Zarządzanie punktami odzyskiwania usługi Azure Backup przy użyciu kontroli dostępu opartej na rolach platformy Azure
Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia szczegółowe zarządzanie dostępem na platformie Azure. Przy użyciu kontroli RBAC na platformie Azure można przeprowadzać segregowanie zadań w ramach zespołu i nadawać użytkownikom tylko takie uprawnienia dostępu, które są im niezbędne do wykonywania zadań.
Ważne
Role udostępniane przez usługę Azure Backup są ograniczone do akcji, które mogą być wykonywane w witrynie Azure Portal lub za pośrednictwem interfejsu API REST lub poleceń cmdlet programu PowerShell lub interfejsu wiersza polecenia usługi Recovery Services. Akcje wykonywane w interfejsie użytkownika klienta agenta usługi Azure Backup lub interfejsie użytkownika programu System Center Data Protection Manager lub interfejsie użytkownika usługi Azure Backup Server nie mają kontroli nad tymi rolami.
Usługa Azure Backup udostępnia trzy wbudowane role do sterowania operacjami zarządzania kopiami zapasowymi. Dowiedz się więcej na temat ról wbudowanych platformy Azure
- Współautor kopii zapasowej — ta rola ma wszystkie uprawnienia do tworzenia kopii zapasowych i zarządzania nimi, z wyjątkiem usuwania magazynu usługi Recovery Services i udzielania dostępu innym osobom. Wyobraź sobie tę rolę jako administrator zarządzania kopiami zapasowymi, który może wykonywać każdą operację zarządzania kopiami zapasowymi.
- Operator kopii zapasowych — ta rola ma uprawnienia do wszystkich czynności współautorów, z wyjątkiem usuwania kopii zapasowych i zarządzania zasadami tworzenia kopii zapasowych. Ta rola jest równoważna współautorowi, z wyjątkiem tego, że nie może wykonywać destrukcyjnych operacji, takich jak zatrzymywanie tworzenia kopii zapasowej przy użyciu usuwania danych lub usuwanie rejestracji zasobów lokalnych.
- Czytelnik kopii zapasowych — ta rola ma uprawnienia do wyświetlania wszystkich operacji zarządzania kopiami zapasowymi. Wyobraź sobie, że ta rola będzie osobą monitora.
Jeśli chcesz zdefiniować własne role, aby uzyskać jeszcze większą kontrolę, zobacz, jak tworzyć role niestandardowe w kontroli dostępu opartej na rolach platformy Azure.
Mapowanie wbudowanych ról kopii zapasowej na akcje zarządzania kopiami zapasowymi
Minimalne wymagania dotyczące roli dla kopii zapasowej maszyny wirtualnej platformy Azure
W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiednią minimalną rolę platformy Azure wymaganą do wykonania tej operacji.
