Identity and access management untuk program SAP di Google Cloud

Semua program aplikasi yang menggunakan resource Google Cloud memerlukan identity dan izin Google Cloud sebelum dapat mengakses resource.

Akun Layanan IAM

Di Google Cloud, Identity and Access Management (IAM) menggunakan akun layanan untuk menetapkan identitas program dan peran untuk memberikan izin ke akun layanan program.

Untuk sistem SAP dan program terkait yang berjalan di mesin virtual (VM) Compute Engine, buat akun layanan VM yang hanya berisi peran yang dibutuhkan sistem SAP dan program lainnya.

Program yang tidak berjalan di Google Cloud dapat menggunakan akun layanan saat terhubung ke Google Cloud API dan menggunakan kunci akun layanan untuk autentikasi.

Program yang berjalan di VM Compute Engine dapat menggunakan akun layanan VM, selama akun layanan VM memiliki peran yang dibutuhkan program. Untuk program yang berjalan di VM Compute Engine, sebaiknya jangan gunakan kunci akun layanan untuk autentikasi.

Saat Anda membuat instance VM menggunakan Google Cloud CLI atau Konsol Google Cloud, Anda dapat menentukan akun layanan untuk instance VM yang akan digunakan, menerima default project, atau menentukan tidak ada akun layanan.

Saat Anda membuat instance dengan membuat permintaan ke API secara langsung tanpa menggunakan Google Cloud CLI atau Konsol Google Cloud, akun layanan default tidak diaktifkan dengan instance tersebut.

Jika akun layanan VM tidak memiliki peran yang dibutuhkan program, Anda dapat menambahkan peran ke akun layanan VM atau mengganti akun layanan dengan akun layanan VM baru.

Akun layanan default Compute Engine untuk sebuah project awalnya diberi peran Editor, yang mungkin terlalu permisif bagi banyak lingkungan perusahaan.

Untuk mengetahui informasi selengkapnya tentang penggunaan peran, izin, dan akun layanan oleh Compute Engine, lihat:

Untuk informasi yang dapat diterapkan secara lebih luas di seluruh Google Cloud, lihat dokumentasi IAM:

Otomatisasi deployment dan akun layanan

Jika Anda men-deploy infrastruktur SAP dengan menggunakan file konfigurasi Terraform atau template Deployment Manager yang disediakan oleh Google Cloud, Anda dapat menentukan akun layanan VM di DEPLOYMENT_TYPE.tf atau file konfigurasi template.yaml.

Jika Anda tidak menentukan akun layanan, maka Terraform atau Deployment Manager akan men-deploy VM dengan akun layanan default project Google Cloud Anda.

Peran dan izin IAM

IAM menyediakan peran yang telah ditetapkan untuk setiap resource Google Cloud. Setiap peran berisi kumpulan izin untuk resource yang sesuai dengan level peran tersebut. Anda dapat menambahkan peran-peran ini ke akun layanan yang Anda buat.

Untuk kontrol yang paling ketat atau terperinci, Anda dapat membuat peran khusus dengan satu atau beberapa izin.

Untuk mengetahui daftar peran yang telah ditetapkan dan izin yang memuatnya, baca Memahami peran.

Untuk informasi selengkapnya tentang peran khusus, baca Memahami peran khusus.

Untuk mengetahui informasi selengkapnya tentang peran yang spesifik untuk Compute Engine, lihat Peran IAM Compute Engine dalam dokumentasi Compute Engine.

Peran IAM untuk sistem SAP

Peran IAM yang diperlukan program SAP Anda bergantung pada resource yang digunakan program tersebut dan pada tugas yang dilakukan program tersebut.

Misalnya, jika Anda menggunakan Terraform atau Deployment Manager untuk men-deploy sistem SAP dan menentukan akun layanan di file konfigurasi Terraform atau Deployment Manager, maka akun layanan yang Anda tentukan harus menyertakan setidaknya peran berikut:

  • Service Account User - selalu diperlukan.
  • Compute Instance Admin - selalu diperlukan.
  • Storage Object Viewer - diperlukan untuk mendownload media penginstalan dari bucket Cloud Storage selama deployment.
  • Logs Writer - diperlukan untuk menulis deployment atau pesan lain ke Logging.

Setelah sistem SAP di-deploy, VM host dan program SAP Anda mungkin tidak memerlukan semua izin yang sama seperti yang diperlukan selama deployment. Anda dapat mengedit akun layanan VM untuk menghapus peran, atau mengubah akun layanan yang digunakan VM.

Beberapa SAP atau program terkait memerlukan peran tambahan dan, jika tidak berjalan di Google Cloud, mungkin memerlukan akun layanan terpisah. Contoh: