Gerenciamento de identidade e acesso para programas SAP no Google Cloud

Todos os programas de aplicativos que usam recursos do Google Cloud precisam de uma identidade e permissões do Google Cloud para acessar os recursos.

Contas de serviço do IAM

No Google Cloud, o gerenciamento de identidade e acesso (IAM) usa contas de serviço para estabelecer identidades de programas e papéis que concedem permissões a essas contas.

Para sistemas SAP e programas relacionados executados em máquinas virtuais (VMs) do Compute Engine, crie uma conta de serviço de VM que contenha apenas os papéis necessários para os sistemas SAP e outros programas.

Os programas que não são executados no Google Cloud podem usar contas de serviço quando se conectam às APIs do Google Cloud e usam uma chave de conta de serviço para autenticação.

Os programas executados em uma VM do Compute Engine podem usar a conta de serviço da VM, desde que ela tenha os papéis necessários. Para programas em execução em uma VM do Compute Engine, não é recomendável usar uma chave de conta de serviço para autenticação.

Ao criar uma instância de VM usando a ferramenta de linha de comando ou o Console do Google Cloud , é possível especificar uma conta de serviço para a instância de VM usar, aceitar a conta de serviço padrão do projeto ou não especificar uma conta de serviço.

Quando você cria uma instância fazendo uma solicitação diretamente à API sem usar a ferramenta de linha de comando ou o Console do Google Cloud, a conta de serviço padrão não é ativada com ela.

Se uma conta de serviço de VM não tiver os papéis necessários para o programa, será possível adicionar papéis à conta de serviço de VM ou substituir a conta de serviço por uma nova conta de serviço de VM.

A conta de serviço padrão do Compute Engine de um projeto recebe inicialmente o papel Editor, que pode ser permissivo demais para muitos ambientes corporativos.

Para mais informações sobre o uso de papéis, permissões e contas de serviço pelo Compute Engine, consulte:

Para informações mais abrangentes sobre o Google Cloud, consulte a documentação do IAM:

Automação da implantação e contas de serviço

Se você estiver implantando sua infraestrutura SAP usando os arquivos de configuração do Terraform ou os modelos do Deployment Manager que são fornecidos pelo Google Cloud, é possível especificar uma conta de serviço de VM em DEPLOYMENT_TYPE.tf ou no arquivo de configuração template.yaml.

Se você não especificar uma conta de serviço, o Terraform ou o Deployment Manager implantará as VMs com a conta de serviço padrão do seu projeto do Google Cloud.

Permissões e papéis do IAM

O IAM fornece papéis predefinidos para cada recurso do Google Cloud. Cada papel contém um conjunto de permissões para o recurso apropriado para o nível do papel. É possível adicionar esses papéis às contas de serviço criadas.

Para ter o controle mais restritivo ou granular, é possível criar papéis personalizados com uma ou mais permissões.

Para ver uma lista dos papéis predefinidos e das permissões que cada um contém, consulte Noções básicas sobre papéis.

Para mais informações sobre papéis personalizados, consulte Noções básicas sobre papéis personalizados.

Para mais informações sobre papéis específicos do Compute Engine, consulte Papéis do IAM do Compute Engine na documentação do Compute Engine.

Papéis do IAM para sistemas SAP

Os papéis do IAM necessários para os programas SAP dependem dos recursos que esses programas usam e das tarefas que eles realizam.

Por exemplo, se você usar o Terraform ou o Deployment Manager para implantar o sistema SAP e especificar uma conta de serviço no arquivo de configuração do Terraform ou do Deployment Manager, a conta de serviço especificada precisará incluir pelo menos as seguintes funções:

  • Usuário da conta de serviço: sempre obrigatório.
  • Administrador de instâncias do Compute: sempre obrigatório.
  • Leitor de objetos do Storage: necessário para fazer o download da mídia de instalação de um bucket do Cloud Storage durante a implantação.
  • Gravador de registros: necessário para gravar a implantação ou outras mensagens no Logging.

Depois que o sistema SAP for implantado, a VM do host e seus programas SAP talvez não precisem das mesmas permissões necessárias durante a implantação. É possível editar a conta de serviço da VM para remover papéis ou alterar a conta de serviço que a VM usa.

Alguns programas SAP ou relacionados exigem papéis adicionais e, se não estiverem em execução no Google Cloud, poderão exigir uma conta de serviço separada. Exemplo: