Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede usar la autorización multiusuario (MUA) para Azure Backup para agregar una capa de protección a operaciones críticas en los almacenes de Recovery Services y los almacenes de Backup. Para MUA, Azure Backup usa otro recurso de Azure denominado Resource Guard para asegurarse de que las operaciones críticas solo se realizan con la autorización aplicable.
La autorización multiusuario mediante Resource Guard para un almacén de Backup ahora está disponible con carácter general.
Permisos para MUA y Azure Backup
Azure Backup usa Resource Guard como mecanismo de autorización adicional para un almacén de Recovery Services o un almacén de Backup. Para realizar correctamente una operación crítica (descrita en la sección siguiente), debe tener permisos suficientes en Resource Guard.
Para que MUA funcione según lo previsto:
- Un usuario diferente debe ser propietario de la instancia de Resource Guard.
- El administrador de la bóveda no debe tener permisos de colaborador, de administrador de MUA de copia de seguridad o de operador de MUA de copia de seguridad en Resource Guard.
Para proporcionar una mejor protección, puede colocar Resource Guard en una suscripción o entidad diferente de la que contiene las bóvedas.
Operaciones críticas
En la tabla siguiente se enumeran las operaciones definidas como críticas y que Resource Guard puede ayudar a proteger. Puede optar por excluir determinadas operaciones de protección a través de Resource Guard al asociar almacenes a él.
Nota:
No se pueden excluir las operaciones indicadas como obligatorias de ser protegidas mediante Resource Guard para los almacenes asociados. Además, las operaciones críticas excluidas se aplicarían a todas las bóvedas asociadas a Resource Guard.
| Operación | Obligatorio/Opcional | Descripción |
|---|---|---|
| Deshabilitar las características de seguridad o eliminación temporal | Mandatory | Deshabilite la configuración de eliminación reversible en una bóveda. |
| Quitar la protección de MUA | Mandatory | Deshabilita la protección de MUA en un almacén. |
| Eliminar protección | Opcionales | Elimine la protección mediante la detención de copias de seguridad y la eliminación de datos. |
| Modificar la protección | Opcionales | Agregue una nueva directiva de copia de seguridad con retención reducida o cambie la frecuencia de directiva para aumentar el objetivo de punto de recuperación (RPO). |
| Modificar la directiva | Opcionales | Modifique la política de copia de seguridad para reducir la retención o cambie la frecuencia de la política para aumentar el RPO. |
| Obtener PIN de seguridad de copia de seguridad | Opcionales | Cambie el PIN de seguridad de Microsoft Azure Recovery Services (MARS). |
| Detener la copia de seguridad y retener los datos | Opcionales | Elimine la protección deteniendo las copias de seguridad y conservando los datos para siempre o conservando los datos según la directiva. |
| Deshabilitar la inmutabilidad | Opcionales | Deshabilite la configuración de inmutabilidad en un almacén. |
Conceptos y procesos
En esta sección se describen los conceptos y los procesos implicados al usar MUA para Azure Backup.
Para una comprensión clara del proceso y las responsabilidades, considere las dos personas siguientes. A estos personajes se hace referencia en este artículo.
Administrador de copia de seguridad: propietario del almacén de Recovery Services o del almacén de Backup que realiza operaciones de administración en el almacén. Al principio, el administrador de copia de seguridad no debe tener permisos en Resource Guard. El administrador de copia de seguridad puede tener el rol de control de acceso basado en roles (RBAC) de Operador de Copia de Seguridad o Colaborador de Copia de Seguridad en la bóveda de servicios de recuperación.
Administrador de seguridad: propietario de la instancia de Resource Guard y actúa como el guardián de las operaciones críticas en la bóveda. El administrador de seguridad controla los permisos que el administrador de copia de seguridad necesita para realizar operaciones críticas en la bóveda. El administrador de seguridad puede tener el rol RBAC de administrador del MUA de copia de seguridad en Resource Guard.
En el diagrama siguiente se muestran los pasos para realizar una operación crítica en un cofre que tiene MUA configurado a través de Resource Guard.
Este es el flujo de eventos en un escenario típico:
El administrador de copia de seguridad crea el almacén de Recovery Services o el almacén de Backup.
El administrador de seguridad crea la instancia de Resource Guard.
La instancia de Resource Guard puede estar en una suscripción diferente o en un inquilino diferente con respecto al almacén. Asegúrese de que el administrador de copia de seguridad no tenga permisos de colaborador, ni de administrador de MUA de copia de seguridad, ni de operador de MUA de copia de seguridad en Resource Guard.
