Usar o controle de acesso baseado em função do Azure para gerenciar pontos de recuperação do Backup do Azure
O controle de acesso baseado em função do Azure (Azure RBAC) permite o gerenciamento de acesso refinado para o Azure. Com o RBAC do Azure, pode fazer a segregação de deveres na sua equipa e conceder aos utilizadores apenas a quantidade de acesso de que precisam para desempenhar as suas funções.
Importante
As funções fornecidas pelo Backup do Azure são limitadas a ações que podem ser executadas no portal do Azure ou por meio da API REST ou dos cmdlets do vault do Recovery Services, PowerShell ou CLI. As ações executadas na interface do usuário do cliente do agente de Backup do Azure ou na interface do usuário do System center Data Protection Manager ou na interface do usuário do Servidor de Backup do Azure estão fora de controle dessas funções.
O Backup do Azure fornece três funções internas para controlar as operações de gerenciamento de backup. Saiba mais sobre as funções internas do Azure
- Colaborador de Backup - Esta função tem todas as permissões para criar e gerenciar backup, exceto excluir o cofre dos Serviços de Recuperação e dar acesso a outras pessoas. Imagine essa função como administrador do gerenciamento de backup, que pode fazer todas as operações de gerenciamento de backup.
- Operador de backup - Esta função tem permissões para tudo o que um colaborador faz, exceto remover backup e gerenciar políticas de backup. Essa função é equivalente a colaborador, exceto que não pode executar operações destrutivas, como interromper o backup com dados de exclusão ou remover o registro de recursos locais.
- Leitor de backup - Esta função tem permissões para exibir todas as operações de gerenciamento de backup. Imagine esse papel para ser uma pessoa de monitoramento.
Se você estiver procurando definir suas próprias funções para obter ainda mais controle, veja como criar funções personalizadas no RBAC do Azure.
Mapeando funções internas de backup para ações de gerenciamento de backup
Requisitos mínimos de função para backup de VM do Azure
A tabela a seguir captura as ações de gerenciamento de Backup e a função mínima correspondente do Azure necessária para executar essa operação.
| Gestão da Operação | Função mínima do Azure necessária | Âmbito de aplicação necessário | Alternativa |
|---|---|---|---|
| Criar cofre dos Serviços de Recuperação | Colaborador de backup | Grupo de recursos que contém o cofre | |
| Habilitar backup de VMs do Azure | Operador de Cópia de Segurança | Grupo de recursos que contém o cofre | |
| Contribuidor de Máquina Virtual | Recurso VM | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Habilitar o backup de VMs do Azure (da folha VM) | Operador de Cópia de Segurança | Grupo de recursos que contém o cofre | |
| Operador de Cópia de Segurança | Grupo de recursos que contém a máquina virtual | ||
| Contribuidor de Máquina Virtual | Recurso VM | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Backup sob demanda de VM | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação | |
| Restaurar VMs | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação | |
| Contribuinte | Grupo de recursos no qual a VM será implantada | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (necessário apenas para restauração clássica de VM e não necessário para VMs gerenciadas), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/ sub-redes/junção/ação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Contribuidor de Conta de Armazenamento | Recurso de conta de armazenamento onde os discos serão restaurados | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Restaurar discos não gerenciados, backup de VM | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Contribuidor de Conta de Armazenamento | Recurso de conta de armazenamento onde os discos serão restaurados | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Restaurar discos gerenciados a partir do backup de VM | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Contribuidor de Conta de Armazenamento | Conta de armazenamento temporário selecionada como parte da restauração para armazenar dados do cofre antes de convertê-los em discos gerenciados | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Contribuinte | Grupo de recursos para o(s) qual(is) o(s) disco(s) gerenciado(s) será(ão) restaurado(s) | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Restaure arquivos individuais a partir do backup da VM | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Restauração entre regiões | Operador de Cópia de Segurança | Subscrição do cofre dos Serviços de recuperação | Isso é além das permissões de restauração mencionadas acima. Especificamente para CRR, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Criar política de backup para backup de VM do Azure | Colaborador de backup | Cofre dos Serviços de Recuperação | |
| Modificar a política de backup do backup da VM do Azure | Colaborador de backup | Cofre dos Serviços de Recuperação | |
| Excluir política de backup do backup de VM do Azure | Colaborador de backup | Cofre dos Serviços de Recuperação | |
| Parar o backup (com reter dados ou excluir dados) no backup de VM | Colaborador de backup | Cofre dos Serviços de Recuperação | |
| Registrar o Windows Server/cliente/SCDPM local ou o Servidor de Backup do Azure | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação | |
| Excluir o Windows Server/cliente/SCDPM local registrado ou o Servidor de Backup do Azure | Colaborador de backup | Cofre dos Serviços de Recuperação |
Importante
Se você especificar Colaborador de VM em um escopo de recurso de VM e selecionar Backup como parte das configurações de VM, ele abrirá a tela Habilitar Backup , mesmo que já tenha sido feito backup da VM. Isto ocorre porque a chamada para verificar o estado da cópia de segurança funciona apenas ao nível da subscrição. Para evitar isso, vá para o cofre e abra a exibição de item de backup da VM ou especifique a função de Colaborador da VM em um nível de assinatura.
