Gunakan kontrol akses berbasis peran Azure untuk mengelola titik pemulihan Microsoft Azure Backup
Kontrol akses berbasis peran Azure (Azure RBAC) memungkinkan manajemen akses terperinci untuk Azure. Dengan menggunakan Azure RBAC, Anda dapat memisahkan tugas dalam tim Anda dan hanya memberikan sejumlah akses kepada pengguna yang mereka butuhkan untuk melakukan pekerjaan mereka.
Penting
Peran yang disediakan oleh Microsoft Azure Backup terbatas pada tindakan yang dapat dilakukan di portal Microsoft Azure atau melalui REST API atau Layanan Pemulihan PowerShell atau CLI cmdlet. Tindakan yang dilakukan di antarmuka pengguna klien agen Microsoft Azure Backup atau antarmuka pengguna Manajer Perlindungan Data Pusat Sistem atau antarmuka pengguna Layanan Microsoft Azure Backup berada di luar kendali atas peran ini.
Microsoft Azure Backup menyediakan tiga peran bawaan untuk mengontrol operasi manajemen cadangan. Pelajari lebih lanjutPeran bawaan Azure
- Kontributor Microsoft Azure Backup - Layanan ini memiliki seluruh izin akses untuk membuat dan mengelola cadangan, kecuali menghapus vault Layanan Pemulihan dan memberikan akses kepada orang lain. Bayangkan peran ini sebagai admin manajemen cadangan yang dapat melakukan setiap operasi manajemen cadangan.
- Operator Microsoft Azure Backup - Peran ini memiliki izin akses ke semua kontributor kecuali menghapus cadangan dan mengelola kebijakan cadangan. Peran ini setara dengan kontributor kecuali tidak dapat melakukan operasi destruktif seperti menghentikan cadangan dengan menghapus data atau menghapus pendaftaran sumber daya lokal.
- Pembaca Microsoft Azure Backup - Peran ini memiliki izin akses untuk melihat semua operasi manajemen cadangan. Bayangkan peran ini untuk menjadi orang pemantau.
Jika Anda ingin menentukan peran Anda sendiri untuk kontrol yang lebih besar, lihat cara membuat Peran kustom di Azure RBAC.
Memetakan peran Microsoft Azure Backup bawaan untuk tindakan manajemen cadangan
Persyaratan peran minimum untuk cadangan komputer virtual Azure
Tabel berikut ini mengambil tindakan manajemen Microsoft Azure Backup dan peran Azure minimum terkait yang diperlukan untuk melakukan operasi tersebut.
| Operasi manajemen | Peran Azure Minimum diperlukan | Cakupan Diperlukan | Alternatif |
|---|---|---|---|
| Buat vault Layanan Pemulihan | Kontributor Cadangan | Grup sumber daya yang berisi vault | |
| Aktifkan cadangan langsung Azure VM | Backup Operator | Grup sumber daya yang berisi vault | |
| Kontributor Komputer Virtual | Sumber daya komputer virtual | Atau, sebaga ganti peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Mengaktifkan pencadangan Mesin Virtual Azure (dari bilah Mesin Virtual) | Backup Operator | Grup sumber daya yang berisi vault | |
| Backup Operator | Grup sumber daya yang berisi mesin virtual | ||
| Kontributor Komputer Virtual | Sumber daya komputer virtual | Atau, sebagai ganti peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Cadangan sesuai permintaan komputer virtual | Backup Operator | Brankas Layanan Pemulihan | |
| Memulihkan VM | Backup Operator | Brankas Layanan Pemulihan | |
| Kontributor | Grup sumber daya di mana VM akan digunakan | Atau, sebagai ganti peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (hanya diperlukan untuk pemulihan mesin virtual klasik dan tidak diperlukan untuk mesin virtual terkelola), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action | |
| Kontributor Komputer Virtual | Sumber VM yang dicadangkan | Atau, sebaga ganti peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Pulihkan cadangan VM cakram tak terkelola | Backup Operator | Brankas Layanan Pemulihan | |
| Kontributor Komputer Virtual | Sumber VM yang dicadangkan | Atau, sebaga ganti peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Kontributor Akun Penyimpanan | Sumber daya akun penyimpanan di mana disk akan dipulihkan | secara alternatif, alih-alih peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin akses berikut: Microsoft.Compute/virtualMachines/tulis | |
| Pulihkan cakram terkelola dari cadangan komputer virtual | Backup Operator | Brankas Layanan Pemulihan | |
| Kontributor Komputer Virtual | Sumber VM yang dicadangkan | Atau, sebaga ganti peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Kontributor Akun Penyimpanan | Akun Penyimpanan Sementara dipilih sebagai bagian dari pemulihan untuk menahan data dari vault sebelum mengonversinya ke disk terkelola | secara alternatif, alih-alih peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin akses berikut: Microsoft.Compute/virtualMachines/tulis | |
