Tutorial: Creación de una instancia de Resource Guard y habilitación de la autorización multiusuario en Azure Backup

En este tutorial se describe cómo crear una instancia de Resource Guard y habilitar la autorización multiusuario (MUA) en un almacén de Recovery Services y un almacén de Backup. Esto agrega una capa adicional de protección a las operaciones críticas en los almacenes.

Nota:

• La autorización multiusuario ahora está disponible con carácter general para almacenes de Recovery Services y almacenes de Backup.
• La autorización multiusuario para Azure Backup está disponible en todas las regiones públicas de Azure.

Obtenga más información sobre los conceptos de MUA.

Prerrequisitos

Antes de comenzar:

Elija un almacén

Almacén de Recovery Services

• Asegúrese de que Resource Guard y el almacén de Recovery Services estén en la misma región de Azure.
• Asegúrese de que el administrador de copia de seguridad no tiene permisos de colaborador en Resource Guard. Puede optar por tener Resource Guard en otra suscripción del mismo directorio, o en otro directorio para garantizar el aislamiento máximo.
• Asegúrese de que las suscripciones que contienen el almacén de Recovery Services, así como la Protección de recursos (en diferentes suscripciones o inquilinos) están registradas para usar el proveedor Microsoft.RecoveryServices. Para más información, consulte Tipos y proveedores de recursos de Azure.

Almacén de copia de seguridad

• Asegúrese de que Resource Guard y el almacén de Backup estén en la misma región de Azure.
• Asegúrese de que el administrador de copia de seguridad no tiene permisos de colaborador en Resource Guard. Puede optar por tener Resource Guard en otra suscripción del mismo directorio, o en otro directorio para garantizar el aislamiento máximo.
• Asegúrese de que las suscripciones que contienen el almacén de Backup y la instancia de Resource Guard (en otras suscripciones o inquilinos) estén registradas para usar el proveedor - Microsoft.DataProtection4. Para obtener más información, consulte Tipos y proveedores de recursos de Azure.

Obtenga información sobre distintos escenarios de uso de MUA.

Creación de una instancia de Resource Guard

El administrador de seguridad crea la instancia de Resource Guard. Se recomienda crearlo en una suscripción diferente o en un inquilino diferente que el almacén. Sin embargo, debe estar en la misma región que el almacén.

Nota:

El administrador de copia de seguridad NO debe tener acceso de Colaborador en Resource Guard ni en la suscripción que lo contiene.

Elija un almacén

Almacén de Recovery Services

Para crear la instancia de Resource Guard en un inquilino diferente al del almacén como administrador de seguridad, siga estos pasos:

1. En el portal de Azure, vaya al directorio en el que desea crear la Guardia de recursos.

2. Busque Protección de recursos en la barra de búsqueda y seleccione el elemento correspondiente en la lista desplegable.

   1. Seleccione Crear para comenzar a crear una instancia de Resource Guard.
   2. En la hoja Crear , rellene los detalles necesarios para esta protección de recursos.
      • Asegúrese de que Resource Guard esté en las mismas regiones de Azure que el almacén de Recovery Services.
      • Además, resulta útil agregar una descripción de cómo obtener o solicitar acceso para realizar acciones en almacenes asociados cuando sea necesario. Esta descripción también aparecería en los almacenes asociados para guiar al administrador de copia de seguridad sobre cómo obtener los permisos necesarios. Puede editar la descripción más adelante si es necesario, pero se recomienda tener una descripción bien definida en todo momento.

3. En la pestaña Operaciones protegidas, seleccione las operaciones que necesita proteger mediante esta instancia de Resource Guard.

   También puede seleccionar las operaciones que se van a proteger después de crear la protección de recursos.

4. De manera opcional, agregue las etiquetas a Resource Guard según los requisitos.

5. Seleccione Revisar y crear y, a continuación, siga las notificaciones para el estado y la creación correcta de Resource Guard.

Almacén de copia de seguridad

Para crear la instancia de Resource Guard en un inquilino diferente al del almacén como administrador de seguridad, siga estos pasos:

1. En Azure Portal, vaya al directorio en el que quiere crear la instancia de Resource Guard.

2. Busque Protección de recursos en la barra de búsqueda y seleccione el elemento correspondiente en la lista desplegable.

   1. Seleccione Crear para crear una instancia de Resource Guard.
   2. En la hoja Crear , rellene los detalles necesarios para esta protección de recursos.
      • Asegúrese de que la instancia de Resource Guard y el almacén de Backup estén en las mismas regiones de Azure.
      • Agregue una descripción de cómo solicitar acceso para realizar acciones en almacenes asociados en caso necesario. Esta descripción aparece en los almacenes asociados para guiar al administrador de Backup a la hora de obtener los permisos necesarios.

3. En la pestaña Operaciones protegidas, seleccione las operaciones que necesita proteger mediante esta instancia de Resource Guard en la pestaña Almacén de Backup.

   Actualmente, la pestaña Operaciones protegidas incluye solo la opción Eliminar instancia de Backup para su deshabilitación.

   También puede seleccionar las operaciones que se van a proteger después de crear la instancia de Resource Guard.

4. De manera opcional, agregue etiquetas a la instancia de Resource Guard según los requisitos.

5. Seleccione Revisar y crear y, a continuación, siga las notificaciones para supervisar el estado y una creación correcta de Resource Guard.

Selección de las operaciones que se protegerán mediante Resource Guard

Después de la creación del almacén, el administrador de seguridad también puede elegir las operaciones que se van a proteger mediante Resource Guard entre todas las operaciones críticas admitidas. De manera predeterminada, todas las operaciones críticas admitidas están habilitadas. Pero el administrador de seguridad puede excluir determinadas operaciones del ámbito de MUA mediante Resource Guard.

