Megosztás a következőn keresztül:

Azure Cosmos DB-fiók visszaállítására vonatkozó engedélyek kezelése

  • Cikk

A KÖVETKEZŐKRE VONATKOZIK: NoSQL MongoDB Gremlin Asztal

Az Azure Cosmos DB lehetővé teszi a folyamatos biztonsági mentési fiók visszaállítási engedélyeinek elkülönítését és korlátozását egy adott szerepkörre vagy egyszerű fiókra. Ezek az engedélyek az előfizetés hatókörében vagy részletesebben is alkalmazhatók a forrásfiók hatókörében az alábbi képen látható módon:

A visszaállítási művelet végrehajtásához szükséges szerepkörök listája.

A hatókör olyan erőforrások készlete, amelyek rendelkeznek hozzáféréssel, és a hatókörökről további információt az Azure RBAC dokumentációjában talál. Az Azure Cosmos DB-ben az alkalmazható hatókörök a legtöbb használati esetben a forrás-előfizetés és az adatbázisfiók. A visszaállítási műveleteket végrehajtó egyszerű felhasználónak írási engedélyekkel kell rendelkeznie a célerőforrás-csoporthoz.

Szerepkörök hozzárendelése visszaállításhoz az Azure Portal használatával

A visszaállítás végrehajtásához a felhasználónak vagy az egyszerű felhasználónak szüksége van a visszaállítási engedélyre (azaz visszaállítási/műveleti engedélyre), valamint egy új fiók kiépítésére (azaz írási engedélyre). Az engedélyek megadásához az előfizetés tulajdonosa hozzárendelheti a CosmosRestoreOperator beépített szerepköröket Cosmos DB Operator egy taghoz.

  1. Jelentkezzen be az Azure Portalra , és keresse meg az előfizetését. A CosmosRestoreOperator szerepkör előfizetési szinten érhető el.

  2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. Válassza a Szerepkör-hozzárendelés hozzáadása>lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.

  4. Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

    Beállítás Érték
    Szerepkör CosmosRestoreOperator
    Hozzáférés hozzárendelése a következőhöz: Felhasználó, csoport vagy szolgáltatásnév
    Tagok <A választott felhasználó>

    Képernyőkép a Szerepkör-hozzárendelés hozzáadása oldalról az Azure Portalon.

  5. Ismételje meg a 4. lépést a Cosmos DB Operátor szerepkörrel az írási engedély megadásához. Amikor ezt a szerepkört az Azure Portalról rendeli hozzá, az a teljes előfizetésnek megadja a visszaállítási engedélyt.

Engedélyezési hatókörök

Hatókör Példa
Előfizetés /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
Erőforráscsoport /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e/resourceGroups/Example-cosmosdb-rg
CosmosDB visszaállítható fiókerőforrás /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e4e4e/providers/Microsoft.DocumentDB/locations/WEST US/restorableDatabaseAccounts/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e

A visszaállítható fiókerőforrás kinyerhető a parancssori felület vagy Get-AzCosmosDBRestorableDatabaseAccount -DatabaseAccountName <accountname> a az cosmosdb restorable-database-account list --account-name <accountname> PowerShell parancsmagjának kimenetéből. A kimenetben lévő névattribútum a instanceID visszaállítható fiók értékét jelöli.

A forrásfiók engedélyei

A folyamatos biztonsági mentési módú fiókok visszaállításával kapcsolatos különböző tevékenységek végrehajtásához az alábbi engedélyek szükségesek:

Feljegyzés

Az engedély hozzárendelhető a visszaállítható adatbázisfiókhoz a fiók hatókörében vagy az előfizetés hatókörében. Az engedélyek erőforráscsoport-hatókörhöz való hozzárendelése nem támogatott.

Engedély Hatás Minimális hatókör Maximális hatókör
Microsoft.Resources/deployments/validate/action, Microsoft.Resources/deployments/write Ezek az engedélyek szükségesek az ARM-sablon üzembe helyezéséhez a visszaállított fiók létrehozásához. A szerepkör beállításához tekintse meg az alábbi Visszaállítási engedély mintaengedélyét. Nem alkalmazható Nem alkalmazható
Microsoft.DocumentDB/databaseAccounts/write Ez az engedély szükséges egy fiók erőforráscsoportba való visszaállításához Erőforráscsoport, amely alatt a visszaállított fiók létrejön. Előfizetés, amely alatt a visszaállított fiók létrejön
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action
Nem választhat erőforráscsoportot engedélyhatókörként.		 Erre az engedélyre a forrás visszaállítható adatbázisfiók hatókörében van szükség, hogy a visszaállítási műveletek végrehajthatók legyenek rajta. A visszaállítandó forrásfiókhoz tartozó RestoreableDatabaseAccount erőforrás. Ezt az értéket a ID visszaállítható adatbázisfiók-erőforrás tulajdonsága is adja meg. A helyreállítható fiók például a /subscriptions/subscriptionId/providers/Microsoft.DocumentDB/locations/regionName/restorableDatabaseAccounts/<guid-instanceid> A visszaállítható adatbázisfiókot tartalmazó előfizetés.
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read
Nem választhat erőforráscsoportot engedélyhatókörként.		 Ez az engedély a visszaállítható forrásadatbázis-fiók hatókörében szükséges a visszaállítható adatbázisfiókok listázásához. A visszaállítandó forrásfiókhoz tartozó RestoreableDatabaseAccount erőforrás. Ezt az értéket a ID visszaállítható adatbázisfiók-erőforrás tulajdonsága is adja meg. A helyreállítható fiók például a /subscriptions/subscriptionId/providers/Microsoft.DocumentDB/locations/regionName/restorableDatabaseAccounts/<guid-instanceid> A visszaállítható adatbázisfiókot tartalmazó előfizetés.
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read
Nem választhat erőforráscsoportot engedélyhatókörként.		 Erre az engedélyre a forrás visszaállítható fiók hatókörében van szükség, hogy a helyreállítható erőforrások, például a visszaállítható fiókok adatbázisainak és tárolóinak listája beolvasható legyen. A visszaállítandó forrásfiókhoz tartozó RestoreableDatabaseAccount erőforrás. Ezt az értéket a ID visszaállítható adatbázisfiók-erőforrás tulajdonsága is adja meg. A helyreállítható fiók például a /subscriptions/subscriptionId/providers/Microsoft.DocumentDB/locations/regionName/restorableDatabaseAccounts/<guid-instanceid> A visszaállítható adatbázisfiókot tartalmazó előfizetés.

