Руководство. Создание Resource Guard и включение многопользовательской авторизации в Azure Backup

В этом руководстве описывается, как создать Resource Guard и включить многопользовательскую авторизацию (MUA) в хранилище служб восстановления и хранилище резервных копий. Это добавляет дополнительный уровень защиты к критически важным операциям ваших хранилищ.

Примечание.

• Авторизация с несколькими пользователями теперь доступна как для хранилищ служб восстановления, так и для хранилищ резервных копий.
• Авторизация нескольких пользователей для Azure Backup доступна во всех общедоступных регионах Azure.

Изучите основные понятия MUA.

Предпосылки

Перед началом:

Выберите хранилище

Хранилище для служб восстановления

• Убедитесь, что Resource Guard и хранилище Служб восстановления находятся в одном регионе Azure.
• Убедитесь, что администратор резервного копирования не имеет разрешений участника в системе Resource Guard. Чтобы обеспечить максимальную изоляцию, можно использовать Resource Guard в другой подписке того же каталога или другом каталоге.
• Убедитесь, что ваши подписки, содержащие хранилище Служб восстановления и Resource Guard (в разных подписках или клиентах) зарегистрированы для использования поставщика Microsoft.RecoveryServices. Дополнительные сведения см. в статье Поставщики и типы ресурсов Azure.

Резервное хранилище

• Убедитесь, что Resource Guard и хранилище резервных копий находятся в одном регионе Azure.
• Убедитесь, что администратор резервного копирования не имеет разрешений участника в системе Resource Guard. Чтобы обеспечить максимальную изоляцию, можно использовать Resource Guard в другой подписке того же каталога или другом каталоге.
• Убедитесь, что ваши подписки включают хранилище резервных копий, а также что Resource Guard зарегистрирован для использования поставщика в разных подписках или клиентах — Microsoft.DataProtection4. Дополнительные сведения см. в статье Поставщики и типы ресурсов Azure.

Вы можете ознакомиться с различными сценариями использования MUA.

Создайте ресурс Resource Guard

Администратор безопасности создает Resource Guard. Мы рекомендуем создавать его в отдельной подписке или отдельном клиенте, чем хранилище. Однако он должен быть в том же регионе, что и хранилище.

Примечание.

Администратор резервного копирования не должен иметь доступ участника к Resource Guard или подписке, содержащей его.

Выберите хранилище

Хранилище для служб восстановления

Чтобы создать Resource Guard в клиенте, отличном от клиента хранилища в качестве администратора безопасности, выполните следующие действия.

1. На портале Azure перейдите в каталог, в котором вы хотите создать Resource Guard.

2. Найдите Resource Guards в строке поиска и выберите соответствующий элемент в раскрывающемся списке.

   1. Нажмите кнопку "Создать", чтобы начать создание Resource Guard.
   2. На панели "Создание" введите необходимые данные для этого Resource Guard.
      • Убедитесь, что "Resource Guard" находится в тех же регионах платформы Azure, что и хранилище служб восстановления.
      • Кроме того, полезно добавить описание того, как получить или запросить доступ для выполнения действий в связанных хранилищах при необходимости. Это описание также будет отображаться в связанных хранилищах, чтобы администратор резервного копирования знал, как получить нужные разрешения. При необходимости вы можете изменить описание позже, но инструкции должны быть понятны и доступны в любое время.

3. На вкладке Защищенные операции выберите операции, которые нужно защитить с помощью этого Resource Guard.

   После создания службы resource guard можно также выбрать операции, которые необходимо защитить.

4. При необходимости добавьте теги для Resource Guard в соответствии с требованиями.

5. Выберите "Проверить и создать" , а затем следуйте уведомлениям о состоянии и успешном создании Resource Guard.

Резервное хранилище

Чтобы создать Resource Guard в клиенте, отличном от клиента хранилища в качестве администратора безопасности, выполните следующие действия.

1. В портал Azure перейдите в каталог, в котором вы хотите создать Resource Guard.

2. Найдите Resource Guards в строке поиска и выберите соответствующий элемент из раскрывающегося списка.

   1. Выберите "Создать", чтобы создать Resource Guard.
   2. На панели "Создание" введите необходимые данные для этого Resource Guard.
      • Убедитесь, что Resource Guard находится в том же регионе Azure, что и хранилище резервных копий.
      • Добавьте описание того, как запросить доступ для выполнения действий в связанных хранилищах при необходимости. Это описание отображается в связанных хранилищах, чтобы управлять администратором резервного копирования о том, как получить необходимые разрешения.

3. На вкладке "Защищенные операции " выберите операции, необходимые для защиты с помощью этой защиты ресурсов на вкладке хранилища резервных копий.

   В настоящее время вкладка "Защищенные операции " включает только параметр "Удалить экземпляр резервного копирования" для отключения.

   После создания resource guard можно также выбрать операции защиты.

4. При необходимости добавьте все теги в Resource Guard в соответствии с требованиями.

5. Выберите "Проверить и создать" , а затем следуйте уведомлениям, чтобы отслеживать состояние и успешное создание Resource Guard.

Выбор операций для защиты с помощью Resource Guard

После создания хранилища администратор безопасности также может выбрать операции защиты с помощью Resource Guard среди всех поддерживаемых критически важных операций. По умолчанию включены все поддерживаемые критические операции. Однако администратор безопасности может исключить определенные операции из-под purview MUA с помощью Resource Guard.

