حول التخويل متعدد المستخدمين باستخدام Resource Guard

يسمح لك التخويل متعدد المستخدمين (MUA) ل Azure Backup بإضافة طبقة إضافية من الحماية إلى العمليات الهامة على خزائن خدمات الاسترداد وخزائن النسخ الاحتياطي. بالنسبة إلى التخويل متعدد المستخدمين، يستخدم Azure Backup مورد Azure آخر يسمى Resource Guard لضمان تنفيذ العمليات الهامة فقط مع التخويل القابل للتطبيق.

إشعار

يتوفر الآن تخويل متعدد المستخدمين باستخدام Resource Guard لخزنة النسخ الاحتياطي بشكل عام.

كيف يعمل التخويل متعدد المستخدمين للنسخ الاحتياطي؟

يستخدم Azure Backup Resource Guard كآلية تخويل إضافية لمخزن خدمات الاسترداد أو مخزن النسخ الاحتياطي. لذلك، لتنفيذ العملية الحرجة (الموضحة أدناه) بنجاح، يجب أن يكون لديك أذونات كافية على Resource Guard المقترن أيضاً.

هام

للعمل على النحو المنشود، يجب أن يكون Resource Guard مملوكا لمستخدم مختلف، ويجب ألا يكون لدى مسؤول المخزن أذونات المساهم أو مسؤول التخويل متعدد المستخدمين للنسخ الاحتياطي أو عامل تشغيل النسخ الاحتياطي MUA على Resource Guard. يمكنك وضع Resource Guard في اشتراك أو مستأجر مختلف عن الاشتراك الذي يحتوي على الخزائن لتوفير حماية أفضل.

العمليات الحرجة

يسرد الجدول التالي العمليات المعرفة كعمليات هامة ويمكن حمايتها بواسطة Resource Guard. يمكنك اختيار استبعاد عمليات معينة من الحماية باستخدام Resource Guard عند ربط الخزائن به.

إشعار

لا يمكنك استبعاد العمليات المذكورة على أنها إلزامية من الحماية باستخدام Resource Guard للمخازن المقترنة به. كما أن العمليات الحرجة المستبعدة ستنطبق على جميع الخزائن المرتبطة بـ Resource Guard.

اختيار مخزن

مخزن خدمات الاسترداد

العملية	إلزامي/ اختياري	‏‏الوصف
تعطيل ميزات الحذف المبدئي أو الأمان	إلزامي	تعطيل إعداد الحذف المبدئي على المخزن.
إزالة حماية التخويل متعدد المستخدمين	إلزامي	تعطيل حماية التخويل متعدد المستخدمين على مخزن.
حذف الحماية	اختياري	احذف الحماية عن طريق إيقاف النسخ الاحتياطية وتنفيذ حذف البيانات.
تعديل الحماية	اختياري	إضافة نهج نسخ احتياطي جديد مع تقليل الاستبقاء أو تغيير تكرار النهج لزيادة RPO.
تعديل النهج	اختياري	تعديل نهج النسخ الاحتياطي لتقليل الاستبقاء أو تغيير تكرار النهج لزيادة RPO.
الحصول على رمز PIN لأمان النسخ الاحتياطي	اختياري	تغيير رمز PIN لأمان MARS.
إيقاف النسخ الاحتياطي والاحتفاظ بالبيانات	اختياري	احذف الحماية عن طريق إيقاف النسخ الاحتياطية وإجراء الاحتفاظ بالبيانات إلى الأبد أو الاحتفاظ بها وفقا للنهج.
تعطيل عدم قابلية التغيير	اختياري	تعطيل إعداد عدم قابلية التغيير على المخزن.

