Использование управления доступом на основе ролей Azure для управления точками восстановления Azure Backup
Контроль доступа на основе ролей (Azure RBAC) обеспечивает точное управление доступом в Azure. С помощью Azure RBAC вы можете распределить обязанности внутри команды и предоставить пользователям доступ на уровне, который им необходим для выполнения поставленных задач.
Внимание
Роли, предоставленные службой архивации Azure, ограничены действиями, которые можно выполнить на портале Azure, с помощью REST API, в командлетах PowerShell хранилища служб восстановления или командлетах CLI. Эти роли не управляют действиями, выполняемыми в пользовательском интерфейсе клиента агента службы Azure Backup, System Center Data Protection Manager или Azure Backup Server.
Azure Backup предоставляет три встроенные роли для операций управления резервным копированием: Дополнительные сведения о встроенных ролях Azure
- Участник резервного копирования. Эта роль имеет все разрешения на создание резервных копий и управления ими, кроме разрешения на удаление хранилища служб восстановления и предоставление доступа другим пользователям. Эта роль представляет собой администратора управления архивацией, который может выполнять любую операцию управления архивацией.
- Оператор архивации. Эта роль имеет те же разрешения, что и участник, но не может удалять резервные копии и управлять политикой архивации. Эта роль эквивалентна роли участника, за исключением того, что пользователь с этой ролью не может выполнять операции удаления, такие как прекращение архивации с удалением данных или удаление регистрации локальных ресурсов.
- Читатель резервных копий. Эта роль имеет разрешения на просмотр всех операций управления архивацией. Используйте эту роль, чтобы осуществлять мониторинг.
Если вы хотите определить собственные роли для дополнительного управления, см. статью Пользовательские роли в Azure RBAC.
Сопоставление встроенных ролей архивации с операциями управления архивацией
Минимальные требования к ролям для резервного копирования виртуальных машин Azure
В следующей таблице указаны операции управления архивацией и соответствующая минимальная роль Azure, необходимая для их выполнения.
| Операция управления | Требуется роль Azure с минимальными разрешениями | Требуемая область | Альтернатива |
|---|---|---|---|
| Создание хранилища Служб восстановления | Участник резервного копирования | Группа ресурсов, содержащая хранилище | |
| Включение архивации виртуальных машин Azure | Оператор резервного копирования | Группа ресурсов, содержащая хранилище | |
| Участник виртуальной машины | Ресурс виртуальной машины | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Включение резервного копирования виртуальных машин Azure (из блейд-модуля для виртуальных машин) | Оператор резервного копирования | Группа ресурсов, содержащая хранилище | |
| Оператор резервного копирования | Группа ресурсов, содержащая виртуальную машину | ||
| Участник виртуальной машины | Ресурс виртуальной машины | Кроме того, вместо встроенной роли можно использовать настраиваемую роль со следующими разрешениями: Microsoft.Compute/virtualMaвихes/write Microsoft.Compute/virtualMaвьes/read Microsoft.Compute/virtualMaиодес/virtualMaиоes/instanceView/read | |
| Архивация виртуальной машины по запросу | Оператор резервного копирования | Хранилище Служб восстановления | |
| Восстановление виртуальной машины | Оператор резервного копирования | Хранилище Служб восстановления | |
| Участник | Группа ресурсов, в которой будет развернута виртуальная машина | Кроме того, вместо встроенной роли можно использовать пользовательскую роль со следующими разрешениями: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (требуется для восстановления только классических виртуальных машин и не требуется для управляемых виртуальных машин), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action. | |
| Участник виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Участник учетных записей хранения | Ресурс учетной записи хранения, где будет восстанавливаться диски | Кроме того, вместо встроенной роли можно рассмотреть пользовательскую роль, которая имеет следующие разрешения: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/storageAccounts/storageAccounts/listkeys/action | |
| Восстановление резервной копии виртуальной машины с неуправляемыми дисками | Оператор резервного копирования | Хранилище Служб восстановления | |
| Участник виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Участник учетных записей хранения | Ресурс учетной записи хранения, где будет восстанавливаться диски | Кроме того, вместо встроенной роли можно рассмотреть пользовательскую роль, которая имеет следующие разрешения: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/storageAccounts/storageAccounts/listkeys/action | |
| Восстановление управляемых дисков из резервной копии виртуальной машины | Оператор резервного копирования | Хранилище Служб восстановления | |
| Участник виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Участник учетных записей хранения | Временная учетная запись хранения, выбранная в процессе восстановления, для хранения данных из хранилища перед их преобразованием в управляемые диски | Кроме того, вместо встроенной роли можно рассмотреть пользовательскую роль, которая имеет следующие разрешения: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/storageAccounts/storageAccounts/listkeys/action | |
| Участник | Группа ресурсов, в которую будут восстановлены управляемые диски | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Resources/Subscriptions/resourceGroups/Write | |
| Восстановление отдельных файлов из резервной копии виртуальной машины | Оператор резервного копирования | Хранилище Служб восстановления | |
