Použití řízení přístupu na základě role v Azure ke správě bodů obnovení služby Azure Backup
Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje jemně odstupňovanou správu přístupu pro Azure. Pomocí Azure RBAC můžete oddělit povinnosti v rámci týmu a udělit uživatelům jenom takový přístup, který potřebují k výkonu své práce.
Důležité
Role poskytované službou Azure Backup jsou omezené na akce, které je možné provádět na webu Azure Portal nebo prostřednictvím rozhraní REST API nebo rutin powershellu nebo cli trezoru služby Recovery Services. Akce prováděné v uživatelském rozhraní klienta agenta Azure Backup nebo uživatelském rozhraní system center Data Protection Manageru nebo uživatelském rozhraní Azure Backup Serveru nejsou nad těmito rolemi pod kontrolou.
Azure Backup poskytuje tři předdefinované role pro řízení operací správy zálohování. Další informace o předdefinovaných rolích Azure
- Přispěvatel zálohování – Tato role má všechna oprávnění k vytvoření a správě zálohování s výjimkou odstranění trezoru služby Recovery Services a udělení přístupu ostatním. Představte si tuto roli jako správce správy zálohování, který může provádět každou operaci správy zálohování.
- Operátor zálohování – Tato role má oprávnění ke všemu, co přispěvatel dělá, kromě odebrání zásad zálohování a správy zásad zálohování. Tato role je ekvivalentní přispěvateli s tím rozdílem, že nemůže provádět destruktivní operace, jako je zastavení zálohování s odstraněním dat nebo odebrání registrace místních prostředků.
- Čtenář zálohování – Tato role má oprávnění k zobrazení všech operací správy zálohování. Představte si, že tato role je monitorovací osoba.
Pokud chcete definovat vlastní role pro ještě větší kontrolu, podívejte se, jak vytvořit vlastní role v Azure RBAC.
Mapování předdefinovaných rolí zálohování na akce správy zálohování
Minimální požadavky na roli pro zálohování virtuálních počítačů Azure
Následující tabulka zaznamenává akce správy zálohování a odpovídající minimální roli Azure potřebnou k provedení této operace.
| Operace správy | Minimální požadovaná role Azure | Požadovaný obor | Alternativa |
|---|---|---|---|
| Vytvoření trezoru služby Recovery Services | Přispěvatel zálohování | Skupina prostředků obsahující trezor | |
| Povolení zálohování virtuálních počítačů Azure | Operátor záloh | Skupina prostředků obsahující trezor | |
| Přispěvatel virtuálních počítačů | Prostředek virtuálního počítače | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Povolení zálohování virtuálních počítačů Azure (z okna virtuálního počítače) | Operátor záloh | Skupina prostředků obsahující trezor | |
| Operátor záloh | Skupina prostředků obsahující virtuální počítač | ||
| Přispěvatel virtuálních počítačů | Prostředek virtuálního počítače | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Zálohování virtuálního počítače na vyžádání | Operátor záloh | Trezor služby Recovery Services | |
| Obnovit virtuální počítač | Operátor záloh | Trezor služby Recovery Services | |
| Přispěvatel | Skupina prostředků, ve které se virtuální počítač nasadí | Alternativně, místo předdefinované role můžete zvážit vlastní roli, která má následující oprávnění: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (vyžaduje se pouze pro obnovení klasických virtuálních počítačů a nevyžaduje se pro spravované virtuální počítače), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/virtualNetworks/ podsítě/ spojení/ akce | |
| Přispěvatel virtuálních počítačů | Zdrojový virtuální počítač, který se zálohoval | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Obnovení zálohy nespravovaných disků virtuálního počítače | Operátor záloh | Trezor služby Recovery Services | |
| Přispěvatel virtuálních počítačů | Zdrojový virtuální počítač, který se zálohoval | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Přispěvatel účtu úložiště | Prostředek účtu úložiště, ve kterém se budou obnovovat disky | Alternativně místo předdefinované role můžete zvážit vlastní roli, která má následující oprávnění: Microsoft.Storage/storageAccounts/write | |
| Obnovení spravovaných disků ze zálohy virtuálního počítače | Operátor záloh | Trezor služby Recovery Services | |
| Přispěvatel virtuálních počítačů | Zdrojový virtuální počítač, který se zálohoval | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Přispěvatel účtu úložiště | Dočasný účet úložiště vybraný jako součást obnovení pro uložení dat z trezoru před jejich převodem na spravované disky | Alternativně místo předdefinované role můžete zvážit vlastní roli, která má následující oprávnění: Microsoft.Storage/storageAccounts/write | |
| Přispěvatel | Skupina prostředků, do které se obnoví spravované disky | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Obnovení jednotlivých souborů ze zálohy virtuálního počítače | Operátor záloh | Trezor služby Recovery Services | |