El administrador de seguridad asigna el rol de lector al administrador de copias de seguridad para Resource Guard (o un ámbito pertinente). El administrador de copias de seguridad requiere el rol de Lector para habilitar MUA en la bóveda.
El administrador de copia de seguridad configura MUA para ayudar a proteger el almacén a través de Resource Guard.
Si el administrador de copia de seguridad o cualquier usuario que tenga acceso de escritura al almacén quiere realizar una operación crítica en el almacén protegida con Resource Guard, debe solicitar acceso a Resource Guard.
El administrador de copia de seguridad puede ponerse en contacto con el administrador de seguridad para obtener más información sobre cómo obtener acceso para realizar estas operaciones. Pueden hacerlo mediante la administración de identidades con privilegios (PIM) u otros procesos que la organización exige.
El administrador de copia de seguridad puede solicitar el rol RBAC del operador MUA de copia de seguridad. Este rol permite a los usuarios realizar solo operaciones críticas que protege Resource Guard. No permite la eliminación de la instancia de Resource Guard.
El administrador de seguridad concede temporalmente el rol Operador MUA de respaldo en Resource Guard al administrador de respaldo para realizar operaciones críticas.
El administrador de copia de seguridad inicia la operación crítica.
Azure Resource Manager comprueba si el administrador de copia de seguridad tiene permisos suficientes. La solicitud se completa porque el administrador de copias de seguridad ahora tiene el rol de Operador MUA de Copias de Seguridad en Resource Guard. Si el administrador de copia de seguridad no tiene los permisos o roles necesarios, se produce un error en la solicitud.
El administrador de seguridad revoca los privilegios para realizar operaciones críticas después de realizar acciones autorizadas o después de una duración definida. Puede usar las herramientas Just-In-Time (JIT) de Microsoft Entra Privileged Identity Management para revocar los privilegios.
Nota:
- Si concede temporalmente al administrador de copia de seguridad el rol de Colaborador o Administrador MUA en Resource Guard, ese acceso también proporciona permisos de eliminación en Resource Guard. Se recomienda proporcionar únicamente los permisos de Operador de MUA de respaldo.
- MUA proporciona protección solo para las operaciones enumeradas anteriormente realizadas en las copias de seguridad en bóveda. Las operaciones realizadas directamente en el origen de datos (es decir, el recurso o la carga de trabajo de Azure protegidos) están fuera del ámbito de Resource Guard.
Escenarios de uso
En la tabla siguiente se enumeran los escenarios para crear las instancias y almacenes de Resource Guard (almacén de Recovery Services y almacén de Backup), junto con la protección relativa que ofrece cada uno.
Importante
El administrador de copia de seguridad no debe tener permisos de colaborador, administrador de MUA de copia de seguridad o operador de MUA de copia de seguridad para Resource Guard en cualquier escenario. Estos permisos anulan la protección de MUA en la bóveda.
| Escenario de uso | Protección por MUA | Facilidad de implementación | Notas |
|---|---|---|---|
| Vault y Resource Guard están en la misma suscripción. El administrador de copia de seguridad no tiene acceso a Resource Guard. |
Aislamiento mínimo entre el administrador de copia de seguridad y el administrador de seguridad. | Relativamente fácil de implementar porque solo se requiere una suscripción. | Los permisos y roles de nivel de recurso deben asignarse correctamente. |
| Vault y Resource Guard están en suscripciones diferentes, pero el mismo inquilino. El administrador de copia de seguridad no tiene acceso a Resource Guard ni a la suscripción correspondiente. |
Aislamiento medio entre el administrador de copia de seguridad y el administrador de seguridad. | Facilidad media de implementación porque se requieren dos suscripciones (pero un solo inquilino). | Asegúrese de que los permisos y roles están asignados correctamente para el recurso o la suscripción. |
| Vault y Resource Guard se encuentran en distintos inquilinos.
El administrador de copia de seguridad no tiene acceso a Resource Guard, a la suscripción correspondiente ni al inquilino correspondiente. |
Aislamiento máximo entre el administrador de copia de seguridad y el administrador de seguridad, que proporciona la máxima seguridad. | Relativamente difícil de probar porque las pruebas requieren dos inquilinos o directorios. | Asegúrese de que los permisos y roles están asignados correctamente para el recurso, la suscripción o el directorio. |