Informacje o autoryzacji wielu użytkowników przy użyciu funkcji Resource Guard
Autoryzacja wielu użytkowników (MUA) dla usługi Azure Backup umożliwia dodanie dodatkowej warstwy ochrony do krytycznych operacji na magazynach usługi Recovery Services i magazynach usługi Backup. W przypadku usługi MUA usługa Azure Backup używa innego zasobu platformy Azure o nazwie Resource Guard, aby upewnić się, że operacje krytyczne są wykonywane tylko z odpowiednią autoryzacją.
Uwaga
Autoryzacja wielu użytkowników przy użyciu funkcji Resource Guard dla magazynu kopii zapasowych jest teraz ogólnie dostępna.
Jak działa usługa MUA for Backup?
Usługa Azure Backup używa funkcji Resource Guard jako dodatkowego mechanizmu autoryzacji dla magazynu usługi Recovery Services lub magazynu usługi Backup. W związku z tym, aby pomyślnie wykonać operację krytyczną (opisaną poniżej), musisz mieć wystarczające uprawnienia do skojarzonej funkcji Resource Guard.
Ważne
Aby działać zgodnie z oczekiwaniami, funkcja Resource Guard musi być własnością innego użytkownika, a administrator magazynu nie musi mieć uprawnień współautora, administratora mua kopii zapasowej ani operatora MUA kopii zapasowej w funkcji Resource Guard. Możesz umieścić usługę Resource Guard w subskrypcji lub dzierżawie innej niż ta zawierająca magazyny, aby zapewnić lepszą ochronę.
Operacje krytyczne
W poniższej tabeli wymieniono operacje zdefiniowane jako operacje krytyczne i mogą być chronione przez funkcję Resource Guard. Możesz wykluczyć niektóre operacje z ochrony przy użyciu funkcji Resource Guard podczas kojarzenia z nim magazynów.
Uwaga
Nie można wykluczyć operacji oznaczonych jako Obowiązkowe przed ochroną przy użyciu funkcji Resource Guard dla skojarzonych z nim magazynów. Ponadto wykluczone operacje krytyczne będą miały zastosowanie do wszystkich magazynów skojarzonych z funkcją Resource Guard.
Wybieranie magazynu
Operacja | Obowiązkowe/opcjonalne | opis |
---|---|---|
Wyłączanie funkcji usuwania nietrwałego lub zabezpieczeń | Obowiązkowy | Wyłącz ustawienie usuwania nietrwałego w magazynie. |
Usuwanie ochrony MUA | Obowiązkowy | Wyłącz ochronę MUA w magazynie. |
Usuwanie ochrony | Opcjonalnie | Usuń ochronę, zatrzymując kopie zapasowe i wykonując usuwanie danych. |
Modyfikowanie ochrony | Opcjonalnie | Dodaj nowe zasady tworzenia kopii zapasowych z obniżoną częstotliwością przechowywania lub zmieniania zasad w celu zwiększenia celu punktu odzyskiwania. |
Modyfikowanie zasad | Opcjonalnie | Zmodyfikuj zasady tworzenia kopii zapasowych, aby zmniejszyć częstotliwość przechowywania lub zmienić częstotliwość zasad w celu zwiększenia celu punktu odzyskiwania. |
Uzyskiwanie numeru PIN zabezpieczeń kopii zapasowej | Opcjonalnie | Zmień numer PIN zabezpieczeń usługi MARS. |
Zatrzymywanie tworzenia kopii zapasowej i zachowywanie danych | Opcjonalnie | Usuwanie ochrony przez zatrzymywanie kopii zapasowych i zachowywanie danych na zawsze lub zachowywanie ich zgodnie z zasadami. |
Wyłączanie niezmienności | Opcjonalnie | Wyłącz ustawienie niezmienności w magazynie. |
Pojęcia i proces
Poniżej wyjaśniono pojęcia i procesy związane z używaniem usługi MUA dla usługi Azure Backup.
Rozważmy następujące dwie osoby, aby jasno zrozumieć proces i obowiązki. Te dwie osoby są przywołyne w tym artykule.
Administrator kopii zapasowej: właściciel magazynu usługi Recovery Services lub magazynu usługi Backup, który wykonuje operacje zarządzania w magazynie. Na początek administrator kopii zapasowej nie może mieć żadnych uprawnień do funkcji Resource Guard. Może to być rola RBAC współautora kopii zapasowej lub operatora kopii zapasowej w magazynie usługi Recovery Services.
Administrator zabezpieczeń: właściciel funkcji Resource Guard i służy jako strażnik krytycznych operacji w magazynie. W związku z tym administrator zabezpieczeń kontroluje uprawnienia, które administrator kopii zapasowej musi wykonywać operacje krytyczne w magazynie. Może to być rola RBAC administratora usługi MUA w funkcji Resource Guard.
Poniżej przedstawiono diagramową reprezentację wykonywania operacji krytycznej w magazynie, który ma skonfigurowaną usługę MUA przy użyciu funkcji Resource Guard.
Oto przepływ zdarzeń w typowym scenariuszu:
Administrator kopii zapasowej tworzy magazyn usługi Recovery Services lub magazyn usługi Backup.
Administrator zabezpieczeń tworzy funkcję Resource Guard.
Funkcja Resource Guard może znajdować się w innej subskrypcji lub innej dzierżawie w odniesieniu do magazynu. Upewnij się, że administrator kopii zapasowej nie ma uprawnień współautora, administratora mua kopii zapasowej ani operatora MUA kopii zapasowej w funkcji Resource Guard.
