Zarządzanie dostępem usługi Site Recovery za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure
Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia szczegółowe zarządzanie dostępem na platformie Azure. Korzystając z kontroli dostępu opartej na rolach platformy Azure, możesz rozdzielić obowiązki w zespole i przyznać użytkownikom tylko określone uprawnienia dostępu w razie potrzeby do wykonywania określonych zadań.
Usługa Azure Site Recovery udostępnia 3 wbudowane role do kontrolowania operacji zarządzania usługą Site Recovery. Dowiedz się więcej na temat ról wbudowanych platformy Azure
- Współautor usługi Site Recovery — ta rola ma wszystkie uprawnienia wymagane do zarządzania operacjami usługi Azure Site Recovery w magazynie usługi Recovery Services. Użytkownik z tą rolą nie może jednak tworzyć ani usuwać magazynu usługi Recovery Services, ani przypisywać praw dostępu innym użytkownikom. Ta rola jest najbardziej odpowiednia dla administratorów odzyskiwania po awarii, którzy mogą włączać odzyskiwanie po awarii i zarządzać nim dla aplikacji lub całych organizacji, tak jak to możliwe.
- Operator usługi Site Recovery — ta rola ma uprawnienia do uruchamiania operacji trybu failover i powrotu po awarii oraz zarządzania nimi. Użytkownik z tą rolą nie może włączać ani wyłączać replikacji, tworzyć ani usuwać magazynów, rejestrować nowej infrastruktury ani przypisywać uprawnień dostępu innym użytkownikom. Ta rola jest najbardziej odpowiednia dla operatora odzyskiwania po awarii, który może przechodzić w tryb failover maszyn wirtualnych lub aplikacji, gdy są poinstruowani przez właścicieli aplikacji i administratorów IT w rzeczywistej lub symulowanej sytuacji awarii, takiej jak próbne odzyskiwanie po awarii. Po rozwiązaniu awarii operator odzyskiwania po awarii może ponownie chronić maszyny wirtualne i przywracać je po awarii.
- Czytelnik usługi Site Recovery — ta rola ma uprawnienia do wyświetlania wszystkich operacji zarządzania usługą Site Recovery. Ta rola jest najbardziej odpowiednia dla kierownictwa ds. monitorowania IT, który w razie potrzeby może monitorować bieżący stan ochrony i zgłaszać bilety pomocy technicznej.
Jeśli chcesz zdefiniować własne role, aby uzyskać jeszcze większą kontrolę, zobacz, jak tworzyć role niestandardowe na platformie Azure.
Uprawnienia wymagane do włączenia replikacji dla nowych maszyn wirtualnych
Gdy nowa maszyna wirtualna zostanie zreplikowana na platformę Azure przy użyciu usługi Azure Site Recovery, poziom dostępu skojarzonego użytkownika zostanie zweryfikowany, aby upewnić się, że użytkownik ma wymagane uprawnienia do korzystania z zasobów platformy Azure dostarczonych do usługi Site Recovery.
Aby włączyć replikację dla nowej maszyny wirtualnej, użytkownik musi mieć:
- Uprawnienie do tworzenia maszyny wirtualnej w wybranej grupie zasobów
- Uprawnienie do tworzenia maszyny wirtualnej w wybranej sieci wirtualnej
- Uprawnienie do zapisu na wybranym koncie magazynu
Użytkownik musi mieć następujące uprawnienia, aby ukończyć replikację nowej maszyny wirtualnej.
Ważne
Upewnij się, że odpowiednie uprawnienia są dodawane zgodnie z modelem wdrażania (resource manager/klasycznym) używanym do wdrażania zasobów.
Uwaga
Jeśli włączasz replikację dla maszyny wirtualnej platformy Azure i chcesz zezwolić usłudze Site Recovery na zarządzanie aktualizacjami, podczas włączania replikacji możesz również utworzyć nowe konto usługi Automation, w takim przypadku konieczne będzie uprawnienie do utworzenia konta automatyzacji w tej samej subskrypcji, w której znajduje się również magazyn.
| Typ zasobu | Model wdrażania | Uprawnienie |
|---|---|---|
| Compute | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klasyczny | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Sieć | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klasyczny | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Storage | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klasyczny | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Grupa zasobów | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Rozważ użycie wbudowanych ról "Współautor maszyny wirtualnej" i "Współautor klasycznej maszyny wirtualnej" dla modeli wdrażania usługi Resource Manager i klasycznych.
Następne kroki
- Kontrola dostępu oparta na rolach (RBAC) platformy Azure: rozpoczynanie pracy z kontrolą dostępu opartą na rolach platformy Azure w witrynie Azure Portal.
- Dowiedz się, jak zarządzać dostępem za pomocą następujących funkcji:
- Rozwiązywanie problemów z kontrolą dostępu opartą na rolach platformy Azure: uzyskaj sugestie dotyczące rozwiązywania typowych problemów.