Använda rollbaserad åtkomstkontroll i Azure för att hantera Azure Backup-återställningspunkter
Rollbaserad åtkomstkontroll i Azure (Azure RBAC) möjliggör detaljerad åtkomsthantering för Azure. Med hjälp av Azure RBAC kan du hålla isär uppgifter i ditt team och bevilja endast den omfattning av åtkomst till användare som de behöver för att utföra sitt arbete.
Viktigt!
Roller som tillhandahålls av Azure Backup är begränsade till åtgärder som kan utföras i Azure Portal eller via REST API eller Recovery Services-valv PowerShell eller CLI-cmdletar. Åtgärder som utförs i Klientgränssnittet för Azure Backup-agenten eller System Center Data Protection Manager-användargränssnittet eller Azure Backup Server-användargränssnittet har inte kontroll över dessa roller.
Azure Backup har tre inbyggda roller för att styra säkerhetskopieringshanteringsåtgärder. Läs mer om inbyggda Azure-roller
- Säkerhetskopieringsdeltagare – Den här rollen har alla behörigheter för att skapa och hantera säkerhetskopiering förutom att ta bort Recovery Services-valvet och ge åtkomst till andra. Föreställ dig den här rollen som administratör för säkerhetskopieringshantering som kan utföra varje säkerhetskopieringshantering.
- Säkerhetskopieringsoperatör – Den här rollen har behörighet till allt en deltagare gör förutom att ta bort säkerhetskopierings- och hanteringsprinciper för säkerhetskopiering. Den här rollen motsvarar deltagare, förutom att den inte kan utföra destruktiva åtgärder som att stoppa säkerhetskopiering med ta bort data eller ta bort registrering av lokala resurser.
- Säkerhetskopieringsläsare – Den här rollen har behörighet att visa alla åtgärder för säkerhetskopieringshantering. Föreställ dig att den här rollen är en övervakningsperson.
Om du vill definiera dina egna roller för ännu mer kontroll kan du läsa om hur du skapar anpassade roller i Azure RBAC.
Mappa inbyggda roller för säkerhetskopiering till åtgärder för säkerhetskopieringshantering
Minimikrav för roll för säkerhetskopiering av virtuella Azure-datorer
Följande tabell innehåller åtgärder för säkerhetskopieringshantering och motsvarande minsta Azure-roll som krävs för att utföra åtgärden.
| Hanteringsåtgärd | Lägsta Azure-roll som krävs | Omfång krävs | Alternativ |
|---|---|---|---|
| Skapa Recovery Services-valv | Säkerhetskopieringsdeltagare | Resursgrupp som innehåller valvet | |
| Aktivera säkerhetskopiering av virtuella Azure-datorer | Operator för säkerhetskopiering | Resursgrupp som innehåller valvet | |
| Virtuell datordeltagare | VM-resurs | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Aktivera säkerhetskopiering av virtuella Azure-datorer (från VM-bladet) | Operator för säkerhetskopiering | Resursgrupp som innehåller valvet | |
| Operator för säkerhetskopiering | Resursgrupp som innehåller den virtuella datorn | ||
| Virtuell datordeltagare | VM-resurs | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/virtualMachines/instanceView/read | |
| Säkerhetskopiering på begäran av virtuell dator | Operator för säkerhetskopiering | Recovery Services-valv | |
| Återställa virtuell dator | Operator för säkerhetskopiering | Recovery Services-valv | |
| Deltagare | Resursgrupp där den virtuella datorn ska distribueras | I stället för en inbyggd roll kan du också du kan överväga en anpassad roll som har följande behörigheter: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (krävs endast för klassisk återställning av virtuella datorer och krävs inte för hanterade virtuella datorer), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/ undernät/koppling/åtgärd | |
