Tutti i programmi di applicazione che utilizzano le risorse Google Cloud devono disporre di un'identità e delle autorizzazioni Google Cloud prima di poter accedere alle risorse.
Account di servizio IAM
Su Google Cloud, Identity and Access Management (IAM) utilizza gli account di servizio per stabilire le identità per i programmi e i ruoli per concedere le autorizzazioni agli account di servizio dei programmi.
Per i sistemi SAP e i programmi correlati in esecuzione su VM (macchine virtuali) Compute Engine, crea un account di servizio VM che contenga solo i ruoli necessari per i sistemi SAP e altri programmi.
I programmi che non vengono eseguiti su Google Cloud possono utilizzare gli account di servizio quando si connettono alle API Google Cloud e una chiave dell'account di servizio per l'autenticazione.
I programmi in esecuzione su una VM Compute Engine possono utilizzare l'account di servizio della VM, a condizione che l'account di servizio della VM disponga dei ruoli di cui il programma ha bisogno. Per i programmi in esecuzione su una VM Compute Engine, non è consigliabile utilizzare una chiave dell'account di servizio per l'autenticazione.
Quando crei un'istanza VM utilizzando Google Cloud CLI o la console Google Cloud, puoi specificare un account di servizio da utilizzare per l'istanza VM, accettare l'account di servizio predefinito del progetto o non specificare alcun account di servizio.
Quando crei un'istanza inviando una richiesta direttamente all'API senza utilizzare Google Cloud CLI o la console Google Cloud, l'account di servizio predefinito non viene attivato con l'istanza.
Se un account di servizio VM non dispone dei ruoli di cui il programma ha bisogno, puoi aggiungere ruoli all'account di servizio VM o sostituire l'account di servizio con un nuovo account di servizio VM.
All'account di servizio predefinito di Compute Engine per un progetto viene inizialmente concesso il ruolo Editor, che potrebbe essere troppo permissivo per molti ambienti aziendali.
Per ulteriori informazioni sull'utilizzo di ruoli, autorizzazioni e account di servizio da parte di Compute Engine, consulta:
Per informazioni più generali su Google Cloud, consulta la documentazione di IAM:
Automazione del deployment e account di servizio
Se esegui il deployment dell'infrastruttura SAP utilizzando i file di configurazione Terraform o i modelli Deployment Manager forniti da Google Cloud, puoi specificare un account di servizio VM nel file di configurazione DEPLOYMENT_TYPE.tf o template.yaml.
Se non specifichi un account di servizio, Terraform o Deployment Manager esegue il deployment delle VM con l'account di servizio predefinito del tuo progetto Google Cloud.
Ruoli e autorizzazioni IAM
IAM fornisce ruoli predefiniti per ogni risorsa Google Cloud. Ogni ruolo contiene un insieme di autorizzazioni per la risorsa appropriate al livello del ruolo. Puoi aggiungere questi ruoli ai service account che crei.
Per il controllo più restrittivo o granulare, puoi creare ruoli personalizzati con una o più autorizzazioni.
Per un elenco dei ruoli predefiniti e delle autorizzazioni che ciascuno contiene, consulta Informazioni sui ruoli.
Per ulteriori informazioni sui ruoli personalizzati, consulta Informazioni sui ruoli personalizzati.
Per ulteriori informazioni sui ruoli specifici di Compute Engine, consulta Ruoli IAM di Compute Engine nella documentazione di Compute Engine.
Ruoli IAM per i sistemi SAP
I ruoli IAM di cui hanno bisogno i programmi SAP dipendono dalle risorse utilizzate dai programmi e dalle attività che questi eseguono.
Ad esempio, se utilizzi Terraform o Deployment Manager per eseguire il deployment del sistema SAP e specifichi un account di servizio nel file di configurazione di Terraform o Deployment Manager, l'account di servizio specificato deve includere almeno i seguenti ruoli:
- Utente del service account: obbligatorio.
- Amministratore istanze Compute: obbligatorio.
- Visualizzatore oggetti Storage: necessario per scaricare i contenuti multimediali di installazione da un bucket Cloud Storage durante il deployment.
- Scrittore di log: obbligatorio per scrivere messaggi di deployment o altri messaggi nel logging.
Dopo il deployment del sistema SAP, la VM host e i programmi SAP potrebbero non necessitare di tutte le autorizzazioni richieste durante il deployment. Puoi modificare l'account di servizio della VM per rimuovere i ruoli o cambiare l'account di servizio utilizzato dalla VM.
Alcuni programmi SAP o correlati richiedono ruoli aggiuntivi e, se non sono eseguiti su Google Cloud, potrebbero richiedere un account di servizio separato. Ad esempio:
- L'agente Backint per Cloud Storage per SAP HANA richiede il ruolo Amministratore oggetti Storage per eseguire il backup e il recupero da Cloud Storage.
- L'agente per SAP di Google Cloud richiede ruoli come Visualizzatore Compute, Visualizzatore monitoraggio e Writer metriche monitoraggio. Per ulteriori informazioni, consulta Ruoli IAM obbligatori.
- SAP Data Services, quando è configurato per replicare i dati SAP in BigQuery, richiede sia il ruolo Editor dati BigQuery sia il ruolo Utente job BigQuery.