Usare il controllo degli accessi in base al ruolo di Azure per gestire Backup di Azure punti di ripristino
Il controllo degli accessi in base al ruolo di Azure consente la gestione degli accessi con granularità fine per Azure. Usando il controllo degli accessi in base al ruolo di Azure, è possibile separare le mansioni all'interno del team e concedere agli utenti solo la quantità di accesso di cui hanno bisogno per svolgere il loro lavoro.
Importante
I ruoli forniti da Backup di Azure sono limitati alle azioni che possono essere eseguite in portale di Azure o tramite l'API REST o l'insieme di credenziali di Servizi di ripristino PowerShell o i cmdlet dell'interfaccia della riga di comando. Le azioni eseguite nell'interfaccia utente client dell'agente Backup di Azure o nell'interfaccia utente di System Center Data Protection Manager o nell'interfaccia utente del server di Backup di Azure non sono controllate da questi ruoli.
Backup di Azure fornisce tre ruoli predefiniti per controllare le operazioni di gestione dei backup. Altre informazioni sui ruoli predefiniti di Azure
- Collaboratore backup: questo ruolo ha tutte le autorizzazioni per creare e gestire il backup, ad eccezione dell'eliminazione dell'insieme di credenziali di Servizi di ripristino e di concedere l'accesso ad altri utenti. Si immagini questo ruolo come amministratore della gestione di backup autorizzato a eseguire ogni operazione in tale ambito.
- Operatore di backup: questo ruolo dispone delle autorizzazioni per tutte le operazioni svolte da un collaboratore, tranne per la rimozione di backup e la gestione dei criteri di backup. Questo ruolo è equivalente al collaboratore, ma non può eseguire operazioni distruttive, ad esempio interrompere il backup con eliminazione dei dati o rimuovere la registrazione di risorse locali.
- Lettore di backup: questo ruolo dispone delle autorizzazioni per visualizzare tutte le operazioni di gestione di backup. Si immagini questo ruolo come una persona addetta al monitoraggio.
Per definire ruoli personalizzati per un maggiore controllo, vedere come creare ruoli personalizzati nel Controllo degli accessi in base al ruolo di Azure.
Mapping dei ruoli predefiniti di Backup per azioni di gestione di backup
Requisiti minimi del ruolo per il backup di macchine virtuali di Azure
La tabella seguente acquisisce le azioni di gestione di Backup e il ruolo minimo di Azure corrispondente necessario per eseguire tale operazione.
| Operazione di gestione | Ruolo minimo di Azure necessario | Ambito necessario | Alternativa |
|---|---|---|---|
| Creare un insieme di credenziali di Servizi di ripristino | Collaboratore di backup | Gruppo di risorse contenente l'insieme di credenziali | |
| Abilitare il backup di VM di Azure | Operatore di backup | Gruppo di risorse contenente l'insieme di credenziali | |
| Collaboratore macchine virtuali | Risorsa della VM | In alternativa, anziché un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Abilitare il backup delle macchine virtuali di Azure (dal pannello della macchina virtuale) | Operatore di backup | Gruppo di risorse contenente l'insieme di credenziali | |
| Operatore di backup | Gruppo di risorse contenente la macchina virtuale | ||
| Collaboratore macchine virtuali | Risorsa della VM | In alternativa, invece di un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/virtualMachines/instanceView/read | |
| Backup su richiesta della VM | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Ripristinare la macchina virtuale | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore | Gruppo di risorse in cui verrà distribuita la VM | In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (obbligatorio solo per il ripristino classico della macchina virtuale e non necessario per le macchine virtuali gestite), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/ subnet/join/azione | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa, anziché un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Ripristinare dischi non gestiti dal backup delle VM | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa, anziché un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Collaboratore account di archiviazione | Risorsa account di archiviazione in cui i dischi saranno ripristinati | In alternativa, invece di un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. Archiviazione/storageAccounts/write | |
| Ripristinare dischi gestiti dal backup delle VM | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa, anziché un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Collaboratore account di archiviazione | Account di archiviazione temporaneo selezionato come parte del ripristino per contenere i dati dall'insieme di credenziali prima di convertirli in dischi gestiti | In alternativa, invece di un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. Archiviazione/storageAccounts/write | |
| Collaboratore | Gruppo di risorse in cui verranno ripristinati i dischi gestiti | In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Ripristinare singoli file dal backup delle VM | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa, anziché un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Ripristino tra aree | Operatore di backup | Sottoscrizione dell'insieme di credenziali di Servizi di ripristino | Oltre alle autorizzazioni di ripristino indicate in precedenza. In particolare per CRR, invece di un ruolo predefinito, È possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Creare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Modificare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Eliminare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Interrompere il backup (con o senza conservazione dei dati) in operazioni di backup di VM | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Registrare Windows Server/client/SCDPM locale o server di Backup di Azure | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Eliminare Windows Server/client/SCDPM locale o server di Backup di Azure registrato | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino |
Importante
Se si specifica Collaboratore macchina virtuale nell'ambito di una risorsa di macchina virtuale e si seleziona Backup come parte delle impostazioni della macchina virtuale, verrà aperta la schermata Abilita backup , anche se è già stato eseguito il backup della macchina virtuale. Questo è dovuto al fatto che la chiamata per verificare lo stato del backup funziona solo a livello di sottoscrizione. Per evitare questo problema, passare all'insieme di credenziali e aprire la visualizzazione degli elementi di backup della macchina virtuale oppure specificare il ruolo Collaboratore macchina virtuale a livello di sottoscrizione.
