Site Recovery hozzáférés kezelése azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC)
Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) részletes hozzáférés-kezelést tesz lehetővé az Azure-ban. Az Azure RBAC használatával elkülönítheti a felelősségeket a csapaton belül, és adott feladatok végrehajtásához csak meghatározott hozzáférési engedélyeket adhat a felhasználóknak.
Az Azure Site Recovery 3 beépített szerepkört biztosít Site Recovery felügyeleti műveletek vezérléséhez. További információ az Azure beépített szerepköreiről
- Site Recovery-közreműködő – Ez a szerepkör minden olyan engedéllyel rendelkezik, amelyek az Azure Site Recovery-műveletek Recovery Services-tárolókban történő kezeléséhez szükségesek. Az ezzel a szerepkörrel rendelkező felhasználók nem hozhatnak létre, illetve nem törölhetnek Recovery Services-tárolókat, és nem adhatnak hozzáférési jogokat más felhasználóknak. Ez a szerepkör leginkább olyan vészhelyreállítási rendszergazdák számára ideális, akik a helyzetnek megfelelően engedélyezhetik és kezelhetik a vészhelyreállítást az alkalmazások vagy a teljes szervezetek számára.
- Site Recovery-operátor – Ez a szerepkör a feladatátvétel és feladat-visszavétel végrehajtásához és felügyeletéhez szükséges engedélyekkel rendelkezik. Az ezzel a szerepkörrel rendelkező felhasználók nem engedélyezhetik vagy tilthatják le a replikációt, nem hozhatnak létre vagy törölhetnek tárolókat, nem regisztrálhatnak új infrastruktúrát, és nem rendelhetnek hozzáférési jogosultságokat más felhasználókhoz. Ez a szerepkör leginkább olyan vészhelyreállítási operátorok számára ideális, akik feladatátvételt végezhetnek virtuális gépeken vagy alkalmazásokon, amikor az alkalmazástulajdonosok és az informatikai rendszergazdák utasítást kapnak egy tényleges vagy szimulált katasztrófahelyzetben, például vészhelyreállítási próbában. A vészhelyreállítást követően a vészhelyreállítási operátor újra védheti és feladat-visszavételt végezhet a virtuális gépeken.
- Site Recovery-olvasó – Ez a szerepkör a Site Recovery összes felügyeleti műveletének a megtekintésére rendelkezik engedélyekkel. Ez a szerepkör leginkább olyan informatikai monitorozási vezetők számára ideális, akik figyelhetik a jelenlegi védelmi állapotot, és szükség esetén támogatási jegyeket hozhatnak létre.
Ha saját szerepköröket szeretne definiálni a még nagyobb irányítás érdekében, tekintse meg, hogyan hozhat létre egyéni szerepköröket az Azure-ban.
Az új virtuális gépek replikációjának engedélyezéséhez szükséges engedélyek
Amikor az Azure Site Recovery használatával replikál egy új virtuális gépet az Azure-ba, a rendszer ellenőrzi a társított felhasználó hozzáférési szintjeit, hogy a felhasználó rendelkezzen a szükséges engedélyekkel a Site Recovery biztosított Azure-erőforrások használatához.
Egy új virtuális gép replikációjának engedélyezéséhez a felhasználónak a következővel kell rendelkeznie:
- Virtuális gép létrehozásához szükséges engedély a kiválasztott erőforráscsoportban
- Virtuális gép létrehozásához szükséges engedély a kiválasztott virtuális hálózaton
- Írási engedély a kiválasztott Tárfiókba
Egy felhasználónak az alábbi engedélyekkel kell rendelkeznie egy új virtuális gép replikációjának befejezéséhez.
Fontos
Győződjön meg arról, hogy a megfelelő engedélyek az erőforrás-üzembe helyezéshez használt üzemi modell (Resource Manager/ klasszikus) alapján lettek hozzáadva.
Megjegyzés
Ha egy Azure-beli virtuális gép replikációját engedélyezi, és engedélyezni szeretné a Site Recovery számára a frissítések kezelését, akkor a replikáció engedélyezésekor érdemes lehet egy új Automation-fiókot is létrehozni, amely esetben engedélyre van szüksége ahhoz, hogy a tárolóval azonos előfizetésben hozzon létre egy Automation-fiókot.
| Erőforrás típusa | Üzemi modell | Engedély |
|---|---|---|
| Compute | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klasszikus | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Network (Hálózat) | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klasszikus | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Tárolás | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klasszikus | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Erőforráscsoport | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Fontolja meg a "Virtuálisgép-közreműködő" és a "Klasszikus virtuálisgép-közreműködő" beépített szerepkörök használatát Resource Manager és klasszikus üzemi modellekhez.
Következő lépések
- Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC): Ismerkedés az Azure RBAC-vel a Azure Portal.
- Megtudhatja, hogyan kezelheti a hozzáférést a következőkkel:
- Az Azure RBAC hibaelhárítása: Javaslatok a gyakori problémák megoldásához.