Správa přístupu k Site Recovery pomocí řízení přístupu na základě role v Azure (Azure RBAC)
Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje jemně odstupňovanou správu přístupu pro Azure. Pomocí Azure RBAC můžete oddělit povinnosti v rámci týmu a udělit uživatelům pouze specifická přístupová oprávnění podle potřeby k provádění konkrétních úloh.
Azure Site Recovery poskytuje 3 předdefinované role pro řízení operací správy Site Recovery. Další informace o předdefinovaných rolích Azure
- Přispěvatel Site Recovery – Tato role má všechna oprávnění potřebná ke správě operací Azure Site Recovery v trezoru služby Recovery Services. Uživatel s touto rolí však nemůže vytvořit ani odstranit trezor služby Recovery Services ani přiřadit přístup jiným uživatelům. Tato role je nejvhodnější pro správce zotavení po havárii, kteří můžou povolit a spravovat zotavení po havárii pro aplikace nebo celé organizace, jak to může být.
- Operátor Site Recovery – Tato role má oprávnění provádět a spravovat operace převzetí služeb při selhání a navrácení služeb po obnovení. Uživatel s touto rolí nemůže povolit nebo zakázat replikaci, vytvářet nebo odstraňovat trezory, registrovat novou infrastrukturu nebo přiřazovat přístupová práva jiným uživatelům. Tato role je nejvhodnější pro operátora zotavení po havárii, který může při selhání virtuálních počítačů nebo aplikací při selhání přidělovat pokyn vlastníkům aplikací a správcům IT ve skutečné nebo simulované situaci po havárii, jako je postup zotavení po havárii. Po vyřešení havárie může operátor zotavení po havárii virtuální počítače znovu chránit a navrátit služby po obnovení.
- Čtenář Site Recovery – Tato role má oprávnění zobrazit všechny operace správy Site Recovery. Tato role je nejvhodnější pro vedoucí pracovníka pro monitorování IT, který může v případě potřeby monitorovat aktuální stav ochrany a zvyšovat lístky podpory.
Pokud chcete definovat vlastní role pro ještě větší kontrolu, podívejte se, jak vytvořit vlastní role v Azure.
Oprávnění potřebná k povolení replikace pro nové virtuální počítače
Při replikaci nového virtuálního počítače do Azure pomocí Azure Site Recovery se ověří úrovně přístupu přidruženého uživatele, aby se zajistilo, že má uživatel požadovaná oprávnění k používání prostředků Azure poskytovaných službě Site Recovery.
Pokud chcete povolit replikaci pro nový virtuální počítač, musí mít uživatel:
- Oprávnění k vytvoření virtuálního počítače ve vybrané skupině prostředků
- Oprávnění k vytvoření virtuálního počítače ve vybrané virtuální síti
- Oprávnění k zápisu do vybraného účtu úložiště
Aby uživatel dokončil replikaci nového virtuálního počítače, potřebuje následující oprávnění.
Důležité
Ujistěte se, že jsou pro nasazení prostředků přidaná příslušná oprávnění podle modelu nasazení (Resource Manager nebo Classic).
Poznámka:
Pokud povolíte replikaci pro virtuální počítač Azure a chcete službě Site Recovery povolit správu aktualizací, můžete při povolování replikace také vytvořit nový účet Automation, v takovém případě budete potřebovat oprávnění k vytvoření účtu Automation ve stejném předplatném jako trezor.
| Typ prostředku | Model nasazení | Oprávnění |
|---|---|---|
| Compute | Správce zdrojů | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.compute/disks/delete | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klasické | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Síť | Správce zdrojů | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klasické | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Úložiště | Správce zdrojů | microsoft.storage/storageaccounts/write |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klasické | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Skupina prostředků | Správce zdrojů | Microsoft.RecoveryServices/register/action |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Zvažte použití předdefinovaných rolí Přispěvatel virtuálních počítačů a Přispěvatel virtuálních počítačů Classic pro modely nasazení Resource Manager a Classic.
Další kroky
- Řízení přístupu na základě role v Azure (Azure RBAC): Začínáme s Azure RBAC na webu Azure Portal.
- Zjistěte, jak spravovat přístup pomocí:
- Řešení potíží s Azure RBAC: Získejte návrhy pro řešení běžných problémů.