Выберите хранилище

Хранилище для служб восстановления

Чтобы выбрать операции защиты, выполните следующие действия.

1. В вышеуказанном ресурсном охраннике перейдите на вкладку Свойства>хранилище служб восстановления.

2. Выберите "Отключить" для операций, которые вы хотите исключить из авторизации с использованием Resource Guard.

   Примечание.

   Операции отключения обратимого удаления и удаления защиты MUA не могут быть отключены.

3. При желании, на этой вкладке вы также можете обновить описание для Resource Guard.

4. Выберите Сохранить.

Резервное хранилище

Чтобы выбрать операции защиты, выполните следующие действия.

1. В созданном вами Resource Guard перейдите на вкладку Свойства>хранилище резервных копий.

2. Выберите "Отключить " для операций, которые требуется исключить из авторизованного режима.

   Вы не можете отключить операции удаления защиты MUA и мягкого удаления.

3. При необходимости обновите описание Ресурсного стража на вкладке хранилища резервных копий.

4. Выберите Сохранить.

Назначение разрешений администратору резервного копирования в Resource Guard для поддержки MUA

Администратор резервного копирования должен иметь роль Читатель в Resource Guard или подписке, содержащей Resource Guard, чтобы включить MUA в хранилище. Администратор безопасности должен назначить эту роль администратору резервного копирования.

Выберите хранилище

Хранилище для служб восстановления

Чтобы назначить роль читателя в Resource Guard, выполните следующие действия.

1. В созданном выше Resource Guard перейдите в область управления доступом (IAM), а затем перейдите в раздел "Добавить назначение ролей".
2. Выберите читателя из списка встроенных ролей и нажмите кнопку "Далее".
3. Щелкните Выбрать членов и введите идентификатор электронной почты администратора резервного копирования, чтобы добавить его как читателя. Так как администратор резервного копирования находится в другом клиенте в этом случае, они будут добавлены в качестве гостей в клиент, содержащий Resource Guard.
4. Щелкните Выбрать и откройте вкладку Просмотр и назначение, чтобы завершить назначение роли.

Резервное хранилище

Чтобы назначить роль читателя в Resource Guard, выполните следующие действия.

1. В созданном выше Resource Guard перейдите на панель контроль доступа (IAM), и затем выберите Добавить назначение ролей.

2. Выберите читателя из списка встроенных ролей и нажмите кнопку "Далее".

3. Щелкните "Выбрать участников" и добавьте идентификатор электронной почты администратора резервного копирования, чтобы назначить роль читателя .

   Поскольку администраторы бэкапа находятся в другом клиенте, они будут добавлены в качестве гостей в клиент, содержащий Resource Guard.

4. Нажмите Выбрать>проверка + назначить, чтобы завершить назначение роли.

Включение MUA в хранилище

После того как администратор резервного копирования имеет роль читателя в Resource Guard, он может включить многопользовательскую авторизацию в хранилищах, управляемых следующими инструкциями:

Выберите хранилище

Хранилище для служб восстановления

1. Перейдите к хранилищу Служб восстановления.

2. Перейдите в раздел "Свойства>многопользовательской авторизации" и нажмите кнопку "Обновить".

3. Теперь у вас есть возможность включить MUA и выбрать Resource Guard одним из следующих способов:

   1. Вы можете указать URI ресурса Resource Guard. Убедитесь, что вы указываете URI для того Resource Guard, к которому у вас есть доступ читателя и который находится в том же регионе, что и хранилище. Код URI (идентификатор Resource Guard) можно найти на экране Обзор:

   2. Вы также можете выбрать Resource Guard из списка защиты ресурсов, к которым у вас есть доступ для чтения и которые доступны в регионе.

      1. Щелкните Select Resource Guard (Выбрать Resource Guard).
      2. Выберите раскрывающийся список и выберите каталог, в который находится Resource Guard.
      3. Выберите проверку подлинности , чтобы проверить удостоверение и доступ.
      4. После проверки подлинности выберите Resource Guard в появившемся списке.

4. Нажмите кнопку "Сохранить", чтобы включить MUA.

Резервное хранилище

1. Перейдите в хранилище резервных копий, для которого требуется настроить MUA.

2. На левой панели выберите "Свойства".

3. Перейдите к многопользовательской авторизации и выберите "Обновить".

4. Чтобы включить muA и выбрать Resource Guard, выполните одно из следующих действий:

   • Можно указать унифицированный идентификатор ресурса (URI) для Resource Guard. Убедитесь, что укажите URI ресурса Resource Guard, к которому у вас есть доступ читателя , и он находится в том же регионе, что и хранилище. URI (идентификатор Resource Guard) ресурса Resource Guard можно найти на странице обзора .

   • Вы также можете выбрать Resource Guard в списке защищенных ресурсов, к которым у вас есть доступ читателя и которые доступны в подходящем регионе.

     1. Нажмите Выбрать Resource Guard.
     2. Выберите раскрывающийся список и выберите каталог, в который находится Resource Guard.
     3. Выберите проверку подлинности , чтобы проверить удостоверение и доступ.
     4. После проверки подлинности выберите Resource Guard в появившемся списке.

5. Нажмите кнопку "Сохранить", чтобы включить MUA.

Дальнейшие действия

• Защищенные операции с помощью MUA
• Авторизация критически важных (защищенных) операций с помощью Microsoft Entra управление привилегированными пользователями
• Выполнение защищенной операции после утверждения
• Отключите MUA на хранилище служб восстановления или на хранилище резервных копий.