Udostępnij za pośrednictwem


Zarządzanie punktami odzyskiwania usługi Azure Backup przy użyciu kontroli dostępu opartej na rolach platformy Azure

Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia szczegółowe zarządzanie dostępem na platformie Azure. Przy użyciu kontroli RBAC na platformie Azure można przeprowadzać segregowanie zadań w ramach zespołu i nadawać użytkownikom tylko takie uprawnienia dostępu, które są im niezbędne do wykonywania zadań.

Ważne

Role udostępniane przez usługę Azure Backup są ograniczone do akcji, które mogą być wykonywane w witrynie Azure Portal lub za pośrednictwem interfejsu API REST lub poleceń cmdlet programu PowerShell lub interfejsu wiersza polecenia usługi Recovery Services. Akcje wykonywane w interfejsie użytkownika klienta agenta usługi Azure Backup lub interfejsie użytkownika programu System Center Data Protection Manager lub interfejsie użytkownika usługi Azure Backup Server nie mają kontroli nad tymi rolami.

Usługa Azure Backup udostępnia trzy wbudowane role do sterowania operacjami zarządzania kopiami zapasowymi. Dowiedz się więcej na temat ról wbudowanych platformy Azure

  • Współautor kopii zapasowej — ta rola ma wszystkie uprawnienia do tworzenia kopii zapasowych i zarządzania nimi, z wyjątkiem usuwania magazynu usługi Recovery Services i udzielania dostępu innym osobom. Wyobraź sobie tę rolę jako administrator zarządzania kopiami zapasowymi, który może wykonywać każdą operację zarządzania kopiami zapasowymi.
  • Operator kopii zapasowych — ta rola ma uprawnienia do wszystkich czynności współautorów, z wyjątkiem usuwania kopii zapasowych i zarządzania zasadami tworzenia kopii zapasowych. Ta rola jest równoważna współautorowi, z wyjątkiem tego, że nie może wykonywać destrukcyjnych operacji, takich jak zatrzymywanie tworzenia kopii zapasowej przy użyciu usuwania danych lub usuwanie rejestracji zasobów lokalnych.
  • Czytelnik kopii zapasowych — ta rola ma uprawnienia do wyświetlania wszystkich operacji zarządzania kopiami zapasowymi. Wyobraź sobie, że ta rola będzie osobą monitora.

Jeśli chcesz zdefiniować własne role, aby uzyskać jeszcze większą kontrolę, zobacz, jak tworzyć role niestandardowe w kontroli dostępu opartej na rolach platformy Azure.

Mapowanie wbudowanych ról kopii zapasowej na akcje zarządzania kopiami zapasowymi

Minimalne wymagania dotyczące roli dla kopii zapasowej maszyny wirtualnej platformy Azure

W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiednią minimalną rolę platformy Azure wymaganą do wykonania tej operacji.

Operacja zarządzania Wymagana minimalna rola platformy Azure Wymagany zakres Alternatywne rozwiązanie
Tworzenie magazynu usługi Recovery Services Współautor kopii zapasowej Grupa zasobów zawierająca magazyn
Włączanie tworzenia kopii zapasowych maszyn wirtualnych platformy Azure Operator kopii zapasowych Grupa zasobów zawierająca magazyn
Współautor maszyny wirtualnej Zasób maszyny wirtualnej Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Włączanie tworzenia kopii zapasowych maszyn wirtualnych platformy Azure (z bloku maszyny wirtualnej) Operator kopii zapasowych Grupa zasobów zawierająca magazyn
Operator kopii zapasowych Grupa zasobów zawierająca maszynę wirtualną
Współautor maszyny wirtualnej Zasób maszyny wirtualnej Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read Microsoft.Compute/read Microsoft.Compute/virtualMachines/instanceView/read
Kopia zapasowa maszyny wirtualnej na żądanie Operator kopii zapasowych Magazyn usługi Recovery Services
Przywracanie maszyny wirtualnej Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor Grupa zasobów, w której zostanie wdrożona maszyna wirtualna Alternatywnie, zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (wymagana tylko do przywracania klasycznej maszyny wirtualnej i nie jest wymagana dla zarządzanych maszyn wirtualnych), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/ podsieci/sprzężenia/akcji
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Współautor konta magazynu Zasób konta magazynu, w którym dyski mają zostać przywrócone Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/storageAccounts/listkeys/action
Przywracanie kopii zapasowej maszyn wirtualnych dysków niezarządzanych Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Współautor konta magazynu Zasób konta magazynu, w którym dyski mają zostać przywrócone Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/storageAccounts/listkeys/action
Przywracanie dysków zarządzanych z kopii zapasowej maszyny wirtualnej Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Współautor konta magazynu Tymczasowe konto magazynu wybrane w ramach przywracania do przechowywania danych z magazynu przed przekonwertowaniem ich na dyski zarządzane Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/storageAccounts/listkeys/action
Współautor Grupa zasobów, do której zostaną przywrócone dyski zarządzane Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Resources/subscriptions/resourceGroups/write
Przywracanie pojedynczych plików z kopii zapasowej maszyny wirtualnej Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Przywracanie między regionami Operator kopii zapasowych Subskrypcja magazynu usługi Recovery Services Jest to dodatek do uprawnień przywracania wymienionych powyżej. W szczególności dla CRR, zamiast wbudowanej roli, Możesz rozważyć rolę niestandardową, która ma następujące uprawnienia: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read"
Tworzenie zasad tworzenia kopii zapasowych dla kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Modyfikowanie zasad tworzenia kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Usuwanie zasad kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Zatrzymywanie tworzenia kopii zapasowej (z zachowaniem danych lub usuwaniem danych) na kopii zapasowej maszyny wirtualnej Współautor kopii zapasowej Magazyn usługi Recovery Services
Rejestrowanie lokalnego systemu Windows Server/klienta/scDPM lub usługi Azure Backup Server Operator kopii zapasowych Magazyn usługi Recovery Services
Usuwanie zarejestrowanego lokalnego systemu Windows Server/klienta/protokołu SCDPM lub usługi Azure Backup Server Współautor kopii zapasowej Magazyn usługi Recovery Services

