Use o controlo de acesso baseado em funções Azure para gerir pontos de recuperação de Azure Backup

O controlo de acesso baseado em funções Azure (Azure RBAC) permite uma gestão de acesso de grãos finos para o Azure. Com o RBAC do Azure, pode fazer a segregação de deveres na sua equipa e conceder aos utilizadores apenas a quantidade de acesso de que precisam para desempenhar as suas funções.

Importante

As funções fornecidas por Azure Backup estão limitadas a ações que podem ser executadas em portal do Azure ou através de cofres de API ou Serviços de Recuperação de REST PowerShell ou CLI. As ações realizadas no Azure Backup o cliente do UI ou do System center Data Protection Manager UI ou Azure Backup Server UI estão fora de controlo destas funções.

Azure Backup fornece três funções incorporadas para controlar as operações de gestão de backup. Saiba mais sobre os papéis embutidos no Azure

  • Backup Contributor - Esta função tem todas as permissões para criar e gerir backup, exceto eliminar o cofre dos Serviços de Recuperação e dar acesso a outros. Imagine este papel como administrador de gestão de backup que pode fazer todas as operações de gestão de backup.
  • Operador de Backup - Esta função tem permissões para tudo o que um contribuinte faz, exceto remover backup e gerir políticas de backup. Esta função é equivalente ao contribuinte, exceto que não pode realizar operações destrutivas, tais como parar a cópia de segurança com eliminar dados ou remover o registo de recursos no local.
  • Backup Reader - Esta função tem permissões para visualizar todas as operações de gestão de backup. Imagine este papel como uma pessoa de monitorização.

Se procura definir os seus próprios papéis para ainda mais controlo, veja como construir papéis personalizados no Azure RBAC.

Mapeamento de papéis incorporados de Backup para ações de gestão de backup

Requisitos mínimos de função para backup Azure VM

O quadro seguinte captura as ações de gestão de Backup e o correspondente papel mínimo Azure necessário para executar essa operação.

Operação de Gestão Função mínima de Azure necessária Âmbito necessário Alternativa
Criar cofre dos Serviços de Recuperação Colaborador de Backup Grupo de recursos contendo o cofre
Ativar o backup dos VMs Azure Operador de Cópia de Segurança Grupo de recursos contendo o cofre
Contribuidor de Máquina Virtual Recurso VM Alternativamente, em vez de um papel incorporado, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Ativar a cópia de segurança dos VMS Azure (a partir da lâmina VM) Operador de Cópia de Segurança Grupo de recursos contendo o cofre
Operador de Cópia de Segurança Grupo de recursos contendo a máquina virtual
Contribuidor de Máquina Virtual Recurso VM Alternativamente, em vez de uma função incorporada, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read
Backup a pedido da VM Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Restaurar VMs Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuinte Grupo de recursos no qual a VM será implantada Alternativamente, em vez de um papel embutido, pode considerar uma função personalizada que tem as seguintes permissões: Microsoft.Resources/subscrições/resourceGroups/write Microsoft.DomainRegistration/domains/write (necessário apenas para restauro clássico de VM e não necessário para VMs geridos), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/virtualNet/ sub-redes/junção/ação
Contribuidor de Máquina Virtual Fonte VM que foi apoiado Alternativamente, em vez de um papel incorporado, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Restaurar a cópia de segurança dos discos não geridos VM Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuidor de Máquina Virtual Fonte VM que foi apoiado Alternativamente, em vez de um papel incorporado, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Contribuidor de Conta de Armazenamento Recurso de conta de armazenamento onde os discos vão ser restaurados Alternativamente, em vez de uma função incorporada, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Storage/storageAccounts/write
Restaurar discos geridos a partir de backup VM Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuidor de Máquina Virtual Fonte VM que foi apoiado Alternativamente, em vez de um papel incorporado, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Contribuidor de Conta de Armazenamento Conta de Armazenamento Temporário selecionada como parte da restauração para reter dados do cofre antes de convertê-los em discos geridos Alternativamente, em vez de uma função incorporada, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Storage/storageAccounts/write
Contribuinte Grupo de recursos para o qual os discos geridos serão restaurados Em alternativa, em vez de uma função incorporada, pode considerar um papel personalizado que tenha as seguintes permissões: Microsoft.Resources/subscrições/resourceGroups/write
Restaurar ficheiros individuais a partir de cópia de segurança VM Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuidor de Máquina Virtual Fonte VM que foi apoiado Alternativamente, em vez de um papel incorporado, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Restauro da região transversal Operador de Cópia de Segurança Assinatura do cofre dos Serviços de Recuperação Isto é além das permissões de restauro mencionadas acima. Especificamente para a CRR, em vez de um papel embutido, pode considerar uma função personalizada que tem as seguintes permissões: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/read" "Microsoft.RecoveryServices//localizações/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read"
Crie uma política de backup para o backup Azure VM Colaborador de Backup Cofre dos Serviços de Recuperação
Modifique a política de backup da cópia de segurança da Azure VM Colaborador de Backup Cofre dos Serviços de Recuperação
Eliminar a política de backup do backup da Azure VM Colaborador de Backup Cofre dos Serviços de Recuperação
Parar a cópia de segurança (com reter dados ou eliminar dados) na cópia de segurança VM Colaborador de Backup Cofre dos Serviços de Recuperação
Registar no local O Servidor/Cliente/CDPM ou o Servidor Azure Backup Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Eliminar o Windows Server/cliente/SCDPM ou Azure Backup Server registados no local Colaborador de Backup Cofre dos Serviços de Recuperação