| Участник виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Восстановление между регионами | Оператор резервного копирования | Подписка на хранилище служб восстановления | Это дополнение к описанным выше разрешениям на восстановление. В частности, для восстановления между регионами вместо встроенной роли можно использовать пользовательскую роль со следующими разрешениями: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Создание политики архивации виртуальных машин Azure | Участник резервного копирования | Хранилище Служб восстановления | |
| Изменение политики архивации виртуальных машин Azure | Участник резервного копирования | Хранилище Служб восстановления | |
| Удаление политики архивации виртуальных машин Azure | Участник резервного копирования | Хранилище Служб восстановления | |
| Прекращение архивации (с сохранением или удалением данных) виртуальной машины | Участник резервного копирования | Хранилище Служб восстановления | |
| Регистрация локального сервера Windows Server, клиента, SCDPM или Azure Backup Server | Оператор резервного копирования | Хранилище Служб восстановления | |
| Удаление зарегистрированного локального сервера Windows Server, клиента, SCDPM или Azure Backup Server | Участник резервного копирования | Хранилище Служб восстановления |
Внимание
Если вы зададите роль участника виртуальной машины в пределах ресурса и выберете Резервное копирование в ее параметрах, откроется экран Включить резервное копирование, несмотря на то, что оно уже выполнено. Это объясняется тем, что вызов для проверки состояния резервного копирования работает только на уровне подписки. Чтобы избежать этой проблемы, перейдите к хранилищу и откройте представление элемента резервного копирования для виртуальной машины или назначьте роль участника виртуальной машины на уровне подписки.
Минимальные требования к ролям для резервного копирования рабочих нагрузок Azure (резервные копии баз данных SQL и HANA)
В следующей таблице указаны операции управления архивацией и соответствующая минимальная роль Azure, необходимая для их выполнения.
| Операция управления | Требуется роль Azure с минимальными разрешениями | Требуемая область | Альтернатива |
|---|---|---|---|
| Создание хранилища Служб восстановления | Участник резервного копирования | Группа ресурсов, содержащая хранилище | |
| Включение резервного копирования баз данных SQL и (или) HANA | Оператор резервного копирования | Группа ресурсов, содержащая хранилище | |
| Участник виртуальной машины | Ресурс виртуальной машины, где установлена база данных | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Резервное копирование базы данных по запросу | Оператор резервного копирования | Хранилище Служб восстановления | |
| Восстановление базы данных или восстановление в виде файлов | Оператор резервного копирования | Хранилище Служб восстановления | |
| Участник виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Участник виртуальной машины | Целевая виртуальная машина, в которой будет восстановлена база данных или созданы файлы | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Создание политики архивации виртуальных машин Azure | Участник резервного копирования | Хранилище Служб восстановления | |
| Изменение политики архивации виртуальных машин Azure | Участник резервного копирования | Хранилище Служб восстановления | |
| Удаление политики архивации виртуальных машин Azure | Участник резервного копирования | Хранилище Служб восстановления | |
| Прекращение архивации (с сохранением или удалением данных) виртуальной машины | Участник резервного копирования | Хранилище Служб восстановления | |
| Участник виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write | |
| Восстановление между регионами | Оператор резервного копирования | Подписка хранилища служб восстановления | Это в дополнение к разрешениям восстановления, упомянутым выше. В случае восстановления между регионами вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: — Microsoft.RecoveryServices/locations/backupAadProperties/read — Microsoft.RecoveryServices/locations/backupCrrJobs/action — Microsoft.RecoveryServices/locations/backupCrrJob/action — Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action — Microsoft.RecoveryServices/locations/backupCrrOperationResults/read — Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Минимальные требования к ролям для резервного копирования общей папки Azure
В следующей таблице указаны операции управления архивацией и соответствующая роль Azure, необходимая для их выполнения.
| Операция управления | Требуется роль | Ресурсы |
|---|---|---|
| Включение резервного копирования из хранилища Служб восстановления | Участник резервного копирования | Хранилище Служб восстановления |
| Участник учетной записи хранения | Ресурс учетной записи хранения | |
| Включение резервного копирования из колонки общей папки | Участник резервного копирования | Хранилище Служб восстановления |
| Участник учетной записи хранения | Ресурс учетной записи хранения | |
| Участник | Отток подписок | |
| Резервное копирование общей папки по запросу | Оператор резервного копирования | Хранилище Служб восстановления |
| Восстановление общей папки | Оператор резервного копирования | Хранилище Служб восстановления |
| Участник резервного копирования учетной записи хранения | Ресурсы учетной записи хранения, в которой содержатся исходные и целевые общие папки для восстановления | |
| Восстановление отдельных файлов | Оператор резервного копирования | Хранилище Служб восстановления |
| Участник учетных записей хранения | Ресурсы учетной записи хранения, в которой содержатся исходные и целевые общие папки для восстановления | |
| Отключение защиты | Участник резервного копирования | Хранилище Служб восстановления |
| Отмена регистрации учетной записи хранения в хранилище | Участник резервного копирования | Хранилище Служб восстановления |
| Участник учетных записей хранения | Ресурс учетной записи хранения |
Примечание.