Ważne

Jeśli określisz pozycję Współautor maszyny wirtualnej w zakresie zasobów maszyny wirtualnej i wybierzesz pozycję Kopia zapasowa w ramach ustawień maszyny wirtualnej, zostanie otwarty ekran Włącz kopię zapasową, mimo że kopia zapasowa maszyny wirtualnej została już utworzona. Jest to spowodowane tym, że wywołanie sprawdzania stanu kopii zapasowej działa tylko na poziomie subskrypcji. Aby tego uniknąć, przejdź do magazynu i otwórz widok elementu kopii zapasowej maszyny wirtualnej lub określ rolę Współautor maszyny wirtualnej na poziomie subskrypcji.

Minimalne wymagania dotyczące roli dla kopii zapasowych obciążeń platformy Azure (kopie zapasowe bazy danych SQL i HANA)

W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiednią minimalną rolę platformy Azure wymaganą do wykonania tej operacji.

Operacja zarządzania Wymagana minimalna rola platformy Azure Wymagany zakres Alternatywne rozwiązanie
Tworzenie magazynu usługi Recovery Services Współautor kopii zapasowej Grupa zasobów zawierająca magazyn
Włączanie tworzenia kopii zapasowych baz danych SQL i/lub HANA Operator kopii zapasowych Grupa zasobów zawierająca magazyn
Współautor maszyny wirtualnej Zasób maszyny wirtualnej, w którym zainstalowano bazę danych Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Kopia zapasowa bazy danych na żądanie Operator kopii zapasowych Magazyn usługi Recovery Services
Przywracanie bazy danych lub przywracanie jako plików Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Współautor maszyny wirtualnej Docelowa maszyna wirtualna, w której zostanie przywrócona baza danych, lub zostaną utworzone pliki Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Tworzenie zasad tworzenia kopii zapasowych dla kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Modyfikowanie zasad tworzenia kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Usuwanie zasad kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Zatrzymywanie tworzenia kopii zapasowej (z zachowaniem danych lub usuwaniem danych) na kopii zapasowej maszyny wirtualnej Współautor kopii zapasowej Magazyn usługi Recovery Services
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write
Przywracanie między regionami Operator kopii zapasowych Subskrypcja magazynu usługi Recovery Services Jest to dodatek do uprawnień przywracania wymienionych powyżej. W przypadku przywracania między regionami zamiast wbudowanej roli można użyć roli niestandardowej, która ma następujące uprawnienia:

- Microsoft.RecoveryServices/locations/backupAadProperties/read

- Microsoft.RecoveryServices/locations/backupCrrJobs/action

- Microsoft.RecoveryServices/locations/backupCrrJob/action

- Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action

- Microsoft.RecoveryServices/locations/backupCrrOperationResults/read

- Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read

Minimalne wymagania dotyczące roli kopii zapasowej udziału plików platformy Azure

W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiednią rolę platformy Azure wymaganą do wykonania tej operacji.