Requisiti minimi dei ruoli per i backup del carico di lavoro di Azure (backup di DATABASE SQL e HANA)
La tabella seguente acquisisce le azioni di gestione di Backup e il ruolo minimo di Azure corrispondente necessario per eseguire tale operazione.
| Operazione di gestione | Ruolo minimo di Azure necessario | Ambito necessario | Alternativa |
|---|---|---|---|
| Creare un insieme di credenziali di Servizi di ripristino | Collaboratore di backup | Gruppo di risorse contenente l'insieme di credenziali | |
| Abilitare il backup di database SQL e/o HANA | Operatore di backup | Gruppo di risorse contenente l'insieme di credenziali | |
| Collaboratore macchine virtuali | Risorsa macchina virtuale in cui è installato il database | In alternativa, anziché un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Backup su richiesta del database | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Ripristinare il database o il ripristino come file | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa, anziché un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Collaboratore macchine virtuali | Macchina virtuale di destinazione in cui verrà ripristinato il database o verranno creati file | In alternativa, anziché un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Creare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Modificare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Eliminare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Interrompere il backup (con o senza conservazione dei dati) in operazioni di backup di VM | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa, invece di un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write | |
| Ripristino tra aree | Operatore di backup | Sottoscrizione dell'insieme di credenziali di Servizi di ripristino | Oltre alle autorizzazioni di ripristino indicate in precedenza. In caso di ripristino tra aree, invece di un ruolo predefinito, è possibile usare un ruolo personalizzato con le autorizzazioni seguenti: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Requisiti minimi del ruolo per il backup della condivisione file di Azure
Nella tabella seguente vengono acquisite le azioni di gestione del backup e il ruolo di Azure corrispondente necessario per eseguire tale operazione.
| Operazione di gestione | Ruolo obbligatorio | Risorse |
|---|---|---|
| Abilitare il backup dall'insieme di credenziali di Servizi di ripristino | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino |
| Collaboratore account Archiviazione | Risorsa dell'account di archiviazione | |
| Abilitare il backup dal pannello condivisione file | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino |
| Collaboratore account Archiviazione | risorsa account Archiviazione | |
| Collaboratore | Abbonamento | |
| Backup su richiesta della condivisione file | Operatore di backup | Insieme di credenziali di Servizi di ripristino |
| Ripristinare la condivisione file | Operatore di backup | Insieme di credenziali di Servizi di ripristino |
| Collaboratore backup account Archiviazione | Archiviazione risorse dell'account in cui sono presenti le condivisioni file di origine e di destinazione | |
| Ripristinare singoli file | Operatore di backup | Insieme di credenziali di Servizi di ripristino |
| Collaboratore account di archiviazione | Archiviazione risorse dell'account in cui sono presenti le condivisioni file di origine e di destinazione | |
| Arresta protezione | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino |
| Annullare la registrazione dell'account di archiviazione dall'insieme di credenziali | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino |
| Collaboratore account di archiviazione | Risorsa dell'account di archiviazione |
Nota
Se si ha accesso come collaboratore a livello di gruppo di risorse e si vuole configurare il backup dal pannello della condivisione file, assicurarsi di ottenere l'autorizzazione microsoft.recoveryservices/Locations/backupStatus/action a livello di sottoscrizione. A tale scopo, creare un ruolo personalizzato e assegnare questa autorizzazione.
