Informacje o autoryzacji wielu użytkowników przy użyciu funkcji Resource Guard
Autoryzacja wielu użytkowników (MUA) dla usługi Azure Backup umożliwia dodanie dodatkowej warstwy ochrony do krytycznych operacji na magazynach usługi Recovery Services i magazynach usługi Backup. W przypadku usługi MUA usługa Azure Backup używa innego zasobu platformy Azure o nazwie Resource Guard, aby upewnić się, że operacje krytyczne są wykonywane tylko z odpowiednią autoryzacją.
Uwaga
Autoryzacja wielu użytkowników przy użyciu funkcji Resource Guard dla magazynu kopii zapasowych jest teraz ogólnie dostępna.
Jak działa usługa MUA for Backup?
Usługa Azure Backup używa funkcji Resource Guard jako dodatkowego mechanizmu autoryzacji dla magazynu usługi Recovery Services lub magazynu usługi Backup. W związku z tym, aby pomyślnie wykonać operację krytyczną (opisaną poniżej), musisz mieć wystarczające uprawnienia do skojarzonej funkcji Resource Guard.
Ważne
Aby działać zgodnie z oczekiwaniami, funkcja Resource Guard musi być własnością innego użytkownika, a administrator magazynu nie może mieć uprawnień współautora. Możesz umieścić usługę Resource Guard w subskrypcji lub dzierżawie innej niż ta zawierająca magazyny, aby zapewnić lepszą ochronę.
Operacje krytyczne
W poniższej tabeli wymieniono operacje zdefiniowane jako operacje krytyczne i mogą być chronione przez funkcję Resource Guard. Możesz wykluczyć niektóre operacje z ochrony przy użyciu funkcji Resource Guard podczas kojarzenia z nim magazynów.
Uwaga
Nie można wykluczyć operacji oznaczonych jako Obowiązkowe przed ochroną przy użyciu funkcji Resource Guard dla skojarzonych z nim magazynów. Ponadto wykluczone operacje krytyczne będą miały zastosowanie do wszystkich magazynów skojarzonych z funkcją Resource Guard.
Wybieranie magazynu
| Operacja | Obowiązkowe/opcjonalne |
|---|---|
| Wyłączanie usuwania nietrwałego | Obowiązkowy |
| Wyłączanie ochrony MUA | Obowiązkowy |
| Modyfikowanie zasad kopii zapasowych (ograniczone przechowywanie) | Opcjonalnie |
| Modyfikowanie ochrony (ograniczone przechowywanie) | Opcjonalnie |
| Zatrzymanie ochrony z usunięciem danych | Opcjonalnie |
| Zmienianie numeru PIN zabezpieczeń MARS | Opcjonalnie |
Pojęcia i proces
Poniżej wyjaśniono pojęcia i procesy związane z używaniem usługi MUA dla usługi Azure Backup.
Rozważmy następujących dwóch użytkowników, aby jasno zrozumieć proces i obowiązki. Te dwie role są przywołyne w tym artykule.
Administrator kopii zapasowej: właściciel magazynu usługi Recovery Services lub magazynu usługi Backup, który wykonuje operacje zarządzania w magazynie. Na początek administrator kopii zapasowej nie może mieć żadnych uprawnień do funkcji Resource Guard.
Administrator zabezpieczeń: właściciel funkcji Resource Guard i służy jako strażnik krytycznych operacji w magazynie. W związku z tym administrator zabezpieczeń kontroluje uprawnienia, które administrator kopii zapasowej musi wykonywać operacje krytyczne w magazynie.
Poniżej przedstawiono diagramową reprezentację wykonywania operacji krytycznej w magazynie, który ma skonfigurowaną usługę MUA przy użyciu funkcji Resource Guard.
Oto przepływ zdarzeń w typowym scenariuszu:
Administrator kopii zapasowej tworzy magazyn usługi Recovery Services lub magazyn usługi Backup.
Administrator zabezpieczeń tworzy funkcję Resource Guard. Funkcja Resource Guard może znajdować się w innej subskrypcji lub innej dzierżawie w odniesieniu do magazynu. Należy się upewnić, że administrator kopii zapasowej nie ma uprawnień współautora w funkcji Resource Guard.
Administrator zabezpieczeń przyznaje rolę Czytelnik do Administracja kopii zapasowej dla funkcji Resource Guard (lub odpowiedniego zakresu). Administrator kopii zapasowej wymaga roli czytelnika, aby włączyć usługę MUA w magazynie.