Requisitos mínimos de função para backups de carga de trabalho do Azure (backups de banco de dados SQL e HANA)
A tabela a seguir captura as ações de gerenciamento de Backup e a função mínima correspondente do Azure necessária para executar essa operação.
| Gestão da Operação | Função mínima do Azure necessária | Âmbito de aplicação necessário | Alternativa |
|---|---|---|---|
| Criar cofre dos Serviços de Recuperação | Colaborador de backup | Grupo de recursos que contém o cofre | |
| Habilitar backup de bancos de dados SQL e/ou HANA | Operador de Cópia de Segurança | Grupo de recursos que contém o cofre | |
| Contribuidor de Máquina Virtual | Recurso de VM onde o banco de dados está instalado | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Backup sob demanda de banco de dados | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação | |
| Restaurar banco de dados ou Restaurar como arquivos | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Contribuidor de Máquina Virtual | VM de destino na qual o banco de dados será restaurado ou os arquivos serão criados | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Criar política de backup para backup de VM do Azure | Colaborador de backup | Cofre dos Serviços de Recuperação | |
| Modificar a política de backup do backup da VM do Azure | Colaborador de backup | Cofre dos Serviços de Recuperação | |
| Excluir política de backup do backup de VM do Azure | Colaborador de backup | Cofre dos Serviços de Recuperação | |
| Parar o backup (com reter dados ou excluir dados) no backup de VM | Colaborador de backup | Cofre dos Serviços de Recuperação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write | |
| Restauração entre regiões | Operador de Cópia de Segurança | Subscrição do cofre dos Serviços de Recuperação | Isso é além das permissões de restauração mencionadas acima. No caso de restauração entre regiões, em vez de uma função interna, você pode usar uma função personalizada que tenha as seguintes permissões: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Requisitos mínimos de função para o backup de compartilhamento de arquivos do Azure
A tabela a seguir captura as ações de gerenciamento de Backup e a função correspondente do Azure necessárias para executar essa operação.
| Gestão da Operação | Função Necessária | Recursos |
|---|---|---|
| Habilitar o backup do cofre dos Serviços de Recuperação | Colaborador de backup | Cofre dos Serviços de Recuperação |
| Colaborador da conta de armazenamento | Recurso de conta de armazenamento | |
| Habilitar o backup da folha de compartilhamento de arquivos | Colaborador de backup | Cofre dos Serviços de Recuperação |
| Colaborador da conta de armazenamento | Recurso da conta de armazenamento | |
| Contribuinte | Subscrição | |
| Backup sob demanda de compartilhamento de arquivos | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação |
| Restaurar partilha de ficheiros | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação |
| Colaborador do Backup da Conta de Armazenamento | Recursos da conta de armazenamento onde os compartilhamentos de arquivos de origem e de destino da restauração estão presentes | |
| Restaurar arquivos individuais | Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação |
| Contribuidor de Conta de Armazenamento | Recursos da conta de armazenamento onde os compartilhamentos de arquivos de origem e de destino da restauração estão presentes | |
| Proteção contra parar | Colaborador de backup | Cofre dos Serviços de Recuperação |
| Cancelar o registro da conta de armazenamento do cofre | Colaborador de backup | Cofre dos Serviços de Recuperação |
| Contribuidor de Conta de Armazenamento | Recurso de conta de armazenamento |
Nota
Se você tiver acesso de colaborador no nível do grupo de recursos e quiser configurar o backup a partir da folha de compartilhamento de arquivos, certifique-se de obter a permissão microsoft.recoveryservices/Locations/backupStatus/action no nível da assinatura. Para fazer isso, crie uma função personalizada e atribua essa permissão.
