Sdílet prostřednictvím

Příprava účtů Azure pro Azure Migrate pomocí předdefinovaných rolí

Azure Migrate je jednotná platforma pro migraci, která zákazníkům umožňuje zjišťovat, vyhodnocovat a migrovat různé úlohy, včetně serverů, databází a webových aplikací. Typická cesta k migraci zákazníka zahrnuje tři fáze: fázi rozhodování o zjištění úloh, fázi plánování posouzení připravenosti úloh v Azure, správné velikosti cílů Azure a fáze provádění pro migraci a modernizaci úloh. Tento článek vysvětluje, jak implementovat řízení přístupu na základě role Azure za účelem udělení nejméně privilegovaného přístupu Azure ve službě Azure Migrate pomocí předdefinovaných rolí. Předdefinované role jsou záměrně namapované na fáze Rozhodování, Plánování a Provádění, takže uživatelé mají pouze oprávnění potřebná pro tuto fázi migrace.

Použití předdefinovaných rolí umožňuje vynutit princip nejnižších oprávnění, udělit podrobný přístup a zajistit dodržování zákonných požadavků. Doporučuje se přiřadit předdefinované role spíše než udělovat uživatelům široký přístup jako vlastník nebo přispěvatel na úrovni předplatného nebo skupiny prostředků.

Předdefinované role služby Azure Migrate

S.no. Předdefinovaná role Description ID Scope
1 Vlastník služby Azure Migrate Uděluje úplný přístup k vytváření a správě projektů Azure Migrate, včetně zjišťování na základě zařízení nebo importu, vytváření obchodních případů, hodnocení a provádění migrací; Uděluje také možnost přiřazovat konkrétní role Azure Migrate v Azure Role-Based řízení přístupu (nebo RBAC). fd8ea4d5-6509-4db0-bada-356ab233b4fa Rozsah je skupina prostředků nebo předplatné, kde je vytvořen projekt Azure Migrate.
2 Azure Migrate – Expert na rozhodování a plánování Uděluje omezený přístup k projektu Azure Migrate, aby prováděl pouze operace plánování na projektu, včetně zjišťování pomocí zařízení nebo importu, správy inventáře, identifikace závislostí serveru, vytváření obchodních případů, sestav a posouzení aplikací. 7859c0b0-0bb9-4994-bd12-cd529af7d646 Rozsah je skupina prostředků nebo předplatné, kde je vytvořen projekt Azure Migrate.
3 Expert na provádění Azure Migrate Uděluje omezený přístup k projektu Azure Migrate pouze k provádění operací souvisejících s migrací, včetně replikace, provádění testovacích migrací, sledování a monitorování průběhu migrace a inicializace migrací bez použití agentů i s jejich použitím. 1cfa4eac-9a23-481c-a793-bfb6958e836b Zdrojová skupina prostředků nebo předplatné, ve kterém je vytvořen projekt Azure Migrate; Cílová skupina prostředků nebo předplatné , do kterého se migrují servery a úlohy.

Vlastník služby Azure Migrate

Role Vlastník služby Azure Migrate poskytuje nadmnožinu oprávnění k provádění kompletních operací ve všech fázích migrace (rozhodnutí, plánování a spuštění). Aby uživatel vytvořil projekt Azure Migrate, musí být součástí vlastníka služby Azure Migrate nebo vyšší privilegované role.

Scope

Skupina prostředků nebo předplatné, ve kterém je vytvořen projekt Azure Migrate.

Přiřazení rolí

Uživatelé s rolí Vlastník služby Azure Migrate mohou přiřadit nebo odebrat role Azure Migrate Expert na rozhodování a plánování a Azure Migrate Expert na provádění pro jiné uživatele nebo skupiny. Role neuděluje oprávnění k přiřazování nebo odebírání předdefinovaných rolí mimo Azure Migrate.

Azure Migrate – Expert na rozhodování a plánování

Role Azure Migrate Decide and Plan Expert poskytuje omezená oprávnění k provádění vymezených operací ve fázích Rozhodování a Plánování. Tato role zahrnuje oprávnění ke zjišťování aktiv IT pomocí zařízení nebo importu inventáře, správě a kontrole zjištěného inventáře, identifikaci závislostí serveru, vytváření obchodních případů, vln a sestav posouzení. Tato role neuděluje oprávnění k vytvoření projektu Migrace nebo provádění přiřazení rolí.

Scope

Skupina prostředků nebo předplatné, ve kterém je vytvořen projekt Azure Migrate.

Expert na provádění Azure Migrate

Role Azure Migrate Execute Expert poskytuje omezená oprávnění pouze k provádění omezených operací ve fázi provádění migrace. Role zahrnuje oprávnění k provádění operací souvisejících s migrací, včetně replikace, provádění vln, provádění testovacích migrací, spouštění migrací bez agentů a migrace na základě agentů a sledování a sledování průběhu migrací. Tato role neuděluje oprávnění k vytvoření projektu Migrace nebo provádění přiřazení rolí.

