Zarządzanie Azure Backup punktami odzyskiwania przy użyciu kontroli dostępu opartej na rolach platformy Azure

Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia szczegółowe zarządzanie dostępem dla platformy Azure. Przy użyciu kontroli RBAC na platformie Azure można przeprowadzać segregowanie zadań w ramach zespołu i nadawać użytkownikom tylko takie uprawnienia dostępu, które są im niezbędne do wykonywania zadań.

Ważne

Role udostępniane przez Azure Backup są ograniczone do akcji, które mogą być wykonywane w Azure Portal lub za pośrednictwem interfejsu API REST lub poleceń cmdlet magazynu usługi Recovery Services programu PowerShell lub interfejsu wiersza polecenia. Akcje wykonywane w interfejsie użytkownika klienta agenta Azure Backup lub interfejsie użytkownika programu System center Data Protection Manager lub interfejsie użytkownika serwera Azure Backup są poza kontrolą tych ról.

Azure Backup zapewnia trzy wbudowane role do sterowania operacjami zarządzania kopiami zapasowymi. Dowiedz się więcej na temat wbudowanych ról platformy Azure

  • Współautor kopii zapasowej — ta rola ma wszystkie uprawnienia do tworzenia kopii zapasowych i zarządzania nimi, z wyjątkiem usuwania magazynu usługi Recovery Services i udzielania dostępu innym osobom. Wyobraź sobie tę rolę jako administrator zarządzania kopiami zapasowymi, który może wykonywać każdą operację zarządzania kopiami zapasowymi.
  • Operator kopii zapasowych — ta rola ma uprawnienia do wszystkich czynności współautora, z wyjątkiem usuwania kopii zapasowych i zarządzania zasadami tworzenia kopii zapasowych. Ta rola jest równoważna współautorowi, z wyjątkiem tego, że nie może wykonywać destrukcyjnych operacji, takich jak zatrzymywanie tworzenia kopii zapasowej przy użyciu usuwania danych lub usuwanie rejestracji zasobów lokalnych.
  • Czytelnik kopii zapasowych — ta rola ma uprawnienia do wyświetlania wszystkich operacji zarządzania kopiami zapasowymi. Wyobraź sobie, że ta rola ma być osobą monitorającą.

Jeśli chcesz zdefiniować własne role w celu jeszcze większej kontroli, zobacz, jak tworzyć role niestandardowe w kontroli dostępu opartej na rolach platformy Azure.

Mapowanie ról wbudowanych kopii zapasowych na akcje zarządzania kopiami zapasowymi

Minimalne wymagania dotyczące roli dla kopii zapasowej maszyny wirtualnej platformy Azure

W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiednią minimalną rolę platformy Azure wymaganą do wykonania tej operacji.

Operacja zarządzania Wymagana minimalna rola platformy Azure Wymagany zakres Alternatywnych
Tworzenie magazynu usługi Recovery Services Współautor kopii zapasowej Grupa zasobów zawierająca magazyn
Włączanie tworzenia kopii zapasowych maszyn wirtualnych platformy Azure Operator kopii zapasowych Grupa zasobów zawierająca magazyn
Współautor maszyny wirtualnej Zasób maszyny wirtualnej Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Włączanie tworzenia kopii zapasowych maszyn wirtualnych platformy Azure (z bloku maszyny wirtualnej) Operator kopii zapasowych Grupa zasobów zawierająca magazyn
Operator kopii zapasowych Grupa zasobów zawierająca maszynę wirtualną
Współautor maszyny wirtualnej Zasób maszyny wirtualnej Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/read Microsoft.Compute/virtualMachines/instanceView/read
Tworzenie kopii zapasowej maszyny wirtualnej na żądanie Operator kopii zapasowych Magazyn usługi Recovery Services
Przywracanie maszyny wirtualnej Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor Grupa zasobów, w której zostanie wdrożona maszyna wirtualna Alternatywnie, zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (wymagana tylko do przywracania klasycznej maszyny wirtualnej i nie jest wymagana w przypadku zarządzanych maszyn wirtualnych), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/ podsieci/sprzężenia/akcji
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Przywracanie kopii zapasowej maszyn wirtualnych dysków niezarządzanych Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Współautor konta magazynu Zasób konta magazynu, w którym dyski mają zostać przywrócone Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Storage/storageAccounts/write
Przywracanie dysków zarządzanych z kopii zapasowej maszyny wirtualnej Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Współautor konta magazynu Tymczasowe konto magazynu wybrane w ramach przywracania do przechowywania danych z magazynu przed przekonwertowaniem ich na dyski zarządzane Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Storage/storageAccounts/write
Współautor Grupa zasobów, do której zostaną przywrócone dyski zarządzane Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Resources/subscriptions/resourceGroups/write
Przywracanie pojedynczych plików z kopii zapasowej maszyny wirtualnej Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Przywracanie między regionami Operator kopii zapasowych Subskrypcja magazynu usługi Recovery Services Jest to dodatek do uprawnień przywracania wymienionych powyżej. W szczególności w przypadku CRR, zamiast wbudowanej roli, Możesz rozważyć rolę niestandardową, która ma następujące uprawnienia: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read"
Tworzenie zasad tworzenia kopii zapasowych dla kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Modyfikowanie zasad kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Usuwanie zasad kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Zatrzymywanie tworzenia kopii zapasowej (z zachowaniem danych lub usuwaniem danych) na kopii zapasowej maszyny wirtualnej Współautor kopii zapasowej Magazyn usługi Recovery Services
Rejestrowanie lokalnego systemu Windows Server/klienta/protokołu SCDPM lub serwera Azure Backup Operator kopii zapasowych Magazyn usługi Recovery Services
Usuwanie zarejestrowanego lokalnego systemu Windows Server/klienta/protokołu SCDPM lub Azure Backup Server Współautor kopii zapasowej Magazyn usługi Recovery Services