| Přispěvatel virtuálních počítačů | Zdrojový virtuální počítač, který se zálohoval | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Obnovení mezi oblastmi | Operátor záloh | Předplatné trezoru služby Recovery Services | Toto je navíc k výše uvedeným oprávněním k obnovení. Konkrétně pro CRR místo předdefinované role Můžete zvážit vlastní roli, která má následující oprávnění: Microsoft.RecoveryServices/locations/backupAadProperties/read"Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Vytvoření zásad zálohování pro zálohování virtuálních počítačů Azure | Přispěvatel zálohování | Trezor služby Recovery Services | |
| Úprava zásad zálohování zálohování zálohování virtuálních počítačů Azure | Přispěvatel zálohování | Trezor služby Recovery Services | |
| Odstranění zásad zálohování zálohování virtuálních počítačů Azure | Přispěvatel zálohování | Trezor služby Recovery Services | |
| Zastavení zálohování (se zachováním dat nebo odstraněním dat) na zálohování virtuálních počítačů | Přispěvatel zálohování | Trezor služby Recovery Services | |
| Registrace místního Windows Serveru, klienta, SCDPM nebo Azure Backup Serveru | Operátor záloh | Trezor služby Recovery Services | |
| Odstranění zaregistrovaného místního Windows Serveru, klienta, SCDPM nebo Azure Backup Serveru | Přispěvatel zálohování | Trezor služby Recovery Services |
Důležité
Pokud zadáte Přispěvatel virtuálních počítačů v oboru prostředků virtuálního počítače a jako součást nastavení virtuálního počítače vyberete Zálohování , otevře se obrazovka Povolit zálohování , i když už je virtuální počítač zálohovaný. Důvodem je to, že volání k ověření stavu zálohování funguje pouze na úrovni předplatného. Abyste tomu předešli, přejděte do trezoru a otevřete zobrazení zálohované položky virtuálního počítače nebo zadejte roli Přispěvatel virtuálních počítačů na úrovni předplatného.
Minimální požadavky na role pro zálohování úloh Azure (zálohy DATABÁZÍ SQL a HANA)
Následující tabulka zaznamenává akce správy zálohování a odpovídající minimální roli Azure potřebnou k provedení této operace.
| Operace správy | Minimální požadovaná role Azure | Požadovaný obor | Alternativa |
|---|---|---|---|
| Vytvoření trezoru služby Recovery Services | Přispěvatel zálohování | Skupina prostředků obsahující trezor | |
| Povolení zálohování databází SQL a/nebo HANA | Operátor záloh | Skupina prostředků obsahující trezor | |
| Přispěvatel virtuálních počítačů | Prostředek virtuálního počítače, ve kterém je nainstalovaná databáze | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Zálohování databáze na vyžádání | Operátor záloh | Trezor služby Recovery Services | |
| Obnovení databáze nebo obnovení jako souborů | Operátor záloh | Trezor služby Recovery Services | |
| Přispěvatel virtuálních počítačů | Zdrojový virtuální počítač, který se zálohoval | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Přispěvatel virtuálních počítačů | Cílový virtuální počítač, ve kterém se databáze obnoví, nebo se vytvoří soubory | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Vytvoření zásad zálohování pro zálohování virtuálních počítačů Azure | Přispěvatel zálohování | Trezor služby Recovery Services | |
| Úprava zásad zálohování zálohování zálohování virtuálních počítačů Azure | Přispěvatel zálohování | Trezor služby Recovery Services | |
| Odstranění zásad zálohování zálohování virtuálních počítačů Azure | Přispěvatel zálohování | Trezor služby Recovery Services | |
| Zastavení zálohování (se zachováním dat nebo odstraněním dat) na zálohování virtuálních počítačů | Přispěvatel zálohování | Trezor služby Recovery Services | |
| Přispěvatel virtuálních počítačů | Zdrojový virtuální počítač, který se zálohoval | Alternativně místo předdefinované role můžete zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write | |
| Obnovení mezi oblastmi | Operátor záloh | Předplatné trezoru služby Recovery Services | Toto je kromě výše uvedených oprávnění k obnovení. V případě obnovení mezi oblastmi místo předdefinované role můžete použít vlastní roli s následujícími oprávněními: – Microsoft.RecoveryServices/locations/backupAadProperties/read – Microsoft.RecoveryServices/locations/backupCrrJobs/action – Microsoft.RecoveryServices/locations/backupCrrJob/action – Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action – Microsoft.RecoveryServices/locations/backupCrrOperationResults/read – Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Minimální požadavky na roli pro zálohování sdílených složek Azure
Následující tabulka zaznamenává akce správy zálohování a odpovídající roli Azure potřebnou k provedení této operace.
