Uso del control de acceso basado en roles de Azure para administrar puntos de recuperación de Azure Backup
El control de acceso basado en rol de Azure (Azure RBAC) permite realizar una administración detallada del acceso para Azure. Con Azure RBAC, puede repartir las tareas entre el equipo y conceder a los usuarios únicamente el nivel de acceso que necesitan para realizar su trabajo.
Importante
Los roles proporcionados por Azure Backup están limitados a las acciones que se pueden realizar en Azure Portal o a través de la API de REST o los cmdlets de PowerShell o la CLI para el almacén de Recovery Services. Las acciones realizadas en la interfaz de usuario del cliente del agente de Azure Backup, la interfaz de usuario de System Center Data Protection Manager o la interfaz de usuario de Azure Backup Server están fuera del control de estos roles.
Azure Backup proporciona tres roles integrados para controlar las operaciones de administración de copia de seguridad. Más información sobre los roles integrados de Azure
- Colaborador de copia de seguridad: este rol tiene todos los permisos para crear y administrar copias de seguridad, excepto para eliminar el almacén de Recovery Services y facilitar acceso a otros usuarios. Imagine este rol como administrador de copias de seguridad que puede realizar todas las operaciones de administración de copia de seguridad.
- Operador de copia de seguridad: Este rol tiene permisos para todo lo que puede hacer un colaborador, excepto quitar copias de seguridad y administrar directivas de copia de seguridad. Este rol es equivalente al de colaborador, salvo que no puede realizar operaciones destructivas, como detener copias de seguridad con la eliminación de datos o quitar el registro de recursos locales.
- Lector de copia de seguridad: Este rol tiene permisos para ver todas las operaciones de administración de copia de seguridad. Imagine este rol como una persona de supervisión.
Si quiere definir sus propios roles para tener un mayor control, consulte cómo crear roles personalizados en RBAC de Azure.
Asignación de roles integrados de Backup a las acciones de administración de copia de seguridad
Requisitos de rol mínimos para la copia de seguridad de máquinas virtuales de Azure
En la tabla siguiente se capturan acciones de administración de Backup y el rol de Azure mínimo correspondiente necesario para realizar esa operación.
| Operación de administración | Rol de Azure mínimo necesario | Ámbito requerido | Alternativa |
|---|---|---|---|
| Crear almacén de Recovery Services | Colaborador de copias de seguridad | Grupo de recursos que contiene el almacén | |
| Habilitar la copia de seguridad de VM de Azure | Operador de copias de seguridad | Grupo de recursos que contiene el almacén | |
| Colaborador de la máquina virtual | Recurso de máquina virtual | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Habilitar la copia de seguridad de las máquinas virtuales de Azure (en la hoja de máquina virtual) | Operador de copias de seguridad | Grupo de recursos que contiene el almacén | |
| Operador de copias de seguridad | Grupo de recursos que contiene la máquina virtual | ||
| Colaborador de la máquina virtual | Recurso de máquina virtual | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Copia de seguridad a petición de VM | Operador de copias de seguridad | Almacén de Recovery Services | |
| Restaurar VM | Operador de copias de seguridad | Almacén de Recovery Services | |
| Colaborador | Grupo de recursos en el que se implementará la máquina virtual | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (requerido solo para la restauración de VM clásicas y no requerido para VM administradas) Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action | |
| Colaborador de la máquina virtual | Máquina virtual de origen de la que se hizo una copia de seguridad | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Colaborador de la cuenta de almacenamiento | Recurso de la cuenta de almacenamiento donde se van a restaurar los discos | Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Restaurar la copia de seguridad de la máquina virtual de discos no administrados | Operador de copias de seguridad | Almacén de Recovery Services | |
| Colaborador de la máquina virtual | Máquina virtual de origen de la que se hizo una copia de seguridad | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Colaborador de la cuenta de almacenamiento | Recurso de la cuenta de almacenamiento donde se van a restaurar los discos | Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Restaurar discos administrados de la copia de seguridad de la máquina virtual | Operador de copias de seguridad | Almacén de Recovery Services | |
| Colaborador de la máquina virtual | Máquina virtual de origen de la que se hizo una copia de seguridad | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Colaborador de la cuenta de almacenamiento | Cuenta de almacenamiento temporal seleccionada como parte de la restauración para contener datos del almacén antes de convertirlos a discos administrados | Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Colaborador | Grupo de recursos en el cual se restaurarán los discos administrados | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write. | |
| Restaurar archivos individuales desde la copia de seguridad de la máquina virtual | Operador de copias de seguridad | Almacén de Recovery Services | |
| Colaborador de la máquina virtual | Máquina virtual de origen de la que se hizo una copia de seguridad | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Restauración entre regiones | Operador de copias de seguridad | Suscripción del almacén de Recovery Services | Además de los permisos de restauración mencionados anteriormente. Específicamente para CRR, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los permisos siguientes: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Crear directiva de copia de seguridad para copia de seguridad de VM de Azure | Colaborador de copias de seguridad | Almacén de Recovery Services | |
| Modificar directiva de copia de seguridad de copia de seguridad de VM de Azure | Colaborador de copias de seguridad | Almacén de Recovery Services | |
| Eliminar directiva de copia de seguridad de copia de seguridad de VM de Azure | Colaborador de copias de seguridad | Almacén de Recovery Services | |
| Detener copia de seguridad (con retención de datos o eliminación de datos) en copia de seguridad de VM | Colaborador de copias de seguridad | Almacén de Recovery Services | |
| Registrar Windows Server, cliente o SCDPM local o Azure Backup Server | Operador de copias de seguridad | Almacén de Recovery Services | |
| Eliminar Windows Server, cliente o SCDPM local registrado o Azure Backup Server | Colaborador de copias de seguridad | Almacén de Recovery Services |
Importante
Si especifica el rol de colaborador de VM en un ámbito de recursos de VM y hace clic en Copia de seguridad como parte de la configuración de VM, se abrirá la pantalla Habilitar copia de seguridad aunque ya se haya realizado una copia de seguridad de la VM. Esto se debe a que la llamada para comprobar el estado de copia de seguridad solo funciona en el nivel de suscripción. Para evitarlo, vaya al almacén y abra la vista de elementos de copia de seguridad de la VM o especifique un rol de colaborador de VM en un nivel de suscripción.