Ważne

Jeśli określisz współautora maszyny wirtualnej w zakresie zasobów maszyny wirtualnej i wybierzesz pozycję Kopia zapasowa w ramach ustawień maszyny wirtualnej, zostanie otwarty ekran Włącz kopię zapasową , mimo że kopia zapasowa maszyny wirtualnej została już utworzona. Jest to spowodowane tym, że wywołanie w celu sprawdzenia stanu kopii zapasowej działa tylko na poziomie subskrypcji. Aby tego uniknąć, przejdź do magazynu i otwórz widok elementu kopii zapasowej maszyny wirtualnej lub określ rolę Współautor maszyny wirtualnej na poziomie subskrypcji.

Minimalne wymagania dotyczące roli dla kopii zapasowych obciążeń platformy Azure (kopie zapasowe bazy danych SQL i HANA)

W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiednią minimalną rolę platformy Azure wymaganą do wykonania tej operacji.

Operacja zarządzania Wymagana minimalna rola platformy Azure Wymagany zakres Alternatywnych
Tworzenie magazynu usługi Recovery Services Współautor kopii zapasowej Grupa zasobów zawierająca magazyn
Włączanie tworzenia kopii zapasowych baz danych SQL i/lub HANA Operator kopii zapasowych Grupa zasobów zawierająca magazyn
Współautor maszyny wirtualnej Zasób maszyny wirtualnej, w którym zainstalowano bazę danych Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Kopia zapasowa bazy danych na żądanie Operator kopii zapasowych Magazyn usługi Recovery Services
Przywracanie bazy danych lub przywracanie jako plików Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Współautor maszyny wirtualnej Docelowa maszyna wirtualna, na której zostanie przywrócona baza danych, lub zostaną utworzone pliki Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read
Tworzenie zasad tworzenia kopii zapasowych dla kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Modyfikowanie zasad kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Usuwanie zasad kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure Współautor kopii zapasowej Magazyn usługi Recovery Services
Zatrzymywanie tworzenia kopii zapasowej (z zachowaniem danych lub usuwaniem danych) na kopii zapasowej maszyny wirtualnej Współautor kopii zapasowej Magazyn usługi Recovery Services
Współautor maszyny wirtualnej Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write

Minimalne wymagania dotyczące roli dla kopii zapasowej udziału plików platformy Azure

W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiednią rolę platformy Azure wymaganą do wykonania tej operacji.

