Delen via


Op rollen gebaseerd toegangsbeheer van Azure gebruiken om Azure Backup-herstelpunten te beheren

Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) maakt gedetailleerd toegangsbeheer mogelijk voor Azure. Met op rollen gebaseerd toegangsbeheer van Azure kunt u taken scheiden binnen uw team en alleen de mate van toegang verlenen aan gebruikers die nodig is om de taken uit te voeren.

Belangrijk

Rollen die worden geleverd door Azure Backup, zijn beperkt tot acties die kunnen worden uitgevoerd in Azure Portal of via REST API of Recovery Services-kluis PowerShell- of CLI-cmdlets. Acties die worden uitgevoerd in de gebruikersinterface van de Azure Backup-agent of de gebruikersinterface van System Center Data Protection Manager of de gebruikersinterface van Azure Backup Server, hebben geen controle over deze rollen.

Azure Backup biedt drie ingebouwde rollen voor het beheren van back-upbeheerbewerkingen. Meer informatie over ingebouwde Azure-rollen

  • Inzender voor back-ups: deze rol heeft alle machtigingen voor het maken en beheren van back-ups, behalve het verwijderen van de Recovery Services-kluis en het verlenen van toegang tot anderen. Stel u deze rol voor als beheerder van back-upbeheer die elke back-upbeheerbewerking kan uitvoeren.
  • Back-upoperator : deze rol heeft machtigingen voor alles wat een inzender doet, behalve het verwijderen van back-up- en back-upbeleidsregels. Deze rol is gelijk aan inzender, behalve dat deze geen destructieve bewerkingen kan uitvoeren, zoals het stoppen van back-ups met het verwijderen van gegevens of het verwijderen van registratie van on-premises resources.
  • Back-uplezer : deze rol heeft machtigingen om alle back-upbeheerbewerkingen weer te geven. Stel dat deze rol een bewakingsmedewerker is.

Als u uw eigen rollen wilt definiëren voor nog meer controle, raadpleegt u hoe u aangepaste rollen bouwt in Azure RBAC.

Ingebouwde back-uprollen toewijzen aan back-upbeheeracties

Minimale rolvereisten voor Azure VM-back-up

In de volgende tabel worden de back-upbeheeracties en de bijbehorende minimale Azure-rol vastgelegd die nodig is om die bewerking uit te voeren.

Beheerbewerking Minimale Azure-rol vereist Bereik vereist Alternatief
Een Recovery Services-kluis maken Inzender voor back-ups Resourcegroep met de kluis
Back-up van Virtuele Azure-machines inschakelen Back-upoperator Resourcegroep met de kluis
Inzender voor virtuele machines VM-resource In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Back-up van Virtuele Azure-machines inschakelen (vanaf vm-blade) Back-upoperator Resourcegroep met de kluis
Back-upoperator Resourcegroep met de virtuele machine
Inzender voor virtuele machines VM-resource In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read
Back-up op aanvraag van VM Back-upoperator Recovery Services-kluis
VM herstellen Back-upoperator Recovery Services-kluis
Inzender Resourcegroep waarin de VM wordt geïmplementeerd In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (alleen vereist voor het herstellen van klassieke VM's en niet vereist voor beheerde VM's), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/ subnetten/join/action
Inzender voor virtuele machines Bron-VM waarvan een back-up is gemaakt In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Inzender voor opslagaccounts Opslagaccountresource waar schijven worden hersteld U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action
Back-up van niet-beheerde schijven herstellen Back-upoperator Recovery Services-kluis
Inzender voor virtuele machines Bron-VM waarvan een back-up is gemaakt In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Inzender voor opslagaccounts Opslagaccountresource waar schijven worden hersteld U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action
Beheerde schijven herstellen vanuit back-up van vm's Back-upoperator Recovery Services-kluis
Inzender voor virtuele machines Bron-VM waarvan een back-up is gemaakt In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Inzender voor opslagaccounts Tijdelijk opslagaccount geselecteerd als onderdeel van het herstellen van gegevens uit de kluis voordat deze worden geconverteerd naar beheerde schijven U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action
Inzender Resourcegroep waarnaar beheerde schijven worden hersteld U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Resources/subscriptions/resourceGroups/write
Afzonderlijke bestanden terugzetten vanuit een BACK-up van een VIRTUELE machine Back-upoperator Recovery Services-kluis
Inzender voor virtuele machines Bron-VM waarvan een back-up is gemaakt In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Herstellen tussen regio's Back-upoperator Abonnement op de Recovery Services-kluis Dit is naast de hierboven genoemde herstelmachtigingen. Specifiek voor CRR, in plaats van een ingebouwde rol, u kunt een aangepaste rol overwegen met de volgende machtigingen: Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read"
Back-upbeleid maken voor Back-up van Virtuele Azure-machines Inzender voor back-ups Recovery Services-kluis
Back-upbeleid van Azure VM-back-up wijzigen Inzender voor back-ups Recovery Services-kluis
Back-upbeleid van Azure VM-back-up verwijderen Inzender voor back-ups Recovery Services-kluis
Back-up stoppen (met gegevens behouden of gegevens verwijderen) op vm-back-up Inzender voor back-ups Recovery Services-kluis
On-premises Windows Server/client/SCDPM of Azure Backup Server registreren Back-upoperator Recovery Services-kluis
Geregistreerde on-premises Windows Server/client/SCDPM of Azure Backup Server verwijderen Inzender voor back-ups Recovery Services-kluis

