Op rollen gebaseerd toegangsbeheer van Azure gebruiken om Azure Backup-herstelpunten te beheren
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) maakt gedetailleerd toegangsbeheer mogelijk voor Azure. Met op rollen gebaseerd toegangsbeheer van Azure kunt u taken scheiden binnen uw team en alleen de mate van toegang verlenen aan gebruikers die nodig is om de taken uit te voeren.
Belangrijk
Rollen die worden geleverd door Azure Backup, zijn beperkt tot acties die kunnen worden uitgevoerd in Azure Portal of via REST API of Recovery Services-kluis PowerShell- of CLI-cmdlets. Acties die worden uitgevoerd in de gebruikersinterface van de Azure Backup-agent of de gebruikersinterface van System Center Data Protection Manager of de gebruikersinterface van Azure Backup Server, hebben geen controle over deze rollen.
Azure Backup biedt drie ingebouwde rollen voor het beheren van back-upbeheerbewerkingen. Meer informatie over ingebouwde Azure-rollen
- Inzender voor back-ups: deze rol heeft alle machtigingen voor het maken en beheren van back-ups, behalve het verwijderen van de Recovery Services-kluis en het verlenen van toegang tot anderen. Stel u deze rol voor als beheerder van back-upbeheer die elke back-upbeheerbewerking kan uitvoeren.
- Back-upoperator : deze rol heeft machtigingen voor alles wat een inzender doet, behalve het verwijderen van back-up- en back-upbeleidsregels. Deze rol is gelijk aan inzender, behalve dat deze geen destructieve bewerkingen kan uitvoeren, zoals het stoppen van back-ups met het verwijderen van gegevens of het verwijderen van registratie van on-premises resources.
- Back-uplezer : deze rol heeft machtigingen om alle back-upbeheerbewerkingen weer te geven. Stel dat deze rol een bewakingsmedewerker is.
Als u uw eigen rollen wilt definiëren voor nog meer controle, raadpleegt u hoe u aangepaste rollen bouwt in Azure RBAC.
Ingebouwde back-uprollen toewijzen aan back-upbeheeracties
Minimale rolvereisten voor Azure VM-back-up
In de volgende tabel worden de back-upbeheeracties en de bijbehorende minimale Azure-rol vastgelegd die nodig is om die bewerking uit te voeren.
| Beheerbewerking | Minimale Azure-rol vereist | Bereik vereist | Alternatief |
|---|---|---|---|
| Een Recovery Services-kluis maken | Inzender voor back-ups | Resourcegroep met de kluis | |
| Back-up van Virtuele Azure-machines inschakelen | Back-upoperator | Resourcegroep met de kluis | |
| Inzender voor virtuele machines | VM-resource | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Back-up van Virtuele Azure-machines inschakelen (vanaf vm-blade) | Back-upoperator | Resourcegroep met de kluis | |
| Back-upoperator | Resourcegroep met de virtuele machine | ||
| Inzender voor virtuele machines | VM-resource | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Back-up op aanvraag van VM | Back-upoperator | Recovery Services-kluis | |
| VM herstellen | Back-upoperator | Recovery Services-kluis | |
| Inzender | Resourcegroep waarin de VM wordt geïmplementeerd | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (alleen vereist voor het herstellen van klassieke VM's en niet vereist voor beheerde VM's), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/ subnetten/join/action | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Inzender voor opslagaccounts | Opslagaccountresource waar schijven worden hersteld | U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Back-up van niet-beheerde schijven herstellen | Back-upoperator | Recovery Services-kluis | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Inzender voor opslagaccounts | Opslagaccountresource waar schijven worden hersteld | U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Beheerde schijven herstellen vanuit back-up van vm's | Back-upoperator | Recovery Services-kluis | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Inzender voor opslagaccounts | Tijdelijk opslagaccount geselecteerd als onderdeel van het herstellen van gegevens uit de kluis voordat deze worden geconverteerd naar beheerde schijven | U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Inzender | Resourcegroep waarnaar beheerde schijven worden hersteld | U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Afzonderlijke bestanden terugzetten vanuit een BACK-up van een VIRTUELE machine | Back-upoperator | Recovery Services-kluis | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Herstellen tussen regio's | Back-upoperator | Abonnement op de Recovery Services-kluis | Dit is naast de hierboven genoemde herstelmachtigingen. Specifiek voor CRR, in plaats van een ingebouwde rol, u kunt een aangepaste rol overwegen met de volgende machtigingen: Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Back-upbeleid maken voor Back-up van Virtuele Azure-machines | Inzender voor back-ups | Recovery Services-kluis | |
| Back-upbeleid van Azure VM-back-up wijzigen | Inzender voor back-ups | Recovery Services-kluis | |
| Back-upbeleid van Azure VM-back-up verwijderen | Inzender voor back-ups | Recovery Services-kluis | |
| Back-up stoppen (met gegevens behouden of gegevens verwijderen) op vm-back-up | Inzender voor back-ups | Recovery Services-kluis | |
| On-premises Windows Server/client/SCDPM of Azure Backup Server registreren | Back-upoperator | Recovery Services-kluis | |
| Geregistreerde on-premises Windows Server/client/SCDPM of Azure Backup Server verwijderen | Inzender voor back-ups | Recovery Services-kluis |
Belangrijk
Als u VM-inzender opgeeft in een VM-resourcebereik en Back-up selecteert als onderdeel van de VM-instellingen , wordt het scherm Back-up inschakelen geopend, zelfs als er al een back-up van de virtuele machine is gemaakt. Dit komt doordat de aanroep om te controleren op back-upstatus alleen werkt op abonnementsniveau. U kunt dit voorkomen door naar de kluis te gaan en de weergave van het back-upitem van de virtuele machine te openen of de rol Inzender voor vm's op abonnementsniveau op te geven.