Administrator kopii zapasowej konfiguruje teraz magazyn, który ma być chroniony przez usługę MUA za pośrednictwem funkcji Resource Guard.
Teraz, jeśli administrator kopii zapasowej chce wykonać operację krytyczną w magazynie, musi zażądać dostępu do funkcji Resource Guard. Administrator kopii zapasowej może skontaktować się z administratorem zabezpieczeń, aby uzyskać szczegółowe informacje na temat uzyskiwania dostępu do wykonywania takich operacji. Mogą to zrobić przy użyciu usługi Privileged Identity Management (PIM) lub innych procesów, zgodnie z wymaganiami organizacji.
Administrator zabezpieczeń tymczasowo udziela roli Współautor w funkcji Resource Guard administratorowi kopii zapasowej w celu wykonywania krytycznych operacji.
Teraz administrator kopii zapasowej inicjuje operację krytyczną.
Usługa Azure Resource Manager sprawdza, czy administrator kopii zapasowej ma wystarczające uprawnienia, czy nie. Ponieważ administrator kopii zapasowej ma teraz rolę Współautor w funkcji Resource Guard, żądanie zostanie ukończone.
Jeśli administrator kopii zapasowej nie ma wymaganych uprawnień/ról, żądanie zakończy się niepowodzeniem.
Administrator zabezpieczeń zapewnia, że uprawnienia do wykonywania operacji krytycznych zostaną odwołane po wykonaniu autoryzowanych akcji lub po określonym czasie trwania. Korzystanie z narzędzi JIT microsoft Entra Privileged Identity Management może być przydatne w zapewnieniu tego.
Uwaga
Usługa MUA zapewnia ochronę powyższych operacji wykonywanych tylko na magazynowanych kopiach zapasowych. Wszystkie operacje wykonywane bezpośrednio w źródle danych (czyli chronionym zasobie/obciążeniu platformy Azure) wykraczają poza zakres funkcji Resource Guard.
Scenariusze użycia
W poniższej tabeli wymieniono scenariusze tworzenia magazynu i funkcji Resource Guard (magazyn usługi Recovery Services i magazyn usługi Backup) oraz względną ochronę oferowaną przez poszczególne magazyny.
Ważne
Administrator kopii zapasowej nie może mieć uprawnień współautora do funkcji Resource Guard w żadnym scenariuszu.
| Scenariusz użycia | Ochrona spowodowana mua | Łatwość implementacji | Uwagi |
|---|---|---|---|
| Magazyn i funkcja Resource Guard znajdują się w tej samej subskrypcji. Administrator kopii zapasowej nie ma dostępu do funkcji Resource Guard. |
Najmniej izolacja między administratorem kopii zapasowej a administratorem zabezpieczeń. | Stosunkowo łatwo zaimplementować, ponieważ wymagana jest tylko jedna subskrypcja. | Należy upewnić się, że uprawnienia/role na poziomie zasobu są prawidłowo przypisane. |
| Magazyn i usługa Resource Guard znajdują się w różnych subskrypcjach, ale w tej samej dzierżawie. Administrator kopii zapasowej nie ma dostępu do funkcji Resource Guard ani odpowiedniej subskrypcji. |
Średnia izolacja między administratorem kopii zapasowej a administratorem zabezpieczeń. | Stosunkowo średnia łatwość implementacji, ponieważ wymagane są dwie subskrypcje (ale jedna dzierżawa). | Upewnij się, że uprawnienia/role są poprawnie przypisane dla zasobu lub subskrypcji. |
| Magazyn i funkcja Resource Guard znajdują się w różnych dzierżawach. Administrator kopii zapasowej nie ma dostępu do funkcji Resource Guard, odpowiedniej subskrypcji ani odpowiedniej dzierżawy. |
Maksymalna izolacja między administratorem kopii zapasowej a administratorem zabezpieczeń, w związku z tym maksymalna liczba zabezpieczeń. | Stosunkowo trudne do przetestowania, ponieważ wymaga testowania dwóch dzierżaw lub katalogów. | Upewnij się, że uprawnienia/role są poprawnie przypisane dla zasobu, subskrypcji lub katalogu. |
Następne kroki
Skonfiguruj autoryzację dla wielu użytkowników przy użyciu funkcji Resource Guard.