Importante

Se especificar o VM Contributor num âmbito de recurso VM e selecionar o Backup como parte das definições de VM, abrirá o ecrã De backup ativa , mesmo que o VM já esteja apoiado. Isto porque a chamada para verificar o estado de backup funciona apenas ao nível da subscrição. Para evitar isto, vá ao cofre e abra a vista de backup do produto de reserva do VM ou especifique a função de Contribuinte VM a nível de subscrição.

Requisitos mínimos de função para backups de carga de trabalho Azure (backups DB SQL e HANA)

O quadro seguinte captura as ações de gestão de Backup e o correspondente papel mínimo Azure necessário para executar essa operação.

Operação de Gestão Função mínima de Azure necessária Âmbito necessário Alternativa
Criar cofre dos Serviços de Recuperação Colaborador de Backup Grupo de recursos contendo o cofre
Permitir cópias de segurança das bases de dados SQL e/ou HANA Operador de Cópia de Segurança Grupo de recursos contendo o cofre
Contribuidor de Máquina Virtual Recurso VM onde a DB está instalada Alternativamente, em vez de um papel incorporado, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Backup a pedido da DB Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Restaurar a base de dados ou restaurar como ficheiros Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuidor de Máquina Virtual Fonte VM que foi apoiado Alternativamente, em vez de um papel incorporado, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Contribuidor de Máquina Virtual VM alvo em que DB será restaurado ou ficheiros são criados Alternativamente, em vez de um papel incorporado, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
Crie uma política de backup para o backup Azure VM Colaborador de Backup Cofre dos Serviços de Recuperação
Modifique a política de backup da cópia de segurança da Azure VM Colaborador de Backup Cofre dos Serviços de Recuperação
Eliminar a política de backup do backup da Azure VM Colaborador de Backup Cofre dos Serviços de Recuperação
Parar a cópia de segurança (com reter dados ou eliminar dados) na cópia de segurança VM Colaborador de Backup Cofre dos Serviços de Recuperação
Contribuidor de Máquina Virtual VM de origem que foi apoiado Em alternativa, em vez de um papel incorporado, pode considerar um papel personalizado que tem as seguintes permissões: Microsoft.Compute/virtualMachines/write

Requisitos mínimos de função para o backup de partilha de ficheiros Azure

A tabela seguinte captura as ações de gestão de Backup e o correspondente papel Azure necessário para executar essa operação.

Operação de Gestão Função necessária Recursos
Ativar o backup do cofre dos Serviços de Recuperação Colaborador de Backup Cofre dos Serviços de Recuperação
Contribuinte de conta de armazenamento Recurso de conta de armazenamento
Ativar a cópia de segurança a partir da lâmina de partilha de ficheiros Colaborador de Backup Cofre dos Serviços de Recuperação
Contribuinte de conta de armazenamento Recurso de conta de armazenamento
Contribuinte Subscrição
Backup a pedido da VM Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Restaurar a partilha do ficheiro Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Colaborador de backup de conta de armazenamento Recursos de conta de armazenamento onde a fonte de restauro e as ações de ficheiros Target estão presentes
Restaurar ficheiros individuais Operador de Cópia de Segurança Cofre dos Serviços de Recuperação
Contribuidor de Conta de Armazenamento Recursos de conta de armazenamento onde a fonte de restauro e as ações de ficheiros Target estão presentes
Parar proteção Colaborador de Backup Cofre dos Serviços de Recuperação
Conta de armazenamento não registro do cofre Colaborador de Backup Cofre dos Serviços de Recuperação
Contribuidor de Conta de Armazenamento Recurso de conta de armazenamento

