Partilhar via


Usar o controle de acesso baseado em função do Azure para gerenciar pontos de recuperação do Backup do Azure

O controle de acesso baseado em função do Azure (Azure RBAC) permite o gerenciamento de acesso refinado para o Azure. Com o RBAC do Azure, pode fazer a segregação de deveres na sua equipa e conceder aos utilizadores apenas a quantidade de acesso de que precisam para desempenhar as suas funções.

Importante

As funções fornecidas pelo Backup do Azure são limitadas a ações que podem ser executadas no portal do Azure ou por meio da API REST ou dos cmdlets do vault do Recovery Services, PowerShell ou CLI. As ações executadas na interface do usuário do cliente do agente de Backup do Azure ou na interface do usuário do System center Data Protection Manager ou na interface do usuário do Servidor de Backup do Azure estão fora de controle dessas funções.

O Backup do Azure fornece três funções internas para controlar as operações de gerenciamento de backup. Saiba mais sobre as funções internas do Azure

  • Colaborador de Backup - Esta função tem todas as permissões para criar e gerenciar backup, exceto excluir o cofre dos Serviços de Recuperação e dar acesso a outras pessoas. Imagine essa função como administrador do gerenciamento de backup, que pode fazer todas as operações de gerenciamento de backup.
  • Operador de backup - Esta função tem permissões para tudo o que um colaborador faz, exceto remover backup e gerenciar políticas de backup. Essa função é equivalente a colaborador, exceto que não pode executar operações destrutivas, como interromper o backup com dados de exclusão ou remover o registro de recursos locais.
  • Leitor de backup - Esta função tem permissões para exibir todas as operações de gerenciamento de backup. Imagine esse papel para ser uma pessoa de monitoramento.

Se você estiver procurando definir suas próprias funções para obter ainda mais controle, veja como criar funções personalizadas no RBAC do Azure.

Mapeando funções internas de backup para ações de gerenciamento de backup

Requisitos mínimos de função para backup de VM do Azure

A tabela a seguir captura as ações de gerenciamento de Backup e a função mínima correspondente do Azure necessária para executar essa operação.

Gestão da Operação Função mínima do Azure necessária Âmbito de aplicação necessário Alternativa
Criar cofre dos Serviços de Recuperação Colaborador de backup Grupo de recursos que contém o cofre
Habilitar backup de VMs do Azure Operador de Cópia de Segurança Grupo de recursos que contém o cofre
Contribuidor de Máquina Virtual Recurso VM Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Habilitar o backup de VMs do Azure (da folha VM) Operador de Cópia de Segurança Grupo de recursos que contém o cofre
Operador de Cópia de Segurança Grupo de recursos que contém a máquina virtual
Contribuidor de Máquina Virtual Recurso VM Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read
Backup sob demanda de VM Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Restaurar VMs Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuinte Grupo de recursos no qual a VM será implantada Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (necessário apenas para restauração clássica de VM e não necessário para VMs gerenciadas), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/ sub-redes/junção/ação
Contribuidor de Máquina Virtual VM de origem cujo backup foi feito Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Contribuidor de Conta de Armazenamento Recurso de conta de armazenamento onde os discos serão restaurados Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action
Restaurar discos não gerenciados, backup de VM Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuidor de Máquina Virtual VM de origem cujo backup foi feito Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Contribuidor de Conta de Armazenamento Recurso de conta de armazenamento onde os discos serão restaurados Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action
Restaurar discos gerenciados a partir do backup de VM Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuidor de Máquina Virtual VM de origem cujo backup foi feito Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Contribuidor de Conta de Armazenamento Conta de armazenamento temporário selecionada como parte da restauração para armazenar dados do cofre antes de convertê-los em discos gerenciados Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action
Contribuinte Grupo de recursos para o(s) qual(is) o(s) disco(s) gerenciado(s) será(ão) restaurado(s) Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Resources/subscriptions/resourceGroups/write
Restaure arquivos individuais a partir do backup da VM Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuidor de Máquina Virtual VM de origem cujo backup foi feito Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Restauração entre regiões Operador de Cópia de Segurança Subscrição do cofre dos Serviços de recuperação Isso é além das permissões de restauração mencionadas acima. Especificamente para CRR, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read"
Criar política de backup para backup de VM do Azure Colaborador de backup Cofre dos Serviços de Recuperação
Modificar a política de backup do backup da VM do Azure Colaborador de backup Cofre dos Serviços de Recuperação
Excluir política de backup do backup de VM do Azure Colaborador de backup Cofre dos Serviços de Recuperação
Parar o backup (com reter dados ou excluir dados) no backup de VM Colaborador de backup Cofre dos Serviços de Recuperação
Registrar o Windows Server/cliente/SCDPM local ou o Servidor de Backup do Azure Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Excluir o Windows Server/cliente/SCDPM local registrado ou o Servidor de Backup do Azure Colaborador de backup Cofre dos Serviços de Recuperação

