Teilen über


Verwenden der rollenbasierten Zugriffssteuerung in Azure zum Verwalten von Azure Backup-Wiederherstellungspunkten

Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure ermöglicht eine präzise Zugriffsverwaltung für Azure. Mithilfe von Azure RBAC können Sie Aufgaben in Ihrem Team verteilen und Benutzern nur den Zugriff gewähren, den sie zur Ausführung ihrer Aufgaben benötigen.

Wichtig

Rollen, die von Azure Backup bereitgestellt werden, sind auf Aktionen beschränkt, die im Azure-Portal, über die REST-API oder mit PowerShell- oder CLI-Cmdlets für Recovery Services-Tresore ausgeführt werden können. Aktionen, die auf der Benutzeroberfläche des Azure Backup-Agent-Clients oder der Benutzeroberfläche von System Center Data Protection Manager oder der Benutzeroberfläche von Azure Backup Server ausgeführt werden, werden von diesen Rollen nicht gesteuert.

Azure Backup bietet drei integrierte Rollen, um Vorgänge der Sicherungsverwaltung zu steuern. Weitere Informationen zu in Azure integrierten Rollen

  • Mitwirkender für Sicherungen: Diese Rolle verfügt über alle Berechtigungen zum Erstellen und Verwalten von Sicherungen. Mit dieser Rolle können aber keine Recovery Services-Tresore gelöscht werden, und anderen Personen kann kein Zugriff gewährt werden. Stellen Sie sich diese Rolle als Administrator der Sicherungsverwaltung vor, der alle Vorgänge der Sicherungsverwaltung ausführen kann.
  • Sicherungsoperator: Diese Rolle verfügt über Berechtigungen für alles, was ein Mitwirkender ausführen kann, außer Entfernen von Sicherungen und Verwalten von Sicherungsrichtlinien. Diese Rolle ist gleichbedeutend mit einem Mitwirkenden, es können damit jedoch keine destruktiven Vorgänge ausgeführt werden, z.B. Beenden einer Sicherung mit Löschung von Daten oder Entfernen die Registrierung von lokalen Ressourcen.
  • Sicherungsleser: Diese Rolle verfügt über Berechtigungen zum Anzeigen aller Vorgänge für die Sicherungsverwaltung. Stellen Sie sich diese Rolle für eine Überwachungsperson vor.

Wenn Sie Ihre eigenen Rollen definieren möchten, um eine noch bessere Kontrolle zu haben, helfen Ihnen die Informationen zum Erstellen von benutzerdefinierten Rollen in Azure RBAC weiter.

Zuordnen der integrierten Backup-Rollen zu Aktionen der Sicherungsverwaltung

Mindestrollenanforderungen für die Azure-VM-Sicherung

In der folgenden Tabelle sind die Aktionen der Sicherungsverwaltung und die entsprechende minimale Azure-Rolle aufgeführt, die zum Ausführen des jeweiligen Vorgangs erforderlich ist.

Verwaltungsvorgang Minimal erforderliche Azure-Rolle Bereich erforderlich Alternative
Erstellen eines Recovery Services-Tresors Mitwirkender für Sicherungen Ressourcengruppe mit dem Tresor
Aktivieren der Sicherung von virtuellen Azure-Computern Sicherungsoperator Ressourcengruppe mit dem Tresor
Mitwirkender von virtuellen Computern VM-Ressource Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Aktivieren der Sicherung von Azure-VMs (über das VM-Blatt) Sicherungsoperator Ressourcengruppe mit dem Tresor
Sicherungsoperator Ressourcengruppe, die die VM enthält
Mitwirkender von virtuellen Computern VM-Ressource Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Betracht ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read
Bedarfsgesteuerte Sicherung eines virtuellen Computers Sicherungsoperator Recovery Services-Tresor
Wiederherstellen eines virtuellen Computers Sicherungsoperator Recovery Services-Tresor
Mitwirkender Ressourcengruppe, in der der virtuelle Computer bereitgestellt wird. Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (erforderlich nur für klassische VM-Wiederherstellung und nicht für verwaltete VMs), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action
Mitwirkender von virtuellen Computern Gesicherte Quell-VM Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Mitwirkender von Speicherkonto Speicherkontoressource, in dem Datenträger wiederhergestellt werden sollen Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Storage/storageAccounts/write, Microsoft.Storage/storageAccounts/listkeys/action
Wiederherstellen von VM-Sicherung nicht verwalteter Datenträger Sicherungsoperator Recovery Services-Tresor
Mitwirkender von virtuellen Computern Gesicherte Quell-VM Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Mitwirkender von Speicherkonto Speicherkontoressource, in dem Datenträger wiederhergestellt werden sollen Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Storage/storageAccounts/write, Microsoft.Storage/storageAccounts/listkeys/action
Wiederherstellen von verwalteten Datenträgern aus VM-Sicherung Sicherungsoperator Recovery Services-Tresor
Mitwirkender von virtuellen Computern Gesicherte Quell-VM Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Mitwirkender von Speicherkonto Temporäres Speicherkonto, das als Teil der Wiederherstellung ausgewählt wurde, um Daten aus dem Tresor zu speichern, bevor sie in verwaltete Datenträger konvertiert werden Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Storage/storageAccounts/write, Microsoft.Storage/storageAccounts/listkeys/action
Mitwirkender Die Ressourcengruppe, in der der/die verwaltete(n) Datenträger wiederhergestellt wird Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Resources/subscriptions/resourceGroups/write
Wiederherstellen von einzelnen Dateien aus VM-Sicherungen Sicherungsoperator Recovery Services-Tresor
Mitwirkender von virtuellen Computern Gesicherte Quell-VM Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Regionsübergreifende Wiederherstellung Sicherungsoperator Abonnement des Recovery Services-Tresors Dies geschieht zusätzlich zu den oben erwähnten Wiederherstellungsberechtigungen. Speziell für CRR können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen verwenden: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read"
Erstellen einer Sicherungsrichtlinie für Azure-VM-Sicherungen Mitwirkender für Sicherungen Recovery Services-Tresor
Ändern der Sicherungsrichtlinie der Azure-VM-Sicherungen Mitwirkender für Sicherungen Recovery Services-Tresor
Löschen der Sicherungsrichtlinie der Azure-VM-Sicherungen Mitwirkender für Sicherungen Recovery Services-Tresor
Beenden der Sicherung (mit Beibehaltung oder Löschung von Daten) für VM-Sicherungen Mitwirkender für Sicherungen Recovery Services-Tresor
Registrieren einer lokalen Instanz von Windows Server/Client/SCDPM oder Azure Backup Server Sicherungsoperator Recovery Services-Tresor
Löschen der registrierten lokalen Instanz von Windows Server/Client/SCDPM oder Azure Backup Server Mitwirkender für Sicherungen Recovery Services-Tresor

