Compartir a través de


Uso del control de acceso basado en roles de Azure para administrar puntos de recuperación de Azure Backup

El control de acceso basado en rol de Azure (Azure RBAC) permite realizar una administración detallada del acceso para Azure. Con Azure RBAC, puede repartir las tareas entre el equipo y conceder a los usuarios únicamente el nivel de acceso que necesitan para realizar su trabajo.

Importante

Los roles proporcionados por Azure Backup están limitados a las acciones que se pueden realizar en Azure Portal o a través de la API de REST o los cmdlets de PowerShell o la CLI para el almacén de Recovery Services. Las acciones realizadas en la interfaz de usuario del cliente del agente de Azure Backup, la interfaz de usuario de System Center Data Protection Manager o la interfaz de usuario de Azure Backup Server están fuera del control de estos roles.

Azure Backup proporciona tres roles integrados para controlar las operaciones de administración de copia de seguridad. Más información sobre los roles integrados de Azure

  • Colaborador de copia de seguridad: este rol tiene todos los permisos para crear y administrar copias de seguridad, excepto para eliminar el almacén de Recovery Services y facilitar acceso a otros usuarios. Imagine este rol como administrador de copias de seguridad que puede realizar todas las operaciones de administración de copia de seguridad.
  • Operador de copia de seguridad: Este rol tiene permisos para todo lo que puede hacer un colaborador, excepto quitar copias de seguridad y administrar directivas de copia de seguridad. Este rol es equivalente al de colaborador, salvo que no puede realizar operaciones destructivas, como detener copias de seguridad con la eliminación de datos o quitar el registro de recursos locales.
  • Lector de copia de seguridad: Este rol tiene permisos para ver todas las operaciones de administración de copia de seguridad. Imagine este rol como una persona de supervisión.

Si quiere definir sus propios roles para tener un mayor control, consulte cómo crear roles personalizados en RBAC de Azure.

Asignación de roles integrados de Backup a las acciones de administración de copia de seguridad

Requisitos de rol mínimos para la copia de seguridad de máquinas virtuales de Azure

En la tabla siguiente se capturan acciones de administración de Backup y el rol de Azure mínimo correspondiente necesario para realizar esa operación.

Operación de administración Rol de Azure mínimo necesario Ámbito requerido Alternativa
Crear almacén de Recovery Services Colaborador de copias de seguridad Grupo de recursos que contiene el almacén
Habilitar la copia de seguridad de VM de Azure Operador de copias de seguridad Grupo de recursos que contiene el almacén
Colaborador de la máquina virtual Recurso de máquina virtual Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Habilitar la copia de seguridad de las máquinas virtuales de Azure (en la hoja de máquina virtual) Operador de copias de seguridad Grupo de recursos que contiene el almacén
Operador de copias de seguridad Grupo de recursos que contiene la máquina virtual
Colaborador de la máquina virtual Recurso de máquina virtual Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read
Copia de seguridad a petición de VM Operador de copias de seguridad Almacén de Recovery Services
Restaurar VM Operador de copias de seguridad Almacén de Recovery Services
Colaborador Grupo de recursos en el que se implementará la máquina virtual Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (requerido solo para la restauración de VM clásicas y no requerido para VM administradas) Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action
Colaborador de la máquina virtual Máquina virtual de origen de la que se hizo una copia de seguridad Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Colaborador de la cuenta de almacenamiento Recurso de la cuenta de almacenamiento donde se van a restaurar los discos Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action
Restaurar la copia de seguridad de la máquina virtual de discos no administrados Operador de copias de seguridad Almacén de Recovery Services
Colaborador de la máquina virtual Máquina virtual de origen de la que se hizo una copia de seguridad Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Colaborador de la cuenta de almacenamiento Recurso de la cuenta de almacenamiento donde se van a restaurar los discos Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action
Restaurar discos administrados de la copia de seguridad de la máquina virtual Operador de copias de seguridad Almacén de Recovery Services
Colaborador de la máquina virtual Máquina virtual de origen de la que se hizo una copia de seguridad Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Colaborador de la cuenta de almacenamiento Cuenta de almacenamiento temporal seleccionada como parte de la restauración para contener datos del almacén antes de convertirlos a discos administrados Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action
Colaborador Grupo de recursos en el cual se restaurarán los discos administrados Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write.
Restaurar archivos individuales desde la copia de seguridad de la máquina virtual Operador de copias de seguridad Almacén de Recovery Services
Colaborador de la máquina virtual Máquina virtual de origen de la que se hizo una copia de seguridad Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Restauración entre regiones Operador de copias de seguridad Suscripción del almacén de Recovery Services Además de los permisos de restauración mencionados anteriormente. Específicamente para CRR, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los permisos siguientes: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read"
Crear directiva de copia de seguridad para copia de seguridad de VM de Azure Colaborador de copias de seguridad Almacén de Recovery Services
Modificar directiva de copia de seguridad de copia de seguridad de VM de Azure Colaborador de copias de seguridad Almacén de Recovery Services
Eliminar directiva de copia de seguridad de copia de seguridad de VM de Azure Colaborador de copias de seguridad Almacén de Recovery Services
Detener copia de seguridad (con retención de datos o eliminación de datos) en copia de seguridad de VM Colaborador de copias de seguridad Almacén de Recovery Services
Registrar Windows Server, cliente o SCDPM local o Azure Backup Server Operador de copias de seguridad Almacén de Recovery Services
Eliminar Windows Server, cliente o SCDPM local registrado o Azure Backup Server Colaborador de copias de seguridad Almacén de Recovery Services