مخزن النسخ الاحتياطي

العملية	إلزامي/ اختياري	‏‏الوصف
تعطيل الحذف المبدئي	إلزامي	تعطيل إعداد الحذف المبدئي على المخزن.
إزالة حماية التخويل متعدد المستخدمين	إلزامي	تعطيل حماية التخويل متعدد المستخدمين على مخزن.
حذف مثيل النسخ الاحتياطي	اختياري	احذف الحماية عن طريق إيقاف النسخ الاحتياطية وتنفيذ حذف البيانات.
إيقاف النسخ الاحتياطي والاحتفاظ به إلى الأبد	اختياري	احذف الحماية عن طريق إيقاف النسخ الاحتياطية وإجراء الاحتفاظ بالبيانات إلى الأبد.
إيقاف النسخ الاحتياطي والاحتفاظ وفقا للنهج	اختياري	احذف الحماية عن طريق إيقاف النسخ الاحتياطية وإجراء الاحتفاظ بالبيانات وفقا للنهج.
تعطيل عدم قابلية التغيير	اختياري	تعطيل إعداد عدم قابلية التغيير على المخزن.

المفاهيم والعملية

يتم شرح المفاهيم والعمليات المتضمنة عند استخدام التخويل متعدد المستخدمين ل Azure Backup أدناه.

دعونا ننظر في الشخصين التاليين لفهم واضح للعملية والمسؤوليات. تتم الإشارة إلى هذين الشخصين خلال هذه المقالة.

مسؤول النسخ الاحتياطي: مالك مخزن خدمات الاسترداد أو مخزن النسخ الاحتياطي الذي يقوم بعمليات الإدارة على المخزن. لتبدأ، يجب أن لا يكون لدى مسؤول النسخ الاحتياطي أي أذونات على Resource Guard. يمكن أن يكون هذا دور عامل تشغيل النسخ الاحتياطي أو دور التحكم في الوصول استنادا إلى الدور لمساهم النسخ الاحتياطي في مخزن خدمات الاسترداد.

مسؤول الأمن: مالك Resource Guard ويعمل كحارس للعمليات الحرجة في المخزن. وبالتالي، يتحكم مسؤول الأمان في الأذونات التي يحتاجها مسؤول النسخ الاحتياطي لتنفيذ العمليات المهمة في المخزن. يمكن أن يكون هذا دور Backup MUA Admin RBAC على Resource Guard.

فيما يلي تمثيل تخطيطي لتنفيذ عملية هامة على مخزن تم تكوين التخويل متعدد المستخدمين عليه باستخدام Resource Guard.

فيما يلي تدفق الأحداث في سيناريو نموذجي:

1. يقوم مسؤول النسخ الاحتياطي بإنشاء مخزن خدمات الاسترداد أو مخزن النسخ الاحتياطي.

2. ينشئ مسؤول الأمان Resource Guard.

   يمكن أن يكون Resource Guard في اشتراك مختلف أو مستأجر مختلف فيما يتعلق بالمخزن. تأكد من أن مسؤول النسخ الاحتياطي ليس لديه أذونات Contributor أو Backup MUA Admin أو Backup MUA Operator على Resource Guard.

3. يمنح مسؤول الأمان دور القارئ إلى مسؤول النسخ الاحتياطي لـ Resource Guard (أو نطاق ذي صلة). يطلب مسؤول النسخ الاحتياطي دور القارئ لتمكين MUA في المخزن.

4. يقوم مسؤول النسخ الاحتياطي الآن بتكوين المخزن ليتم حمايته بواسطة MUA عبر Resource Guard.

5. الآن، إذا أراد مسؤول النسخ الاحتياطي أو أي مستخدم لديه حق الوصول للكتابة إلى المخزن إجراء عملية مهمة محمية باستخدام Resource Guard على المخزن، فإنهم بحاجة إلى طلب الوصول إلى Resource Guard. يمكن لمسؤول النسخ الاحتياطي الاتصال بمسؤول الأمان للحصول على تفاصيل حول الوصول لتنفيذ مثل هذه العمليات. ويمكنهم القيام بذلك باستخدام إدارة الهويات المتميزة (PIM) أو العمليات الأخرى كما هو تنص عليه المؤسسة. يمكنهم طلب دور التحكم في الوصول استنادا إلى الدور "Backup MUA Operator" الذي يسمح للمستخدمين بتنفيذ العمليات الهامة فقط المحمية بواسطة Resource Guard ولا يسمح بحذف Resource Guard.