Nota

Se tiver acesso ao grupo de recursos e quiser configurar a cópia de segurança da lâmina de partilha de ficheiros, certifique-se de obter a microsoft.recoveryservices/Locations/backupStatus/permissão de ação ao nível da subscrição. Para tal, crie uma função personalizada e atribua esta permissão.

Requisitos mínimos de função para backup de disco Azure

Operação de Gestão Função mínima de Azure necessária Âmbito necessário Alternativa
Validar antes de configurar o backup Operador de Cópia de Segurança Cofre de cópias de segurança
Leitor de backup de discos Disco a ser apoiado
Ativar o backup do cofre de reserva Operador de Cópia de Segurança Cofre de cópias de segurança
Leitor de backup de discos Disco a ser apoiado Além disso, o cofre de reserva MSI deve ser dado estas permissões
A pedido de cópia de segurança do disco Operador de Cópia de Segurança Cofre de cópias de segurança
Validar antes de restaurar um disco Operador de Cópia de Segurança Cofre de cópias de segurança
Operador de restauro de disco Grupo de recursos onde os discos serão restaurados para
Restaurar um disco Operador de Cópia de Segurança Cofre de cópias de segurança
Operador de restauro de disco Grupo de recursos onde os discos serão restaurados para Além disso, o cofre de reserva MSI deve ser dado estas permissões

Requisitos mínimos de função para o backup do blob Azure

Operação de Gestão Função mínima de Azure necessária Âmbito necessário Alternativa
Validar antes de configurar o backup Operador de Cópia de Segurança Cofre de cópias de segurança
Colaborador de backup de conta de armazenamento Conta de armazenamento contendo a bolha
Ativar o backup do cofre de reserva Operador de Cópia de Segurança Cofre de cópias de segurança
Colaborador de backup de conta de armazenamento Conta de armazenamento contendo a bolha Além disso, o cofre de reserva MSI deve ser dado estas permissões
A pedido de apoio da bolha Operador de Cópia de Segurança Cofre de cópias de segurança
Validar antes de restaurar uma bolha Operador de Cópia de Segurança Cofre de cópias de segurança
Colaborador de backup de conta de armazenamento Conta de armazenamento contendo a bolha
Restaurar uma bolha Operador de Cópia de Segurança Cofre de cópias de segurança
Colaborador de backup de conta de armazenamento Conta de armazenamento contendo a bolha Além disso, o cofre de reserva MSI deve ser dado estas permissões

Requisitos mínimos de função para base de dados Azure para backup de servidor pós-GreSQL

Operação de Gestão Função mínima de Azure necessária Âmbito necessário Alternativa
Validar antes de configurar o backup Operador de Cópia de Segurança Cofre de cópias de segurança
Leitor Servidor Azure PostGresqL
Ativar o backup do cofre de reserva Operador de Cópia de Segurança Cofre de cópias de segurança
Contribuinte Servidor Azure PostGresqL Em alternativa, em vez de uma função incorporada, pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Além disso, o cofre de segurança MSI deve receber estas permissões
A pedido de cópia de segurança do servidor PostGreSQL Operador de Cópia de Segurança Cofre de cópias de segurança
Validar antes de restaurar um servidor Operador de Cópia de Segurança Cofre de cópias de segurança
Contribuinte Servidor Target Azure PostGreSQL Alternativamente, em vez de uma função incorporada, pode considerar uma função personalizada que tem as seguintes permissões: Microsoft.DBforPostgreSQL/servidores/write Microsoft.DBforPostgreSQL/servers/read
Restaurar um servidor Operador de Cópia de Segurança Cofre de cópias de segurança
Contribuinte Servidor Target Azure PostGreSQL Em alternativa, em vez de uma função incorporada, pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Além disso, o cofre de segurança MSI deve receber estas permissões

Passos seguintes