Importante

Si especifica el rol de colaborador de VM en un ámbito de recursos de VM y hace clic en Copia de seguridad como parte de la configuración de VM, se abrirá la pantalla Habilitar copia de seguridad aunque ya se haya realizado una copia de seguridad de la VM. Esto se debe a que la llamada para comprobar el estado de copia de seguridad solo funciona en el nivel de suscripción. Para evitarlo, vaya al almacén y abra la vista de elementos de copia de seguridad de la VM o especifique un rol de colaborador de VM en un nivel de suscripción.

Requisitos mínimos de rol para las copias de seguridad de cargas de trabajo de Azure (copias de seguridad de SQL y HANA DB)

En la tabla siguiente se capturan acciones de administración de Backup y el rol de Azure mínimo correspondiente necesario para realizar esa operación.

Operación de administración Rol de Azure mínimo necesario Ámbito requerido Alternativa
Crear almacén de Recovery Services Colaborador de copias de seguridad Grupo de recursos que contiene el almacén
Habilitar la copia de seguridad de bases de datos SQL o HANA Operador de copias de seguridad Grupo de recursos que contiene el almacén
Colaborador de la máquina virtual Recurso de máquina virtual en el que está instalada la base de datos Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Copia de seguridad a petición de base de datos Operador de copias de seguridad Almacén de Recovery Services
Restaurar base de datos o restaurar como archivos Operador de copias de seguridad Almacén de Recovery Services
Colaborador de la máquina virtual Máquina virtual de origen de la que se hizo una copia de seguridad Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Colaborador de la máquina virtual Máquina virtual de destino en la que se restaurará la base de datos o se crearán los archivos Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Crear directiva de copia de seguridad para copia de seguridad de VM de Azure Colaborador de copias de seguridad Almacén de Recovery Services
Modificar directiva de copia de seguridad de copia de seguridad de VM de Azure Colaborador de copias de seguridad Almacén de Recovery Services
Eliminar directiva de copia de seguridad de copia de seguridad de VM de Azure Colaborador de copias de seguridad Almacén de Recovery Services
Detener copia de seguridad (con retención de datos o eliminación de datos) en copia de seguridad de VM Colaborador de copias de seguridad Almacén de Recovery Services
Colaborador de la máquina virtual VM de origen de la que se hizo una copia de seguridad Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write.
Restauración entre regiones Operador de copias de seguridad Suscripción del almacén de Recovery Services Esto se suma a los permisos de restauración mencionados anteriormente. En el caso de la restauración entre regiones, en lugar de un rol integrado, puede usar un rol personalizado que tenga los permisos siguientes:

- Microsoft.RecoveryServices/locations/backupAadProperties/read

- Microsoft.RecoveryServices/locations/backupCrrJobs/action

- Microsoft.RecoveryServices/locations/backupCrrJob/action

- Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action

- Microsoft.RecoveryServices/locations/backupCrrOperationResults/read

- Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read

Requisitos de rol mínimos para la copia de seguridad de recursos compartidos de archivos de Azure

En la tabla siguiente, se capturan acciones de administración de Backup y el rol de Azure correspondiente necesario para realizar esa operación.