A célfiók engedélyei

A folyamatos biztonsági mentési módú fiókok visszaállításával kapcsolatos különböző tevékenységek végrehajtásához az alábbi engedélyek szükségesek:

Engedély Hatás
Microsoft.Resources/deployments/validate/action, Microsoft.Resources/deployments/write Ezek az engedélyek szükségesek az ARM-sablon üzembe helyezéséhez a visszaállított fiók létrehozásához. A szerepkör beállításához tekintse meg az alábbi Visszaállítási engedély mintaengedélyét.
Microsoft.DocumentDB/databaseAccounts/write Ez az engedély szükséges egy fiók erőforráscsoportba való visszaállításához

Azure CLI-szerepkör-hozzárendelési forgatókönyvek különböző hatókörökben történő visszaállításhoz

Az engedélyekkel rendelkező szerepkörök különböző hatókörökhöz rendelhetők, így részletesebben szabályozható, hogy ki hajthatja végre a visszaállítási műveletet egy előfizetésben vagy egy adott fiókban.

Az előfizetés bármely visszaállítható fiókjából való visszaállítási képesség hozzárendelése

  • CosmosRestoreOperator A beépített szerepkör hozzárendelése az adott előfizetési szinthez
az role assignment create --role "CosmosRestoreOperator" --assignee <email> --scope /subscriptions/<subscriptionId>

Adott fiókból történő visszaállítási képesség hozzárendelése

  • Felhasználói írási művelet hozzárendelése az adott erőforráscsoporthoz. Ez a művelet szükséges egy új fiók létrehozásához az erőforráscsoportban.
  • Rendelje hozzá a CosmosRestoreOperator beépített szerepkört az adott visszaállítható adatbázisfiókhoz, amelyet vissza kell állítani. A következő parancsban a hatókör RestorableDatabaseAccount ki lesz nyerve a ID végrehajtás az cosmosdb restorable-database-account listeredményének tulajdonságából (cli használata esetén) vagy Get-AzCosmosDBRestorableDatabaseAccount(a PowerShell használata esetén)
az role assignment create --role "CosmosRestoreOperator" --assignee <email> --scope  <RestorableDatabaseAccount>

Erőforráscsoport bármely forrásfiókjából visszaállítható képesség hozzárendelése.

Ez a művelet jelenleg nem támogatott.

Egyéni szerepkör létrehozása visszaállítási művelethez parancssori felülettel

Az előfizetés tulajdonosa bármely más Microsoft Entra-identitás visszaállítására engedélyt adhat. A visszaállítási engedély a következő műveleten alapul: Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/actionés a visszaállítási engedély részét kell képeznie. Van egy CosmosRestoreOperator nevű beépített szerepkör, amely tartalmazza ezt a szerepkört. Hozzárendelheti az engedélyt ezzel a beépített szerepkörrel, vagy létrehozhat egy egyéni szerepkört.

Az alábbi RestorableAction egyéni szerepkört jelöl. Ezt a szerepkört kifejezetten létre kell hoznia. A következő JSON-sablon létrehoz egy egyéni szerepkört , a RestoreableActiont visszaállítási engedéllyel:

{
  "assignableScopes": [
    "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f"
  ],
  "description": "Can do a restore request for any Azure Cosmos DB database account with continuous backup",
  "permissions": [
    {
      "actions": [
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.DocumentDB/databaseAccounts/write",
        "Microsoft.Resources/deployments/write",  
        "Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action",
        "Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read",
        "Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read"
        ],
        "dataActions": [],
        "notActions": [],
        "notDataActions": []
      }
    ],
    "Name": "RestorableAction",
    "roleType": "CustomRole"
}

Ezután az alábbi sablontelepítési paranccsal hozzon létre egy szerepkört visszaállítási engedéllyel ARM-sablon használatával:

az role definition create --role-definition <JSON_Role_Definition_Path>

Következő lépések