Gerir o acesso Site Recovery com o controlo de acesso baseado em funções do Azure (RBAC do Azure)
O controlo de acesso baseado em funções do Azure (RBAC do Azure) permite uma gestão de acesso detalhada para o Azure. Com o RBAC do Azure, pode segregar responsabilidades na sua equipa e conceder apenas permissões de acesso específicas aos utilizadores, conforme necessário, para realizar tarefas específicas.
O Azure Site Recovery fornece três funções incorporadas para controlar as operações de gestão de Site Recovery. Saiba mais sobre as funções incorporadas do Azure
- Contribuinte do Site Recovery - esta função tem todas as permissões necessárias para gerir as operações do Azure Site Recovery num cofre dos Serviços de Recuperação. No entanto, um utilizador com esta função não consegue criar nem eliminar um cofre dos Serviços de Recuperação, nem atribuir direitos de acesso a outros utilizadores. Esta função é mais adequada para administradores de recuperação após desastre que podem ativar e gerir a recuperação após desastre para aplicações ou organizações inteiras, como pode ser o caso.
- Operador do Site Recovery - esta função tem permissões para executar e gerir operações de Ativação Pós-falha e Reativação Pós-falha. Um utilizador com esta função não pode ativar ou desativar a replicação, criar ou eliminar cofres, registar uma nova infraestrutura ou atribuir direitos de acesso a outros utilizadores. Esta função é mais adequada para um operador de recuperação após desastre que pode efetuar a ativação pós-falha de máquinas virtuais ou aplicações quando instruído por proprietários de aplicações e administradores de TI numa situação de desastre real ou simulada, como um teste de DR. Após a resolução do desastre, o operador de DR pode voltar a proteger e efetuar a reativação pós-falha das máquinas virtuais.
- Leitor do Site Recovery - esta função tem permissões para ver todas as operações de gestão do Site Recovery. Esta função é mais adequada para um executivo de monitorização de TI que pode monitorizar o estado atual de proteção e gerar pedidos de suporte, se necessário.
Se quiser definir as suas próprias funções para ter ainda mais controlo, veja como criar funções personalizadas no Azure.
Permissões necessárias para ativar a replicação para novas máquinas virtuais
Quando uma nova Máquina Virtual é replicada para o Azure com o Azure Site Recovery, os níveis de acesso do utilizador associado são validados para garantir que o utilizador tem as permissões necessárias para utilizar os recursos do Azure fornecidos para Site Recovery.
Para ativar a replicação para uma nova máquina virtual, um utilizador tem de ter:
- Permissão para criar uma máquina virtual no grupo de recursos selecionado
- Permissão para criar uma máquina virtual na rede virtual selecionada
- Permissão para escrever na conta de Armazenamento selecionada
Um utilizador precisa das seguintes permissões para concluir a replicação de uma nova máquina virtual.
Importante
Confirme que são adicionadas permissões relevantes de acordo com o modelo de implementação (Resource Manager/Clássico) utilizado para a implementação de recursos.
Nota
Se estiver a ativar a replicação para uma VM do Azure e quiser permitir que Site Recovery faça a gestão das atualizações, poderá também querer criar uma nova conta de Automatização para criar uma conta de automatização na mesma subscrição que o cofre.
| Tipo de Recurso: | Modelo de Implementação | Permissão |
|---|---|---|
| Computação | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Clássico | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Rede | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/sub-redes/read | ||
| Microsoft.Network/virtualNetworks/sub-redes/join/action | ||
| Clássico | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Armazenamento | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Clássico | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Grupo de Recursos | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Considere utilizar as funções incorporadas "Contribuidor de Máquina Virtual" e "Contribuidor de Máquina Virtual Clássico" para modelos de implementação Resource Manager e Clássicos, respetivamente.
Passos seguintes
- Controlo de acesso baseado em funções do Azure (RBAC do Azure): introdução ao RBAC do Azure no portal do Azure.
- Saiba como gerir o acesso com:
- Resolução de problemas do RBAC do Azure: obtenha sugestões para corrigir problemas comuns.