Informace o autorizaci více uživatelů pomocí služby Resource Guard
Víceuživatelová autorizace (MUA) pro Azure Backup umožňuje přidat další vrstvu ochrany do důležitých operací v trezorech služby Recovery Services a trezorech služby Backup. V případě MUA azure Backup používá jiný prostředek Azure, který se nazývá Resource Guard, aby se zajistilo, že se kritické operace provádějí jenom s příslušnou autorizací.
Poznámka:
Autorizace více uživatelů pomocí služby Resource Guard pro trezor služby Backup je teď obecně dostupná.
Jak funguje MUA pro zálohování?
Azure Backup používá Resource Guard jako další autorizační mechanismus pro trezor služby Recovery Services nebo trezor služby Backup. Proto pokud chcete úspěšně provést kritickou operaci (popsanou níže), musíte mít dostatečná oprávnění také k přidružené službě Resource Guard.
Důležité
Aby služba Resource Guard fungovala podle očekávání, musí být vlastníkem jiného uživatele a správce trezoru nesmí mít oprávnění přispěvatele. Ochranu Resource Guard můžete umístit do předplatného nebo tenanta, který je jiný než ten, který obsahuje trezory, a zajistit tak lepší ochranu.
Kritické operace
Následující tabulka uvádí operace definované jako kritické operace a můžou být chráněné službou Resource Guard. Při přidružování trezorů se můžete rozhodnout vyloučit určité operace z ochrany pomocí služby Resource Guard.
Poznámka:
Operace, které jsou označené jako povinné, nemůžete vyloučit z ochrany pomocí služby Resource Guard pro trezory, které jsou k němu přidružené. Vyloučené důležité operace by se také použily u všech trezorů přidružených ke službě Resource Guard.
Volba trezoru
| Operace | Povinné/ Volitelné |
|---|---|
| Zákaz obnovitelného odstranění | Povinné |
| Zakázání ochrany MUA | Povinné |
| Úprava zásad zálohování (omezené uchovávání) | Volitelné |
| Úprava ochrany (omezené uchovávání) | Volitelné |
| Zastavení ochrany s odstraněním dat | Volitelné |
| Změna bezpečnostního kódu PIN MARS | Volitelné |
Koncepty a procesy
Koncepty a procesy související s používáním MUA pro Azure Backup jsou vysvětlené níže.
Pojďme se podívat na následující dva uživatele, abyste jasně porozuměli procesu a zodpovědnostem. Na tyto dvě role se odkazuje v tomto článku.
Správce zálohování: Vlastník trezoru služby Recovery Services nebo trezoru služby Backup, který provádí operace správy v trezoru. Abyste mohli začít, správce zálohování nesmí mít žádná oprávnění ke službě Resource Guard.
Správce zabezpečení: Vlastník služby Resource Guard a slouží jako vrátný kritických operací v trezoru. Správce zabezpečení proto řídí oprávnění, která správce zálohování potřebuje k provádění důležitých operací v trezoru.
Následuje diagramová reprezentace pro provádění kritické operace v trezoru, který má nakonfigurovanou funkci MUA pomocí služby Resource Guard.
Tady je tok událostí v typickém scénáři:
Správce zálohování vytvoří trezor služby Recovery Services nebo trezor služby Backup.
Správce zabezpečení vytvoří ochranu Resource Guard. Resource Guard může být v jiném předplatném nebo jiném tenantovi s ohledem na trezor. Je nutné zajistit, aby správce zálohování neměl oprávnění přispěvatele pro ochranu Resource Guard.
Správce zabezpečení udělí roli Čtenář službě Backup Správa pro ochranu Resource Guard (nebo příslušný obor). Správce zálohování vyžaduje, aby role čtenáře povolila mua v trezoru.
Správce zálohování teď nakonfiguruje trezor tak, aby ho chránil správce MUA prostřednictvím Služby Resource Guard.
Pokud teď správce zálohování chce v trezoru provést kritickou operaci, musí požádat o přístup ke službě Resource Guard. Správce zálohování může kontaktovat správce zabezpečení s podrobnostmi o získání přístupu k provedení takových operací. Můžou to provést pomocí Privileged Identity Management (PIM) nebo jiných procesů, které organizace vyžaduje.
Správce zabezpečení dočasně udělí roli Přispěvatel na ochranu Resource Guard správci zálohování, aby mohl provádět důležité operace.
Správce zálohování teď zahájí kritickou operaci.
Azure Resource Manager zkontroluje, jestli má správce zálohování dostatečná oprávnění nebo ne. Vzhledem k tomu, že správce zálohování má teď roli Přispěvatel v Resource Guardu, žádost se dokončí.
Pokud správce zálohování nemá požadovaná oprávnění nebo role, žádost by se nezdařila.
Správce zabezpečení zajistí, aby oprávnění k provádění kritických operací byla odvolána po provedení autorizovaných akcí nebo po definované době. Použití nástrojů JIT společnosti Microsoft Entra Privileged Identity Management může být užitečné při zajištění tohoto přístupu.
Poznámka:
MUA poskytuje ochranu nad výše uvedenými operacemi prováděnými pouze u trezorovaných záloh. Všechny operace prováděné přímo na zdroji dat (tj. prostředky Nebo úlohy Azure, které jsou chráněné), jsou nad rámec ochrany Resource Guard.
Scénáře použití
Následující tabulka uvádí scénáře pro vytvoření služby Resource Guard a trezorů (trezor služby Recovery Services a trezor služby Backup) spolu s relativní ochranou, kterou nabízí každá z nich.
Důležité
Správce zálohování nesmí mít v žádném scénáři oprávnění přispěvatele ke službě Resource Guard.
| Scénář použití | Ochrana z důvodu MUA | Snadné provádění | Poznámky |
|---|---|---|---|
| Trezor a Ochrana prostředků jsou ve stejném předplatném. Správce zálohování nemá přístup ke službě Resource Guard. |
Nejméně izolace mezi správcem zálohování a správcem zabezpečení. | Relativně snadné implementace, protože se vyžaduje jenom jedno předplatné. | Je potřeba zajistit správné přiřazení oprávnění nebo rolí na úrovni prostředků. |
| Trezor a Ochrana Resource Guard jsou v různých předplatných, ale ve stejném tenantovi. Správce zálohování nemá přístup ke službě Resource Guard ani k odpovídajícímu předplatnému. |
Střední izolace mezi správcem zálohování a správcem zabezpečení | Relativně střední jednoduchost implementace, protože se vyžadují dvě předplatná (ale jeden tenant). | Ujistěte se, že jsou pro prostředek nebo předplatné správně přiřazená oprávnění nebo role. |
| Trezor a Ochrana Resource Guard jsou v různých tenantech. Správce zálohování nemá přístup ke službě Resource Guard, odpovídajícímu předplatnému nebo odpovídajícímu tenantovi. |
Maximální izolace mezi správcem služby Backup a správcem zabezpečení, a proto maximální zabezpečení. | Relativně obtížné testovat, protože k otestování se vyžadují dva tenanti nebo adresáře. | Ujistěte se, že jsou oprávnění nebo role správně přiřazené k prostředku, předplatnému nebo adresáři. |
Další kroky
Nakonfigurujte autorizaci více uživatelů pomocí služby Resource Guard.