| Operacja zarządzania | Wymagana minimalna rola platformy Azure | Wymagany zakres | Alternatywne rozwiązanie |
|---|---|---|---|
| Tworzenie magazynu usługi Recovery Services | Współautor kopii zapasowej | Grupa zasobów zawierająca magazyn | |
| Włączanie tworzenia kopii zapasowych maszyn wirtualnych platformy Azure | Operator kopii zapasowych | Grupa zasobów zawierająca magazyn | |
| Współautor maszyny wirtualnej | Zasób maszyny wirtualnej | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Włączanie tworzenia kopii zapasowych maszyn wirtualnych platformy Azure (z bloku maszyny wirtualnej) | Operator kopii zapasowych | Grupa zasobów zawierająca magazyn | |
| Operator kopii zapasowych | Grupa zasobów zawierająca maszynę wirtualną | ||
| Współautor maszyny wirtualnej | Zasób maszyny wirtualnej | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read Microsoft.Compute/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Kopia zapasowa maszyny wirtualnej na żądanie | Operator kopii zapasowych | Magazyn usługi Recovery Services | |
| Przywracanie maszyny wirtualnej | Operator kopii zapasowych | Magazyn usługi Recovery Services | |
| Współautor | Grupa zasobów, w której zostanie wdrożona maszyna wirtualna | Alternatywnie, zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (wymagana tylko do przywracania klasycznej maszyny wirtualnej i nie jest wymagana dla zarządzanych maszyn wirtualnych), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/ podsieci/sprzężenia/akcji | |
| Współautor maszyny wirtualnej | Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Przywracanie kopii zapasowej maszyn wirtualnych dysków niezarządzanych | Operator kopii zapasowych | Magazyn usługi Recovery Services | |
| Współautor maszyny wirtualnej | Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Współautor konta magazynu | Zasób konta magazynu, w którym dyski mają zostać przywrócone | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Storage/storageAccounts/write | |
| Przywracanie dysków zarządzanych z kopii zapasowej maszyny wirtualnej | Operator kopii zapasowych | Magazyn usługi Recovery Services | |
| Współautor maszyny wirtualnej | Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Współautor konta magazynu | Tymczasowe konto magazynu wybrane w ramach przywracania do przechowywania danych z magazynu przed przekonwertowaniem ich na dyski zarządzane | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Storage/storageAccounts/write | |
| Współautor | Grupa zasobów, do której zostaną przywrócone dyski zarządzane | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Przywracanie pojedynczych plików z kopii zapasowej maszyny wirtualnej | Operator kopii zapasowych | Magazyn usługi Recovery Services | |
| Współautor maszyny wirtualnej | Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Przywracanie między regionami | Operator kopii zapasowych | Subskrypcja magazynu usługi Recovery Services | Jest to dodatek do uprawnień przywracania wymienionych powyżej. W szczególności dla CRR, zamiast wbudowanej roli, Możesz rozważyć rolę niestandardową, która ma następujące uprawnienia: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Tworzenie zasad tworzenia kopii zapasowych dla kopii zapasowej maszyny wirtualnej platformy Azure | Współautor kopii zapasowej | Magazyn usługi Recovery Services | |
| Modyfikowanie zasad tworzenia kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure | Współautor kopii zapasowej | Magazyn usługi Recovery Services | |
| Usuwanie zasad kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure | Współautor kopii zapasowej | Magazyn usługi Recovery Services | |
| Zatrzymywanie tworzenia kopii zapasowej (z zachowaniem danych lub usuwaniem danych) na kopii zapasowej maszyny wirtualnej | Współautor kopii zapasowej | Magazyn usługi Recovery Services | |
| Rejestrowanie lokalnego systemu Windows Server/klienta/scDPM lub usługi Azure Backup Server | Operator kopii zapasowych | Magazyn usługi Recovery Services | |
| Usuwanie zarejestrowanego lokalnego systemu Windows Server/klienta/protokołu SCDPM lub usługi Azure Backup Server | Współautor kopii zapasowej | Magazyn usługi Recovery Services |
Ważne
Jeśli określisz pozycję Współautor maszyny wirtualnej w zakresie zasobów maszyny wirtualnej i wybierzesz pozycję Kopia zapasowa w ramach ustawień maszyny wirtualnej, zostanie otwarty ekran Włącz kopię zapasową, mimo że kopia zapasowa maszyny wirtualnej została już utworzona. Jest to spowodowane tym, że wywołanie sprawdzania stanu kopii zapasowej działa tylko na poziomie subskrypcji. Aby tego uniknąć, przejdź do magazynu i otwórz widok elementu kopii zapasowej maszyny wirtualnej lub określ rolę Współautor maszyny wirtualnej na poziomie subskrypcji.
