任何使用Google Cloud 資源的應用程式程式都需要 Google Cloud 身分和權限,才能存取這些資源。
身分與存取權管理服務帳戶
在 Google Cloud中,身分與存取權管理 (IAM) 會使用服務帳戶建立計畫的身份,並使用角色授予計畫的服務帳戶權限。
針對在 Compute Engine 虛擬機器 (VM) 上執行的 SAP 系統和相關程式,請建立 VM 服務帳戶,只包含 SAP 系統和其他程式所需的角色。
在未在 Google Cloud 上執行的程式,可在連線至 Google Cloud API 時使用服務帳戶,並使用服務帳戶金鑰進行驗證。
只要 VM 服務帳戶具有程式所需的角色,在 Compute Engine VM 上執行的程式就能使用 VM 的服務帳戶。對於在 Compute Engine VM 上執行的程式,我們不建議使用服務帳戶金鑰進行驗證。
使用 Google Cloud CLI 或Google Cloud console建立 VM 執行個體時,您可以指定 VM 執行個體要使用的服務帳戶、接受專案預設服務帳戶,或不指定服務帳戶。
如果您是透過直接向 API 發出要求 (而不是使用 Google Cloud CLI 或 Google Cloud 控制台) 的方式建立執行個體,執行個體就不會自動啟用預設服務帳戶。
如果 VM 服務帳戶沒有程式所需的角色,您可以為 VM 服務帳戶新增角色,或將服務帳戶替換為新的 VM 服務帳戶。
專案的 Compute Engine 預設服務帳戶一開始會獲派「編輯者」角色,這對許多企業環境來說可能過於寬鬆。
如要進一步瞭解 Compute Engine 如何使用角色、權限和服務帳戶,請參閱:
如要瞭解Google Cloud中更廣泛適用的資訊,請參閱 IAM 說明文件:
部署自動化和服務帳戶
如果您是使用 Google Cloud提供的 Terraform 設定檔部署 SAP 基礎架構,則可以在 DEPLOYMENT_TYPE.tf 檔案中指定服務帳戶。
如果您未指定服務帳戶,Terraform 會使用 Google Cloud 專案的預設服務帳戶部署運算執行個體。
IAM 角色和權限
IAM 為每項 Google Cloud資源提供預先定義的角色。每個角色都包含一組資源權限,這些權限與角色層級相符。您可以將這些角色新增至所建立的服務帳戶。
如要實施最嚴格的精細控管,您可以建立自訂角色,並指派一或多個權限。
如需預先定義角色清單和各角色包含的權限,請參閱「瞭解角色」一文。
如要進一步瞭解自訂角色,請參閱「瞭解自訂角色」。
如要進一步瞭解 Compute Engine 專屬角色,請參閱 Compute Engine 說明文件中的「Compute Engine IAM 角色」。
SAP 系統的 IAM 角色
SAP 程式所需的 IAM 角色取決於程式使用的資源,以及程式執行的作業。
舉例來說,如果您使用 Terraform 部署 SAP 系統,並在 Terraform 設定檔中指定服務帳戶,則您指定的服務帳戶至少必須包含下列角色:
- 服務帳戶使用者 - 一律必填。
- Compute 執行個體管理員 - 一律必填。
- Storage 物件檢視器:在部署期間,必須使用這個角色才能從 Cloud Storage 值區下載安裝媒體。
- 記錄寫入器 - 必須將部署或其他訊息寫入記錄。
SAP 系統部署完成後,主機 VM 和 SAP 程式可能不需要部署期間所需的所有權限。您可以編輯 VM 服務帳戶來移除角色,或變更 VM 使用的服務帳戶。
部分 SAP 或相關程式需要其他角色,如果這些程式未在 Google Cloud上執行,可能需要使用其他服務帳戶。例如:
- SAP HANA 適用的 Cloud Storage Backint 代理程式需要 Storage Object Admin 角色才能備份至 Cloud Storage 並從 Cloud Storage 還原資料。
- Google Cloud的 SAP 代理程式需要 Compute 檢視者、監控檢視者和監控指標寫入者等角色。詳情請參閱「必要的 IAM 角色」。
- 當 SAP Data Services 設定為將 SAP 資料複製到 BigQuery 時,就必須同時具備 BigQuery 資料編輯者角色和 BigQuery 工作使用者角色。