このチュートリアルでは、Resource Guard を作成し、Recovery Services コンテナーと Backup コンテナーでマルチユーザー承認 (MUA) を有効にする方法について説明します。 これにより、コンテナーに対する重要な操作にさらに保護のためのレイヤーを追加できます。
注
- Recovery Services コンテナーと Backup コンテナーの両方で、マルチユーザー承認が一般提供されるようになりました。
- Azure Backup のマルチユーザー承認は、すべてのパブリック Azure リージョンで使用できます。
MUA の概念について確認してください。
[前提条件]
開始する前に次の操作を実行してください。
コンテナーを選択してください
- Resource Guard と Recovery Services コンテナーが、同じ Azure リージョンに存在することを確認します。
- Backup 管理者に Resource Guard に対する共同作成者アクセス許可がないことを確認します。 Resource Guard を同じディレクトリの別のサブスクリプションまたは別のディレクトリに含め、最大限の分離を確保することができます。
- Recovery Services コンテナーと Resource Guard を含むサブスクリプション (異なるサブスクリプションまたはテナント) が、Microsoft.RecoveryServices プロバイダーを使用するために登録されているようにします。 詳細については、「Azure リソース プロバイダーと種類」を参照してください。
さまざまな MUA の使用シナリオについて説明します。
Resource Guard を作成する
セキュリティ管理者が Resource Guard を作成します。 コンテナーとして別のサブスクリプションまたは別のテナントに作成することをお勧めします。 ただし、コンテナーと同じリージョンに存在する必要があります。
注
バックアップ管理者は、Resource Guard またはそれを含むサブスクリプションに対する共同作成者アクセス権を持つ必要はありません。
コンテナーを選択してください
セキュリティ管理者としてコンテナー テナントとは異なるテナントで Resource Guard を作成するには、次の手順に従います。
Azure portal で、Resource Guard を作成するディレクトリに移動します。
検索バーで Resource Guard を 検索し、ドロップダウンから対応する項目を選択します。
- [作成] を選択して、Resource Guard の作成を開始します。
- [ 作成 ] ブレードで、この Resource Guard に必要な詳細を入力します。
- Resource Guard が Recovery Services コンテナーと同じ Azure リージョン内にあることを確認します。
- また、必要な場合に関連するボールトでアクションを実行するためのアクセス権の取得や要求方法について説明を追加すると役立ちます。 この説明は、バックアップ管理者が必要なアクセス許可を取得するためのガイドとして、関連付けられているコンテナーにも表示されます。 必要に応じて後で説明を編集できますが、常によく定義された説明を使用する方が推奨されます。
[Protected operations] (保護された操作) タブで、この Resource Guard を使用して保護する必要がある操作を選択します。
リソース ガードの作成後に保護する操作を選択することもできます。
必要に応じて、要件に従って Resource Guard にタグを追加します
[ 確認と作成 ] を選択し、状態と Resource Guard の正常な作成に関する通知に従います。
Resource Guard を使用して保護する操作を選択する
コンテナーの作成後、セキュリティ管理者は、サポートされているすべての重要な操作の中から、Resource Guard を使用して保護する操作を選択することもできます。 既定では、サポートされている重要な操作はすべて有効になっています。 ただし、セキュリティ管理者は、特定の操作が、Resource Guard を使用した MUA の範囲に入らないようにすることができます。
コンテナーを選択してください
保護する操作を選択するには、次の手順に従います。
上記で作成した Resource Guard で、[プロパティ]、> の順に移動します。
Resource Guard を使用して承認されないように除外する操作の場合は、[ 無効] を選択 します。
注
論理的な削除を無効にする操作と MUA 保護の削除操作は無効にできません。
必要に応じて、このブレードを使用して Resource Guard の説明を更新できます。
保存 を選択します。
Resource Guard のバックアップ管理者にアクセス許可を割り当て、MUA を有効にする
バックアップ管理者には、Resource Guard の閲覧者ロール、またはコンテナーで MUA を有効にするための Resource Guard を含むサブスクリプションが必要です。 セキュリティ管理者は、このロールをバックアップ管理者に割り当てる必要があります。
コンテナーを選択してください
Resource Guard の閲覧者ロールを割り当てるには、次の手順に従います。
- 上記で作成した Resource Guard で、[アクセス制御 (IAM)] ブレードに移動し、[ ロールの割り当ての追加] に移動します。
- 組み込みロールの一覧から [閲覧者 ] を選択し、[ 次へ] を選択します。
- [メンバーの選択] をクリックし、バックアップ管理者の電子メール ID を追加して、それらを閲覧者として追加します。 この場合、バックアップ管理者は別のテナントにいるため、Resource Guard を含むテナントにゲストとして追加されます。
- [選択] をクリックし、 [レビューと割り当て] に進み、ロールの割り当てを完了します。
コンテナーで MUA を有効にする
バックアップ管理者に Resource Guard の閲覧者ロールが割り当てられたので、バックアップ管理者は、次の手順に従うことで、管理対象のコンテナーでマルチユーザー承認を有効にできます。
コンテナーを選択してください
[Recovery Services コンテナー] に移動します。
プロパティ>Multi-User Authorization に移動し、[更新] を選択します。
次に、MUA を有効にし、次のいずれかの方法で Resource Guard を選択するオプションが表示されます。
Resource Guard の URI を指定するか、閲覧者アクセス権を持ち、コンテナーと同じリージョンである Resource Guard の URI を指定していることを確認します。 Resource Guard の URI (Resource Guard ID) は、その [概要] 画面で確認できます。
または、 閲覧者 アクセス権を持つ Resource Guard の一覧から Resource Guard を選択し、リージョンで使用可能なリソース ガードを選択することもできます。
- [リソース ガードの選択] をクリックします。
- ドロップダウン リストを選択し、Resource Guard が存在するディレクトリを選択してください。
- [認証] を選択して、ID とアクセスを検証します。
- 認証後、表示される一覧から Resource Guard を選択します。
[保存] を選択して MUA を有効にします。