Minimalne wymagania dotyczące roli dla kopii zapasowych obciążeń platformy Azure (kopie zapasowe bazy danych SQL i HANA)
W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiednią minimalną rolę platformy Azure wymaganą do wykonania tej operacji.
| Operacja zarządzania | Wymagana minimalna rola platformy Azure | Wymagany zakres | Alternatywne rozwiązanie |
|---|---|---|---|
| Tworzenie magazynu usługi Recovery Services | Współautor kopii zapasowej | Grupa zasobów zawierająca magazyn | |
| Włączanie tworzenia kopii zapasowych baz danych SQL i/lub HANA | Operator kopii zapasowych | Grupa zasobów zawierająca magazyn | |
| Współautor maszyny wirtualnej | Zasób maszyny wirtualnej, w którym zainstalowano bazę danych | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Kopia zapasowa bazy danych na żądanie | Operator kopii zapasowych | Magazyn usługi Recovery Services | |
| Przywracanie bazy danych lub przywracanie jako plików | Operator kopii zapasowych | Magazyn usługi Recovery Services | |
| Współautor maszyny wirtualnej | Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Współautor maszyny wirtualnej | Docelowa maszyna wirtualna, w której zostanie przywrócona baza danych, lub zostaną utworzone pliki | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Tworzenie zasad tworzenia kopii zapasowych dla kopii zapasowej maszyny wirtualnej platformy Azure | Współautor kopii zapasowej | Magazyn usługi Recovery Services | |
| Modyfikowanie zasad tworzenia kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure | Współautor kopii zapasowej | Magazyn usługi Recovery Services | |
| Usuwanie zasad kopii zapasowych kopii zapasowej maszyny wirtualnej platformy Azure | Współautor kopii zapasowej | Magazyn usługi Recovery Services | |
| Zatrzymywanie tworzenia kopii zapasowej (z zachowaniem danych lub usuwaniem danych) na kopii zapasowej maszyny wirtualnej | Współautor kopii zapasowej | Magazyn usługi Recovery Services | |
| Współautor maszyny wirtualnej | Źródłowa maszyna wirtualna, dla których utworzono kopię zapasową | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.Compute/virtualMachines/write | |
| Przywracanie między regionami | Operator kopii zapasowych | Subskrypcja magazynu usługi Recovery Services | Jest to dodatek do uprawnień przywracania wymienionych powyżej. W przypadku przywracania między regionami zamiast wbudowanej roli można użyć roli niestandardowej, która ma następujące uprawnienia: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Minimalne wymagania dotyczące roli kopii zapasowej udziału plików platformy Azure
W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiednią rolę platformy Azure wymaganą do wykonania tej operacji.
| Operacja zarządzania | Wymagana rola | Zasoby |
|---|---|---|
| Włączanie kopii zapasowej z magazynu usługi Recovery Services | Współautor kopii zapasowej | Magazyn usługi Recovery Services |
| Współautor konta magazynu | Zasób konta magazynu | |
| Włączanie kopii zapasowej z bloku udziału plików | Współautor kopii zapasowej | Magazyn usługi Recovery Services |
| Współautor konta magazynu | Zasób konta magazynu | |
| Współautor | Subskrypcja | |
| Kopia zapasowa udziału plików na żądanie | Operator kopii zapasowych | Magazyn usługi Recovery Services |
| Przywracanie udziału plików | Operator kopii zapasowych | Magazyn usługi Recovery Services |
| Współautor kopii zapasowej konta magazynu | Zasoby konta magazynu, w których znajdują się źródłowe i docelowe udziały plików | |
| Przywracanie pojedynczych plików | Operator kopii zapasowych | Magazyn usługi Recovery Services |
| Współautor konta magazynu | Zasoby konta magazynu, w których znajdują się źródłowe i docelowe udziały plików | |
| Zatrzymywanie ochrony | Współautor kopii zapasowej | Magazyn usługi Recovery Services |
| Wyrejestrowywanie konta magazynu z magazynu | Współautor kopii zapasowej | Magazyn usługi Recovery Services |
| Współautor konta magazynu | Zasób konta magazynu |
Uwaga
Jeśli masz dostęp współautora na poziomie grupy zasobów i chcesz skonfigurować kopię zapasową z bloku udziału plików, upewnij się, że masz uprawnienia microsoft.recoveryservices/Locations/backupStatus/action na poziomie subskrypcji. W tym celu utwórz rolę niestandardową i przypisz to uprawnienie.