Operación de administración Rol requerido Recursos
Habilitación de copia de seguridad desde el almacén de Recovery Services Colaborador de copias de seguridad Almacén de Recovery Services
Colaborador de la cuenta de almacenamiento Recurso de la cuenta de almacenamiento
Habilitación de copia de seguridad desde la hoja del recurso compartido de archivos Colaborador de copias de seguridad Almacén de Recovery Services
Colaborador de la cuenta de almacenamiento Recurso de la cuenta de almacenamiento
Colaborador Subscription
Copia de seguridad a petición de un recurso compartido de archivos Operador de copias de seguridad Almacén de Recovery Services
Restaurar el recurso compartido de archivos Operador de copias de seguridad Almacén de Recovery Services
Colaborador de copias de seguridad de la cuenta de almacenamiento Recursos de la cuenta de almacenamiento donde están presentes los recursos compartidos de archivos de destino y origen de restauración
Restaurar archivos individuales Operador de copias de seguridad Almacén de Recovery Services
Colaborador de la cuenta de almacenamiento Recursos de la cuenta de almacenamiento donde están presentes los recursos compartidos de archivos de destino y origen de restauración
Detener protección Colaborador de copias de seguridad Almacén de Recovery Services
Anular el registro de la cuenta de almacenamiento del almacén Colaborador de copias de seguridad Almacén de Recovery Services
Colaborador de la cuenta de almacenamiento Recurso de la cuenta de almacenamiento

Nota:

Si tiene acceso de colaborador en el nivel de grupo de recursos y desea configurar la copia de seguridad desde la hoja del recurso compartido de archivos, asegúrese de obtener el permiso microsoft.recoveryservices/Locations/backupStatus/action en el nivel de suscripción. Para ello, cree un rol personalizado y asigne este permiso.

Requisitos de rol mínimos para la copia de seguridad de un disco de Azure

Operación de administración Rol de Azure mínimo necesario Ámbito requerido Alternativa
Validación antes de configurar la copia de seguridad Operador de copias de seguridad Almacén de Backup
Lector de copias de seguridad de disco Disco del que se va a realizar la copia de seguridad
Habilitación de la copia de seguridad desde el almacén de copias de seguridad Operador de copias de seguridad Almacén de Backup
Lector de copias de seguridad de disco Disco del que se va a realizar la copia de seguridad Además, la MSI del almacén de copias de seguridad debe tener estos permisos
Copia de seguridad a petición del disco Operador de copias de seguridad Almacén de Backup
Validación antes de la restauración del disco Operador de copias de seguridad Almacén de Backup
Operador de restauración de disco Grupo de recursos en el que se restaurarán los discos
Restauración del disco Operador de copias de seguridad Almacén de Backup
Operador de restauración de disco Grupo de recursos en el que se restaurarán los discos Además, la MSI del almacén de copias de seguridad debe tener estos permisos

Requisitos de rol mínimos para la copia de seguridad de un blob de Azure

Operación de administración Rol de Azure mínimo necesario Ámbito requerido Alternativa
Validación antes de configurar la copia de seguridad Operador de copias de seguridad Almacén de Backup
Colaborador de copias de seguridad de la cuenta de almacenamiento Cuenta de almacenamiento que contiene el blob
Habilitación de la copia de seguridad desde el almacén de copias de seguridad Operador de copias de seguridad Almacén de Backup
Colaborador de copias de seguridad de la cuenta de almacenamiento Cuenta de almacenamiento que contiene el blob Además, la MSI del almacén de copias de seguridad debe tener estos permisos
Copia de seguridad a petición del blob Operador de copias de seguridad Almacén de Backup
Validación antes de la restauración del blob Operador de copias de seguridad Almacén de Backup
Colaborador de copias de seguridad de la cuenta de almacenamiento Cuenta de almacenamiento que contiene el blob
Restauración del blob Operador de copias de seguridad Almacén de Backup
Colaborador de copias de seguridad de la cuenta de almacenamiento Cuenta de almacenamiento que contiene el blob Además, la MSI del almacén de copias de seguridad debe tener estos permisos

Requisitos de rol mínimos para una copia de seguridad de un servidor de Azure Database for PostGreSQL

Operación de administración Rol de Azure mínimo necesario Ámbito requerido Alternativa
Validación antes de configurar la copia de seguridad Operador de copias de seguridad Almacén de Backup
Lector Servidor de Azure PostgreSQL
Habilitación de la copia de seguridad desde el almacén de copias de seguridad Operador de copias de seguridad Almacén de Backup
Colaborador Servidor de Azure PostgreSQL Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Además, la MSI del almacén de copias de seguridad debe tener estos permisos
Copia de seguridad a petición de un servidor de PostGreSQL Operador de copias de seguridad Almacén de Backup
Validación antes de la restauración de un servidor Operador de copias de seguridad Almacén de Backup
Colaborador Servidor de destino de Azure PostgreSQL Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read
Restauración de un servidor Operador de copias de seguridad Almacén de Backup
Colaborador Servidor de destino de Azure PostgreSQL Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Además, la MSI del almacén de copias de seguridad debe tener estos permisos

Pasos siguientes