Wichtig

Wenn Sie als Teil der VM-Einstellungen den VM-Mitwirkenden in einem VM-Ressourcenbereich angeben und Sicherung auswählen, öffnet sich der Bildschirm Sicherung aktivieren, obwohl die VM bereits gesichert ist. Dies liegt daran, dass der Aufruf zur Überprüfung des Sicherungsstatus nur auf Abonnementebene funktioniert. Um dies zu vermeiden, navigieren Sie entweder zum Tresor und öffnen die Sicherungselementansicht der VM, oder geben Sie die Rolle „VM-Mitwirkender“ auf Abonnementebene an.

Mindestrollenanforderungen für Azure-Workloadsicherungen (SQL- und HANA DB-Sicherungen)

In der folgenden Tabelle sind die Aktionen der Sicherungsverwaltung und die entsprechende minimale Azure-Rolle aufgeführt, die zum Ausführen des jeweiligen Vorgangs erforderlich ist.

Verwaltungsvorgang Minimal erforderliche Azure-Rolle Bereich erforderlich Alternative
Erstellen eines Recovery Services-Tresors Mitwirkender für Sicherungen Ressourcengruppe mit dem Tresor
Aktivieren der Sicherung von SQL- und/oder HANA-Datenbanken Sicherungsoperator Ressourcengruppe mit dem Tresor
Mitwirkender von virtuellen Computern VM-Ressource, auf der die Datenbank installiert ist Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Bedarfsgesteuerte Sicherung einer Datenbank Sicherungsoperator Recovery Services-Tresor
Wiederherstellen einer Datenbank oder Wiederherstellen als Dateien Sicherungsoperator Recovery Services-Tresor
Mitwirkender von virtuellen Computern Gesicherte Quell-VM Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Mitwirkender von virtuellen Computern Ziel-VM, in der die Datenbank wiederhergestellt wird oder die Dateien erstellt werden Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Erstellen einer Sicherungsrichtlinie für Azure-VM-Sicherungen Mitwirkender für Sicherungen Recovery Services-Tresor
Ändern der Sicherungsrichtlinie der Azure-VM-Sicherungen Mitwirkender für Sicherungen Recovery Services-Tresor
Löschen der Sicherungsrichtlinie der Azure-VM-Sicherungen Mitwirkender für Sicherungen Recovery Services-Tresor
Beenden der Sicherung (mit Beibehaltung oder Löschung von Daten) für VM-Sicherungen Mitwirkender für Sicherungen Recovery Services-Tresor
Mitwirkender von virtuellen Computern Gesicherte Quell-VM Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write
Regionsübergreifende Wiederherstellung Sicherungsoperator Abonnement des Recovery Services-Tresors Dies geschieht zusätzlich zu den oben erwähnten Wiederherstellungsberechtigungen. Im Falle einer regionsübergreifenden Wiederherstellung können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle verwenden, die über die folgenden Berechtigungen verfügt:

- Microsoft.RecoveryServices/locations/backupAadProperties/read

- Microsoft.RecoveryServices/locations/backupCrrJobs/action

- Microsoft.RecoveryServices/locations/backupCrrJob/action

- Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action

- Microsoft.RecoveryServices/Locations/backupCrrOperationResults/read

- Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read

Mindestanforderungen an Rollen für die Sicherung von Azure-Dateifreigaben

In der folgenden Tabelle sind die Aktionen der Sicherungsverwaltung und die entsprechende Azure-Rolle aufgeführt, die zum Ausführen des jeweiligen Vorgangs erforderlich ist.

