Site Recovery-toegang beheren met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) maakt gedetailleerd toegangsbeheer mogelijk voor Azure. Met Behulp van Azure RBAC kunt u verantwoordelijkheden binnen uw team scheiden en alleen specifieke toegangsmachtigingen verlenen aan gebruikers als dat nodig is om specifieke taken uit te voeren.
Azure Site Recovery biedt drie ingebouwde rollen voor het beheren van Site Recovery-beheerbewerkingen. Meer informatie over ingebouwde Azure-rollen
- Site Recovery-inzender - deze rol bevat alle machtigingen die nodig zijn om Azure Site Recovery-bewerkingen in een Recovery Services-kluis te kunnen beheren. Een gebruiker met deze rol kan echter geen Recovery Services-kluis maken of verwijderen, noch toegangsrechten aan andere gebruikers toewijzen. Deze rol is het meest geschikt voor beheerders van herstel na noodgevallen die herstel na noodgevallen kunnen inschakelen en beheren voor toepassingen of hele organisaties, zoals het geval kan zijn.
- Site Recovery-operator: deze rol heeft machtigingen om failover- en failback-bewerkingen uit te voeren en te beheren. Een gebruiker met deze rol kan replicatie niet in- of uitschakelen, kluizen maken of verwijderen, nieuwe infrastructuur registreren of toegangsrechten toewijzen aan andere gebruikers. Deze rol is het meest geschikt voor een operator voor herstel na noodgevallen die virtuele machines of toepassingen kan failovern wanneer deze worden geïnstrueerd door toepassingseigenaren en IT-beheerders in een werkelijke of gesimuleerde noodgeval, zoals een dr-analyse. Na de oplossing van de noodgeval kan de DR-operator de virtuele machines opnieuw beveiligen en failbacken.
- Site Recovery-lezer - deze rol heeft machtigingen voor het weergeven van alle beheerbewerkingen van Site Recovery. Deze rol is het meest geschikt voor een IT-bewakingsmanager die de huidige beveiligingsstatus kan bewaken en indien nodig ondersteuningstickets kan genereren.
Als u uw eigen rollen wilt definiëren voor nog meer controle, raadpleegt u hoe u aangepaste rollen bouwt in Azure.
Vereiste machtigingen voor het inschakelen van replicatie voor nieuwe virtuele machines
Wanneer een nieuwe virtuele machine wordt gerepliceerd naar Azure met behulp van Azure Site Recovery, worden de toegangsniveaus van de gekoppelde gebruiker gevalideerd om ervoor te zorgen dat de gebruiker over de vereiste machtigingen beschikt voor het gebruik van de Azure-resources die zijn verstrekt aan Site Recovery.
Als u replicatie voor een nieuwe virtuele machine wilt inschakelen, moet een gebruiker het volgende hebben:
- Machtiging voor het maken van een virtuele machine in de geselecteerde resourcegroep
- Machtiging voor het maken van een virtuele machine in het geselecteerde virtuele netwerk
- Machtiging voor schrijven naar het geselecteerde opslagaccount
Een gebruiker heeft de volgende machtigingen nodig om de replicatie van een nieuwe virtuele machine te voltooien.
Belangrijk
Zorg ervoor dat relevante machtigingen worden toegevoegd volgens het implementatiemodel (Resource Manager/klassiek) dat wordt gebruikt voor resource-implementatie.
Notitie
Als u replicatie inschakelt voor een Azure-VM en Site Recovery wilt toestaan om updates te beheren, kunt u tijdens het inschakelen van replicatie ook een nieuw Automation-account maken. In dat geval hebt u ook toestemming nodig om een Automation-account te maken in hetzelfde abonnement als de kluis.
| Resourcetype | Implementatiemodel | Machtiging |
|---|---|---|
| Compute | Resourcebeheer | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klassiek | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Netwerk | Resourcebeheer | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klassiek | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Storage | Resourcebeheer | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klassiek | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Resourcegroep | Resourcebeheer | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Overweeg de ingebouwde rollen 'Inzender voor virtuele machines' en 'Inzender voor klassieke virtuele machines' te gebruiken voor respectievelijk Resource Manager- en klassieke implementatiemodellen.
Volgende stappen
- Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC):Ga aan de slag met Azure RBAC in Azure Portal.
- Meer informatie over het beheren van toegang met:
- Problemen met Azure RBAC oplossen: suggesties voor het oplossen van veelvoorkomende problemen.