Verwenden der rollenbasierten Zugriffssteuerung in Azure zum Verwalten von Azure Backup-Wiederherstellungspunkten
Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure ermöglicht eine präzise Zugriffsverwaltung für Azure. Mithilfe von Azure RBAC können Sie Aufgaben in Ihrem Team verteilen und Benutzern nur den Zugriff gewähren, den sie zur Ausführung ihrer Aufgaben benötigen.
Wichtig
Rollen, die von Azure Backup bereitgestellt werden, sind auf Aktionen beschränkt, die im Azure-Portal, über die REST-API oder mit PowerShell- oder CLI-Cmdlets für Recovery Services-Tresore ausgeführt werden können. Aktionen, die auf der Benutzeroberfläche des Azure Backup-Agent-Clients oder der Benutzeroberfläche von System Center Data Protection Manager oder der Benutzeroberfläche von Azure Backup Server ausgeführt werden, werden von diesen Rollen nicht gesteuert.
Azure Backup bietet drei integrierte Rollen, um Vorgänge der Sicherungsverwaltung zu steuern. Weitere Informationen zu in Azure integrierten Rollen
- Mitwirkender für Sicherungen: Diese Rolle verfügt über alle Berechtigungen zum Erstellen und Verwalten von Sicherungen. Mit dieser Rolle können aber keine Recovery Services-Tresore gelöscht werden, und anderen Personen kann kein Zugriff gewährt werden. Stellen Sie sich diese Rolle als Administrator der Sicherungsverwaltung vor, der alle Vorgänge der Sicherungsverwaltung ausführen kann.
- Sicherungsoperator: Diese Rolle verfügt über Berechtigungen für alles, was ein Mitwirkender ausführen kann, außer Entfernen von Sicherungen und Verwalten von Sicherungsrichtlinien. Diese Rolle ist gleichbedeutend mit einem Mitwirkenden, es können damit jedoch keine destruktiven Vorgänge ausgeführt werden, z.B. Beenden einer Sicherung mit Löschung von Daten oder Entfernen die Registrierung von lokalen Ressourcen.
- Sicherungsleser: Diese Rolle verfügt über Berechtigungen zum Anzeigen aller Vorgänge für die Sicherungsverwaltung. Stellen Sie sich diese Rolle für eine Überwachungsperson vor.
Wenn Sie Ihre eigenen Rollen definieren möchten, um eine noch bessere Kontrolle zu haben, helfen Ihnen die Informationen zum Erstellen von benutzerdefinierten Rollen in Azure RBAC weiter.
Zuordnen der integrierten Backup-Rollen zu Aktionen der Sicherungsverwaltung
Mindestrollenanforderungen für die Azure-VM-Sicherung
In der folgenden Tabelle sind die Aktionen der Sicherungsverwaltung und die entsprechende minimale Azure-Rolle aufgeführt, die zum Ausführen des jeweiligen Vorgangs erforderlich ist.