Administrator zabezpieczeń przyznaje rolę Czytelnik administratorowi kopii zapasowej dla funkcji Resource Guard (lub odpowiedniego zakresu). Administrator kopii zapasowej wymaga roli czytelnika, aby włączyć usługę MUA w magazynie.
Administrator kopii zapasowej konfiguruje teraz magazyn, który ma być chroniony przez usługę MUA za pośrednictwem funkcji Resource Guard.
Jeśli teraz administrator kopii zapasowej lub dowolny użytkownik mający dostęp do zapisu w magazynie chce wykonać krytyczną operację chronioną za pomocą funkcji Resource Guard w magazynie, musi zażądać dostępu do funkcji Resource Guard. Administrator kopii zapasowej może skontaktować się z administratorem zabezpieczeń, aby uzyskać szczegółowe informacje na temat uzyskiwania dostępu do wykonywania takich operacji. Mogą to zrobić przy użyciu usługi Privileged Identity Management (PIM) lub innych procesów, zgodnie z wymaganiami organizacji. Mogą żądać roli RBAC "Operator MUA kopii zapasowej", która umożliwia użytkownikom wykonywanie tylko krytycznych operacji chronionych przez funkcję Resource Guard i nie zezwala na usuwanie funkcji Resource Guard.
Administrator zabezpieczeń tymczasowo przyznaje rolę "Operator MUA kopii zapasowej" w funkcji Resource Guard administratorowi kopii zapasowej w celu wykonywania krytycznych operacji.
Następnie administrator kopii zapasowej inicjuje operację krytyczną.
Usługa Azure Resource Manager sprawdza, czy administrator kopii zapasowej ma wystarczające uprawnienia, czy nie. Ponieważ administrator kopii zapasowej ma teraz rolę "Operator MUA kopii zapasowej" w funkcji Resource Guard, żądanie zostanie ukończone. Jeśli administrator kopii zapasowej nie ma wymaganych uprawnień/ról, żądanie zakończy się niepowodzeniem.
Administrator zabezpieczeń musi zapewnić odwołanie uprawnień do wykonywania operacji krytycznych po wykonaniu autoryzowanych akcji lub po określonym czasie trwania. Aby zapewnić to samo, możesz użyć narzędzi JIT firmy Microsoft Entra Privileged Identity Management .
Uwaga
- Jeśli przyznasz rolę współautora lub administratora usługi MUA kopii zapasowej na dostępie funkcji Resource Guard tymczasowo do administratora kopii zapasowej, zapewnia również uprawnienia do usuwania w funkcji Resource Guard. Zalecamy podanie tylko uprawnień operatora MUA kopii zapasowej.
- Usługa MUA zapewnia ochronę powyższych operacji wykonywanych tylko na magazynowanych kopiach zapasowych. Wszystkie operacje wykonywane bezpośrednio w źródle danych (czyli chronionym zasobie/obciążeniu platformy Azure) wykraczają poza zakres funkcji Resource Guard.
Scenariusze użycia
W poniższej tabeli wymieniono scenariusze tworzenia magazynu i funkcji Resource Guard (magazyn usługi Recovery Services i magazyn usługi Backup) oraz względną ochronę oferowaną przez poszczególne magazyny.
Ważne
Administrator kopii zapasowej nie może mieć uprawnień współautora, administratora MUA kopii zapasowej ani operatora MUA kopii zapasowej do funkcji Resource Guard w żadnym scenariuszu, ponieważ spowoduje to zastąpienie ochrony MUA w magazynie.
Scenariusz użycia | Ochrona spowodowana mua | Łatwość implementacji | Uwagi |
---|---|---|---|
Magazyn i funkcja Resource Guard znajdują się w tej samej subskrypcji. Administrator kopii zapasowej nie ma dostępu do funkcji Resource Guard. |
Najmniej izolacja między administratorem kopii zapasowej a administratorem zabezpieczeń. | Stosunkowo łatwo zaimplementować, ponieważ wymagana jest tylko jedna subskrypcja. | Należy upewnić się, że uprawnienia/role na poziomie zasobu są prawidłowo przypisane. |
Magazyn i usługa Resource Guard znajdują się w różnych subskrypcjach, ale w tej samej dzierżawie. Administrator kopii zapasowej nie ma dostępu do funkcji Resource Guard ani odpowiedniej subskrypcji. |
Średnia izolacja między administratorem kopii zapasowej a administratorem zabezpieczeń. | Stosunkowo średnia łatwość implementacji, ponieważ wymagane są dwie subskrypcje (ale jedna dzierżawa). | Upewnij się, że uprawnienia/role są poprawnie przypisane dla zasobu lub subskrypcji. |
Magazyn i funkcja Resource Guard znajdują się w różnych dzierżawach. Administrator kopii zapasowej nie ma dostępu do funkcji Resource Guard, odpowiedniej subskrypcji ani odpowiedniej dzierżawy. |
Maksymalna izolacja między administratorem kopii zapasowej a administratorem zabezpieczeń, w związku z tym maksymalna liczba zabezpieczeń. | Stosunkowo trudne do przetestowania, ponieważ wymaga testowania dwóch dzierżaw lub katalogów. | Upewnij się, że uprawnienia/role są poprawnie przypisane dla zasobu, subskrypcji lub katalogu. |
Następne kroki
Skonfiguruj autoryzację dla wielu użytkowników przy użyciu funkcji Resource Guard.