6. يمنح مسؤول الأمان مؤقتا دور "عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي" في Resource Guard إلى مسؤول النسخ الاحتياطي لتنفيذ العمليات الهامة.

7. ثم يبدأ مسؤول النسخ الاحتياطي العملية الهامة.

8. يتحقق Azure Resource Manager إذا كان لدى مسؤول النسخ الاحتياطي أذونات كافية أم لا. نظرا لأن مسؤول النسخ الاحتياطي لديه الآن دور "عامل تشغيل النسخ الاحتياطي MUA" في Resource Guard، يتم إكمال الطلب. إذا لم يكن لدى مسؤول النسخ الاحتياطي الأذونات/الأدوار المطلوبة، فسيفشل الطلب.

9. يجب على مسؤول الأمان التأكد من إبطال الامتيازات لتنفيذ العمليات الهامة بعد تنفيذ الإجراءات المصرح بها أو بعد مدة محددة. يمكنك استخدام أدوات JIT Microsoft Entra إدارة الهويات المتميزة لضمان نفس الشيء.

إشعار

• إذا منحت دور مسؤول المساهم أو مسؤول التخويل متعدد المستخدمين للنسخ الاحتياطي على وصول Resource Guard مؤقتا إلى مسؤول النسخ الاحتياطي، فإنه يوفر أيضا أذونات الحذف على Resource Guard. نوصي بتوفير أذونات عامل تشغيل النسخ الاحتياطي MUA فقط.
• يوفر التخويل متعدد المستخدمين الحماية على العمليات المذكورة أعلاه التي يتم إجراؤها على النسخ الاحتياطية المخزنة فقط. أي عمليات يتم إجراؤها مباشرة على مصدر البيانات (أي مورد Azure/حمل العمل المحمي) خارج نطاق Resource Guard.

سيناريوهات الاستخدام

يسرد الجدول التالي سيناريوهات إنشاء Resource Guard والخزائن (مخزن خدمات الاسترداد وخزنة النسخ الاحتياطي)، جنبا إلى جنب مع الحماية النسبية التي يوفرها كل منها.

هام

يجب ألا يكون لدى مسؤول النسخ الاحتياطي أذونات Contributor أو Backup MUA Admin أو Backup MUA Operator إلى Resource Guard في أي سيناريو لأن هذا يتجاوز إضافة حماية MUA على المخزن.

سيناريو الاستخدام	الحماية بسبب التخويل متعدد المستخدمين	سهولة التنفيذ	ملاحظات
المخزن و Resource Guard في نفس الاشتراك. لا يملك مسؤول النسخ الاحتياطي حق الوصول إلى Resource Guard.	أقل عزلة بين مسؤول النسخ الاحتياطي ومسؤول الأمان.	من السهل نسبياً تنفيذها نظراً لأنه مطلوب اشتراك واحد فقط.	يجب التأكد من تعيين أذونات/أدوار على مستوى المورد بشكل صحيح.
المخزن و Resource Guard في اشتراكات مختلفة ولكن نفس المستأجر. لا يملك مسؤول النسخ الاحتياطي حق الوصول إلى Resource Guard أو الاشتراك المقابل.	عزل متوسط بين مسؤول النسخ الاحتياطي ومسؤول الأمان.	سهولة تنفيذ متوسطة نسبياً نظراً لأن هناك حاجة إلى اشتراكين (ولكن مستأجر واحد).	تأكد من تعيين الأذونات/ الأدوار بشكل صحيح للمورد أو الاشتراك.
المخزن و Resource Guard في مستأجرين مختلفين. لا يملك مسؤول النسخ الاحتياطي حق الوصول إلى Resource Guard أو الاشتراك المقابل أو المستأجر المقابل.	أقصى عزل بين مسؤول النسخ الاحتياطي ومسؤول الأمان، وبالتالي، أقصى قدر من الأمان.	من الصعب نسبياً اختباره، حيث يتطلب اثنين من المستأجرين أو الدلائل للاختبار.	تأكد من تعيين الأذونات/الأدوار بشكل صحيح للمورد أو الاشتراك أو الدليل.

الخطوات التالية

تكوين تخويل متعدد المستخدمين باستخدام Resource Guard.