Requisiti minimi dei ruoli per il backup dei dischi di Azure
| Operazione di gestione | Ruolo minimo di Azure necessario | Ambito necessario | Alternativa |
|---|---|---|---|
| Convalidare prima di configurare il backup | Operatore di backup | Insieme di credenziali per il backup | |
| Lettore di backup del disco | Disco di cui eseguire il backup | ||
| Abilitare il backup dall'insieme di credenziali di backup | Operatore di backup | Insieme di credenziali per il backup | |
| Lettore di backup del disco | Disco di cui eseguire il backup | Inoltre, all'identità del servizio gestito dell'insieme di credenziali di backup devono essere concesse queste autorizzazioni | |
| Backup su richiesta del disco | Operatore di backup | Insieme di credenziali per il backup | |
| Convalida prima del ripristino di un disco | Operatore di backup | Insieme di credenziali per il backup | |
| Operatore di ripristino del disco | Gruppo di risorse in cui verranno ripristinati i dischi | ||
| Ripristino di un disco | Operatore di backup | Insieme di credenziali per il backup | |
| Operatore di ripristino del disco | Gruppo di risorse in cui verranno ripristinati i dischi | Inoltre, all'identità del servizio gestito dell'insieme di credenziali di backup devono essere concesse queste autorizzazioni |
Requisiti minimi del ruolo per il backup BLOB di Azure
| Operazione di gestione | Ruolo minimo di Azure necessario | Ambito necessario | Alternativa |
|---|---|---|---|
| Convalidare prima di configurare il backup | Operatore di backup | Insieme di credenziali per il backup | |
| Archiviazione collaboratore per il backup dell'account | Archiviazione account contenente il BLOB | ||
| Abilitare il backup dall'insieme di credenziali di backup | Operatore di backup | Insieme di credenziali per il backup | |
| Archiviazione collaboratore per il backup dell'account | Archiviazione account contenente il BLOB | Inoltre, all'identità del servizio gestito dell'insieme di credenziali di backup devono essere concesse queste autorizzazioni | |
| Backup su richiesta del BLOB | Operatore di backup | Insieme di credenziali per il backup | |
| Convalida prima del ripristino di un BLOB | Operatore di backup | Insieme di credenziali per il backup | |
| Archiviazione collaboratore per il backup dell'account | Archiviazione account contenente il BLOB | ||
| Ripristino di un BLOB | Operatore di backup | Insieme di credenziali per il backup | |
| Archiviazione collaboratore per il backup dell'account | Archiviazione account contenente il BLOB | Inoltre, all'identità del servizio gestito dell'insieme di credenziali di backup devono essere concesse queste autorizzazioni |
Requisiti minimi del ruolo per il backup del server PostGreSQL per il database di Azure
| Operazione di gestione | Ruolo minimo di Azure necessario | Ambito necessario | Alternativa |
|---|---|---|---|
| Convalidare prima di configurare il backup | Operatore di backup | Insieme di credenziali per il backup | |
| Lettore | Server PostGreSQL di Azure | ||
| Abilitare il backup dall'insieme di credenziali di backup | Operatore di backup | Insieme di credenziali per il backup | |
| Collaboratore | Server PostGreSQL di Azure | In alternativa, invece di un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read. Inoltre, all'identità del servizio gestito dell'insieme di credenziali di backup devono essere concesse queste autorizzazioni | |
| Backup su richiesta del server PostGreSQL | Operatore di backup | Insieme di credenziali per il backup | |
| Convalida prima del ripristino di un server | Operatore di backup | Insieme di credenziali per il backup | |
| Collaboratore | Server PostGreSQL di destinazione | In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Rispristino di un server | Operatore di backup | Insieme di credenziali per il backup | |
| Collaboratore | Server PostGreSQL di destinazione | In alternativa, invece di un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read. Inoltre, all'identità del servizio gestito dell'insieme di credenziali di backup devono essere concesse queste autorizzazioni |
Passaggi successivi
- Controllo degli accessi in base al ruolo di Azure: introduzione al controllo degli accessi in base al ruolo di Azure nel portale di Azure.
- Informazioni su come gestire l'accesso con:
- Risoluzione dei problemi di controllo degli accessi in base al ruolo di Azure: ottenere suggerimenti per la risoluzione dei problemi comuni.