| Virtuell datordeltagare | Den virtuella källdatorn som säkerhetskopierades | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Lagringskontodeltagare | Lagringskontoresurs där diskar ska återställas | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Återställa ohanterade diskar VM-säkerhetskopiering | Operator för säkerhetskopiering | Recovery Services-valv | |
| Virtuell datordeltagare | Den virtuella källdatorn som säkerhetskopierades | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Lagringskontodeltagare | Lagringskontoresurs där diskar ska återställas | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Återställa hanterade diskar från säkerhetskopiering av virtuella datorer | Operator för säkerhetskopiering | Recovery Services-valv | |
| Virtuell datordeltagare | Den virtuella källdatorn som säkerhetskopierades | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Lagringskontodeltagare | Tillfälligt lagringskonto som valts som en del av återställningen för att lagra data från valvet innan de konverteras till hanterade diskar | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Deltagare | Resursgrupp som hanterade diskar ska återställas till | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Återställa enskilda filer från säkerhetskopiering av virtuella datorer | Operator för säkerhetskopiering | Recovery Services-valv | |
| Virtuell datordeltagare | Den virtuella källdatorn som säkerhetskopierades | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Återställning mellan regioner | Operator för säkerhetskopiering | Prenumeration på Recovery Services-valvet | Detta är utöver de återställningsbehörigheter som nämns ovan. Specifikt för CRR, i stället för en inbyggd roll, Du kan överväga en anpassad roll som har följande behörigheter: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Skapa säkerhetskopieringsprincip för säkerhetskopiering av virtuella Azure-datorer | Säkerhetskopieringsdeltagare | Recovery Services-valv | |
| Ändra säkerhetskopieringsprincipen för säkerhetskopiering av virtuella Azure-datorer | Säkerhetskopieringsdeltagare | Recovery Services-valv | |
| Ta bort säkerhetskopieringsprincip för säkerhetskopiering av virtuella Azure-datorer | Säkerhetskopieringsdeltagare | Recovery Services-valv | |
| Stoppa säkerhetskopiering (med kvarhållningsdata eller ta bort data) vid säkerhetskopiering av virtuella datorer | Säkerhetskopieringsdeltagare | Recovery Services-valv | |
| Registrera lokal Windows Server/klient/SCDPM eller Azure Backup Server | Operator för säkerhetskopiering | Recovery Services-valv | |
| Ta bort registrerad lokal Windows Server/klient/SCDPM eller Azure Backup Server | Säkerhetskopieringsdeltagare | Recovery Services-valv |
Viktigt!
Om du anger VM-deltagare i ett resursomfång för virtuella datorer och väljer Säkerhetskopiera som en del av VM-inställningarna öppnas skärmen Aktivera säkerhetskopiering , även om den virtuella datorn redan har säkerhetskopierats. Det beror på att anropet för att verifiera säkerhetskopieringens status bara fungerar på prenumerationsnivå. Undvik detta genom att antingen gå till valvet och öppna vyn säkerhetskopieringsobjekt för den virtuella datorn eller ange rollen VM-deltagare på prenumerationsnivå.
Minimikrav för rollkrav för säkerhetskopiering av Azure-arbetsbelastningar (SQL- och HANA DB-säkerhetskopior)
Följande tabell innehåller åtgärder för säkerhetskopieringshantering och motsvarande minsta Azure-roll som krävs för att utföra åtgärden.
