Op rollen gebaseerd toegangsbeheer van Azure gebruiken om Azure Backup herstelpunten te beheren
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) maakt fijnmazig toegangsbeheer voor Azure mogelijk. Met op rollen gebaseerd toegangsbeheer van Azure kunt u taken scheiden binnen uw team en alleen de mate van toegang verlenen aan gebruikers die nodig is om de taken uit te voeren.
Belangrijk
Rollen die door Azure Backup worden geleverd, zijn beperkt tot acties die kunnen worden uitgevoerd in Azure Portal of via REST API of PowerShell- of CLI-cmdlets van de Recovery Services-kluis. Acties die worden uitgevoerd in de gebruikersinterface van de Azure Backup agentclient of de gebruikersinterface van System Center Data Protection Manager of Azure Backup Server, hebben geen controle over deze rollen.
Azure Backup biedt drie ingebouwde rollen om back-upbeheerbewerkingen te beheren. Meer informatie over ingebouwde Azure-rollen
- Back-upbijdrager : deze rol heeft alle machtigingen voor het maken en beheren van back-ups, behalve het verwijderen van de Recovery Services-kluis en het verlenen van toegang aan anderen. Stel u deze rol voor als beheerder van back-upbeheer die elke back-upbeheerbewerking kan uitvoeren.
- Back-upoperator : deze rol heeft machtigingen voor alles wat een inzender doet, behalve het verwijderen van back-up en het beheren van back-upbeleid. Deze rol is gelijk aan inzender, behalve dat deze geen destructieve bewerkingen kan uitvoeren, zoals het stoppen van back-ups met het verwijderen van gegevens of het verwijderen van de registratie van on-premises resources.
- Back-uplezer : deze rol heeft machtigingen om alle back-upbeheerbewerkingen weer te geven. Stel dat deze rol een bewakingspersoon is.
Als u uw eigen rollen wilt definiëren voor nog meer controle, raadpleegt u Aangepaste rollen bouwen in Azure RBAC.
Ingebouwde back-uprollen toewijzen aan back-upbeheeracties
Minimale rolvereisten voor Back-up van Azure-VM
De volgende tabel bevat de back-upbeheeracties en de bijbehorende minimale Azure-rol die nodig is om die bewerking uit te voeren.
| Beheerbewerking | Minimaal vereiste Azure-rol | Bereik vereist | Alternatieve |
|---|---|---|---|
| Een Recovery Services-kluis maken | Back-upbijdrager | Resourcegroep met de kluis | |
| Back-up van Azure-VM's inschakelen | Back-upoperator | Resourcegroep met de kluis | |
| Inzender voor virtuele machines | VM-resource | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Back-up van Azure-VM's inschakelen (vanaf vm-blade) | Back-upoperator | Resourcegroep met de kluis | |
| Back-upoperator | Resourcegroep met de virtuele machine | ||
| Inzender voor virtuele machines | VM-resource | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Back-up op aanvraag van VM | Back-upoperator | Recovery Services-kluis | |
| VM herstellen | Back-upoperator | Recovery Services-kluis | |
| Inzender | Resourcegroep waarin de VM wordt geïmplementeerd | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (alleen vereist voor klassiek VM-herstel en niet vereist voor beheerde VM's), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/ subnetten/join/action | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Back-up van niet-beheerde schijven van VM's herstellen | Back-upoperator | Recovery Services-kluis | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Inzender voor opslagaccounts | Opslagaccountresource waarin schijven worden hersteld | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Storage/storageAccounts/write | |
| Beheerde schijven terugzetten vanuit vm-back-up | Back-upoperator | Recovery Services-kluis | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Inzender voor opslagaccounts | Tijdelijk opslagaccount geselecteerd als onderdeel van het herstellen naar gegevens uit de kluis voordat deze worden geconverteerd naar beheerde schijven | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Storage/storageAccounts/write | |
| Inzender | Resourcegroep waarnaar beheerde schijven worden hersteld | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Afzonderlijke bestanden terugzetten vanuit vm-back-up | Back-upoperator | Recovery Services-kluis | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Herstellen tussen regio's | Back-upoperator | Abonnement op de Recovery Services-kluis | Dit is een aanvulling op de hierboven genoemde herstelmachtigingen. Specifiek voor CRR, in plaats van een ingebouwde rol, u kunt een aangepaste rol overwegen die de volgende machtigingen heeft: 'Microsoft.RecoveryServices/locations/backupAadProperties/read' 'Microsoft.RecoveryServices/locations/backupCrrJobs/action' 'Microsoft.RecoveryServices/locations/backupCrrJob/action' 'Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action' 'Microsoft.RecoveryServices/locations/backupCrrOperationResults/read' 'Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Back-upbeleid maken voor back-ups van Azure-VM's | Back-upbijdrager | Recovery Services-kluis | |