Operacja zarządzania Wymagana rola Zasoby
Włączanie kopii zapasowej z magazynu usługi Recovery Services Współautor kopii zapasowej Magazyn usługi Recovery Services
Współautor konta magazynu Zasób konta magazynu
Włączanie kopii zapasowej z bloku udziału plików Współautor kopii zapasowej Magazyn usługi Recovery Services
Współautor konta magazynu Zasób konta magazynu
Współautor Subskrypcja
Kopia zapasowa udziału plików na żądanie Operator kopii zapasowych Magazyn usługi Recovery Services
Przywracanie udziału plików Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor kopii zapasowej konta magazynu Zasoby konta magazynu, w których znajdują się źródłowe i docelowe udziały plików
Przywracanie pojedynczych plików Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor konta magazynu Zasoby konta magazynu, w których znajdują się źródłowe i docelowe udziały plików
Zatrzymywanie ochrony Współautor kopii zapasowej Magazyn usługi Recovery Services
Wyrejestrowywanie konta magazynu z magazynu Współautor kopii zapasowej Magazyn usługi Recovery Services
Współautor konta magazynu Zasób konta magazynu

Uwaga

Jeśli masz dostęp współautora na poziomie grupy zasobów i chcesz skonfigurować kopię zapasową z bloku udziału plików, upewnij się, że masz uprawnienia microsoft.recoveryservices/Locations/backupStatus/action na poziomie subskrypcji. W tym celu utwórz rolę niestandardową i przypisz to uprawnienie.

Minimalne wymagania dotyczące roli dla kopii zapasowej dysku platformy Azure

Operacja zarządzania Wymagana minimalna rola platformy Azure Wymagany zakres Alternatywne rozwiązanie
Sprawdź poprawność przed skonfigurowaniem kopii zapasowej Operator kopii zapasowych Magazyn kopii zapasowych
Czytnik kopii zapasowych dysku Kopia zapasowa dysku do utworzenia kopii zapasowej
Włączanie tworzenia kopii zapasowej z magazynu kopii zapasowych Operator kopii zapasowych Magazyn kopii zapasowych
Czytnik kopii zapasowych dysku Kopia zapasowa dysku do utworzenia kopii zapasowej Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia
Kopia zapasowa dysku na żądanie Operator kopii zapasowych Magazyn kopii zapasowych
Sprawdzanie poprawności przed przywróceniem dysku Operator kopii zapasowych Magazyn kopii zapasowych
Operator przywracania dysku Grupa zasobów, w której zostaną przywrócone dyski
Przywracanie dysku Operator kopii zapasowych Magazyn kopii zapasowych
Operator przywracania dysku Grupa zasobów, w której zostaną przywrócone dyski Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia

Minimalne wymagania dotyczące roli dla kopii zapasowej obiektów blob platformy Azure

Operacja zarządzania Wymagana minimalna rola platformy Azure Wymagany zakres Alternatywne rozwiązanie
Sprawdź poprawność przed skonfigurowaniem kopii zapasowej Operator kopii zapasowych Magazyn kopii zapasowych
Współautor kopii zapasowej konta magazynu Konto magazynu zawierające obiekt blob
Włączanie tworzenia kopii zapasowej z magazynu kopii zapasowych Operator kopii zapasowych Magazyn kopii zapasowych
Współautor kopii zapasowej konta magazynu Konto magazynu zawierające obiekt blob Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia
Tworzenie kopii zapasowej obiektu blob na żądanie Operator kopii zapasowych Magazyn kopii zapasowych
Sprawdzanie poprawności przed przywróceniem obiektu blob Operator kopii zapasowych Magazyn kopii zapasowych
Współautor kopii zapasowej konta magazynu Konto magazynu zawierające obiekt blob
Przywracanie obiektu blob Operator kopii zapasowych Magazyn kopii zapasowych
Współautor kopii zapasowej konta magazynu Konto magazynu zawierające obiekt blob Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia

Minimalne wymagania dotyczące roli dla kopii zapasowej serwera usługi Azure Database for PostGreSQL

Operacja zarządzania Wymagana minimalna rola platformy Azure Wymagany zakres Alternatywne rozwiązanie
Sprawdź poprawność przed skonfigurowaniem kopii zapasowej Operator kopii zapasowych Magazyn kopii zapasowych
Czytelnik Serwer Usługi Azure PostGreSQL
Włączanie tworzenia kopii zapasowej z magazynu kopii zapasowych Operator kopii zapasowych Magazyn kopii zapasowych
Współautor Serwer Usługi Azure PostGreSQL Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia
Kopia zapasowa serwera PostGreSQL na żądanie Operator kopii zapasowych Magazyn kopii zapasowych
Sprawdzanie poprawności przed przywróceniem serwera Operator kopii zapasowych Magazyn kopii zapasowych
Współautor Docelowy serwer Usługi Azure PostGreSQL Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read
Przywracanie serwera Operator kopii zapasowych Magazyn kopii zapasowych
Współautor Docelowy serwer Usługi Azure PostGreSQL Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia

Następne kroki