| Verwaltungsvorgang | Minimal erforderliche Azure-Rolle | Bereich erforderlich | Alternative |
|---|---|---|---|
| Erstellen eines Recovery Services-Tresors | Mitwirkender für Sicherungen | Ressourcengruppe mit dem Tresor | |
| Aktivieren der Sicherung von virtuellen Azure-Computern | Sicherungsoperator | Ressourcengruppe mit dem Tresor | |
| Mitwirkender von virtuellen Computern | VM-Ressource | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Aktivieren der Sicherung von Azure-VMs (über das VM-Blatt) | Sicherungsoperator | Ressourcengruppe mit dem Tresor | |
| Sicherungsoperator | Ressourcengruppe, die die VM enthält | ||
| Mitwirkender von virtuellen Computern | VM-Ressource | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Betracht ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Bedarfsgesteuerte Sicherung eines virtuellen Computers | Sicherungsoperator | Recovery Services-Tresor | |
| Wiederherstellen eines virtuellen Computers | Sicherungsoperator | Recovery Services-Tresor | |
| Mitwirkender | Ressourcengruppe, in der der virtuelle Computer bereitgestellt wird. | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (erforderlich nur für klassische VM-Wiederherstellung und nicht für verwaltete VMs), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action | |
| Mitwirkender von virtuellen Computern | Gesicherte Quell-VM | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Mitwirkender von Speicherkonto | Speicherkontoressource, in dem Datenträger wiederhergestellt werden sollen | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Storage/storageAccounts/write, Microsoft.Storage/storageAccounts/listkeys/action | |
| Wiederherstellen von VM-Sicherung nicht verwalteter Datenträger | Sicherungsoperator | Recovery Services-Tresor | |
| Mitwirkender von virtuellen Computern | Gesicherte Quell-VM | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Mitwirkender von Speicherkonto | Speicherkontoressource, in dem Datenträger wiederhergestellt werden sollen | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Storage/storageAccounts/write, Microsoft.Storage/storageAccounts/listkeys/action | |
| Wiederherstellen von verwalteten Datenträgern aus VM-Sicherung | Sicherungsoperator | Recovery Services-Tresor | |
| Mitwirkender von virtuellen Computern | Gesicherte Quell-VM | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Mitwirkender von Speicherkonto | Temporäres Speicherkonto, das als Teil der Wiederherstellung ausgewählt wurde, um Daten aus dem Tresor zu speichern, bevor sie in verwaltete Datenträger konvertiert werden | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Storage/storageAccounts/write, Microsoft.Storage/storageAccounts/listkeys/action | |
| Mitwirkender | Die Ressourcengruppe, in der der/die verwaltete(n) Datenträger wiederhergestellt wird | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Wiederherstellen von einzelnen Dateien aus VM-Sicherungen | Sicherungsoperator | Recovery Services-Tresor | |
| Mitwirkender von virtuellen Computern | Gesicherte Quell-VM | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Regionsübergreifende Wiederherstellung | Sicherungsoperator | Abonnement des Recovery Services-Tresors | Dies geschieht zusätzlich zu den oben erwähnten Wiederherstellungsberechtigungen. Speziell für CRR können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen verwenden: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Erstellen einer Sicherungsrichtlinie für Azure-VM-Sicherungen | Mitwirkender für Sicherungen | Recovery Services-Tresor | |
| Ändern der Sicherungsrichtlinie der Azure-VM-Sicherungen | Mitwirkender für Sicherungen | Recovery Services-Tresor | |
| Löschen der Sicherungsrichtlinie der Azure-VM-Sicherungen | Mitwirkender für Sicherungen | Recovery Services-Tresor | |
| Beenden der Sicherung (mit Beibehaltung oder Löschung von Daten) für VM-Sicherungen | Mitwirkender für Sicherungen | Recovery Services-Tresor | |
| Registrieren einer lokalen Instanz von Windows Server/Client/SCDPM oder Azure Backup Server | Sicherungsoperator | Recovery Services-Tresor | |
| Löschen der registrierten lokalen Instanz von Windows Server/Client/SCDPM oder Azure Backup Server | Mitwirkender für Sicherungen | Recovery Services-Tresor |
Wichtig
Wenn Sie als Teil der VM-Einstellungen den VM-Mitwirkenden in einem VM-Ressourcenbereich angeben und Sicherung auswählen, öffnet sich der Bildschirm Sicherung aktivieren, obwohl die VM bereits gesichert ist. Dies liegt daran, dass der Aufruf zur Überprüfung des Sicherungsstatus nur auf Abonnementebene funktioniert. Um dies zu vermeiden, navigieren Sie entweder zum Tresor und öffnen die Sicherungselementansicht der VM, oder geben Sie die Rolle „VM-Mitwirkender“ auf Abonnementebene an.
