Azure Cosmos DB-fiók visszaállítására vonatkozó engedélyek kezelése
A KÖVETKEZŐKRE VONATKOZIK: 
Nosql MongoDB Gremlin Táblázat
Az Azure Cosmos DB lehetővé teszi a folyamatos biztonsági mentési fiók visszaállítási engedélyeinek elkülönítését és korlátozását egy adott szerepkörre vagy egyszerű fiókra. Ezek az engedélyek az előfizetés hatókörében vagy részletesebben is alkalmazhatók a forrásfiók hatókörében az alábbi képen látható módon:
A hatókör olyan erőforrások készlete, amelyek rendelkeznek hozzáféréssel, és a hatókörökről további információt az Azure RBAC dokumentációjában talál. Az Azure Cosmos DB-ben az alkalmazható hatókörök a legtöbb használati esetben a forrás-előfizetés és az adatbázisfiók. A visszaállítási műveleteket végrehajtó egyszerű felhasználónak írási engedélyekkel kell rendelkeznie a célerőforrás-csoporthoz.
Szerepkörök hozzárendelése visszaállításhoz az Azure Portal használatával
A visszaállítás végrehajtásához a felhasználónak vagy az egyszerű felhasználónak szüksége van a visszaállítási engedélyre (azaz visszaállítási/műveleti engedélyre), valamint egy új fiók kiépítésére (azaz írási engedélyre). Az engedélyek megadásához az előfizetés tulajdonosa hozzárendelheti a CosmosRestoreOperator beépített szerepköröket Cosmos DB Operator egy taghoz.
Jelentkezzen be az Azure Portalra , és keresse meg az előfizetését. A
CosmosRestoreOperatorszerepkör előfizetési szinten érhető el.Select Access control (IAM).
Válassza a Szerepkör-hozzárendelés hozzáadása>lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.
Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Beállítás Value Role CosmosRestoreOperator Hozzáférés hozzárendelése a következőhöz: Felhasználó, csoport vagy szolgáltatásnév Tagok <A választott felhasználó> 
Ismételje meg a 4. lépést a Cosmos DB Operátor szerepkörrel az írási engedély megadásához. Amikor ezt a szerepkört az Azure Portalról rendeli hozzá, az a teljes előfizetésnek megadja a visszaállítási engedélyt.
Engedélyezési hatókörök
| Scope | Example |
|---|---|
| Subscription | /subscriptions/000000000-0000-0000-0000-000000000 |
| Erőforráscsoport | /subscriptions/000000000-0000-0000-0000-0000000000/resourceGroups/Example-cosmosdb-rg |
| CosmosDB visszaállítható fiókerőforrás | /subscriptions/000000000-0000-0000-0000-0000000000/providers/Microsoft.DocumentDB/locations/WEST US/restorableDatabaseAccounts/23e99a35-cd36-4df4-9614-f767a03b9995 |
A visszaállítható fiókerőforrás kinyerhető a parancssori felület vagy Get-AzCosmosDBRestorableDatabaseAccount -DatabaseAccountName <accountname> a az cosmosdb restorable-database-account list --account-name <accountname> PowerShell parancsmagjának kimenetéből. A kimenetben lévő névattribútum a instanceID visszaállítható fiók értékét jelöli.
A forrásfiók engedélyei
A folyamatos biztonsági mentési módú fiókok visszaállításával kapcsolatos különböző tevékenységek végrehajtásához az alábbi engedélyek szükségesek:
Megjegyzés:
Az engedély hozzárendelhető a visszaállítható adatbázisfiókhoz a fiók hatókörében vagy az előfizetés hatókörében. Az engedélyek erőforráscsoport-hatókörhöz való hozzárendelése nem támogatott.
| Permission | Hatás | Minimális hatókör | Maximális hatókör |
|---|---|---|---|
Microsoft.Resources/deployments/validate/action, Microsoft.Resources/deployments/write |
Ezek az engedélyek szükségesek az ARM-sablon üzembe helyezéséhez a visszaállított fiók létrehozásához. A szerepkör beállításához tekintse meg az alábbi Visszaállítási engedély mintaengedélyét. | Nem értelmezhető | Nem értelmezhető |
Microsoft.DocumentDB/databaseAccounts/write |
Ez az engedély szükséges egy fiók erőforráscsoportba való visszaállításához | Erőforráscsoport, amely alatt a visszaállított fiók létrejön. | Előfizetés, amely alatt a visszaállított fiók létrejön |
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/actionNem választhat erőforráscsoportot engedélyhatókörként. |
Erre az engedélyre a forrás visszaállítható adatbázisfiók hatókörében van szükség, hogy a visszaállítási műveletek végrehajthatók legyenek rajta. | A visszaállítandó forrásfiókhoz tartozó RestoreableDatabaseAccount erőforrás. Ezt az értéket a ID visszaállítható adatbázisfiók-erőforrás tulajdonsága is adja meg. A helyreállítható fiók például a /subscriptions/subscriptionId/providers/Microsoft.DocumentDB/locations/regionName/restorableDatabaseAccounts/<guid-instanceid> |
A visszaállítható adatbázisfiókot tartalmazó előfizetés. |
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/readNem választhat erőforráscsoportot engedélyhatókörként. |
Ez az engedély a visszaállítható forrásadatbázis-fiók hatókörében szükséges a visszaállítható adatbázisfiókok listázásához. | A visszaállítandó forrásfiókhoz tartozó RestoreableDatabaseAccount erőforrás. Ezt az értéket a ID visszaállítható adatbázisfiók-erőforrás tulajdonsága is adja meg. A helyreállítható fiók például a /subscriptions/subscriptionId/providers/Microsoft.DocumentDB/locations/regionName/restorableDatabaseAccounts/<guid-instanceid> |
