Damit Sie bei der Planung Ihrer SAP-Implementierung zu den folgenden Punkten die richtigen Entscheidungen treffen können, müssen Sie wissen, wie das Zugriffsmanagement in Google Cloud funktioniert:
- Wie Ihre Ressourcen in Google Cloud organisiert sind
- Welche Teammitglieder auf Ressourcen zugreifen und mit diesen arbeiten können
- Welche Berechtigungen jedes Teammitglied genau haben muss, um dem Prinzip der geringsten Berechtigungen für den Ressourcenzugriff Rechnung zu tragen
- Welche Dienste und Anwendungen welche Dienstkonten verwenden müssen und welche Berechtigungsstufen in den einzelnen Fällen zu erteilen sind.
Eine allgemeine Übersicht über die Authentifizierung in Google Cloud finden Sie unter Authentifizierungsübersicht.
Ressourcenhierarchie und -übernahme
Mit der Cloud Platform-Ressourcenhierarchie werden die verschiedenen Ressourcencontainer in Google Cloud, ihre Beziehung zueinander und die Zugriffsbereiche definiert.
Zugriffssteuerungsrichtlinien, die auf eine übergeordnete Ressource angewendet werden, z. B. eine Organisation oder ein Projekt, werden von den untergeordneten Ressourcen übernommen. Dazu zählen beispielsweise virtuelle Maschinen von Compute Engine oder Cloud Storage-Buckets in der Organisation oder dem Projekt.
Identity und Access Management
Die Identitäts- und Zugriffsverwaltung (IAM) bietet einheitliche Kontrolle über Berechtigungen für Google Cloud-Ressourcen. Sie können damit die Zugriffssteuerung verwalten und vorgeben, wer welchen Zugriff auf Ressourcen hat. So lässt sich beispielsweise festlegen, wer auf der Steuerungsebene Vorgänge für Ihre SAP-Instanzen ausführen und etwa VMs, nichtflüchtige Speicher und Netzwerke erstellen bzw. ändern kann.
IAM-Dienstkonten geben Ihnen die Möglichkeit, Anwendungen und Diensten Berechtigungen zu erteilen. Dafür müssen Sie wissen, wie Dienstkonten in Compute Engine angewendet werden. Einzelheiten finden Sie unter Dienstkonten.
IAM-Rollen gewähren Nutzern Berechtigungen. Eine Referenz zu Rollen und den damit verbundenen Berechtigungen finden Sie unter Rollen von Identity and Access Management.
Weitere Einzelheiten zu IAM finden Sie in der IAM-Übersicht.
Ressourcenspezifische IAM-Informationen
Für jede Ressource, die Ihre SAP-Systeme verwenden, z. B. eine Compute Engine-Ressource, müssen Sie wissen, wie IAM die Authentifizierung und Zugriffsverwaltung für die Ressource implementiert und welche vordefinierten Rollen IAM für die Ressource bereitstellt.
Informationen darüber, wie einige Ressourcen, die von SAP-Systemen häufig verwendet werden, IAM implementieren, finden Sie unter:
- Vordefinierte Rollen und Berechtigungen für BigQuery
- Zugriffssteuerungsoptionen für Compute Engine
- Zugriffssteuerungsoptionen für den Deployment Manager
- Anleitung zur Zugriffssteuerung in Cloud Logging
- Cloud Monitoring-Zugriffssteuerung