Если у вас есть доступ участника на уровне группы ресурсов и вы хотите настроить резервное копирование из колонки общей папки, обязательно получите разрешение microsoft.recoveryservices/Locations/backupStatus/action на уровне подписки. Для этого создайте пользовательскую роль и назначьте это разрешение.
Минимальные требования к ролям для резервного копирования дисков Azure
| Операция управления | Требуется роль Azure с минимальными разрешениями | Требуемая область | Альтернатива |
|---|---|---|---|
| Проверка перед настройкой резервного копирования | Оператор резервного копирования | Хранилище резервных копий | |
| Читатель резервной копии диска | Диск для резервного копирования | ||
| Включение резервного копирования из хранилища резервного копирования | Оператор резервного копирования | Хранилище резервных копий | |
| Читатель резервной копии диска | Диск для резервного копирования | Кроме того, для MSI хранилища резервных копий должны быть назначены эти разрешения | |
| Резервное копирование диска по запросу | Оператор резервного копирования | Хранилище резервных копий | |
| Проверка перед восстановлением диска | Оператор резервного копирования | Хранилище резервных копий | |
| Оператор восстановления дисков | Группа ресурсов, куда будут восстановлены диски | ||
| Восстановление диска | Оператор резервного копирования | Хранилище резервных копий | |
| Оператор восстановления дисков | Группа ресурсов, куда будут восстановлены диски | Кроме того, для MSI хранилища резервных копий должны быть назначены эти разрешения |
Минимальные требования к ролям для резервного копирования BLOB-объекта Azure
| Операция управления | Требуется роль Azure с минимальными разрешениями | Требуемая область | Альтернатива |
|---|---|---|---|
| Проверка перед настройкой резервного копирования | Оператор резервного копирования | Хранилище резервных копий | |
| Участник резервного копирования учетной записи хранения | Учетная запись хранения, содержащая BLOB-объект | ||
| Включение резервного копирования из хранилища резервного копирования | Оператор резервного копирования | Хранилище резервных копий | |
| Участник резервного копирования учетной записи хранения | Учетная запись хранения, содержащая BLOB-объект | Кроме того, для MSI хранилища резервных копий должны быть назначены эти разрешения | |
| Резервное копирование BLOB-объекта по запросу | Оператор резервного копирования | Хранилище резервных копий | |
| Проверка перед восстановлением BLOB-объекта | Оператор резервного копирования | Хранилище резервных копий | |
| Участник резервного копирования учетной записи хранения | Учетная запись хранения, содержащая BLOB-объект | ||
| Восстановление BLOB-объекта | Оператор резервного копирования | Хранилище резервных копий | |
| Участник резервного копирования учетной записи хранения | Учетная запись хранения, содержащая BLOB-объект | Кроме того, для MSI хранилища резервных копий должны быть назначены эти разрешения |
Минимальные требования к роли для резервного копирования сервера Базы данных Azure для PostgreSQL
| Операция управления | Требуется роль Azure с минимальными разрешениями | Требуемая область | Альтернатива |
|---|---|---|---|
| Проверка перед настройкой резервного копирования | Оператор резервного копирования | Хранилище резервных копий | |
| Читатель | Сервер Azure PostGreSQL | ||
| Включение резервного копирования из хранилища резервного копирования | Оператор резервного копирования | Хранилище резервных копий | |
| Участник | Сервер Azure PostGreSQL | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read, кроме того, для MSI хранилища резервных копий должны быть назначены эти разрешения | |
| Резервное копирование сервера PostgreSQL по запросу | Оператор резервного копирования | Хранилище резервных копий | |
| Проверка перед восстановлением сервера | Оператор резервного копирования | Хранилище резервных копий | |
| Участник | Целевой сервер Azure PostgreSQL | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Восстановление сервера | Оператор резервного копирования | Хранилище резервных копий | |
| Участник | Целевой сервер Azure PostgreSQL | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read, кроме того, для MSI хранилища резервных копий должны быть назначены эти разрешения |
Следующие шаги
- Управление доступом на основе ролей Azure (Azure RBAC): начните работу с Azure RBAC на портале Azure.
- Узнайте, как управлять доступом с помощью:
- Устранение неполадок при управлении доступом на основе ролей Azure. Рекомендации по устранению распространенных проблем.