Requisitos mínimos de rol para las copias de seguridad de cargas de trabajo de Azure (copias de seguridad de SQL y HANA DB)
En la tabla siguiente se capturan acciones de administración de Backup y el rol de Azure mínimo correspondiente necesario para realizar esa operación.
| Operación de administración | Rol de Azure mínimo necesario | Ámbito requerido | Alternativa |
|---|---|---|---|
| Crear almacén de Recovery Services | Colaborador de copias de seguridad | Grupo de recursos que contiene el almacén | |
| Habilitar la copia de seguridad de bases de datos SQL o HANA | Operador de copias de seguridad | Grupo de recursos que contiene el almacén | |
| Colaborador de la máquina virtual | Recurso de máquina virtual en el que está instalada la base de datos | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Copia de seguridad a petición de base de datos | Operador de copias de seguridad | Almacén de Recovery Services | |
| Restaurar base de datos o restaurar como archivos | Operador de copias de seguridad | Almacén de Recovery Services | |
| Colaborador de la máquina virtual | Máquina virtual de origen de la que se hizo una copia de seguridad | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Colaborador de la máquina virtual | Máquina virtual de destino en la que se restaurará la base de datos o se crearán los archivos | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Crear directiva de copia de seguridad para copia de seguridad de VM de Azure | Colaborador de copias de seguridad | Almacén de Recovery Services | |
| Modificar directiva de copia de seguridad de copia de seguridad de VM de Azure | Colaborador de copias de seguridad | Almacén de Recovery Services | |
| Eliminar directiva de copia de seguridad de copia de seguridad de VM de Azure | Colaborador de copias de seguridad | Almacén de Recovery Services | |
| Detener copia de seguridad (con retención de datos o eliminación de datos) en copia de seguridad de VM | Colaborador de copias de seguridad | Almacén de Recovery Services | |
| Colaborador de la máquina virtual | VM de origen de la que se hizo una copia de seguridad | Como alternativa, en lugar de un rol integrado, puede considerar el uso de un rol personalizado que tenga los permisos siguientes: Microsoft.Compute/virtualMachines/write. | |
| Restauración entre regiones | Operador de copias de seguridad | Suscripción del almacén de Recovery Services | Esto se suma a los permisos de restauración mencionados anteriormente. En el caso de la restauración entre regiones, en lugar de un rol integrado, puede usar un rol personalizado que tenga los permisos siguientes: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Requisitos de rol mínimos para la copia de seguridad de recursos compartidos de archivos de Azure
En la tabla siguiente, se capturan acciones de administración de Backup y el rol de Azure correspondiente necesario para realizar esa operación.
| Operación de administración | Rol requerido | Recursos |
|---|---|---|
| Habilitación de copia de seguridad desde el almacén de Recovery Services | Colaborador de copias de seguridad | Almacén de Recovery Services |
| Colaborador de la cuenta de almacenamiento | Recurso de la cuenta de almacenamiento | |
| Habilitación de copia de seguridad desde la hoja del recurso compartido de archivos | Colaborador de copias de seguridad | Almacén de Recovery Services |
| Colaborador de la cuenta de almacenamiento | Recurso de la cuenta de almacenamiento | |
| Colaborador | Subscription | |
| Copia de seguridad a petición de un recurso compartido de archivos | Operador de copias de seguridad | Almacén de Recovery Services |
| Restaurar el recurso compartido de archivos | Operador de copias de seguridad | Almacén de Recovery Services |
| Colaborador de copias de seguridad de la cuenta de almacenamiento | Recursos de la cuenta de almacenamiento donde están presentes los recursos compartidos de archivos de destino y origen de restauración | |
| Restaurar archivos individuales | Operador de copias de seguridad | Almacén de Recovery Services |
| Colaborador de la cuenta de almacenamiento | Recursos de la cuenta de almacenamiento donde están presentes los recursos compartidos de archivos de destino y origen de restauración | |
| Detener protección | Colaborador de copias de seguridad | Almacén de Recovery Services |
| Anular el registro de la cuenta de almacenamiento del almacén | Colaborador de copias de seguridad | Almacén de Recovery Services |
| Colaborador de la cuenta de almacenamiento | Recurso de la cuenta de almacenamiento |
Nota:
Si tiene acceso de colaborador en el nivel de grupo de recursos y desea configurar la copia de seguridad desde la hoja del recurso compartido de archivos, asegúrese de obtener el permiso microsoft.recoveryservices/Locations/backupStatus/action en el nivel de suscripción. Para ello, cree un rol personalizado y asigne este permiso.