| Operace správy | Požadována role | Zdroje informací |
|---|---|---|
| Povolení zálohování z trezoru služby Recovery Services | Přispěvatel zálohování | Trezor služby Recovery Services |
| Přispěvatel účtu úložiště | Prostředek účtu úložiště | |
| Povolení zálohování z okna sdílené složky | Přispěvatel zálohování | Trezor služby Recovery Services |
| Přispěvatel účtu úložiště | Prostředek účtu úložiště | |
| Přispěvatel | Předplatné | |
| Zálohování sdílené složky na vyžádání | Operátor záloh | Trezor služby Recovery Services |
| Obnovení sdílené složky | Operátor záloh | Trezor služby Recovery Services |
| Přispěvatel zálohování účtu úložiště | Prostředky účtu úložiště, ve kterých se nacházejí zdrojové a cílové sdílené složky | |
| Obnovení jednotlivých souborů | Operátor záloh | Trezor služby Recovery Services |
| Přispěvatel účtu úložiště | Prostředky účtu úložiště, ve kterých se nacházejí zdrojové a cílové sdílené složky | |
| Zastavení ochrany | Přispěvatel zálohování | Trezor služby Recovery Services |
| Zrušení registrace účtu úložiště z trezoru | Přispěvatel zálohování | Trezor služby Recovery Services |
| Přispěvatel účtu úložiště | Prostředek účtu úložiště |
Poznámka:
Pokud máte přístup přispěvatele na úrovni skupiny prostředků a chcete nakonfigurovat zálohování z okna sdílené složky, ujistěte se, že na úrovni předplatného získáte oprávnění microsoft.recoveryservices/Locations/backupStatus/action . Uděláte to tak, že vytvoříte vlastní roli a přiřadíte toto oprávnění.
Minimální požadavky na roli pro zálohování disků Azure
| Operace správy | Minimální požadovaná role Azure | Požadovaný obor | Alternativa |
|---|---|---|---|
| Ověření před konfigurací zálohování | Operátor záloh | Trezor služby Backup | |
| Čtečka zálohování disků | Disk, který se má zálohovat | ||
| Povolení zálohování z trezoru záloh | Operátor záloh | Trezor služby Backup | |
| Čtečka zálohování disků | Disk, který se má zálohovat | Kromě toho by měla být těmto oprávněním udělena MSI trezoru záloh. | |
| Zálohování disku na vyžádání | Operátor záloh | Trezor služby Backup | |
| Ověření před obnovením disku | Operátor záloh | Trezor služby Backup | |
| Operátor obnovení disku | Skupina prostředků, do které se disky obnoví | ||
| Obnovení disku | Operátor záloh | Trezor služby Backup | |
| Operátor obnovení disku | Skupina prostředků, do které se disky obnoví | Kromě toho by měla být těmto oprávněním udělena MSI trezoru záloh. |
Minimální požadavky na roli pro zálohování objektů blob Azure
| Operace správy | Minimální požadovaná role Azure | Požadovaný obor | Alternativa |
|---|---|---|---|
| Ověření před konfigurací zálohování | Operátor záloh | Trezor služby Backup | |
| Přispěvatel zálohování účtu úložiště | Účet úložiště obsahující objekt blob | ||
| Povolení zálohování z trezoru záloh | Operátor záloh | Trezor služby Backup | |
| Přispěvatel zálohování účtu úložiště | Účet úložiště obsahující objekt blob | Kromě toho by měla být těmto oprávněním udělena MSI trezoru záloh. | |
| Zálohování objektu blob na vyžádání | Operátor záloh | Trezor služby Backup | |
| Ověření před obnovením objektu blob | Operátor záloh | Trezor služby Backup | |
| Přispěvatel zálohování účtu úložiště | Účet úložiště obsahující objekt blob | ||
| Obnovení objektu blob | Operátor záloh | Trezor služby Backup | |
| Přispěvatel zálohování účtu úložiště | Účet úložiště obsahující objekt blob | Kromě toho by měla být těmto oprávněním udělena MSI trezoru záloh. |
Minimální požadavky na roli pro zálohování serveru Azure Database for PostGreSQL
| Operace správy | Minimální požadovaná role Azure | Požadovaný obor | Alternativa |
|---|---|---|---|
| Ověření před konfigurací zálohování | Operátor záloh | Trezor služby Backup | |
| Čtenář | Server Azure PostGreSQL | ||
| Povolení zálohování z trezoru záloh | Operátor záloh | Trezor služby Backup | |
| Přispěvatel | Server Azure PostGreSQL | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Navíc by měla mít MSI trezoru záloh tato oprávnění. | |
| Zálohování serveru PostGreSQL na vyžádání | Operátor záloh | Trezor služby Backup | |
| Ověření před obnovením serveru | Operátor záloh | Trezor služby Backup | |
| Přispěvatel | Cílový server Azure PostGreSQL | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Obnovení serveru | Operátor záloh | Trezor služby Backup | |
| Přispěvatel | Cílový server Azure PostGreSQL | Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Navíc by měla mít MSI trezoru záloh tato oprávnění. |
Další kroky
- Řízení přístupu na základě role v Azure (Azure RBAC): Začínáme s Azure RBAC na webu Azure Portal.
- Zjistěte, jak spravovat přístup pomocí:
- Řešení potíží s řízením přístupu na základě role v Azure: Získejte návrhy pro řešení běžných problémů.