Správa Azure Backup bodů obnovení pomocí řízení přístupu na základě role v Azure

Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje jemně odstupňovanou správu přístupu pro Azure. Pomocí Azure RBAC můžete oddělit povinnosti v rámci týmu a udělit uživatelům jenom takový přístup, který potřebují k výkonu své práce.

Důležité

Role poskytované Azure Backup jsou omezené na akce, které je možné provádět v Azure Portal nebo prostřednictvím rutin PowerShellu nebo rozhraní příkazového řádku služby REST API nebo trezoru služby Recovery Services. Akce prováděné v uživatelském rozhraní klienta agenta Azure Backup nebo uživatelském rozhraní nástroje System Center Data Protection Manager nebo v uživatelském rozhraní serveru Azure Backup server jsou mimo kontrolu nad těmito rolemi.

Azure Backup poskytuje tři předdefinované role pro řízení operací správy zálohování. Další informace o předdefinovaných rolích Azure

  • Přispěvatel zálohování – Tato role má všechna oprávnění k vytvoření a správě zálohování s výjimkou odstranění trezoru služby Recovery Services a udělení přístupu jiným uživatelům. Představte si tuto roli jako správce správy zálohování, která může provádět každou operaci správy zálohování.
  • Operátor zálohování – Tato role má oprávnění ke všemu, co přispěvatel dělá kromě odebrání zásad zálohování a správy záloh. Tato role je ekvivalentní přispěvateli s výjimkou toho, že nemůže provádět destruktivní operace, jako je zastavení zálohování s odstraněním dat nebo odebrání registrace místních prostředků.
  • Čtenář zálohování – Tato role má oprávnění k zobrazení všech operací správy zálohování. Představte si, že tato role bude monitorovací osobou.

Pokud chcete definovat vlastní role pro ještě větší kontrolu, podívejte se, jak vytvořit vlastní role v Azure RBAC.

Mapování předdefinovaných rolí zálohování na akce správy zálohování

Minimální požadavky na roli pro zálohování virtuálních počítačů Azure

Následující tabulka zaznamenává akce správy zálohování a odpovídající minimální roli Azure potřebnou k provedení této operace.

Operace správy Minimální požadovaná role Azure Povinný obor Alternativní
Vytvoření trezoru služby Recovery Services Přispěvatel zálohování Skupina prostředků obsahující trezor
Povolení zálohování virtuálních počítačů Azure Operátor záloh Skupina prostředků obsahující trezor
Přispěvatel virtuálních počítačů Prostředek virtuálního počítače Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Povolení zálohování virtuálních počítačů Azure (z okna virtuálního počítače) Operátor záloh Skupina prostředků obsahující trezor
Operátor záloh Skupina prostředků obsahující virtuální počítač
Přispěvatel virtuálních počítačů Prostředek virtuálního počítače Případně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read
Zálohování virtuálního počítače na vyžádání Operátor záloh Trezor služby Recovery Services
Obnovení virtuálního počítače Operátor záloh Trezor služby Recovery Services
Přispěvatel Skupina prostředků, ve které se virtuální počítač nasadí Alternativně, místo předdefinované role můžete zvážit vlastní roli, která má následující oprávnění: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (vyžaduje se pouze pro obnovení klasických virtuálních počítačů a nevyžaduje se pro spravované virtuální počítače), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read.Network/virtualNetworks podsítě, spojení/ akce
Přispěvatel virtuálních počítačů Zdrojový virtuální počítač, který se zálohoval Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Obnovení zálohování nespravovaných disků virtuálních počítačů Operátor záloh Trezor služby Recovery Services
Přispěvatel virtuálních počítačů Zdrojový virtuální počítač, který se zálohoval Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Přispěvatel účtů úložiště Prostředek účtu úložiště, ve kterém se disky obnoví Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Storage/storageAccounts/write
Obnovení spravovaných disků ze zálohy virtuálního počítače Operátor záloh Trezor služby Recovery Services
Přispěvatel virtuálních počítačů Zdrojový virtuální počítač, který se zálohoval Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Přispěvatel účtů úložiště Dočasný účet úložiště vybraný jako součást obnovení pro uložení dat z trezoru před převodem na spravované disky Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Storage/storageAccounts/write
Přispěvatel Skupina prostředků, do které se budou obnovovat spravované disky Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Resources/subscriptions/resourceGroups/write
Obnovení jednotlivých souborů ze zálohy virtuálního počítače Operátor záloh Trezor služby Recovery Services
Přispěvatel virtuálních počítačů Zdrojový virtuální počítač, který se zálohoval Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Obnovení mezi oblastmi Operátor záloh Předplatné trezoru služby Recovery Services Toto je kromě výše uvedených oprávnění k obnovení. Konkrétně pro CRR místo předdefinované role Můžete zvážit vlastní roli, která má následující oprávnění: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read"
Vytvoření zásad zálohování pro zálohování virtuálních počítačů Azure Přispěvatel zálohování Trezor služby Recovery Services
Úprava zásad zálohování virtuálních počítačů Azure Přispěvatel zálohování Trezor služby Recovery Services
Odstranění zásad zálohování virtuálních počítačů Azure Přispěvatel zálohování Trezor služby Recovery Services
Zastavení zálohování (se zachováním dat nebo odstraněním dat) na zálohování virtuálních počítačů Přispěvatel zálohování Trezor služby Recovery Services
Registrace místního Windows Serveru, klienta nebo SCDPM nebo Azure Backup Serveru Operátor záloh Trezor služby Recovery Services
Odstranění zaregistrovaného místního Windows Serveru, klienta, SCDPM nebo Azure Backup Serveru Přispěvatel zálohování Trezor služby Recovery Services