Importante

Se você especificar Colaborador de VM em um escopo de recurso de VM e selecionar Backup como parte das configurações de VM, ele abrirá a tela Habilitar Backup , mesmo que já tenha sido feito backup da VM. Isto ocorre porque a chamada para verificar o estado da cópia de segurança funciona apenas ao nível da subscrição. Para evitar isso, vá para o cofre e abra a exibição de item de backup da VM ou especifique a função de Colaborador da VM em um nível de assinatura.

Requisitos mínimos de função para backups de carga de trabalho do Azure (backups de banco de dados SQL e HANA)

A tabela a seguir captura as ações de gerenciamento de Backup e a função mínima correspondente do Azure necessária para executar essa operação.

Gestão da Operação Função mínima do Azure necessária Âmbito de aplicação necessário Alternativa
Criar cofre dos Serviços de Recuperação Colaborador de backup Grupo de recursos que contém o cofre
Habilitar backup de bancos de dados SQL e/ou HANA Operador de Cópia de Segurança Grupo de recursos que contém o cofre
Contribuidor de Máquina Virtual Recurso de VM onde o banco de dados está instalado Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Backup sob demanda de banco de dados Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Restaurar banco de dados ou Restaurar como arquivos Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuidor de Máquina Virtual VM de origem cujo backup foi feito Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Contribuidor de Máquina Virtual VM de destino na qual o banco de dados será restaurado ou os arquivos serão criados Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Criar política de backup para backup de VM do Azure Colaborador de backup Cofre dos Serviços de Recuperação
Modificar a política de backup do backup da VM do Azure Colaborador de backup Cofre dos Serviços de Recuperação
Excluir política de backup do backup de VM do Azure Colaborador de backup Cofre dos Serviços de Recuperação
Parar o backup (com reter dados ou excluir dados) no backup de VM Colaborador de backup Cofre dos Serviços de Recuperação
Contribuidor de Máquina Virtual VM de origem cujo backup foi feito Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write
Restauração entre regiões Operador de Cópia de Segurança Subscrição do cofre dos Serviços de Recuperação Isso é além das permissões de restauração mencionadas acima. No caso de restauração entre regiões, em vez de uma função interna, você pode usar uma função personalizada que tenha as seguintes permissões:

- Microsoft.RecoveryServices/locations/backupAadProperties/read

- Microsoft.RecoveryServices/locations/backupCrrJobs/action

- Microsoft.RecoveryServices/locations/backupCrrJob/action

- Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action

- Microsoft.RecoveryServices/locations/backupCrrOperationResults/read

- Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read

Requisitos mínimos de função para o backup de compartilhamento de arquivos do Azure

A tabela a seguir captura as ações de gerenciamento de Backup e a função correspondente do Azure necessárias para executar essa operação.