Belangrijk

Als u VM-inzender opgeeft in een VM-resourcebereik en Back-up selecteert als onderdeel van de VM-instellingen , wordt het scherm Back-up inschakelen geopend, zelfs als er al een back-up van de virtuele machine is gemaakt. Dit komt doordat de aanroep om te controleren op back-upstatus alleen werkt op abonnementsniveau. U kunt dit voorkomen door naar de kluis te gaan en de weergave van het back-upitem van de virtuele machine te openen of de rol Inzender voor vm's op abonnementsniveau op te geven.

Minimale rolvereisten voor Back-ups van Azure-workloads (BACK-ups van SQL en HANA DB)

In de volgende tabel worden de back-upbeheeracties en de bijbehorende minimale Azure-rol vastgelegd die nodig is om die bewerking uit te voeren.

Beheerbewerking Minimale Azure-rol vereist Bereik vereist Alternatief
Een Recovery Services-kluis maken Inzender voor back-ups Resourcegroep met de kluis
Back-up van SQL- en/of HANA-databases inschakelen Back-upoperator Resourcegroep met de kluis
Inzender voor virtuele machines VM-resource waarop DB is geïnstalleerd In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Back-up op aanvraag van db Back-upoperator Recovery Services-kluis
Database herstellen of herstellen als bestanden Back-upoperator Recovery Services-kluis
Inzender voor virtuele machines Bron-VM waarvan een back-up is gemaakt In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Inzender voor virtuele machines Doel-VM waarin db wordt hersteld of bestanden worden gemaakt In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Back-upbeleid maken voor Back-up van Virtuele Azure-machines Inzender voor back-ups Recovery Services-kluis
Back-upbeleid van Azure VM-back-up wijzigen Inzender voor back-ups Recovery Services-kluis
Back-upbeleid van Azure VM-back-up verwijderen Inzender voor back-ups Recovery Services-kluis
Back-up stoppen (met gegevens behouden of gegevens verwijderen) op vm-back-up Inzender voor back-ups Recovery Services-kluis
Inzender voor virtuele machines Bron-VM waarvan een back-up is gemaakt U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.Compute/virtualMachines/write
Herstellen tussen regio's Back-upoperator Abonnement op de Recovery Services-kluis Dit is een aanvulling op de hierboven genoemde herstelmachtigingen. In het geval van herstel in meerdere regio's, in plaats van een ingebouwde rol, kunt u een aangepaste rol met de volgende machtigingen gebruiken:

- Microsoft.RecoveryServices/locations/backupAadProperties/read

- Microsoft.RecoveryServices/locations/backupCrrJobs/action

- Microsoft.RecoveryServices/locations/backupCrrJob/action

- Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action

- Microsoft.RecoveryServices/locations/backupCrrOperationResults/read

- Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read

Minimale rolvereisten voor de back-up van de Azure-bestandsshare

In de volgende tabel worden de back-upbeheeracties en de bijbehorende Azure-rol vastgelegd die nodig zijn om die bewerking uit te voeren.