| Kontributor | Grup sumber daya tempat diska terkelola akan dipulihkan | secara alternatif, alih-alih peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin akses berikut: Microsoft.Compute/virtualMachines/tulis | |
| Pemulihan file individu dari cadangan komputer virtual | Backup Operator | Brankas Layanan Pemulihan | |
| Kontributor Komputer Virtual | Sumber VM yang dicadangkan | Atau, sebaga ganti peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Pemulihan Lintas Wilayah | Backup Operator | Langganan vault Layanan pemulihan | Layanan Ini sebagai tambahan dari izin akses pemulihan yang disebutkan di atas. Khusus untuk CRR, alih-alih peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Buat kebijakan cadangan untuk cadangan komputer virtual Azure | Kontributor Cadangan | Brankas Layanan Pemulihan | |
| Mengubah kebijakan cadangan komputer virtual Azure | Kontributor Cadangan | Brankas Layanan Pemulihan | |
| Mengubah kebijakan cadangan komputer virtual Azure | Kontributor Cadangan | Brankas Layanan Pemulihan | |
| Hentikan cadangan (dengan menyimpan data atau hapus data) di cadangan komputer virtual | Kontributor Cadangan | Brankas Layanan Pemulihan | |
| Daftarkan Windows Server lokal/klien/SCDPM atau Microsoft Azure Backup Server | Backup Operator | Brankas Layanan Pemulihan | |
| Hapus Windows Server lokal yang terdaftar/klien/SCDPM atau Microsoft Azure Backup Server | Kontributor Cadangan | Brankas Layanan Pemulihan |
Penting
Jika Anda menentukan Kontributor komputer virtual pada cakupan sumber daya komputer virtual dan pilih Microsoft Azure Backup sebagai bagian dari pengaturan komputer virtual, maka akan membuka layar Aktifkan Microsoft Azure Backup, meskipun komputer virtual sudah dicadangkan. Hal Ini dikarenakan panggilan untuk memverifikasi status cadangan hanya berfungsi di tingkat langganan. Untuk menghindari hal ini, buka vault dan buka tampilan item cadangan komputer virtual atau tentukan peran Kontributor komputer virtual di tingkat langganan.
Persyaratan peran minimum untuk pencadangan beban kerja Azure (cadangan SQL dan HANA DB)
Tabel berikut ini mengambil tindakan manajemen Microsoft Azure Backup dan peran Azure minimum terkait yang diperlukan untuk melakukan operasi tersebut.
| Operasi manajemen | Peran Azure Minimum diperlukan | Cakupan Diperlukan | Alternatif |
|---|---|---|---|
| Buat vault Layanan Pemulihan | Kontributor Cadangan | Grup sumber daya yang berisi vault | |
| Aktifkan cadangan database SQL dan/atau HANA | Backup Operator | Grup sumber daya yang berisi vault | |
| Kontributor Komputer Virtual | Sumber daya komputer virtual tempat DB diinstal | Atau, sebaga ganti peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Cadangan sesuai permintaan DB | Backup Operator | Brankas Layanan Pemulihan | |
| Memulihkan database atau Memulihkan sebagai file | Backup Operator | Brankas Layanan Pemulihan | |
| Kontributor Komputer Virtual | Sumber VM yang dicadangkan | Atau, sebaga ganti peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Kontributor Komputer Virtual | Target komputer virtual di mana DB akan dipulihkan atau file dibuat | Atau, sebaga ganti peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Buat kebijakan cadangan untuk cadangan komputer virtual Azure | Kontributor Cadangan | Brankas Layanan Pemulihan | |
| Mengubah kebijakan cadangan komputer virtual Azure | Kontributor Cadangan | Brankas Layanan Pemulihan | |
| Mengubah kebijakan cadangan komputer virtual Azure | Kontributor Cadangan | Brankas Layanan Pemulihan | |
| Hentikan cadangan (dengan menyimpan data atau hapus data) di cadangan komputer virtual | Kontributor Cadangan | Brankas Layanan Pemulihan | |
| Kontributor Komputer Virtual | VM sumber yang dicadangkan | secara alternatif, alih-alih peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin akses berikut: Microsoft.Compute/virtualMachines/tulis | |
| Pemulihan Lintas Wilayah | Backup Operator | Langganan vault Layanan Pemulihan | Ini selain izin pemulihan yang disebutkan di atas. Dalam kasus pemulihan lintas wilayah, alih-alih peran bawaan, Anda bisa menggunakan peran kustom yang memiliki izin berikut: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Persyaratan peran minimum untuk cadangan berbagi Azure
Tabel berikut ini menampilkan tindakan manajemen Backup dan peran Azure terkait yang diperlukan untuk melakukan operasi tersebut.