Minimale rolvereisten voor Back-ups van Azure-workloads (BACK-ups van SQL en HANA DB)
In de volgende tabel worden de back-upbeheeracties en de bijbehorende minimale Azure-rol vastgelegd die nodig is om die bewerking uit te voeren.
| Beheerbewerking | Minimale Azure-rol vereist | Bereik vereist | Alternatief |
|---|---|---|---|
| Een Recovery Services-kluis maken | Inzender voor back-ups | Resourcegroep met de kluis | |
| Back-up van SQL- en/of HANA-databases inschakelen | Back-upoperator | Resourcegroep met de kluis | |
| Inzender voor virtuele machines | VM-resource waarop DB is geïnstalleerd | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Back-up op aanvraag van db | Back-upoperator | Recovery Services-kluis | |
| Database herstellen of herstellen als bestanden | Back-upoperator | Recovery Services-kluis | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Inzender voor virtuele machines | Doel-VM waarin db wordt hersteld of bestanden worden gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Back-upbeleid maken voor Back-up van Virtuele Azure-machines | Inzender voor back-ups | Recovery Services-kluis | |
| Back-upbeleid van Azure VM-back-up wijzigen | Inzender voor back-ups | Recovery Services-kluis | |
| Back-upbeleid van Azure VM-back-up verwijderen | Inzender voor back-ups | Recovery Services-kluis | |
| Back-up stoppen (met gegevens behouden of gegevens verwijderen) op vm-back-up | Inzender voor back-ups | Recovery Services-kluis | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write | |
| Herstellen tussen regio's | Back-upoperator | Abonnement op de Recovery Services-kluis | Dit is een aanvulling op de hierboven genoemde herstelmachtigingen. In het geval van herstel in meerdere regio's, in plaats van een ingebouwde rol, kunt u een aangepaste rol met de volgende machtigingen gebruiken: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Minimale rolvereisten voor de back-up van de Azure-bestandsshare
In de volgende tabel worden de back-upbeheeracties en de bijbehorende Azure-rol vastgelegd die nodig zijn om die bewerking uit te voeren.
| Beheerbewerking | Rol vereist | Resources |
|---|---|---|
| Back-up inschakelen vanuit Recovery Services-kluis | Inzender voor back-ups | Recovery Services-kluis |
| Inzender voor opslagaccount | Opslagaccountresource | |
| Back-up inschakelen vanaf de blade bestandsshare | Inzender voor back-ups | Recovery Services-kluis |
| Inzender voor opslagaccount | Opslagaccountresource | |
| Inzender | Abonnement | |
| Back-up op aanvraag van bestandsshare | Back-upoperator | Recovery Services-kluis |
| Bestandsshare herstellen | Back-upoperator | Recovery Services-kluis |
| Inzender voor back-up van opslagaccount | Opslagaccountbronnen waar bron- en doelbestandsshares aanwezig zijn | |
| Afzonderlijke bestanden herstellen | Back-upoperator | Recovery Services-kluis |
| Inzender voor opslagaccounts | Opslagaccountbronnen waar bron- en doelbestandsshares aanwezig zijn | |
| Beveiliging stoppen | Inzender voor back-ups | Recovery Services-kluis |
| Registratie van opslagaccount bij kluis ongedaan maken | Inzender voor back-ups | Recovery Services-kluis |
| Inzender voor opslagaccounts | Opslagaccountresource |
Notitie
Als u toegang hebt tot inzenders op het niveau van de resourcegroep en u back-up wilt configureren vanaf de blade bestandsshare, moet u microsoft.recoveryservices /Locations/backupStatus/action-machtiging ophalen op abonnementsniveau. Hiervoor maakt u een aangepaste rol en wijst u deze machtiging toe.
Minimale rolvereisten voor Azure Disk Backup
Minimale rolvereisten voor Azure Blob Backup
Minimale rolvereisten voor Back-up van Azure Database for PostGreSQL-server
Volgende stappen
- Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC):Ga aan de slag met Azure RBAC in Azure Portal.
- Meer informatie over het beheren van toegang met:
- Problemen met op rollen gebaseerd toegangsbeheer van Azure: suggesties krijgen voor het oplossen van veelvoorkomende problemen.