registrar un sistema SAP existente y administrar ese sistema con soluciones de Azure Center para SAP, un usuario o una identidad administrada asignada por el usuario requiere el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Operador de identidad administrada
Permisos mínimos para los usuarios
Microsoft.Workloads/sapvirtualInstances/*/read
Microsoft.Workloads/sapVirtualInstances/*/write
Microsoft.Workloads/Locations/*/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Compute/virtualMachines/read
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/extensions/delete
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/backendAddressPools/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
Microsoft.Network/loadBalancers/frontendIPConfigurations/loadBalancerPools/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/ipconfigurations/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/tags/*

Visualización de recursos vis

Para ver los recursos vis, un usuario o una identidad administrada asignada por el usuario requiere el rol o los permisos siguientes.

Roles integrados para los usuarios
Lector de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/Operations/read
Microsoft.Workloads/Locations/OperationStatuses/read
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSizingRecommendations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getSapSupportedSku/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getDiskConfigurations/action
Microsoft.Workloads/locations/sapVirtualInstanceMetadata/getAvailabilityZoneDetails/action
Microsoft.Insights/Metrics/Read
Microsoft.ResourceHealth/AvailabilityStatuses/read
Microsoft.Advisor/configurations/read
Microsoft.Advisor/recommendations/read
Roles integrados para identidades administradas asignadas por el usuario
Este escenario no es aplicable a las identidades administradas asignadas por el usuario.
Permisos integrados para identidades administradas asignadas por el usuario
Este escenario no es aplicable a las identidades administradas asignadas por el usuario.

Inicio del sistema SAP

Para iniciar el sistema SAP desde un recurso VIS, una identidad administrada asignada por el usuario y el usuario requiere el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/start/action
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Detención del sistema SAP

Para detener el sistema SAP desde un recurso VIS, un usuario y una identidad administrada asignada por el usuario requieren el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/stop/action
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Inicio de la instancia de SERVICIOS centrales de SAP

Para iniciar la instancia de servicios centrales de SAP desde un recurso VIS, una identidad administrada asignada por el usuario y el usuario requiere el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/centralInstances/start/action
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Detención de la instancia de SERVICIOS centrales de SAP

Para detener la instancia de servicios centrales de SAP desde un recurso VIS, un usuario y una identidad administrada asignada por el usuario requieren el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/centralInstances/stop/action
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Inicio de la instancia del servidor de aplicaciones de SAP

Para iniciar la instancia del servidor de aplicaciones de SAP desde un recurso VIS, un usuario y una identidad administrada asignada por el usuario requieren el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/applicationInstances/start/action
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Detener la instancia del servidor de aplicaciones de SAP

Para detener la instancia del servidor de aplicaciones de SAP desde un recurso VIS, un usuario y una identidad administrada asignada por el usuario requieren el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/applicationInstances/stop/action
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Inicio de la instancia de base de datos de SAP HANA

Para iniciar la instancia de base de datos de SAP HANA desde un recurso VIS, un usuario y una identidad administrada asignada por el usuario requieren el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/databaseInstances/start/action
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Detener la instancia de base de datos de SAP HANA

Para detener la instancia de base de datos de SAP HANA desde un recurso VIS, un usuario y una identidad administrada asignada por el usuario requieren el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/databaseInstances/stop/action
Roles integrados para identidades administradas asignadas por el usuario
Rol de servicio del Centro de Azure para soluciones de SAP
Permisos mínimos para identidades administradas asignadas por el usuario
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/extensions/read
Microsoft.Compute/virtualMachines/extensions/write
Microsoft.Compute/virtualMachines/instanceView/read

Visualización de análisis de costos

Para ver el análisis de costos, un usuario requiere el rol o los permisos siguientes.

Roles integrados para los usuarios
Lector de Cost Management
Permisos mínimos para los usuarios
Microsoft.Consumption/*/read**
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Microsoft.Resources/subscriptions/read
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Billing/billingProperty/read
Roles integrados para identidades administradas asignadas por el usuario
Este escenario no es aplicable a las identidades administradas asignadas por el usuario.
Permisos mínimos para identidades administradas asignadas por el usuario
Este escenario no es aplicable a las identidades administradas asignadas por el usuario.

Ver Ideas de calidad

Para ver la Ideas de calidad, un usuario requiere el rol o los permisos siguientes.

Roles integrados para los usuarios
Lector de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Ninguno, excepto la asignación de roles mínima.
Roles integrados para identidades administradas asignadas por el usuario
Este escenario no es aplicable a las identidades administradas asignadas por el usuario.
Permisos mínimos para identidades administradas asignadas por el usuario
Este escenario no es aplicable a las identidades administradas asignadas por el usuario.

Configuración de Azure Monitor para soluciones de SAP

Para configurar soluciones de Azure Monitor para SAP para los recursos de SAP, un usuario requiere el rol o los permisos siguientes.

Roles integrados para los usuarios
Colaborador
Permisos mínimos para los usuarios
Ninguno, excepto la asignación de roles mínima.
Roles integrados para identidades administradas asignadas por el usuario
Este escenario no es aplicable a las identidades administradas asignadas por el usuario.
Permisos mínimos para identidades administradas asignadas por el usuario
Este escenario no es aplicable a las identidades administradas asignadas por el usuario.

Eliminación del recurso VIS

Para eliminar un recurso VIS, un usuario o una identidad administrada asignada por el usuario requiere el rol o los permisos siguientes.

Roles integrados para los usuarios
Administrador de soluciones del Centro de Azure para SAP
Permisos mínimos para los usuarios
Microsoft.Workloads/sapVirtualInstances/delete
Microsoft.Workloads/sapVirtualInstances/read
Microsoft.Workloads/sapVirtualInstances/applicationInstances/read
Microsoft.Workloads/sapVirtualInstances/centralInstances/read
Microsoft.Workloads/sapVirtualInstances/databaseInstances/read
Roles integrados para identidades administradas asignadas por el usuario
Este escenario no es aplicable a las identidades administradas asignadas por el usuario.
Permisos mínimos para identidades administradas asignadas por el usuario
Este escenario no es aplicable a las identidades administradas asignadas por el usuario.

Pasos siguientes