Scope

Zdrojová skupina prostředků nebo předplatné, ve kterém je projekt Azure Migrate nastavený. Pokud je cíl migrace v jiné skupině prostředků nebo předplatném, přiřaďte roli v cílové skupině prostředků nebo předplatném, do kterého se servery a úlohy migrují.

Operace povolené na roli uživatele

Operations Vlastník služby Azure Migrate Azure Migrate – Expert na rozhodování a plánování Expert na provádění Azure Migrate
Vytvoření, správa a odstranění projektu Migrace Ano Ne Ne
Generování klíče projektu Ano Ano Ne
Nasazení zařízení VMware, Hyper-V, fyzického zařízení nebo zařízení Azure Site Recovery pro zjišťování Ano Ano Ne
Registrace zařízení pro migraci* Ano Ano Ne
Použijte import skladových zásob ke zjištění Ano Ano Ne
Prozkoumání inventáře Ano Ano Ano
Zobrazení, přidání a import značek Ano Ano Ano
Zobrazení a export závislostí serveru Ano Ano Ano
Zobrazení přehledů zabezpečení Ano Ano Ne
Vytvoření obchodního případu Ano Ano Ne
Zobrazení a export obchodního případu Ano Ano Ano
Vytvořte hodnotící zprávy Ano Ano Ne
Zobrazení a export hodnotících zpráv Ano Ano Ano
Vytváření vln Ano Ano Ano
Zobrazení a správa vln Ano Ano Ano
Provádění vln Ano Ne Ano
Provádění replikací Ano Ne Ano
Testování migrací Ano Ne Ano
Provádějte migrace bez použití agentů a s použitím agentů Ano Ne Ano
Vytvořte incidenty podpory Ano Ano Ano

Poznámka:

Pokud chcete zaregistrovat zařízení Azure Migrate nebo zařízení pro replikaci ASR, musí mít uživatelé další roli Vývojář aplikací na úrovni ID Microsoft Entra.

Přiřazení rolí a správa přístupu

V této části se dozvíte, jak uživatelům udělit přístup přiřazením předdefinovaných rolí služby Azure Migrate. Vlastník předplatného nebo skupiny prostředků může uživateli, který vytváří a spravuje projekt Azure Migrate, přiřadit roli Vlastník služby Azure Migrate. Uživatelé s rolí vlastníka služby Azure Migrate pak mohou přiřadit role Azure Migrate Decide and Plan Expert a Azure Migrate Execute Expert jiným uživatelům nebo skupinám uživatelů.

Přiřazení vlastníka služby Azure Migrate

  1. Vyberte skupinu prostředků, ve které je vytvořen projekt Migrace.
  2. V navigační nabídce vyberte Řízení přístupu (IAM)
  3. Vyberte Přidat > přiřazení role na stránce Azure Portal řízení přístupu IAM se zvýrazněným tlačítkem Přidat přiřazení role v červeném obdélníku, s navigačním popisem cesty Domů > Správce prostředků > skupiny prostředků > MigrateProjectName.
  4. Na kartě Privilegované role správce vyberte roli Vlastník služby Azure Migrate.
  5. Na kartě Členové vyberte uživatele nebo skupinu.
  6. Vyberte upřednostňovaný typ a dobu trvání přiřazení. Doporučeným přístupem je volba způsobilého typu a časově omezené doby trvání přiřazení.
  7. Vyberte dále a zkontrolujte, pro přiřazení role.

Přiřazení role Experta na rozhodování a plánování a Experta na provádění

Vlastník služby Azure Migrate může uživateli přiřadit role Azure Migrate – Rozhodovací a plánovací expert a Azure Migrate – Realizační expert.

  1. Vyberte skupinu prostředků, ve které je nastavený projekt Migrace.

  2. V navigační nabídce vyberte Řízení přístupu (IAM)

  3. Vyberte Přidat > Přidat přiřazení role

  4. Vyberte roli, kterou chcete přiřadit. V části funkce úloh se zobrazí role expert pro rozhodování a plánování Azure Migrate a expert pro provádění Azure Migrate. Stránka Přidat přiřazení role v Azure portálu zobrazující kartu Role funkce úlohy se zvýrazněnou červeným obdélníkem rolí Rozhodování a Plánování Expert. Text označuje, že tato role uděluje omezený přístup k projektu Azure Migrate k provádění pouze operací plánování, včetně zjišťování zařízení nebo importu, správy inventáře, identifikace závislostí serveru, vytváření obchodních případů a sestav posouzení. Stránka Přidat přiřazení role v Azure portálu zobrazující kartu Role funkcí úloh se zvýrazněnou červeným obdélníkem rolí Spuštění Expert na Azure Migrate. Text označuje, že tato role uděluje omezený přístup k projektu Azure Migrate k provádění pouze operací souvisejících s migrací, včetně replikace, provádění testovacích migrací, sledování a monitorování průběhu migrace a zahájení migrací bez agentů i s agenty.