| Back-upbeleid van Azure VM-back-up wijzigen | Back-upbijdrager | Recovery Services-kluis | |
| Back-upbeleid van Azure VM-back-up verwijderen | Back-upbijdrager | Recovery Services-kluis | |
| Back-up stoppen (met gegevens behouden of verwijderen) op VM-back-up | Back-upbijdrager | Recovery Services-kluis | |
| On-premises Windows Server/client/SCDPM of Azure Backup Server registreren | Back-upoperator | Recovery Services-kluis | |
| Geregistreerde on-premises Windows Server/client/SCDPM of Azure Backup Server verwijderen | Back-upbijdrager | Recovery Services-kluis |
Belangrijk
Als u VM-inzender opgeeft in een VM-resourcebereik en Back-up selecteert als onderdeel van de VM-instellingen, wordt het scherm Back-up inschakelen geopend, zelfs als er al een back-up van de VM is gemaakt. Dit komt doordat de aanroep om de back-upstatus te verifiëren alleen werkt op abonnementsniveau. Als u dit wilt voorkomen, gaat u naar de kluis en opent u de weergave back-upitem van de VM of geeft u de rol VM-inzender op abonnementsniveau op.
Minimale rolvereisten voor back-ups van Azure-workloads (SQL- en HANA DB-back-ups)
De volgende tabel bevat de back-upbeheeracties en de bijbehorende minimale Azure-rol die vereist is om die bewerking uit te voeren.
| Beheerbewerking | Minimaal vereiste Azure-rol | Bereik vereist | Alternatieve |
|---|---|---|---|
| Een Recovery Services-kluis maken | Back-upbijdrager | Resourcegroep met de kluis | |
| Back-up van SQL- en/of HANA-databases inschakelen | Back-upoperator | Resourcegroep met de kluis | |
| Inzender voor virtuele machines | VM-resource waarop db is geïnstalleerd | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/virtualMachines | |
| Back-up op aanvraag van DB | Back-upoperator | Recovery Services-kluis | |
| Database herstellen of herstellen als bestanden | Back-upoperator | Recovery Services-kluis | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/virtualMachines | |
| Inzender voor virtuele machines | Doel-VM waarin de database wordt hersteld of bestanden worden gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/virtualMachines | |
| Back-upbeleid maken voor back-up van Azure-VM's | Back-upbijdrager | Recovery Services-kluis | |
| Back-upbeleid van Azure VM-back-up wijzigen | Back-upbijdrager | Recovery Services-kluis | |
| Back-upbeleid van Azure VM-back-up verwijderen | Back-upbijdrager | Recovery Services-kluis | |
| Back-up stoppen (met gegevens behouden of gegevens verwijderen) op VM-back-up | Back-upbijdrager | Recovery Services-kluis | |
| Inzender voor virtuele machines | Bron-VM waarvan een back-up is gemaakt | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.Compute/virtualMachines/write |
Minimale rolvereisten voor de back-up van de Azure-bestandsshare
In de volgende tabel worden de back-upbeheeracties en de bijbehorende Azure-rol vastgelegd die nodig zijn om die bewerking uit te voeren.
| Beheerbewerking | Rol vereist | Resources |
|---|---|---|
| Back-up inschakelen vanuit Recovery Services-kluis | Back-upbijdrager | Recovery Services-kluis |
| Inzender voor opslagaccount | Opslagaccountresource | |
| Back-up inschakelen vanaf de blade Bestandsshare | Back-upbijdrager | Recovery Services-kluis |
| Inzender voor opslagaccount | Opslagaccountresource | |
| Inzender | Abonnement | |
| Back-up op aanvraag van bestandsshare | Back-upoperator | Recovery Services-kluis |
| Bestandsshare herstellen | Back-upoperator | Recovery Services-kluis |
| Inzender voor back-up van opslagaccount | Opslagaccountresources waar bron- en doelbestandsshares aanwezig zijn | |
| Afzonderlijke bestanden herstellen | Back-upoperator | Recovery Services-kluis |
| Inzender voor opslagaccounts | Opslagaccountresources waar bron- en doelbestandsshares aanwezig zijn | |
| Beveiliging stoppen | Back-upbijdrager | Recovery Services-kluis |
| Registratie van opslagaccount bij kluis ongedaan maken | Back-upbijdrager | Recovery Services-kluis |
| Inzender voor opslagaccounts | Opslagaccountresource |
Notitie
Als u toegang tot inzenders hebt op het niveau van de resourcegroep en back-up wilt configureren vanaf de blade bestandsshare, moet u de machtiging microsoft.recoveryservices/Locations/backupStatus/action krijgen op abonnementsniveau. Hiervoor maakt u een aangepaste rol en wijst u deze machtiging toe.