| Hanteringsåtgärd | Lägsta Azure-roll som krävs | Omfång krävs | Alternativ |
|---|---|---|---|
| Skapa Recovery Services-valv | Säkerhetskopieringsdeltagare | Resursgrupp som innehåller valvet | |
| Aktivera säkerhetskopiering av SQL- och/eller HANA-databaser | Operator för säkerhetskopiering | Resursgrupp som innehåller valvet | |
| Virtuell datordeltagare | VM-resurs där databas är installerad | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Säkerhetskopiering på begäran av DB | Operator för säkerhetskopiering | Recovery Services-valv | |
| Återställa databasen eller återställ som filer | Operator för säkerhetskopiering | Recovery Services-valv | |
| Virtuell datordeltagare | Den virtuella källdatorn som säkerhetskopierades | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Virtuell datordeltagare | Mål-VM där databas ska återställas eller filer skapas | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Skapa säkerhetskopieringsprincip för säkerhetskopiering av virtuella Azure-datorer | Säkerhetskopieringsdeltagare | Recovery Services-valv | |
| Ändra säkerhetskopieringsprincipen för säkerhetskopiering av virtuella Azure-datorer | Säkerhetskopieringsdeltagare | Recovery Services-valv | |
| Ta bort säkerhetskopieringsprincip för säkerhetskopiering av virtuella Azure-datorer | Säkerhetskopieringsdeltagare | Recovery Services-valv | |
| Stoppa säkerhetskopiering (med kvarhållningsdata eller ta bort data) vid säkerhetskopiering av virtuella datorer | Säkerhetskopieringsdeltagare | Recovery Services-valv | |
| Virtuell datordeltagare | Den virtuella källdatorn som säkerhetskopierades | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.Compute/virtualMachines/write | |
| Återställning mellan regioner | Operator för säkerhetskopiering | Prenumeration på Recovery Services-valvet | Detta är utöver de återställningsbehörigheter som nämns ovan. Vid återställning mellan regioner, i stället för en inbyggd roll, kan du använda en anpassad roll som har följande behörigheter: – Microsoft.RecoveryServices/locations/backupAadProperties/read – Microsoft.RecoveryServices/locations/backupCrrJobs/action – Microsoft.RecoveryServices/locations/backupCrrJob/action – Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action – Microsoft.RecoveryServices/locations/backupCrrOperationResults/read – Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Minimikrav för roll för säkerhetskopiering av Azure-filresurser
I följande tabell avbildas de åtgärder för säkerhetskopieringshantering och motsvarande Azure-roll som krävs för att utföra åtgärden.
| Hanteringsåtgärd | Roll krävs | Resurser |
|---|---|---|
| Aktivera säkerhetskopiering från Recovery Services-valv | Säkerhetskopieringsdeltagare | Recovery Services-valv |
| Lagringskontodeltagare | Lagringskontoresurs | |
| Aktivera säkerhetskopiering från filresursbladet | Säkerhetskopieringsdeltagare | Recovery Services-valv |
| Lagringskontodeltagare | Resurs för lagringskonto | |
| Deltagare | Prenumeration | |
| Säkerhetskopiering på begäran av filresurs | Operator för säkerhetskopiering | Recovery Services-valv |
| Återställa filresurs | Operator för säkerhetskopiering | Recovery Services-valv |
| Deltagare i säkerhetskopiering av lagringskonto | Lagringskontoresurser där återställningskälla och målfilresurser finns | |
| Återställa enskilda filer | Operator för säkerhetskopiering | Recovery Services-valv |
| Lagringskontodeltagare | Lagringskontoresurser där återställningskälla och målfilresurser finns | |
| Stoppa skydd | Säkerhetskopieringsdeltagare | Recovery Services-valv |
| Avregistrera lagringskonto från valv | Säkerhetskopieringsdeltagare | Recovery Services-valv |
| Lagringskontodeltagare | Lagringskontoresurs |
Kommentar
Om du har deltagaråtkomst på resursgruppsnivå och vill konfigurera säkerhetskopiering från filresursbladet måste du hämta behörigheten microsoft.recoveryservices/Locations/backupStatus/action på prenumerationsnivå. Om du vill göra det skapar du en anpassad roll och tilldelar den här behörigheten.