Minimalne wymagania dotyczące roli dla kopii zapasowej dysku platformy Azure
| Operacja zarządzania | Wymagana minimalna rola platformy Azure | Wymagany zakres | Alternatywne rozwiązanie |
|---|---|---|---|
| Sprawdź poprawność przed skonfigurowaniem kopii zapasowej | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Czytnik kopii zapasowych dysku | Kopia zapasowa dysku do utworzenia kopii zapasowej | ||
| Włączanie tworzenia kopii zapasowej z magazynu kopii zapasowych | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Czytnik kopii zapasowych dysku | Kopia zapasowa dysku do utworzenia kopii zapasowej | Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia | |
| Kopia zapasowa dysku na żądanie | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Sprawdzanie poprawności przed przywróceniem dysku | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Operator przywracania dysku | Grupa zasobów, w której zostaną przywrócone dyski | ||
| Przywracanie dysku | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Operator przywracania dysku | Grupa zasobów, w której zostaną przywrócone dyski | Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia |
Minimalne wymagania dotyczące roli dla kopii zapasowej obiektów blob platformy Azure
| Operacja zarządzania | Wymagana minimalna rola platformy Azure | Wymagany zakres | Alternatywne rozwiązanie |
|---|---|---|---|
| Sprawdź poprawność przed skonfigurowaniem kopii zapasowej | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Współautor kopii zapasowej konta magazynu | Konto magazynu zawierające obiekt blob | ||
| Włączanie tworzenia kopii zapasowej z magazynu kopii zapasowych | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Współautor kopii zapasowej konta magazynu | Konto magazynu zawierające obiekt blob | Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia | |
| Tworzenie kopii zapasowej obiektu blob na żądanie | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Sprawdzanie poprawności przed przywróceniem obiektu blob | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Współautor kopii zapasowej konta magazynu | Konto magazynu zawierające obiekt blob | ||
| Przywracanie obiektu blob | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Współautor kopii zapasowej konta magazynu | Konto magazynu zawierające obiekt blob | Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia |
Minimalne wymagania dotyczące roli dla kopii zapasowej serwera usługi Azure Database for PostGreSQL
| Operacja zarządzania | Wymagana minimalna rola platformy Azure | Wymagany zakres | Alternatywne rozwiązanie |
|---|---|---|---|
| Sprawdź poprawność przed skonfigurowaniem kopii zapasowej | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Czytelnik | Serwer Usługi Azure PostGreSQL | ||
| Włączanie tworzenia kopii zapasowej z magazynu kopii zapasowych | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Współautor | Serwer Usługi Azure PostGreSQL | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia | |
| Kopia zapasowa serwera PostGreSQL na żądanie | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Sprawdzanie poprawności przed przywróceniem serwera | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Współautor | Docelowy serwer Usługi Azure PostGreSQL | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Przywracanie serwera | Operator kopii zapasowych | Magazyn kopii zapasowych | |
| Współautor | Docelowy serwer Usługi Azure PostGreSQL | Alternatywnie zamiast wbudowanej roli można rozważyć rolę niestandardową, która ma następujące uprawnienia: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/servers/read Ponadto tożsamość usługi zarządzanej magazynu kopii zapasowych powinna mieć te uprawnienia |
Następne kroki
- Kontrola dostępu oparta na rolach (RBAC) platformy Azure: rozpoczynanie pracy z kontrolą dostępu opartą na rolach platformy Azure w witrynie Azure Portal.
- Dowiedz się, jak zarządzać dostępem za pomocą następujących funkcji:
- Rozwiązywanie problemów z kontrolą dostępu opartą na rolach platformy Azure: Uzyskaj sugestie dotyczące rozwiązywania typowych problemów.