Identitäts- und Zugriffsverwaltung für SAP-Programme in Google Cloud

Alle Anwendungsprogramme, die Google Cloud-Ressourcen verwenden, benötigen eine Google Cloud-Identität und entsprechende Berechtigungen, damit sie auf die Ressourcen zugreifen können.

IAM-Dienstkonten

In der Google Cloud verwendet Identity and Access Management (IAM) Dienstkonten, um Identitäten für Programme zu erstellen und Rollen, um Berechtigungen für die Dienstkonten der Programme zu erteilen.

Erstellen Sie für SAP-Systeme und zugehörige Programme, die auf virtuellen Compute Engine-Maschinen (VMs) ausgeführt werden, ein VM-Dienstkonto, das nur die Rollen enthält, die die SAP-Systeme und die anderen Programme benötigen.

Programme, die nicht in Google Cloud ausgeführt werden, können Dienstkonten verwenden, wenn sie eine Verbindung zu Google Cloud APIs herstellen, und einen Dienstkontoschlüssel für die Authentifizierung verwenden.

Programme, die auf einer Compute Engine-VM ausgeführt werden, können das Dienstkonto der VM verwenden, solange das VM-Dienstkonto die für das Programm erforderlichen Rollen hat. Für Programme, die auf einer Compute Engine-VM ausgeführt werden, wird die Verwendung eines Dienstkontoschlüssels für die Authentifizierung nicht empfohlen.

Wenn Sie eine VM-Instanz mit dem gcloud-Befehlszeilentool oder der Google Cloud Console erstellen, können Sie für die VM-Instanz ein zu verwendendes Dienstkonto angeben, das Standarddienstkonto des Projekts akzeptieren oder kein Dienstkonto angeben.

Wenn Sie eine Instanz durch eine direkte API-Anfrage und nicht mithilfe des gcloud-Befehlszeilentools oder der Google Cloud Console erstellen, wird das Standarddienstkonto nicht mit der Instanz aktiviert.

Wenn ein VM-Dienstkonto nicht die vom Programm benötigten Rollen hat, können Sie dem VM-Dienstkonto Rollen hinzufügen oder das Dienstkonto durch ein neues VM-Dienstkonto ersetzen.

Das Compute Engine-Standarddienstkonto für ein Projekt erhält anfangs die Bearbeiterrolle, die für viele Unternehmensbereiche möglicherweise zu weit gefasst ist.

Weitere Informationen zur Verwendung von Rollen, Berechtigungen und Dienstkonten durch Compute Engine finden Sie unter:

Weitere Informationen, die allgemeiner für Google Cloud insgesamt gelten, finden Sie in der IAM-Dokumentation:

Deployment Manager und Dienstkonten

Wenn Sie Ihre SAP-Infrastruktur mithilfe der von Google Cloud bereitgestellten Deployment Manager-Vorlagen bereitstellen, können Sie in der Konfigurationsdatei template.yaml ein VM-Dienstkonto angeben.

Wenn Sie kein Dienstkonto angeben, stellt Deployment Manager die VMs mit dem Standarddienstkonto Ihres Projekts bereit.

IAM-Rollen und -Berechtigungen

IAM bietet vordefinierte Rollen für jede Google Cloud-Ressource. Jede Rolle enthält eine Reihe von Berechtigungen für die Ressource, die der Ebene der Rolle entsprechen. Sie können diese Rollen den Dienstkonten hinzufügen, die Sie erstellen.

Für die restriktivste oder detaillierteste Kontrolle können Sie benutzerdefinierte Rollen mit einer oder mehreren Berechtigungen erstellen.

Eine Liste der vordefinierten Rollen und der in jeder enthaltenen Berechtigungen finden Sie unter Informationen zu Rollen.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Informationen zu benutzerdefinierten Rollen.

Weitere Informationen zu den speziellen Compute Engine-Rollen finden Sie in der Dokumentation zu Compute Engine unter IAM-Rollen für Compute Engine.

IAM-Rollen für SAP-Systeme

Welche IAM-Rollen Ihre SAP-Programme benötigen, hängt von den Ressourcen ab, die diese Programme verwenden, und von den Aufgaben, die diese Programme ausführen.

Wenn Sie beispielsweise Cloud Deployment Manager verwenden, um Ihr SAP-System bereitzustellen und ein Dienstkonto in der Deployment Manager-Konfigurationsdatei anzugeben, muss das von Ihnen angegebene Dienstkonto mindestens die folgenden Rollen enthalten:

  • Dienstkontonutzer - immer erforderlich.
  • Compute-Instanzadministrator - immer erforderlich.
  • Storage-Objekt-Betrachter - erforderlich, um Installationsmedien während der Bereitstellung aus einem Cloud Storage-Bucket herunterzuladen.
  • Log-Autor - erforderlich, um Nachrichten zur Bereitstellung oder andere Nachrichten in Logging zu schreiben.

Wenn das SAP-System bereitgestellt ist, benötigen die Host-VM und Ihre SAP-Programme möglicherweise nicht alle Berechtigungen, die während der Bereitstellung erforderlich waren. Sie können das VM-Dienstkonto bearbeiten, um Rollen zu entfernen, oder das von der VM verwendete Dienstkonto ändern.

Für einige SAP- oder verwandte Programme sind zusätzliche Rollen erforderlich. Wenn sie nicht in Google Cloud ausgeführt werden, ist möglicherweise ein separates Dienstkonto erforderlich. Beispiel:

  • Der Cloud Storage Backint-Agent für SAP HANA erfordert die Rolle des Storage-Objekt-Administrators, um Daten in Cloud Storage zu sichern und wiederherzustellen.
  • Der SAP HANA-Monitoring-Agent erfordert die Installation von Cloud Monitoring-Agents, für die die Rolle des Monitoring-Messwert-Autors benötigt wird. Weitere Informationen finden Sie unter Erforderliche IAM-Rollen festlegen.
  • Wenn SAP Data Services für die Replikation von SAP-Daten in BigQuery konfiguriert ist, sind dafür sowohl die Rolle des BigQuery-Datenbearbeiters als auch die des BigQuery-Jobnutzers erforderlich.