Správa Site Recovery přístupu pomocí řízení přístupu na základě role v Azure (Azure RBAC)
Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje jemně odstupňovanou správu přístupu pro Azure. Pomocí Azure RBAC můžete oddělit povinnosti v rámci týmu a udělit uživatelům jenom specifická přístupová oprávnění podle potřeby k provádění konkrétních úloh.
Azure Site Recovery poskytuje 3 předdefinované role pro řízení operací správy Site Recovery. Další informace o předdefinovaných rolích Azure
- Přispěvatel Site Recovery – Tato role má všechna oprávnění potřebná ke správě operací Azure Site Recovery v trezoru služby Recovery Services. Uživatel s touto rolí však nemůže vytvořit ani odstranit trezor služby Recovery Services ani přiřadit přístup jiným uživatelům. Tato role je nejvhodnější pro správce zotavení po havárii, kteří můžou povolit a spravovat zotavení po havárii pro aplikace nebo celé organizace.
- Operátor Site Recovery – Tato role má oprávnění provádět a spravovat operace převzetí služeb při selhání a navrácení služeb po obnovení. Uživatel s touto rolí nemůže povolit nebo zakázat replikaci, vytvářet nebo odstraňovat trezory, registrovat novou infrastrukturu ani přiřazovat přístupová práva jiným uživatelům. Tato role je nejvhodnější pro operátora zotavení po havárii, který může převzít virtuální počítače nebo aplikace s podporou převzetí služeb při selhání na základě pokynů vlastníků aplikací a správců IT ve skutečné nebo simulované havárii, jako je postup zotavení po havárii. Po vyřešení havárie může operátor zotavení po havárii virtuální počítače znovu chránit a navrátit je po obnovení.
- Čtenář Site Recovery – Tato role má oprávnění zobrazit všechny operace správy Site Recovery. Tato role je nejvhodnější pro vedoucího pracovníka pro monitorování IT, který může monitorovat aktuální stav ochrany a v případě potřeby vytvořit lístky podpory.
Pokud chcete definovat vlastní role pro ještě větší kontrolu, přečtěte si, jak vytvářet vlastní role v Azure.
Oprávnění potřebná k povolení replikace pro nové virtuální počítače
Když se nový virtuální počítač replikuje do Azure pomocí Azure Site Recovery, ověří se úrovně přístupu přidruženého uživatele, aby se zajistilo, že uživatel má požadovaná oprávnění k používání prostředků Azure poskytovaných Site Recovery.
Pokud chce uživatel povolit replikaci pro nový virtuální počítač, musí mít:
- Oprávnění k vytvoření virtuálního počítače ve vybrané skupině prostředků
- Oprávnění k vytvoření virtuálního počítače ve vybrané virtuální síti
- Oprávnění k zápisu do vybraného účtu úložiště
Uživatel potřebuje k dokončení replikace nového virtuálního počítače následující oprávnění.
Důležité
Ujistěte se, že jsou pro model nasazení (Resource Manager nebo Classic) použitý k nasazení prostředků přidaná příslušná oprávnění.
Poznámka
Pokud pro virtuální počítač Azure povolujete replikaci a chcete Site Recovery povolit správu aktualizací, můžete při povolování replikace také vytvořit nový účet Automation, v takovém případě budete potřebovat oprávnění k vytvoření účtu Automation ve stejném předplatném jako trezor.
| Typ prostředku | Model nasazení | Oprávnění |
|---|---|---|
| Compute | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klasický | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Síť | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klasický | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Storage | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klasický | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Skupina prostředků | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Zvažte použití předdefinovaných rolí Přispěvatel virtuálních počítačů a Přispěvatel virtuálních počítačů Classic pro modely nasazení Resource Manager a Classic.
Další kroky
- Řízení přístupu na základě role v Azure (Azure RBAC): Začínáme s Azure RBAC v Azure Portal.
- Zjistěte, jak spravovat přístup pomocí:
- Řešení potíží s Azure RBAC: Získejte návrhy pro řešení běžných problémů.