Gestão da Operação Função Necessária Recursos
Habilitar o backup do cofre dos Serviços de Recuperação Colaborador de backup Cofre dos Serviços de Recuperação
Colaborador da conta de armazenamento Recurso de conta de armazenamento
Habilitar o backup da folha de compartilhamento de arquivos Colaborador de backup Cofre dos Serviços de Recuperação
Colaborador da conta de armazenamento Recurso da conta de armazenamento
Contribuinte Subscrição
Backup sob demanda de compartilhamento de arquivos Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Restaurar partilha de ficheiros Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Colaborador do Backup da Conta de Armazenamento Recursos da conta de armazenamento onde os compartilhamentos de arquivos de origem e de destino da restauração estão presentes
Restaurar arquivos individuais Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuidor de Conta de Armazenamento Recursos da conta de armazenamento onde os compartilhamentos de arquivos de origem e de destino da restauração estão presentes
Proteção contra parar Colaborador de backup Cofre dos Serviços de Recuperação
Cancelar o registro da conta de armazenamento do cofre Colaborador de backup Cofre dos Serviços de Recuperação
Contribuidor de Conta de Armazenamento Recurso de conta de armazenamento

Nota

Se você tiver acesso de colaborador no nível do grupo de recursos e quiser configurar o backup a partir da folha de compartilhamento de arquivos, certifique-se de obter a permissão microsoft.recoveryservices/Locations/backupStatus/action no nível da assinatura. Para fazer isso, crie uma função personalizada e atribua essa permissão.

Requisitos mínimos de função para backup de disco do Azure

Gestão da Operação Função mínima do Azure necessária Âmbito de aplicação necessário Alternativa
Validar antes de configurar o backup Operador de Cópia de Segurança Backup vault
Leitor de backup de disco Disco para backup
Ativar backup a partir do cofre de backup Operador de Cópia de Segurança Backup vault
Leitor de backup de disco Disco para backup Além disso, o MSI do cofre de backup deve receber essas permissões
Backup de disco sob demanda Operador de Cópia de Segurança Backup vault
Validar antes de restaurar um disco Operador de Cópia de Segurança Backup vault
Operador de restauração de disco Grupo de recursos para o qual os discos serão restaurados
Restaurando um disco Operador de Cópia de Segurança Backup vault
Operador de restauração de disco Grupo de recursos para o qual os discos serão restaurados Além disso, o MSI do cofre de backup deve receber essas permissões

Requisitos mínimos de função para backup de blob do Azure

Gestão da Operação Função mínima do Azure necessária Âmbito de aplicação necessário Alternativa
Validar antes de configurar o backup Operador de Cópia de Segurança Backup vault
Contribuidor de backup de conta de armazenamento Conta de armazenamento que contém o blob
Ativar backup a partir do cofre de backup Operador de Cópia de Segurança Backup vault
Contribuidor de backup de conta de armazenamento Conta de armazenamento que contém o blob Além disso, o MSI do cofre de backup deve receber essas permissões
Backup sob demanda de blob Operador de Cópia de Segurança Backup vault
Validar antes de restaurar um blob Operador de Cópia de Segurança Backup vault
Contribuidor de backup de conta de armazenamento Conta de armazenamento que contém o blob
Restaurando um blob Operador de Cópia de Segurança Backup vault
Contribuidor de backup de conta de armazenamento Conta de armazenamento que contém o blob Além disso, o MSI do cofre de backup deve receber essas permissões

Requisitos mínimos de função para o banco de dados do Azure para backup do servidor PostGreSQL

Gestão da Operação Função mínima do Azure necessária Âmbito de aplicação necessário Alternativa
Validar antes de configurar o backup Operador de Cópia de Segurança Backup vault
Leitor Servidor Azure PostGreSQL
Ativar backup a partir do cofre de backup Operador de Cópia de Segurança Backup vault
Contribuinte Servidor Azure PostGreSQL Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Além disso, o MSI do cofre de backup deve receber essas permissões
Backup sob demanda do servidor PostGreSQL Operador de Cópia de Segurança Backup vault
Validar antes de restaurar um servidor Operador de Cópia de Segurança Backup vault
Contribuinte Servidor PostGreSQL do Azure de destino Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read
Restaurar um servidor Operador de Cópia de Segurança Backup vault
Contribuinte Servidor PostGreSQL do Azure de destino Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Além disso, o MSI do cofre de backup deve receber essas permissões

Próximos passos