Důležité

Pokud zadáte Přispěvatel virtuálních počítačů v oboru prostředků virtuálního počítače a jako součást nastavení virtuálního počítače vyberete Zálohování , otevře se obrazovka Povolit zálohování , i když je virtuální počítač již zálohovaný. Důvodem je to, že volání k ověření stavu zálohování funguje pouze na úrovni předplatného. Pokud se tomu chcete vyhnout, přejděte do trezoru a otevřete zobrazení zálohované položky virtuálního počítače nebo zadejte roli Přispěvatel virtuálních počítačů na úrovni předplatného.

Minimální požadavky na role pro zálohování úloh Azure (zálohy SQL a HANA DB)

Následující tabulka zachycuje akce správy zálohování a odpovídající minimální roli Azure potřebnou k provedení této operace.

Operace správy Minimální požadovaná role Azure Požadovaný obor Alternativní
Vytvoření trezoru služby Recovery Services Přispěvatel zálohování Skupina prostředků obsahující trezor
Povolení zálohování databází SQL a/nebo HANA Operátor záloh Skupina prostředků obsahující trezor
Přispěvatel virtuálních počítačů Prostředek virtuálního počítače, na kterém je nainstalovaná databáze Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Zálohování databáze na vyžádání Operátor záloh Trezor služby Recovery Services
Obnovení databáze nebo obnovení jako souborů Operátor záloh Trezor služby Recovery Services
Přispěvatel virtuálních počítačů Zdrojový virtuální počítač, který se zálohoval Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Přispěvatel virtuálních počítačů Cílový virtuální počítač, ve kterém se databáze obnoví, nebo se vytvoří soubory Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Vytvoření zásad zálohování pro zálohování virtuálních počítačů Azure Přispěvatel zálohování Trezor služby Recovery Services
Úprava zásad zálohování zálohování zálohování virtuálních počítačů Azure Přispěvatel zálohování Trezor služby Recovery Services
Odstranění zásad zálohování zálohování zálohování virtuálních počítačů Azure Přispěvatel zálohování Trezor služby Recovery Services
Zastavení zálohování (se zachováním dat nebo odstraněním dat) na zálohování virtuálních počítačů Přispěvatel zálohování Trezor služby Recovery Services
Přispěvatel virtuálních počítačů Zdrojový virtuální počítač, který se zálohoval Alternativně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.Compute/virtualMachines/write.

Minimální požadavky na roli pro zálohování sdílených složek Azure

Následující tabulka zachycuje akce správy zálohování a odpovídající roli Azure potřebnou k provedení této operace.