Elija un almacén

Almacén de Recovery Services

Para seleccionar las operaciones que se van a proteger, siga estos pasos:

1. En la instancia de Resource Guard creada anteriormente, vaya a la pestaña Propiedades>Almacén de Recovery Services.

2. Seleccione Deshabilitar para las operaciones que desea excluir de la autorización mediante Resource Guard.

   Nota:

   Las operaciones Desactivar eliminación suave y Quitar protección MUA no se pueden deshabilitar.

3. De manera opcional, también puede actualizar la descripción de Resource Guard mediante esta hoja.

4. Haga clic en Guardar.

Almacén de copia de seguridad

Para seleccionar las operaciones que se van a proteger, siga estos pasos:

1. En la instancia de Resource Guard que ha creado, vaya a la pestaña Propiedades>Almacén de Backup.

2. Seleccione Deshabilitar en las operaciones que quiere excluir de la autorización.

   No puede deshabilitar las operaciones Eliminar la protección de MUA y Deshabilitar la eliminación temporal.

3. Opcionalmente, en la pestaña Almacenes de Backup, actualice la descripción de la instancia de Resource Guard.

4. Haga clic en Guardar.

Asignación de permisos al administrador de copia de seguridad en Resource Guard para habilitar MUA

Para habilitar MUA en un almacén, el administrador de Backup debe tener el rol Lector en la instancia de Resource Guard o en la suscripción que contiene la instancia de Resource Guard. El administrador de seguridad debe asignar este rol al administrador de Backup.

Elija un almacén

Almacén de Recovery Services

Para asignar el rol Lector en la instancia de Resource Guard, siga estos pasos:

1. En el Resource Guard creado anteriormente, vaya a la pestaña Control de acceso (IAM) y, a continuación, vaya a Agregar asignación de roles.
2. Seleccione Lector en la lista de roles integrados y seleccione Siguiente.
3. Haga clic en Seleccionar miembros y agregue el identificador de correo electrónico del administrador de copia de seguridad para agregarlos como Lector. Dado que el administrador de copia de seguridad está en otro tenant en este caso, será agregado como invitado al tenant que contiene Resource Guard.
4. Haga clic en Seleccionar y vaya a Review + assign (Revisar y asignar) para finalizar la asignación de roles.

Almacén de copia de seguridad

Para asignar el rol Lector en la instancia de Resource Guard, siga estos pasos:

1. En la instancia de Resource Guard creada anteriormente, vaya a la hoja Control de acceso (IAM) y luego a Agregar asignación de roles.

2. Seleccione Lector en la lista de roles integrados y seleccione Siguiente.

3. Haga clic en Seleccionar miembros y agregue el identificador de correo electrónico del administrador de Backup para asignar el rol Lector.

   Si los administradores de Backup están en otro inquilino, se agregan como invitados al inquilino que contiene la instancia de Resource Guard.

4. Para completar la asignación de roles, haga clic en Seleccionar>Revisar y asignar.

Habilitación de MUA en un almacén

Una vez que el administrador de Backup tiene el rol Lector en la instancia de Resource Guard, puede habilitar la autorización multiusuario en almacenes administrados mediante estos pasos:

Elija un almacén

Almacén de Recovery Services

1. Vaya al almacén de Recovery Services.

2. Vaya a Propiedades>Autorización multiusuario y, a continuación, seleccione Actualizar.

3. Ahora se le presenta la opción para habilitar MUA y elegir una instancia de Resource Guard mediante una de las siguientes maneras:

   1. Puede especificar el URI de Resource Guard, asegúrese de especificar el URI de una instancia de Resource Guard a la que tenga acceso de Lector y que esté en las mismas regiones que el almacén. Puede encontrar el URI (id. de Resource Guard) de Resource Guard en su pantalla Información general:

   2. O bien, puede seleccionar la instancia de Resource Guard en la lista de instancias de Resource Guard en las que tiene acceso de Lector y que estén disponibles en la región.

      1. Haga clic en Seleccionar Protección de recursos.
      2. Seleccione la lista desplegable y elija el directorio en el que se encuentra la instancia de Resource Guard.
      3. Seleccione Autenticar para validar la identidad y el acceso.
      4. Después de la autenticación, elija Resource Guard en la lista que aparece.

4. Seleccione Guardar para habilitar MUA.

Almacén de copia de seguridad

1. Vaya al almacén de Backup en el que quiere configurar MUA.

2. En el panel izquierdo, seleccione Propiedades.

3. Vaya a Autorización multiusuario y seleccione Actualizar.

4. Para habilitar MUA y elegir una instancia de Resource Guard, realice una de las siguientes acciones:

   • Puede especificar el URI de la instancia de Resource Guard. Asegúrese de especificar el URI de una instancia de Resource Guard en la que tenga acceso de Lector y que se encuentre en las mismas regiones que el almacén. Puede encontrar el URI (id. de Resource Guard) de Resource Guard en su página de información general.

   • O bien, puede seleccionar la instancia de Resource Guard en la lista de instancias de Resource Guard en las que tiene acceso de Lector y que estén disponibles en la región.

     1. Haga clic en Seleccionar Protección de recursos.
     2. Seleccione la lista desplegable y luego el directorio en el que se encuentra la instancia de Resource Guard.
     3. Seleccione Autenticar para validar la identidad y el acceso.
     4. Después de la autenticación, elija Resource Guard en la lista que aparece.

5. Seleccione Guardar para habilitar MUA.

Pasos siguientes

• Operaciones protegidas mediante MUA
• Autorización de operaciones críticas (protegidas) mediante Microsoft Entra Privileged Identity Management
• Realizar una operación protegida después de la aprobación
• Deshabilite MUA en un almacén de Recovery Services o en un almacén de Backup.