Requisitos mínimos de função para backup de disco do Azure
| Gestão da Operação | Função mínima do Azure necessária | Âmbito de aplicação necessário | Alternativa |
|---|---|---|---|
| Validar antes de configurar o backup | Operador de Cópia de Segurança | Backup vault | |
| Leitor de backup de disco | Disco para backup | ||
| Ativar backup a partir do cofre de backup | Operador de Cópia de Segurança | Backup vault | |
| Leitor de backup de disco | Disco para backup | Além disso, o MSI do cofre de backup deve receber essas permissões | |
| Backup de disco sob demanda | Operador de Cópia de Segurança | Backup vault | |
| Validar antes de restaurar um disco | Operador de Cópia de Segurança | Backup vault | |
| Operador de restauração de disco | Grupo de recursos para o qual os discos serão restaurados | ||
| Restaurando um disco | Operador de Cópia de Segurança | Backup vault | |
| Operador de restauração de disco | Grupo de recursos para o qual os discos serão restaurados | Além disso, o MSI do cofre de backup deve receber essas permissões |
Requisitos mínimos de função para backup de blob do Azure
| Gestão da Operação | Função mínima do Azure necessária | Âmbito de aplicação necessário | Alternativa |
|---|---|---|---|
| Validar antes de configurar o backup | Operador de Cópia de Segurança | Backup vault | |
| Contribuidor de backup de conta de armazenamento | Conta de armazenamento que contém o blob | ||
| Ativar backup a partir do cofre de backup | Operador de Cópia de Segurança | Backup vault | |
| Contribuidor de backup de conta de armazenamento | Conta de armazenamento que contém o blob | Além disso, o MSI do cofre de backup deve receber essas permissões | |
| Backup sob demanda de blob | Operador de Cópia de Segurança | Backup vault | |
| Validar antes de restaurar um blob | Operador de Cópia de Segurança | Backup vault | |
| Contribuidor de backup de conta de armazenamento | Conta de armazenamento que contém o blob | ||
| Restaurando um blob | Operador de Cópia de Segurança | Backup vault | |
| Contribuidor de backup de conta de armazenamento | Conta de armazenamento que contém o blob | Além disso, o MSI do cofre de backup deve receber essas permissões |
Requisitos mínimos de função para o banco de dados do Azure para backup do servidor PostGreSQL
| Gestão da Operação | Função mínima do Azure necessária | Âmbito de aplicação necessário | Alternativa |
|---|---|---|---|
| Validar antes de configurar o backup | Operador de Cópia de Segurança | Backup vault | |
| Leitor | Servidor Azure PostGreSQL | ||
| Ativar backup a partir do cofre de backup | Operador de Cópia de Segurança | Backup vault | |
| Contribuinte | Servidor Azure PostGreSQL | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Além disso, o MSI do cofre de backup deve receber essas permissões | |
| Backup sob demanda do servidor PostGreSQL | Operador de Cópia de Segurança | Backup vault | |
| Validar antes de restaurar um servidor | Operador de Cópia de Segurança | Backup vault | |
| Contribuinte | Servidor PostGreSQL do Azure de destino | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Restaurar um servidor | Operador de Cópia de Segurança | Backup vault | |
| Contribuinte | Servidor PostGreSQL do Azure de destino | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Além disso, o MSI do cofre de backup deve receber essas permissões |
Próximos passos
- Controle de acesso baseado em função do Azure (Azure RBAC): Introdução ao Azure RBAC no portal do Azure.
- Saiba como gerir o acesso com:
- Solução de problemas de controle de acesso baseado em função do Azure: obtenha sugestões para corrigir problemas comuns.