Minimale rolvereisten voor Back-ups van Azure-schijven
| Beheerbewerking | Minimaal vereiste Azure-rol | Bereik vereist | Alternatieve |
|---|---|---|---|
| Valideren voordat u een back-up configureert | Back-upoperator | Back-upkluis | |
| Lezer voor schijfback-up | Schijf waarvan een back-up moet worden gemaakt | ||
| Back-up vanuit back-upkluis inschakelen | Back-upoperator | Back-upkluis | |
| Lezer voor schijfback-up | Schijf waarvan een back-up moet worden gemaakt | Bovendien moet de MSI van de back-upkluis deze machtigingen krijgen | |
| Back-up van schijf op aanvraag | Back-upoperator | Back-upkluis | |
| Valideren voordat u een schijf herstelt | Back-upoperator | Back-upkluis | |
| Operator voor schijfherstel | Resourcegroep waarin schijven worden hersteld | ||
| Een schijf herstellen | Back-upoperator | Back-upkluis | |
| Operator voor schijfherstel | Resourcegroep waarin schijven worden hersteld | Bovendien moet de MSI van de back-upkluis deze machtigingen krijgen |
Minimale rolvereisten voor Azure Blob-back-up
| Beheerbewerking | Minimaal vereiste Azure-rol | Bereik vereist | Alternatieve |
|---|---|---|---|
| Valideren voordat u een back-up configureert | Back-upoperator | Back-upkluis | |
| Inzender voor back-up van opslagaccount | Opslagaccount met de blob | ||
| Back-up vanuit back-upkluis inschakelen | Back-upoperator | Back-upkluis | |
| Inzender voor back-up van opslagaccount | Opslagaccount met de blob | Bovendien moet de MSI van de back-upkluis deze machtigingen krijgen | |
| Back-up van blob op aanvraag | Back-upoperator | Back-upkluis | |
| Valideren voordat u een blob herstelt | Back-upoperator | Back-upkluis | |
| Inzender voor back-up van opslagaccount | Opslagaccount met de blob | ||
| Een blob herstellen | Back-upoperator | Back-upkluis | |
| Inzender voor back-up van opslagaccount | Opslagaccount met de blob | Bovendien moet de MSI van de back-upkluis deze machtigingen krijgen |
Minimale rolvereisten voor back-up van Azure Database for PostGreSQL-server
| Beheerbewerking | Minimaal vereiste Azure-rol | Bereik vereist | Alternatieve |
|---|---|---|---|
| Valideren voordat u een back-up configureert | Back-upoperator | Back-upkluis | |
| Lezer | Azure PostGreSQL-server | ||
| Back-up vanuit back-upkluis inschakelen | Back-upoperator | Back-upkluis | |
| Inzender | Azure PostGreSQL-server | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Daarnaast moet de MSI van de back-upkluis deze machtigingen krijgen | |
| Back-up op aanvraag van PostGreSQL-server | Back-upoperator | Back-upkluis | |
| Valideren voordat u een server herstelt | Back-upoperator | Back-upkluis | |
| Inzender | Azure PostGreSQL-server als doel | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Een server herstellen | Back-upoperator | Back-upkluis | |
| Inzender | Azure PostGreSQL-server als doel | In plaats van een ingebouwde rol kunt u ook een aangepaste rol overwegen die de volgende machtigingen heeft: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Daarnaast moet de MSI van de back-upkluis deze machtigingen krijgen |
Volgende stappen
- Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC): aan de slag met Azure RBAC in de Azure Portal.
- Meer informatie over het beheren van toegang met:
- Problemen met op rollen gebaseerd toegangsbeheer in Azure oplossen: suggesties krijgen voor het oplossen van veelvoorkomende problemen.