Tutti i programmi applicativi che utilizzano le risorse Google Cloud richiedono un'identità e autorizzazioni Google Cloud prima di poter accedere alle risorse.
Account di servizio IAM
Su Google Cloud, Identity and Access Management (IAM) utilizza gli account di servizio per stabilire le identità per i programmi e i ruoli al fine di concedere le autorizzazioni agli account di servizio dei programmi.
Per i sistemi SAP e i programmi correlati eseguiti su macchine virtuali (VM) Compute Engine, crea un account di servizio VM contenente solo i ruoli necessari per i sistemi SAP e altri programmi.
I programmi che non vengono eseguiti su Google Cloud possono utilizzare gli account di servizio quando si connettono alle API Google Cloud e utilizzano una chiave dell'account di servizio per l'autenticazione.
I programmi eseguiti su una VM di Compute Engine possono utilizzare l'account di servizio della VM, purché l'account di servizio VM disponga dei ruoli necessari per il programma. Per i programmi in esecuzione su una VM di Compute Engine, non è consigliabile utilizzare una chiave dell'account di servizio per l'autenticazione.
Quando crei un'istanza VM utilizzando Google Cloud CLI o la console Google Cloud, puoi specificare un account di servizio per l'istanza VM, accettare l'account di servizio predefinito del progetto o non specificare nessun account di servizio.
Quando crei un'istanza effettuando una richiesta direttamente all'API senza utilizzare Google Cloud CLI o la console Google Cloud, l'account di servizio predefinito non viene abilitato con l'istanza.
Se un account di servizio VM non dispone dei ruoli necessari per il programma, puoi aggiungere ruoli all'account di servizio VM o sostituirlo con un nuovo account di servizio VM.
All'account di servizio predefinito di Compute Engine per un progetto viene inizialmente concesso il ruolo Editor, che potrebbe essere troppo permissivo per molti ambienti aziendali.
Per ulteriori informazioni sull'utilizzo di ruoli, autorizzazioni e account di servizio da parte di Compute Engine, consulta:
Per informazioni che si applicano in modo più ampio a tutti i servizi Google Cloud, consulta la documentazione di IAM:
Automazione del deployment e account di servizio
Se esegui il deployment della tua infrastruttura SAP utilizzando i file di configurazione Terraform o i modelli di Deployment Manager forniti da Google Cloud, puoi specificare un account di servizio VM nel file di configurazione DEPLOYMENT_TYPE.tf o template.yaml.
Se non specifichi un account di servizio, Terraform o Deployment Manager esegue il deployment delle VM con l'account di servizio predefinito del tuo progetto Google Cloud.
Ruoli e autorizzazioni IAM
IAM fornisce ruoli predefiniti per ogni risorsa Google Cloud. Ogni ruolo contiene un insieme di autorizzazioni per la risorsa, appropriate al livello del ruolo. Puoi aggiungere questi ruoli agli account di servizio che crei.
Per il controllo più restrittivo o granulare, puoi creare ruoli personalizzati con una o più autorizzazioni.
Per un elenco dei ruoli predefiniti e delle autorizzazioni contenute in ciascuno, consulta Informazioni sui ruoli.
Per saperne di più sui ruoli personalizzati, consulta Informazioni sui ruoli personalizzati.
Per ulteriori informazioni sui ruoli specifici di Compute Engine, consulta Ruoli IAM di Compute Engine nella documentazione di Compute Engine.
Ruoli IAM per sistemi SAP
I ruoli IAM necessari per i programmi SAP dipendono dalle risorse utilizzate dai programmi e dalle attività eseguite dai programmi.
Ad esempio, se utilizzi Terraform o Deployment Manager per eseguire il deployment del sistema SAP e specifichi un account di servizio nel file di configurazione Terraform o Deployment Manager, l'account di servizio specificato deve includere almeno i seguenti ruoli:
- Utente account di servizio - sempre obbligatorio.
- Amministratore istanze Compute - sempre obbligatorio.
- Visualizzatore oggetti Storage: necessario per scaricare i contenuti multimediali di installazione da un bucket Cloud Storage durante il deployment.
- Writer log: necessario per scrivere il deployment o altri messaggi in Logging.
Dopo il deployment del sistema SAP, la VM host e i programmi SAP potrebbero non aver bisogno di tutte le stesse autorizzazioni necessarie durante il deployment. Puoi modificare l'account di servizio della VM per rimuovere i ruoli o cambiare l'account di servizio utilizzato dalla VM.
Alcuni programmi SAP o correlati richiedono ruoli aggiuntivi e, se non sono in esecuzione su Google Cloud, potrebbero richiedere un account di servizio separato. Ad esempio:
- L'agente Backint Cloud Storage per SAP HANA richiede il ruolo Amministratore oggetti Storage per eseguire il backup e il ripristino da Cloud Storage.
- L'agente per SAP di Google Cloud richiede ruoli come Visualizzatore Compute, Visualizzatore Monitoring e Writer metriche Monitoring. Per ulteriori informazioni, consulta Ruoli IAM obbligatori.
- Se SAP Data Services è configurato per la replica dei dati SAP in BigQuery, richiede sia il ruolo Editor dati BigQuery sia il ruolo Utente job BigQuery.