Operace správy Požadovaná role Zdroje informací
Povolení zálohování z trezoru služby Recovery Services Přispěvatel zálohování Trezor služby Recovery Services
Přispěvatel účtu úložiště Prostředek účtu úložiště
Povolení zálohování z okna sdílené složky Přispěvatel zálohování Trezor služby Recovery Services
Přispěvatel účtu úložiště Prostředek účtu úložiště
Přispěvatel Předplatné
Zálohování virtuálního počítače na vyžádání Operátor záloh Trezor služby Recovery Services
Obnovení sdílené složky Operátor záloh Trezor služby Recovery Services
Přispěvatel zálohování účtu úložiště Prostředky účtu úložiště, ve kterých se nacházejí zdrojové a cílové sdílené složky
Obnovení jednotlivých souborů Operátor záloh Trezor služby Recovery Services
Přispěvatel účtů úložiště Prostředky účtu úložiště, ve kterých se nacházejí zdrojové a cílové sdílené složky
Zastavení ochrany Přispěvatel zálohování Trezor služby Recovery Services
Zrušení registrace účtu úložiště z trezoru Přispěvatel zálohování Trezor služby Recovery Services
Přispěvatel účtů úložiště Prostředek účtu úložiště

Poznámka

Pokud máte přístup přispěvatele na úrovni skupiny prostředků a chcete nakonfigurovat zálohování z okna sdílené složky, ujistěte se, že na úrovni předplatného získáte oprávnění microsoft.recoveryservices/Locations/backupStatus/action . Uděláte to tak, že vytvoříte vlastní roli a přiřadíte toto oprávnění.

Minimální požadavky na roli pro zálohování disků Azure

Operace správy Minimální požadovaná role Azure Požadovaný obor Alternativní
Před konfigurací zálohování ověřte Operátor záloh Trezor služby Backup
Čtenář zálohování disků Disk, který se má zálohovat
Povolení zálohování z trezoru záloh Operátor záloh Trezor služby Backup
Čtečka zálohování disků Disk, který se má zálohovat Kromě toho by měla být těmto oprávněním udělena MSI trezoru záloh.
Zálohování disku na vyžádání Operátor záloh Trezor služby Backup
Ověření před obnovením disku Operátor záloh Trezor služby Backup
Operátor obnovení disku Skupina prostředků, do které se disky obnoví
Obnovení disku Operátor záloh Trezor služby Backup
Operátor obnovení disku Skupina prostředků, do které se disky obnoví Kromě toho by měla být těmto oprávněním udělena MSI trezoru záloh.

Minimální požadavky na roli pro zálohování objektů blob v Azure

Operace správy Minimální požadovaná role Azure Povinný obor Alternativní
Ověření před konfigurací zálohování Operátor záloh Trezor služby Backup
Přispěvatel zálohování účtu úložiště Účet úložiště obsahující objekt blob
Povolení zálohování z trezoru záloh Operátor záloh Trezor služby Backup
Přispěvatel zálohování účtu úložiště Účet úložiště obsahující objekt blob Kromě toho by měla být těmto oprávněním udělena MSI trezoru záloh.
Zálohování objektů blob na vyžádání Operátor záloh Trezor služby Backup
Ověření před obnovením objektu blob Operátor záloh Trezor služby Backup
Přispěvatel zálohování účtu úložiště Účet úložiště obsahující objekt blob
Obnovení objektu blob Operátor záloh Trezor služby Backup
Přispěvatel zálohování účtu úložiště Účet úložiště obsahující objekt blob Kromě toho by měla být těmto oprávněním udělena MSI trezoru záloh.

Minimální požadavky na roli pro zálohování serveru Azure Database for PostGreSQL

Operace správy Minimální požadovaná role Azure Povinný obor Alternativní
Ověření před konfigurací zálohování Operátor záloh Trezor služby Backup
Čtenář Server Azure PostGreSQL
Povolení zálohování z trezoru záloh Operátor záloh Trezor služby Backup
Přispěvatel Server Azure PostGreSQL Případně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read Kromě toho by měla mít msi trezoru záloh tato oprávnění.
Zálohování serveru PostGreSQL na vyžádání Operátor záloh Trezor služby Backup
Ověření před obnovením serveru Operátor záloh Trezor služby Backup
Přispěvatel Cílový server Azure PostGreSQL Případně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read
Obnovení serveru Operátor záloh Trezor služby Backup
Přispěvatel Cílový server Azure PostGreSQL Případně můžete místo předdefinované role zvážit vlastní roli, která má následující oprávnění: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read Kromě toho by měla mít msi trezoru záloh tato oprávnění.

Další kroky