Requisitos de rol mínimos para la copia de seguridad de un disco de Azure
| Operación de administración | Rol de Azure mínimo necesario | Ámbito requerido | Alternativa |
|---|---|---|---|
| Validación antes de configurar la copia de seguridad | Operador de copias de seguridad | Almacén de Backup | |
| Lector de copias de seguridad de disco | Disco del que se va a realizar la copia de seguridad | ||
| Habilitación de la copia de seguridad desde el almacén de copias de seguridad | Operador de copias de seguridad | Almacén de Backup | |
| Lector de copias de seguridad de disco | Disco del que se va a realizar la copia de seguridad | Además, la MSI del almacén de copias de seguridad debe tener estos permisos | |
| Copia de seguridad a petición del disco | Operador de copias de seguridad | Almacén de Backup | |
| Validación antes de la restauración del disco | Operador de copias de seguridad | Almacén de Backup | |
| Operador de restauración de disco | Grupo de recursos en el que se restaurarán los discos | ||
| Restauración del disco | Operador de copias de seguridad | Almacén de Backup | |
| Operador de restauración de disco | Grupo de recursos en el que se restaurarán los discos | Además, la MSI del almacén de copias de seguridad debe tener estos permisos |
Requisitos de rol mínimos para la copia de seguridad de un blob de Azure
| Operación de administración | Rol de Azure mínimo necesario | Ámbito requerido | Alternativa |
|---|---|---|---|
| Validación antes de configurar la copia de seguridad | Operador de copias de seguridad | Almacén de Backup | |
| Colaborador de copias de seguridad de la cuenta de almacenamiento | Cuenta de almacenamiento que contiene el blob | ||
| Habilitación de la copia de seguridad desde el almacén de copias de seguridad | Operador de copias de seguridad | Almacén de Backup | |
| Colaborador de copias de seguridad de la cuenta de almacenamiento | Cuenta de almacenamiento que contiene el blob | Además, la MSI del almacén de copias de seguridad debe tener estos permisos | |
| Copia de seguridad a petición del blob | Operador de copias de seguridad | Almacén de Backup | |
| Validación antes de la restauración del blob | Operador de copias de seguridad | Almacén de Backup | |
| Colaborador de copias de seguridad de la cuenta de almacenamiento | Cuenta de almacenamiento que contiene el blob | ||
| Restauración del blob | Operador de copias de seguridad | Almacén de Backup | |
| Colaborador de copias de seguridad de la cuenta de almacenamiento | Cuenta de almacenamiento que contiene el blob | Además, la MSI del almacén de copias de seguridad debe tener estos permisos |
Requisitos de rol mínimos para una copia de seguridad de un servidor de Azure Database for PostGreSQL
| Operación de administración | Rol de Azure mínimo necesario | Ámbito requerido | Alternativa |
|---|---|---|---|
| Validación antes de configurar la copia de seguridad | Operador de copias de seguridad | Almacén de Backup | |
| Lector | Servidor de Azure PostgreSQL | ||
| Habilitación de la copia de seguridad desde el almacén de copias de seguridad | Operador de copias de seguridad | Almacén de Backup | |
| Colaborador | Servidor de Azure PostgreSQL | Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Además, la MSI del almacén de copias de seguridad debe tener estos permisos | |
| Copia de seguridad a petición de un servidor de PostGreSQL | Operador de copias de seguridad | Almacén de Backup | |
| Validación antes de la restauración de un servidor | Operador de copias de seguridad | Almacén de Backup | |
| Colaborador | Servidor de destino de Azure PostgreSQL | Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Restauración de un servidor | Operador de copias de seguridad | Almacén de Backup | |
| Colaborador | Servidor de destino de Azure PostgreSQL | Como alternativa, en lugar de un rol integrado, puede considerar un rol personalizado que tenga los siguientes permisos: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Además, la MSI del almacén de copias de seguridad debe tener estos permisos |
Pasos siguientes
- Control de acceso basado en roles de Azure (Azure RBAC): Introducción a Azure RBAC en Azure Portal.
- Aprenda a administrar el acceso con:
- Solución de problemas del control de acceso basado en roles de Azure: Obtenga sugerencias acerca de cómo solucionar problemas comunes.