Site Recovery-hozzáférés kezelése azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC)
Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) lehetővé teszi az Azure részletes hozzáférés-kezelését. Az Azure RBAC használatával elkülönítheti a csapaton belüli felelősségeket, és adott feladatok elvégzéséhez csak meghatározott hozzáférési engedélyeket adhat a felhasználóknak.
Az Azure Site Recovery 3 beépített szerepkört biztosít a Site Recovery felügyeleti műveleteinek vezérléséhez. További információ az Azure beépített szerepköreiről
- Site Recovery-közreműködő – Ez a szerepkör minden olyan engedéllyel rendelkezik, amelyek az Azure Site Recovery-műveletek Recovery Services-tárolókban történő kezeléséhez szükségesek. Az ezzel a szerepkörrel rendelkező felhasználók nem hozhatnak létre, illetve nem törölhetnek Recovery Services-tárolókat, és nem adhatnak hozzáférési jogokat más felhasználóknak. Ez a szerepkör leginkább azoknak a vészhelyreállítási rendszergazdáknak ajánlott, akik az esetnek megfelelően engedélyezhetik és kezelhetik a vészhelyreállítást alkalmazások vagy teljes szervezetek számára.
- Site Recovery-operátor – Ez a szerepkör a feladatátvétel és feladat-visszavétel végrehajtásához és felügyeletéhez szükséges engedélyekkel rendelkezik. Az ilyen szerepkörrel rendelkező felhasználók nem engedélyezhetik vagy tilthatják le a replikációt, nem hozhatnak létre vagy törölhetnek tárolókat, nem regisztrálhatnak új infrastruktúrát, és nem rendelhetnek hozzáférési jogosultságokat más felhasználókhoz. Ez a szerepkör leginkább olyan vészhelyreállítási operátorok számára ideális, akik feladatátvételi virtuális gépeket vagy alkalmazásokat tudnak feladatátvételre, amikor az alkalmazástulajdonosok és az informatikai rendszergazdák egy tényleges vagy szimulált katasztrófahelyzetben, például dr. A vész elhárítását követően a dr. operátor újra védheti és feladat-visszavételt végezhet a virtuális gépeken.
- Site Recovery-olvasó – Ez a szerepkör a Site Recovery összes felügyeleti műveletének a megtekintésére rendelkezik engedélyekkel. Ez a szerepkör leginkább egy informatikai monitorozási vezetőnek felel meg, aki figyelemmel kísérheti a jelenlegi védelmi állapotot, és szükség esetén támogatási jegyeket állíthat elő.
Ha saját szerepköröket szeretne definiálni a még nagyobb irányítás érdekében, tekintse meg, hogyan hozhat létre egyéni szerepköröket az Azure-ban.
Amikor egy új virtuális gépet replikál az Azure-ba az Azure Site Recovery használatával, a rendszer ellenőrzi a társított felhasználó hozzáférési szintjeinek ellenőrzését, hogy a felhasználó rendelkezik-e a Site Recovery számára biztosított Azure-erőforrások használatához szükséges engedélyekkel.
Egy új virtuális gép replikációjának engedélyezéséhez a felhasználónak az alábbiakkal kell rendelkeznie:
- Virtuális gép létrehozására vonatkozó engedély a kijelölt erőforráscsoportban
- Virtuális gép létrehozására vonatkozó engedély a kijelölt virtuális hálózaton
- Írási engedély a kijelölt Tárfiókba
Egy felhasználónak az alábbi engedélyekre van szüksége egy új virtuális gép replikációjának befejezéséhez.
Fontos
Győződjön meg arról, hogy az erőforrás-üzembe helyezéshez használt üzemi modell (Resource Manager/ Klasszikus) megfelelő engedélyeket ad hozzá.
Megjegyzés
Ha egy Azure-beli virtuális gép replikációját engedélyezi, és engedélyezni szeretné a Site Recovery számára a frissítések kezelését, akkor a replikáció engedélyezésekor érdemes lehet egy új Automation-fiókot is létrehoznia, amely esetben a tárolóval azonos előfizetésben kell létrehoznia egy automation-fiókot.
| Erőforrás típusa | Üzemi modell | Engedély |
|---|---|---|
| Compute | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.compute/disks/delete | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klasszikus | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Network (Hálózat) | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/alhálózatok/olvasás | ||
| Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet | ||
| Klasszikus | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Tárolás | Resource Manager | microsoft.storage/storageaccounts/write |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klasszikus | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Erőforráscsoport | Resource Manager | Microsoft.RecoveryServices/register/action |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Fontolja meg a "Virtuálisgép-közreműködő" és a "klasszikus virtuálisgép-közreműködő" beépített szerepkörök használatát a Resource Manager és a klasszikus üzemi modellek esetében.
- Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC): Ismerkedés az Azure RBAC-vel az Azure Portalon.
- Megtudhatja, hogyan kezelheti a hozzáférést a következőkkel:
- Az Azure RBAC hibaelhárítása: Javaslatok kérése a gyakori problémák megoldásához.