Mindestrollenanforderungen für Azure-Workloadsicherungen (SQL- und HANA DB-Sicherungen)
In der folgenden Tabelle sind die Aktionen der Sicherungsverwaltung und die entsprechende minimale Azure-Rolle aufgeführt, die zum Ausführen des jeweiligen Vorgangs erforderlich ist.
| Verwaltungsvorgang | Minimal erforderliche Azure-Rolle | Bereich erforderlich | Alternative |
|---|---|---|---|
| Erstellen eines Recovery Services-Tresors | Mitwirkender für Sicherungen | Ressourcengruppe mit dem Tresor | |
| Aktivieren der Sicherung von SQL- und/oder HANA-Datenbanken | Sicherungsoperator | Ressourcengruppe mit dem Tresor | |
| Mitwirkender von virtuellen Computern | VM-Ressource, auf der die Datenbank installiert ist | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Bedarfsgesteuerte Sicherung einer Datenbank | Sicherungsoperator | Recovery Services-Tresor | |
| Wiederherstellen einer Datenbank oder Wiederherstellen als Dateien | Sicherungsoperator | Recovery Services-Tresor | |
| Mitwirkender von virtuellen Computern | Gesicherte Quell-VM | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Mitwirkender von virtuellen Computern | Ziel-VM, in der die Datenbank wiederhergestellt wird oder die Dateien erstellt werden | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Erstellen einer Sicherungsrichtlinie für Azure-VM-Sicherungen | Mitwirkender für Sicherungen | Recovery Services-Tresor | |
| Ändern der Sicherungsrichtlinie der Azure-VM-Sicherungen | Mitwirkender für Sicherungen | Recovery Services-Tresor | |
| Löschen der Sicherungsrichtlinie der Azure-VM-Sicherungen | Mitwirkender für Sicherungen | Recovery Services-Tresor | |
| Beenden der Sicherung (mit Beibehaltung oder Löschung von Daten) für VM-Sicherungen | Mitwirkender für Sicherungen | Recovery Services-Tresor | |
| Mitwirkender von virtuellen Computern | Gesicherte Quell-VM | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.Compute/virtualMachines/write | |
| Regionsübergreifende Wiederherstellung | Sicherungsoperator | Abonnement des Recovery Services-Tresors | Dies geschieht zusätzlich zu den oben erwähnten Wiederherstellungsberechtigungen. Im Falle einer regionsübergreifenden Wiederherstellung können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle verwenden, die über die folgenden Berechtigungen verfügt: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/Locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Mindestanforderungen an Rollen für die Sicherung von Azure-Dateifreigaben
In der folgenden Tabelle sind die Aktionen der Sicherungsverwaltung und die entsprechende Azure-Rolle aufgeführt, die zum Ausführen des jeweiligen Vorgangs erforderlich ist.
| Verwaltungsvorgang | Erforderliche Rolle | Ressourcen |
|---|---|---|
| Aktivieren von Sicherungen über den Recovery Services-Tresor | Mitwirkender für Sicherungen | Recovery Services-Tresor |
| Speicherkontomitwirkender | Speicherkontoressource | |
| Blatt zum Aktivieren von Sicherungen über eine Dateifreigabe | Mitwirkender für Sicherungen | Recovery Services-Tresor |
| Speicherkontomitwirkender | Speicherkontoressource | |
| Mitwirkender | Subscription | |
| Bedarfsgesteuerte Sicherung der Dateifreigabe | Sicherungsoperator | Recovery Services-Tresor |
| Wiederherstellen einer Azure-Dateifreigabe | Sicherungsoperator | Recovery Services-Tresor |
| Mitwirkender für Speicherkontosicherung | Speicherkontoressourcen, in dem Wiederherstellungs-Quelldateifreigaben und -Zieldateifreigaben vorhanden sind | |
| Wiederherstellen einzelner Dateien | Sicherungsoperator | Recovery Services-Tresor |
| Mitwirkender von Speicherkonto | Speicherkontoressourcen, in dem Wiederherstellungs-Quelldateifreigaben und -Zieldateifreigaben vorhanden sind | |
| Schutz beenden | Mitwirkender für Sicherungen | Recovery Services-Tresor |
| Aufheben der Registrierung eines Speicherkontos im Tresor | Mitwirkender für Sicherungen | Recovery Services-Tresor |
| Mitwirkender von Speicherkonto | Speicherkontoressource |
Hinweis
Wenn Sie über die Zugriffsberechtigung „Mitwirkender“ auf Ressourcengruppenebene verfügen und Sicherungen über eine Dateifreigabe konfigurieren möchten, benötigen Sie die Berechtigung microsoft.recoveryservices/Locations/backupStatus/action auf Abonnementebene. Erstellen Sie dazu eine benutzerdefinierte Rolle, und weisen Sie diese Berechtigung zu.