A visszaállítható adatbázisfiókot tartalmazó előfizetés. |
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/readNem választhat erőforráscsoportot engedélyhatókörként. |
Erre az engedélyre a forrás visszaállítható fiók hatókörében van szükség, hogy a helyreállítható erőforrások, például a visszaállítható fiókok adatbázisainak és tárolóinak listája beolvasható legyen. | A visszaállítandó forrásfiókhoz tartozó RestoreableDatabaseAccount erőforrás. Ezt az értéket a ID visszaállítható adatbázisfiók-erőforrás tulajdonsága is adja meg. A helyreállítható fiók például a /subscriptions/subscriptionId/providers/Microsoft.DocumentDB/locations/regionName/restorableDatabaseAccounts/<guid-instanceid> |
A visszaállítható adatbázisfiókot tartalmazó előfizetés. |
A célfiók engedélyei
A folyamatos biztonsági mentési módú fiókok visszaállításával kapcsolatos különböző tevékenységek végrehajtásához az alábbi engedélyek szükségesek:
| Permission | Hatás |
|---|---|
Microsoft.Resources/deployments/validate/action, Microsoft.Resources/deployments/write |
Ezek az engedélyek szükségesek az ARM-sablon üzembe helyezéséhez a visszaállított fiók létrehozásához. A szerepkör beállításához tekintse meg az alábbi Visszaállítási engedély mintaengedélyét. |
Microsoft.DocumentDB/databaseAccounts/write |
Ez az engedély szükséges egy fiók erőforráscsoportba való visszaállításához |
Azure CLI-szerepkör-hozzárendelési forgatókönyvek különböző hatókörökben történő visszaállításhoz
Az engedélyekkel rendelkező szerepkörök különböző hatókörökhöz rendelhetők, így részletesebben szabályozható, hogy ki hajthatja végre a visszaállítási műveletet egy előfizetésben vagy egy adott fiókban.
Az előfizetés bármely visszaállítható fiókjából való visszaállítási képesség hozzárendelése
CosmosRestoreOperatorA beépített szerepkör hozzárendelése az adott előfizetési szinthez
az role assignment create --role "CosmosRestoreOperator" --assignee <email> --scope /subscriptions/<subscriptionId>
Adott fiókból történő visszaállítási képesség hozzárendelése
- Felhasználói írási művelet hozzárendelése az adott erőforráscsoporthoz. Ez a művelet szükséges egy új fiók létrehozásához az erőforráscsoportban.
- Rendelje hozzá a
CosmosRestoreOperatorbeépített szerepkört az adott visszaállítható adatbázisfiókhoz, amelyet vissza kell állítani. A következő parancsban a hatókörRestorableDatabaseAccountki lesz nyerve aIDvégrehajtásaz cosmosdb restorable-database-account listeredményének tulajdonságából (cli használata esetén) vagyGet-AzCosmosDBRestorableDatabaseAccount(a PowerShell használata esetén)
az role assignment create --role "CosmosRestoreOperator" --assignee <email> --scope <RestorableDatabaseAccount>
Erőforráscsoport bármely forrásfiókjából visszaállítható képesség hozzárendelése.
Ez a művelet jelenleg nem támogatott.
Egyéni szerepkör létrehozása visszaállítási művelethez parancssori felülettel
Az előfizetés tulajdonosa bármely más Microsoft Entra-identitás visszaállítására engedélyt adhat. A visszaállítási engedély a következő műveleten alapul: Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/actionés a visszaállítási engedély részét kell képeznie. Van egy CosmosRestoreOperator nevű beépített szerepkör, amely tartalmazza ezt a szerepkört. Hozzárendelheti az engedélyt ezzel a beépített szerepkörrel, vagy létrehozhat egy egyéni szerepkört.
Az alábbi RestorableAction egyéni szerepkört jelöl. Ezt a szerepkört kifejezetten létre kell hoznia. A következő JSON-sablon létrehoz egy egyéni szerepkört , a RestoreableActiont visszaállítási engedéllyel:
{
"assignableScopes": [
"/subscriptions/23587e98-b6ac-4328-a753-03bcd3c8e744"
],
"description": "Can do a restore request for any Azure Cosmos DB database account with continuous backup",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/validate/action",
"Microsoft.DocumentDB/databaseAccounts/write",
"Microsoft.Resources/deployments/write",
"Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action",
"Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read",
"Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read"
],
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"Name": "RestorableAction",
"roleType": "CustomRole"
}
Ezután az alábbi sablontelepítési paranccsal hozzon létre egy szerepkört visszaállítási engedéllyel ARM-sablon használatával:
az role definition create --role-definition <JSON_Role_Definition_Path>
Következő lépések
- Folyamatos biztonsági mentés kiépítése az Azure Portal, a PowerShell, a parancssori felület vagy az Azure Resource Manager használatával.
- Szerezze be az SQL- és MongoDB-fiókok legújabb visszaállítható időbélyegét .
- Fiók visszaállítása az Azure Portal, a PowerShell, a parancssori felület vagy az Azure Resource Manager használatával.
- Migrálás egy fiókba rendszeres biztonsági mentésről folyamatos biztonsági mentésre.
- A folyamatos biztonsági mentési mód erőforrásmodellje