Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Víceuživatelová autorizace (MUA) pro Azure Backup umožňuje přidat další vrstvu ochrany do důležitých operací v trezorech služby Recovery Services a trezorech služby Backup. V případě MUA azure Backup používá jiný prostředek Azure, který se nazývá Resource Guard, aby se zajistilo, že se kritické operace provádějí jenom s příslušnou autorizací.
Poznámka:
Autorizace více uživatelů pomocí služby Resource Guard pro trezor služby Backup je teď obecně dostupná.
Jak funguje MUA pro zálohování?
Azure Backup používá Resource Guard jako další autorizační mechanismus pro trezor služby Recovery Services nebo trezor služby Backup. Proto pokud chcete úspěšně provést kritickou operaci (popsanou níže), musíte mít dostatečná oprávnění také k přidružené službě Resource Guard.
Důležité
Aby služba Resource Guard fungovala tak, jak má, musí být vlastněn jiným uživatelem a správce trezoru nesmí mít oprávnění přispěvatele, správce MUA zálohování ani operátora Backup MUA. Resource Guard můžete umístit do předplatného nebo tenanta odlišného od toho, které obsahuje trezory, a poskytnout tak lepší ochranu.
Kritické operace
Následující tabulka uvádí operace definované jako kritické operace a můžou být chráněné službou Resource Guard. Můžete se rozhodnout vyloučit určité operace z ochrany při přidružování trezorů pomocí služby Resource Guard.
Poznámka:
Operace označené jako Mandatory nelze vyloučit z ochrany pomocí služby Resource Guard pro trezory, které jsou s tímto spojené. Vyloučené důležité operace by se také použily u všech trezorů přidružených ke službě Resource Guard.
Zvolte trezor
| Operace | Povinné/ Volitelné | Popis |
|---|---|---|
| Zakázání funkcí obnovitelného odstranění nebo zabezpečení | Povinné | Zakažte nastavení měkkého odstranění v trezoru. |
| Odebrání ochrany MUA | Povinné | Zakažte ochranu MUA v úložišti. |
| Odstranění ochrany | Volitelné | Odstraňte ochranu zastavením záloh a prováděním odstranění dat. |
| Úprava ochrany | Volitelné | Přidejte novou zásadu zálohování se sníženou dobou uchovávání nebo změňte frekvenci zásady ke zvýšení RPO. |
| Úprava zásad | Volitelné | Upravte zásady zálohování tak, aby se snížila doba uchovávání, nebo změňte frekvenci zásad, abyste zvýšili RPO. |
| Získání pin kódu zabezpečení zálohování | Volitelné | Změňte PIN kód zabezpečení MARS. |
| Zastavení zálohování a uchovávání dat | Volitelné | Odstraňte ochranu zastavením zálohování a prováděním uchovávání dat navždy nebo je uchovávejte podle zásad. |
| Zakázání neměnnosti | Volitelné | Zakažte nastavení neměnnosti na trezoru. |
Koncepty a procesy
Koncepty a procesy související s používáním MUA pro Azure Backup jsou vysvětlené níže.
Pojďme se podívat na následující dvě osoby, které jasně rozumí procesu a zodpovědnostem. Na tyto dvě osoby se odkazuje v tomto článku.
Správce zálohování: Vlastník trezoru služby Recovery Services nebo trezoru služby Backup, který provádí operace správy v trezoru. Abyste mohli začít, správce zálohování nesmí mít žádná oprávnění ke službě Resource Guard. Může to být role Backup Operator nebo Backup Contributor RBAC v trezoru Recovery Services.
Administrátor zabezpečení: Vlastník Resource Guard a slouží jako strážce kritických operací v trezoru. Správce zabezpečení proto řídí oprávnění, která potřebuje správce zálohování k provádění kritických operací ve vaultu. Může se jednat o roli RBAC správce MUA ve službě Resource Guard.
Následuje diagramová reprezentace pro provádění kritické operace v trezoru, který má nakonfigurovanou funkci MUA pomocí služby Resource Guard.
Tady je tok událostí v typickém scénáři:
Správce zálohování vytvoří trezor služby Recovery Services nebo trezor služby Backup.
Správce zabezpečení vytvoří ochranu Resource Guard.
Resource Guard může být v jiném předplatném nebo jiném tenantovi s ohledem na trezor. Ujistěte se, že správce zálohování nemá oprávnění přispěvatele, správce MUA zálohování ani operátora MUA zálohování pro ochranu Resource Guard.
