Gerenciar o acesso à Recuperação de Site com o controle de acesso baseado em função do Azure (Azure RBAC)
O controle de acesso baseado em função do Azure (Azure RBAC) permite o gerenciamento de acesso refinado para o Azure. Usando o RBAC do Azure, você pode segregar responsabilidades em sua equipe e conceder apenas permissões de acesso específicas aos usuários, conforme necessário para executar trabalhos específicos.
O Azure Site Recovery fornece 3 funções internas para controlar as operações de gerenciamento da Recuperação de Site. Saiba mais sobre as funções internas do Azure
- Contribuinte do Site Recovery - esta função tem todas as permissões necessárias para gerir as operações do Azure Site Recovery num cofre dos Serviços de Recuperação. No entanto, um utilizador com esta função não consegue criar nem eliminar um cofre dos Serviços de Recuperação, nem atribuir direitos de acesso a outros utilizadores. Essa função é mais adequada para administradores de recuperação de desastres que podem habilitar e gerenciar a recuperação de desastres para aplicativos ou organizações inteiras, conforme o caso.
- Operador do Site Recovery - esta função tem permissões para executar e gerir operações de Ativação Pós-falha e Reativação Pós-falha. Um usuário com essa função não pode habilitar ou desabilitar a replicação, criar ou excluir cofres, registrar nova infraestrutura ou atribuir direitos de acesso a outros usuários. Essa função é mais adequada para um operador de recuperação de desastres que pode fazer failover de máquinas virtuais ou aplicativos quando instruído por proprietários de aplicativos e administradores de TI em uma situação de desastre real ou simulada, como um exercício de DR. Após a resolução do desastre, o operador de DR pode proteger novamente e fazer failback das máquinas virtuais.
- Leitor do Site Recovery - esta função tem permissões para ver todas as operações de gestão do Site Recovery. Essa função é mais adequada para um executivo de monitoramento de TI que pode monitorar o estado atual da proteção e levantar tíquetes de suporte, se necessário.
Se você estiver procurando definir suas próprias funções para obter ainda mais controle, veja como criar funções personalizadas no Azure.
Permissões necessárias para habilitar a replicação para novas máquinas virtuais
Quando uma nova Máquina Virtual é replicada para o Azure usando o Azure Site Recovery, os níveis de acesso do usuário associado são validados para garantir que o usuário tenha as permissões necessárias para usar os recursos do Azure fornecidos ao Site Recovery.
Para habilitar a replicação para uma nova máquina virtual, um usuário deve ter:
- Permissão para criar uma máquina virtual no grupo de recursos selecionado
- Permissão para criar uma máquina virtual na rede virtual selecionada
- Permissão para gravar na conta de armazenamento selecionada
Um usuário precisa das seguintes permissões para concluir a replicação de uma nova máquina virtual.
Importante
Certifique-se de que as permissões relevantes sejam adicionadas de acordo com o modelo de implantação (Gerenciador de Recursos/Clássico) usado para a implantação de recursos.
Nota
Se você estiver habilitando a replicação para uma VM do Azure e quiser permitir que a Recuperação de Site gerencie atualizações, ao habilitar a replicação, você também poderá querer criar uma nova conta de Automação, caso em que também precisará de permissão para criar uma conta de automação na mesma assinatura do cofre.
| Tipo de Recurso | Modelo de Implementação | Permissão |
|---|---|---|
| Computação | Gestor de Recursos | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/eliminar | ||
| Clássico | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/leitura | ||
| Microsoft.ClassicCompute/virtualMachines/gravação | ||
| Microsoft.ClassicCompute/virtualMachines/excluir | ||
| Rede | Gestor de Recursos | Microsoft.Network/networkInterfaces/leitura |
| Microsoft.Network/networkInterfaces/gravação | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/ler | ||
| Microsoft.Network/virtualNetworks/sub-redes/leitura | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Clássico | Microsoft.ClassicNetwork/virtualNetworks/leitura | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Armazenamento | Gestor de Recursos | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Clássico | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Grupo de Recursos | Gestor de Recursos | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Considere usar as funções internas 'Colaborador de Máquina Virtual' e 'Colaborador de Máquina Virtual Clássica' para modelos de implantação Resource Manager e Classic, respectivamente.
Próximos passos
- Controle de acesso baseado em função do Azure (Azure RBAC): Introdução ao Azure RBAC no portal do Azure.
- Saiba como gerir o acesso com:
- Solução de problemas do RBAC do Azure: obtenha sugestões para corrigir problemas comuns.