Verwaltungsvorgang Erforderliche Rolle Ressourcen
Aktivieren von Sicherungen über den Recovery Services-Tresor Mitwirkender für Sicherungen Recovery Services-Tresor
Speicherkontomitwirkender Speicherkontoressource
Blatt zum Aktivieren von Sicherungen über eine Dateifreigabe Mitwirkender für Sicherungen Recovery Services-Tresor
Speicherkontomitwirkender Speicherkontoressource
Mitwirkender Subscription
Bedarfsgesteuerte Sicherung der Dateifreigabe Sicherungsoperator Recovery Services-Tresor
Wiederherstellen einer Azure-Dateifreigabe Sicherungsoperator Recovery Services-Tresor
Mitwirkender für Speicherkontosicherung Speicherkontoressourcen, in dem Wiederherstellungs-Quelldateifreigaben und -Zieldateifreigaben vorhanden sind
Wiederherstellen einzelner Dateien Sicherungsoperator Recovery Services-Tresor
Mitwirkender von Speicherkonto Speicherkontoressourcen, in dem Wiederherstellungs-Quelldateifreigaben und -Zieldateifreigaben vorhanden sind
Schutz beenden Mitwirkender für Sicherungen Recovery Services-Tresor
Aufheben der Registrierung eines Speicherkontos im Tresor Mitwirkender für Sicherungen Recovery Services-Tresor
Mitwirkender von Speicherkonto Speicherkontoressource

Hinweis

Wenn Sie über die Zugriffsberechtigung „Mitwirkender“ auf Ressourcengruppenebene verfügen und Sicherungen über eine Dateifreigabe konfigurieren möchten, benötigen Sie die Berechtigung microsoft.recoveryservices/Locations/backupStatus/action auf Abonnementebene. Erstellen Sie dazu eine benutzerdefinierte Rolle, und weisen Sie diese Berechtigung zu.

Mindestrollenanforderungen für Azure Disk Backup

Verwaltungsvorgang Minimal erforderliche Azure-Rolle Bereich erforderlich Alternative
Überprüfen vor dem Konfigurieren der Sicherung Sicherungsoperator Sicherungstresor
Leser für die Datenträgersicherung Zu sichernder Datenträger
Aktivieren der Sicherung aus dem Sicherungstresor Sicherungsoperator Sicherungstresor
Leser für die Datenträgersicherung Zu sichernder Datenträger Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden
On-Demand-Sicherung eines Datenträgers Sicherungsoperator Sicherungstresor
Überprüfen vor dem Wiederherstellen eines Datenträgers Sicherungsoperator Sicherungstresor
Operator für die Datenträgerwiederherstellung Ressourcengruppe, in der Datenträger wiederhergestellt werden
Wiederherstellen eines Datenträgers Sicherungsoperator Sicherungstresor
Operator für die Datenträgerwiederherstellung Ressourcengruppe, in der Datenträger wiederhergestellt werden Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden

Mindestrollenanforderungen für die Azure-Blobsicherung

Verwaltungsvorgang Minimal erforderliche Azure-Rolle Bereich erforderlich Alternative
Überprüfen vor dem Konfigurieren der Sicherung Sicherungsoperator Sicherungstresor
Mitwirkender für Speicherkontosicherung Speicherkonto, das den Blob enthält
Aktivieren der Sicherung aus dem Sicherungstresor Sicherungsoperator Sicherungstresor
Mitwirkender für Speicherkontosicherung Speicherkonto, das den Blob enthält Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden
On-Demand-Sicherung eines Blobs Sicherungsoperator Sicherungstresor
Überprüfen vor dem Wiederherstellen eines Blobs Sicherungsoperator Sicherungstresor
Mitwirkender für Speicherkontosicherung Speicherkonto, das den Blob enthält
Wiederherstellen eines Blobs Sicherungsoperator Sicherungstresor
Mitwirkender für Speicherkontosicherung Speicherkonto, das den Blob enthält Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden

Mindestrollenanforderungen für die Azure Database for PostgreSQL-Serversicherung

Verwaltungsvorgang Minimal erforderliche Azure-Rolle Bereich erforderlich Alternative
Überprüfen vor dem Konfigurieren der Sicherung Sicherungsoperator Sicherungstresor
Leser Azure PostgreSQL-Server
Aktivieren der Sicherung aus dem Sicherungstresor Sicherungsoperator Sicherungstresor
Beitragender Azure PostgreSQL-Server Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read. Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden
On-Demand-Sicherung des PostGreSQL-Servers Sicherungsoperator Sicherungstresor
Überprüfen vor dem Wiederherstellen eines Servers Sicherungsoperator Sicherungstresor
Beitragender Ziel: Azure PostgreSQL-Server Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read
Wiederherstellen eines Servers Sicherungsoperator Sicherungstresor
Beitragender Ziel: Azure PostgreSQL-Server Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read. Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden

Nächste Schritte