Správce zabezpečení udělí správci zálohování roli čtenář pro ochranu Resource Guard (nebo relevantní rozsah). Správce zálohování potřebuje roli čtenáře k povolení MUA v trezoru.
Správce záloh nyní konfiguruje trezor, aby byl chráněn MUA prostřednictvím služby Resource Guard.
Pokud teď správce zálohování nebo jakýkoli uživatel, který má k trezoru přístup pro zápis, chce provést kritickou operaci chráněnou pomocí služby Resource Guard v trezoru, musí požádat o přístup ke službě Resource Guard. Správce zálohování může kontaktovat správce zabezpečení s podrobnostmi o získání přístupu k provedení takových operací. Můžou to provést pomocí Privileged Identity Management (PIM) nebo jiných procesů, které organizace vyžaduje. Můžou požádat o roli RBAC "Backup MUA Operator", která uživatelům umožňuje provádět pouze důležité operace chráněné službou Resource Guard a neumožňuje odstranit ochranu resource Guard.
Správce zabezpečení dočasně udělí správci zálohování roli "Operátor zálohování MUA" na Resource Guard k provádění kritických operací.
Správce zálohování pak zahájí kritickou operaci.
Azure Resource Manager zkontroluje, jestli má správce zálohování dostatečná oprávnění nebo ne. Vzhledem k tomu, že správce zálohování má v Resource Guard roli "Operátor zálohování MUA", je žádost dokončena. Pokud správce zálohování nemá požadovaná oprávnění nebo role, požadavek se nezdaří.
Správce zabezpečení musí zajistit odvolání oprávnění k provádění kritických operací po provedení autorizovaných akcí nebo po definované době. K zajištění stejného zabezpečení můžete použít nástroje JIT microsoft Entra Privileged Identity Management .
Poznámka:
- Pokud dočasně udělíte roli přispěvatele nebo správce zálohování MUA na přístup Resource Guard správci zálohování, poskytne také oprávnění k odstranění v Resource Guard. Doporučujeme, abyste zadali pouze oprávnění operátora MUA služby Backup.
- MUA poskytuje ochranu nad výše uvedenými operacemi prováděnými pouze u trezorovaných záloh. Všechny operace prováděné přímo na zdroji dat (tj. prostředky Nebo úlohy Azure, které jsou chráněné), jsou nad rámec ochrany Resource Guard.
Scénáře použití
Následující tabulka uvádí scénáře pro vytvoření služby Resource Guard a trezorů (trezor služby Recovery Services a trezor služby Backup) spolu s relativní ochranou, kterou nabízí každá z nich.
Důležité
Správce Backup admin nesmí mít oprávnění Contributor, Backup MUA Admin ani Backup MUA Operator k Resource Guard v žádném případě, protože to přepíše přidání ochrany MUA do trezoru.
| Scénář použití | Ochrana z důvodu MUA | Snadné provádění | Poznámky |
|---|---|---|---|
| Trezor a Ochrana prostředků jsou ve stejném předplatném. Správce zálohování nemá přístup ke službě Resource Guard. |
Nejméně izolace mezi správcem zálohování a správcem zabezpečení. | Relativně snadné implementace, protože se vyžaduje jenom jedno předplatné. | Je potřeba zajistit správné přiřazení oprávnění nebo rolí na úrovni prostředků. |
| Trezor a Resource Guard jsou v různých předplatných, ale u stejného klienta. Správce zálohování nemá přístup ke službě Resource Guard ani k odpovídajícímu předplatnému. |
Střední izolace mezi správcem zálohování a správcem zabezpečení | Relativně střední jednoduchost implementace, protože se vyžadují dvě předplatná (ale jeden tenant). | Ujistěte se, že jsou pro prostředek nebo předplatné správně přiřazená oprávnění nebo role. |
| Trezor a Resource Guard jsou v různých tenantech. Správce zálohování nemá přístup k Resource Guard, odpovídajícímu předplatnému nebo odpovídajícímu tenantovi. |
Maximální izolace mezi správcem služby Backup a správcem zabezpečení, a proto maximální zabezpečení. | Relativně obtížné testovat, protože k otestování se vyžadují dva tenanti nebo adresáře. | Ujistěte se, že jsou oprávnění nebo role správně přiřazené k prostředku, předplatnému nebo adresáři. |
Další kroky
Nakonfigurujte autorizaci více uživatelů pomocí služby Resource Guard.