Beheerbewerking Rol vereist Resources
Back-up inschakelen vanuit Recovery Services-kluis Inzender voor back-ups Recovery Services-kluis
Inzender voor opslagaccount Opslagaccountresource
Back-up inschakelen vanaf de blade bestandsshare Inzender voor back-ups Recovery Services-kluis
Inzender voor opslagaccount Opslagaccountresource
Inzender Abonnement
Back-up op aanvraag van bestandsshare Back-upoperator Recovery Services-kluis
Bestandsshare herstellen Back-upoperator Recovery Services-kluis
Inzender voor back-up van opslagaccount Opslagaccountbronnen waar bron- en doelbestandsshares aanwezig zijn
Afzonderlijke bestanden herstellen Back-upoperator Recovery Services-kluis
Inzender voor opslagaccounts Opslagaccountbronnen waar bron- en doelbestandsshares aanwezig zijn
Beveiliging stoppen Inzender voor back-ups Recovery Services-kluis
Registratie van opslagaccount bij kluis ongedaan maken Inzender voor back-ups Recovery Services-kluis
Inzender voor opslagaccounts Opslagaccountresource

Notitie

Als u toegang hebt tot inzenders op het niveau van de resourcegroep en u back-up wilt configureren vanaf de blade bestandsshare, moet u microsoft.recoveryservices /Locations/backupStatus/action-machtiging ophalen op abonnementsniveau. Hiervoor maakt u een aangepaste rol en wijst u deze machtiging toe.

Minimale rolvereisten voor Azure Disk Backup

Beheerbewerking Minimale Azure-rol vereist Bereik vereist Alternatief
Valideren voordat u back-up configureert Back-upoperator Back-upkluis
Lezer voor schijfback-up Een back-up van de schijf maken
Back-up inschakelen vanuit back-upkluis Back-upoperator Back-upkluis
Lezer voor schijfback-up Een back-up van de schijf maken Daarnaast moet de MSI van de back-upkluis deze machtigingen krijgen
Back-up op aanvraag van schijf Back-upoperator Back-upkluis
Valideren voordat u een schijf herstelt Back-upoperator Back-upkluis
Schijfhersteloperator Resourcegroep waarin schijven worden hersteld naar
Een schijf herstellen Back-upoperator Back-upkluis
Schijfhersteloperator Resourcegroep waarin schijven worden hersteld naar Daarnaast moet de MSI van de back-upkluis deze machtigingen krijgen

Minimale rolvereisten voor Azure Blob Backup

Beheerbewerking Minimale Azure-rol vereist Bereik vereist Alternatief
Valideren voordat u back-up configureert Back-upoperator Back-upkluis
Inzender voor back-up van opslagaccount Opslagaccount met de blob
Back-up inschakelen vanuit back-upkluis Back-upoperator Back-upkluis
Inzender voor back-up van opslagaccount Opslagaccount met de blob Daarnaast moet de MSI van de back-upkluis deze machtigingen krijgen
Back-up op aanvraag van blob Back-upoperator Back-upkluis
Valideren voordat u een blob herstelt Back-upoperator Back-upkluis
Inzender voor back-up van opslagaccount Opslagaccount met de blob
Een blob herstellen Back-upoperator Back-upkluis
Inzender voor back-up van opslagaccount Opslagaccount met de blob Daarnaast moet de MSI van de back-upkluis deze machtigingen krijgen

Minimale rolvereisten voor Back-up van Azure Database for PostGreSQL-server

Beheerbewerking Minimale Azure-rol vereist Bereik vereist Alternatief
Valideren voordat u back-up configureert Back-upoperator Back-upkluis
Lezer Azure PostGreSQL-server
Back-up inschakelen vanuit back-upkluis Back-upoperator Back-upkluis
Inzender Azure PostGreSQL-server In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read Bovendien moet de MSI van de back-upkluis deze machtigingen krijgen
Back-up op aanvraag van PostGreSQL-server Back-upoperator Back-upkluis
Valideren voordat u een server herstelt Back-upoperator Back-upkluis
Inzender Azure PostGreSQL-doelserver U kunt ook in plaats van een ingebouwde rol een aangepaste rol overwegen met de volgende machtigingen: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read
Een server herstellen Back-upoperator Back-upkluis
Inzender Azure PostGreSQL-doelserver In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen met de volgende machtigingen: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read Bovendien moet de MSI van de back-upkluis deze machtigingen krijgen

Volgende stappen