| Operasi manajemen | Peran yang Diperlukan | Sumber daya |
|---|---|---|
| Mengaktifkan pencadangan dari vault Layanan Pemulihan | Kontributor Cadangan | Brankas Layanan Pemulihan |
| Kontributor akun Penyimpanan | Pemulihan sumber daya Akun Penyimpanan | |
| Mengaktifkan pencadangan dari bilah berbagi | Kontributor Cadangan | Brankas Layanan Pemulihan |
| Kontributor akun Penyimpanan | Sumber Daya akun Penyimpanan | |
| Kontributor | Langganan | |
| Pencadangan berbagi file sesuai permintaan | Backup Operator | Brankas Layanan Pemulihan |
| Pulihkan berbagi | Backup Operator | Brankas Layanan Pemulihan |
| Kontributor Pencadangan Akun Penyimpanan | Sumber daya akun penyimpanan yang sumber pemulihan dan berbagi Target itu ada | |
| Pulihkan Files Individual | Backup Operator | Brankas Layanan Pemulihan |
| Kontributor Akun Penyimpanan | Sumber daya akun penyimpanan yang sumber pemulihan dan berbagi Target itu ada | |
| Menghentikan perlindungan | Kontributor Cadangan | Brankas Layanan Pemulihan |
| Batal mendaftarkan akun penyimpanan dari vault | Kontributor Cadangan | Brankas Layanan Pemulihan |
| Kontributor Akun Penyimpanan | Pemulihan sumber daya Akun Penyimpanan |
Catatan
Jika Anda memiliki akses kontributor di tingkat grup sumber daya dan ingin mengonfigurasi pencadangan dari bilah berbagi, pastikan untuk mendapatkan izin microsoft.recoveryservices/Locations/backupStatus/action di tingkat langganan. Untuk melakukannya, buat peran kustom dan tetapkan izin ini.
Persyaratan peran minimum untuk cadangan disk Azure
| Operasi manajemen | Peran Azure Minimum diperlukan | Cakupan Diperlukan | Alternatif |
|---|---|---|---|
| Validasi sebelum mengonfigurasi cadangan | Backup Operator | Kubah cadangan | |
| Pembaca Backup Disk | Disk yang akan dicadangkan | ||
| Aktifkan cadangan dari vault cadangan | Backup Operator | Kubah cadangan | |
| Pembaca Backup Disk | Disk yang akan dicadangkan | Selain itu, MSI vault cadangan harus diberikan izin ini | |
| Cadangan disk sesuai permintaan | Backup Operator | Kubah cadangan | |
| Memvalidasi sebelum memulihkan disk | Backup Operator | Kubah cadangan | |
| Operator Pemulihan Disk | Grup sumber daya tempat disk akan dipulihkan | ||
| Memulihkan disk | Backup Operator | Kubah cadangan | |
| Operator Pemulihan Disk | Grup sumber daya tempat disk akan dipulihkan | Selain itu, MSI vault cadangan harus diberikan izin ini |
Persyaratan peran minimum untuk cadangan blob Azure
| Operasi manajemen | Peran Azure Minimum diperlukan | Cakupan Diperlukan | Alternatif |
|---|---|---|---|
| Validasi sebelum mengonfigurasi cadangan | Backup Operator | Kubah cadangan | |
| Kontributor cadangan akun penyimpanan | Akun penyimpanan yang berisi blob | ||
| Aktifkan cadangan dari vault cadangan | Backup Operator | Kubah cadangan | |
| Kontributor cadangan akun penyimpanan | Akun penyimpanan yang berisi blob | Selain itu, MSI vault cadangan harus diberikan izin ini | |
| Sesuai permintaan, cadangan blob | Backup Operator | Kubah cadangan | |
| Memvalidasi sebelum memulihkan blob | Backup Operator | Kubah cadangan | |
| Kontributor cadangan akun penyimpanan | Akun penyimpanan yang berisi blob | ||
| Memulihkan blob | Backup Operator | Kubah cadangan | |
| Kontributor cadangan akun penyimpanan | Akun penyimpanan yang berisi blob | Selain itu, MSI vault cadangan harus diberikan izin ini |
Persyaratan peran minimum untuk cadangan server Azure database for PostGreSQL
| Operasi manajemen | Peran Azure Minimum diperlukan | Cakupan Diperlukan | Alternatif |
|---|---|---|---|
| Validasi sebelum mengonfigurasi cadangan | Backup Operator | Kubah cadangan | |
| Pembaca | Server Azure PostGreSQL | ||
| Aktifkan cadangan dari vault cadangan | Backup Operator | Kubah cadangan | |
| Kontributor | Server Azure PostGreSQL | Atau, daripada peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Selain itu, MSI vault cadangan harus diberikan izin ini | |
| Cadangan server PostGreSQL sesuai permintaan | Backup Operator | Kubah cadangan | |
| Validasi sebelum memulihkan server | Backup Operator | Kubah cadangan | |
| Kontributor | Targetkan server Azure PostGreSQL | Atau, daripada peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Memulihkan server | Backup Operator | Kubah cadangan | |
| Kontributor | Targetkan server Azure PostGreSQL | Atau, daripada peran bawaan, Anda dapat mempertimbangkan peran kustom yang memiliki izin berikut: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Selain itu, MSI vault cadangan harus diberikan izin ini |
Langkah berikutnya
- Kontrol akses berbasis peran Azure (Azure RBAC): Mulai gunakan Azure RBAC di portal Microsoft Azure.
- Pelajari cara mengelola akses dengan:
- Pemecahan masalah kontrol akses berbasis peran Azure: Dapatkan saran untuk memperbaiki masalah umum.