  5. Po výběru role vyberte na kartě Členové uživatele nebo skupinu.

  6. Vyberte upřednostňovaný typ a dobu trvání přiřazení. Doporučeným přístupem je volba způsobilého typu a časově omezené doby trvání přiřazení.

  7. Vyberte dále a zkontrolujte, pro přiřazení role.

Kontrola přístupu a ověření přiřazení role

Pokud chcete zkontrolovat přístup, postupujte podle těchto kroků.

  1. Ve skupině prostředků nebo předplatném vyberte Řízení přístupu (IAM) a zobrazte svůj přístup.
  2. Ověřte, jestli přiřazení role proběhlo úspěšně. Rozhraní IAM řízení přístupu na webu Azure Portal zobrazující část Kontrola přístupu na levé straně s modrým tlačítkem Zobrazit můj přístup zvýrazněným.
  3. Pokud chcete zkontrolovat přístup pro uživatele nebo skupinu, vyberte zkontrolovat přístup. Zadejte podrobnosti o uživateli nebo skupině a ověřte přiřazení role.

Odebrání přístupu

  1. Vlastník služby Azure Migrate může odebrat pouze přiřazení rolí Azure Migrate Decide and Plan Expert a Azure Migrate Execute Expert. Vlastníci předplatného nebo skupiny prostředků můžou odebrat přiřazení role vlastníka v rámci služby Azure Migrate.
  2. Přejděte na Řízení přístupu (IAM) v rámci předplatného nebo skupiny prostředků.
  3. Výběr přiřazení rolí
  4. Vyberte přiřazení role, které chcete odebrat na stránce Řízení přístupu na webu Azure Portal iAM zobrazující tabulku přiřazení rolí se zvýrazněným modrým řádkem uživatele a červeným tlačítkem Odstranit, které se zobrazuje na horním panelu nástrojů a demonstruje proces odebrání přiřazení rolí uživatelům v rozhraní pro správu prostředků.
  5. Výběrem možnosti Odstranit odeberete přiřazení role.

Pokyny pro přiřazení rolí v oboru skupiny prostředků

Pokud chcete pracovat s modelem přístupu s nejnižšími oprávněními, doporučujeme provádět přiřazení rolí ve skupině prostředků. Všimněte si následujících scénářů, kdy se přiřazení rolí provádí v rámci skupiny prostředků.

1. Zaregistrovat poskytovatele prostředků předem

Pokud chcete povolit všechny možnosti služby Azure Migrate, musíte zaregistrovat požadované poskytovatele prostředků v předplatném, ve kterém je vytvořen projekt Azure Migrate. Role vlastníka služby Azure Migrate a role Azure Migrate Rozhodnout a Plánovat Expert mají oprávnění k automatické registraci poskytovatelů prostředků, pokud je přiřazení role provedeno na úrovni předplatného. Pokud jsou ale tyto role přiřazené na úrovni skupiny prostředků, může generování klíče projektu selhat, pokud poskytovatel prostředků ještě není zaregistrovaný v předplatném. V takových případech by měl vlastník předplatného ručně zaregistrovat uvedené poskytovatele prostředků jako předpoklad.

Požadovaní poskytovatelé prostředků

Poskytovatel prostředků
Microsoft.OffAzure
Microsoft.Migrate
Microsoft.MySQLDiscovery
Microsoft.DependencyMap
Microsoft.ApplicationMigration
Microsoft.Přehledy
Microsoft.KeyVault
Microsoft.HybridCompute
Microsoft.Storage
Microsoft.Network
Microsoft.GuestConfiguration
Microsoft.Compute
Microsoft.HybridConnectivity
Microsoft.RecoveryServices (služby obnovy)
Microsoft.DataReplication
Microsoft.AzureArcData

Další informace naleznete v registru poskytovatele zdrojů .

2. Žádosti o podporu

Pokud se přiřazení role provádí v oboru skupiny prostředků, nemůžou uživatelé vytvářet žádosti o podporu.

3. Registrace zařízení replikace Azure Site Recovery

Pokud přiřadíte roli v oboru skupiny prostředků, uživatelé nemohou registrovat replikační zařízení Azure Site Recovery. Pokud chcete zařízení zaregistrovat, musíte přiřadit roli Azure Migrate Decide and Plan Expert v oboru předplatného. Toto omezení platí jenom pro zařízení Azure Site Recovery, nikoli pro VMware, Hyper-V nebo fyzické zásobníky zařízení Azure Migrate.

Další kroky

Po nastavení účtů Azure a přiřazení rolí vytvořte projekt Azure Migrate.

  • Last updated on