Operacja zarządzania Wymagana rola Zasoby
Włączanie tworzenia kopii zapasowej z magazynu usługi Recovery Services Współautor kopii zapasowej Magazyn usługi Recovery Services
Współautor konta magazynu Zasób konta magazynu
Włączanie tworzenia kopii zapasowej z bloku udziału plików Współautor kopii zapasowej Magazyn usługi Recovery Services
Współautor konta magazynu Zasób konta magazynu
Współautor Subskrypcja
Tworzenie kopii zapasowej maszyny wirtualnej na żądanie Operator kopii zapasowych Magazyn usługi Recovery Services
Przywracanie udziału plików Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor kopii zapasowej konta magazynu Zasoby konta magazynu, w których znajdują się udziały plików źródłowych i docelowych
Przywracanie pojedynczych plików Operator kopii zapasowych Magazyn usługi Recovery Services
Współautor konta magazynu Zasoby konta magazynu, w których znajdują się udziały plików źródłowych i docelowych
Zatrzymywanie ochrony Współautor kopii zapasowej Magazyn usługi Recovery Services
Wyrejestrowywanie konta magazynu z magazynu Współautor kopii zapasowej Magazyn usługi Recovery Services
Współautor konta magazynu Zasób konta magazynu

Uwaga

Jeśli masz dostęp współautora na poziomie grupy zasobów i chcesz skonfigurować kopię zapasową z bloku udziału plików, upewnij się, że masz uprawnienie microsoft.recoveryservices/Locations/backupStatus/action na poziomie subskrypcji. W tym celu utwórz rolę niestandardową i przypisz to uprawnienie.

Minimalne wymagania dotyczące roli dla kopii zapasowej dysku platformy Azure

Operacja zarządzania Wymagana minimalna rola platformy Azure Wymagany zakres Alternatywnych
Sprawdź poprawność przed skonfigurowaniem kopii zapasowej Operator kopii zapasowych Magazyn kopii zapasowych
Czytnik kopii zapasowych dysku Kopia zapasowa dysku do utworzenia kopii zapasowej
Włączanie tworzenia kopii zapasowej z magazynu kopii zapasowych Operator kopii zapasowych Magazyn kopii zapasowych
Czytnik kopii zapasowych dysku Kopia zapasowa dysku do utworzenia kopii zapasowej Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia
Kopia zapasowa dysku na żądanie Operator kopii zapasowych Magazyn kopii zapasowych
Sprawdź poprawność przed przywróceniem dysku Operator kopii zapasowych Magazyn kopii zapasowych
Operator przywracania dysku Grupa zasobów, w której zostaną przywrócone dyski
Przywracanie dysku Operator kopii zapasowych Magazyn kopii zapasowych
Operator przywracania dysku Grupa zasobów, w której zostaną przywrócone dyski Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia

Minimalne wymagania dotyczące roli dla kopii zapasowej obiektów blob platformy Azure

Operacja zarządzania Wymagana minimalna rola platformy Azure Wymagany zakres Alternatywnych
Sprawdź poprawność przed skonfigurowaniem kopii zapasowej Operator kopii zapasowych Magazyn kopii zapasowych
Współautor kopii zapasowej konta magazynu Konto magazynu zawierające obiekt blob
Włączanie tworzenia kopii zapasowej z magazynu kopii zapasowych Operator kopii zapasowych Magazyn kopii zapasowych
Współautor kopii zapasowej konta magazynu Konto magazynu zawierające obiekt blob Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia
Tworzenie kopii zapasowej obiektu blob na żądanie Operator kopii zapasowych Magazyn kopii zapasowych
Sprawdzanie poprawności przed przywróceniem obiektu blob Operator kopii zapasowych Magazyn kopii zapasowych
Współautor kopii zapasowej konta magazynu Konto magazynu zawierające obiekt blob
Przywracanie obiektu blob Operator kopii zapasowych Magazyn kopii zapasowych
Współautor kopii zapasowej konta magazynu Konto magazynu zawierające obiekt blob Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia

Minimalne wymagania dotyczące roli dla kopii zapasowej serwera usługi Azure Database for PostGreSQL

Operacja zarządzania Wymagana minimalna rola platformy Azure Wymagany zakres Alternatywnych
Sprawdź poprawność przed skonfigurowaniem kopii zapasowej Operator kopii zapasowych Magazyn kopii zapasowych
Czytelnik Serwer Usługi Azure PostGreSQL
Włączanie tworzenia kopii zapasowej z magazynu kopii zapasowych Operator kopii zapasowych Magazyn kopii zapasowych
Współautor Serwer Usługi Azure PostGreSQL Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia
Tworzenie kopii zapasowej serwera PostGreSQL na żądanie Operator kopii zapasowych Magazyn kopii zapasowych
Sprawdź poprawność przed przywróceniem serwera Operator kopii zapasowych Magazyn kopii zapasowych
Współautor Docelowy serwer usługi Azure PostGreSQL Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read
Przywracanie serwera Operator kopii zapasowych Magazyn kopii zapasowych
Współautor Docelowy serwer usługi Azure PostGreSQL Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia

Następne kroki