Mindestrollenanforderungen für Azure Disk Backup
| Verwaltungsvorgang | Minimal erforderliche Azure-Rolle | Bereich erforderlich | Alternative |
|---|---|---|---|
| Überprüfen vor dem Konfigurieren der Sicherung | Sicherungsoperator | Sicherungstresor | |
| Leser für die Datenträgersicherung | Zu sichernder Datenträger | ||
| Aktivieren der Sicherung aus dem Sicherungstresor | Sicherungsoperator | Sicherungstresor | |
| Leser für die Datenträgersicherung | Zu sichernder Datenträger | Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden | |
| On-Demand-Sicherung eines Datenträgers | Sicherungsoperator | Sicherungstresor | |
| Überprüfen vor dem Wiederherstellen eines Datenträgers | Sicherungsoperator | Sicherungstresor | |
| Operator für die Datenträgerwiederherstellung | Ressourcengruppe, in der Datenträger wiederhergestellt werden | ||
| Wiederherstellen eines Datenträgers | Sicherungsoperator | Sicherungstresor | |
| Operator für die Datenträgerwiederherstellung | Ressourcengruppe, in der Datenträger wiederhergestellt werden | Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden |
Mindestrollenanforderungen für die Azure-Blobsicherung
| Verwaltungsvorgang | Minimal erforderliche Azure-Rolle | Bereich erforderlich | Alternative |
|---|---|---|---|
| Überprüfen vor dem Konfigurieren der Sicherung | Sicherungsoperator | Sicherungstresor | |
| Mitwirkender für Speicherkontosicherung | Speicherkonto, das den Blob enthält | ||
| Aktivieren der Sicherung aus dem Sicherungstresor | Sicherungsoperator | Sicherungstresor | |
| Mitwirkender für Speicherkontosicherung | Speicherkonto, das den Blob enthält | Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden | |
| On-Demand-Sicherung eines Blobs | Sicherungsoperator | Sicherungstresor | |
| Überprüfen vor dem Wiederherstellen eines Blobs | Sicherungsoperator | Sicherungstresor | |
| Mitwirkender für Speicherkontosicherung | Speicherkonto, das den Blob enthält | ||
| Wiederherstellen eines Blobs | Sicherungsoperator | Sicherungstresor | |
| Mitwirkender für Speicherkontosicherung | Speicherkonto, das den Blob enthält | Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden |
Mindestrollenanforderungen für die Azure Database for PostgreSQL-Serversicherung
| Verwaltungsvorgang | Minimal erforderliche Azure-Rolle | Bereich erforderlich | Alternative |
|---|---|---|---|
| Überprüfen vor dem Konfigurieren der Sicherung | Sicherungsoperator | Sicherungstresor | |
| Leser | Azure PostgreSQL-Server | ||
| Aktivieren der Sicherung aus dem Sicherungstresor | Sicherungsoperator | Sicherungstresor | |
| Beitragender | Azure PostgreSQL-Server | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read. Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden | |
| On-Demand-Sicherung des PostGreSQL-Servers | Sicherungsoperator | Sicherungstresor | |
| Überprüfen vor dem Wiederherstellen eines Servers | Sicherungsoperator | Sicherungstresor | |
| Beitragender | Ziel: Azure PostgreSQL-Server | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Wiederherstellen eines Servers | Sicherungsoperator | Sicherungstresor | |
| Beitragender | Ziel: Azure PostgreSQL-Server | Alternativ können Sie anstelle einer integrierten Rolle eine benutzerdefinierte Rolle mit den folgenden Berechtigungen in Erwägung ziehen: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read. Darüber hinaus sollten der Sicherungstresor-MSI diese Berechtigungen erteilt werden |
Nächste Schritte
- Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC): Erste Schritte mit Azure RBAC im Azure-Portal
- Informationen zur Zugriffsverwaltung mit:
- Behandeln von Problemen bei Azure RBAC: Empfehlungen zur Behebung häufig auftretender Probleme