Minimikrav för roll för säkerhetskopiering av Azure-diskar
| Hanteringsåtgärd | Lägsta Azure-roll som krävs | Omfång krävs | Alternativ |
|---|---|---|---|
| Verifiera innan du konfigurerar säkerhetskopiering | Operator för säkerhetskopiering | Backup-valv | |
| Disksäkerhetskopieringsläsare | Disk som ska säkerhetskopieras | ||
| Aktivera säkerhetskopiering från säkerhetskopieringsvalv | Operator för säkerhetskopiering | Backup-valv | |
| Disksäkerhetskopieringsläsare | Disk som ska säkerhetskopieras | Dessutom bör MSI för säkerhetskopieringsvalvet ges dessa behörigheter | |
| Säkerhetskopiering av disk på begäran | Operator för säkerhetskopiering | Backup-valv | |
| Verifiera innan du återställer en disk | Operator för säkerhetskopiering | Backup-valv | |
| Diskåterställningsoperator | Resursgrupp där diskar ska återställas till | ||
| Återställa en disk | Operator för säkerhetskopiering | Backup-valv | |
| Diskåterställningsoperator | Resursgrupp där diskar ska återställas till | Dessutom bör MSI för säkerhetskopieringsvalvet ges dessa behörigheter |
Minimikrav för rollsäkerhetskopiering i Azure Blob
| Hanteringsåtgärd | Lägsta Azure-roll som krävs | Omfång krävs | Alternativ |
|---|---|---|---|
| Verifiera innan du konfigurerar säkerhetskopiering | Operator för säkerhetskopiering | Backup-valv | |
| Deltagare i säkerhetskopiering av lagringskonto | Lagringskonto som innehåller bloben | ||
| Aktivera säkerhetskopiering från säkerhetskopieringsvalv | Operator för säkerhetskopiering | Backup-valv | |
| Deltagare i säkerhetskopiering av lagringskonto | Lagringskonto som innehåller bloben | Dessutom bör MSI för säkerhetskopieringsvalvet ges dessa behörigheter | |
| Säkerhetskopiering av blob på begäran | Operator för säkerhetskopiering | Backup-valv | |
| Verifiera innan du återställer en blob | Operator för säkerhetskopiering | Backup-valv | |
| Deltagare i säkerhetskopiering av lagringskonto | Lagringskonto som innehåller bloben | ||
| Återställa en blob | Operator för säkerhetskopiering | Backup-valv | |
| Deltagare i säkerhetskopiering av lagringskonto | Lagringskonto som innehåller bloben | Dessutom bör MSI för säkerhetskopieringsvalvet ges dessa behörigheter |
Minimikrav för roll för säkerhetskopiering av Azure Database for PostGreSQL-server
| Hanteringsåtgärd | Lägsta Azure-roll som krävs | Omfång krävs | Alternativ |
|---|---|---|---|
| Verifiera innan du konfigurerar säkerhetskopiering | Operator för säkerhetskopiering | Backup-valv | |
| Läsare | Azure PostGreSQL-server | ||
| Aktivera säkerhetskopiering från säkerhetskopieringsvalv | Operator för säkerhetskopiering | Backup-valv | |
| Deltagare | Azure PostGreSQL-server | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Dessutom bör MSI för säkerhetskopieringsvalvet ges dessa behörigheter | |
| Säkerhetskopiering på begäran av PostGreSQL-server | Operator för säkerhetskopiering | Backup-valv | |
| Verifiera innan du återställer en server | Operator för säkerhetskopiering | Backup-valv | |
| Deltagare | Azure PostGreSQL-målserver | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Återställa en server | Operator för säkerhetskopiering | Backup-valv | |
| Deltagare | Azure PostGreSQL-målserver | I stället för en inbyggd roll kan du överväga en anpassad roll som har följande behörigheter: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Dessutom bör MSI för säkerhetskopieringsvalvet ges dessa behörigheter |
Nästa steg
- Rollbaserad åtkomstkontroll i Azure (Azure RBAC): Kom igång med Azure RBAC i Azure Portal.
- Lär dig hur du hanterar åtkomst med:
- Felsökning av rollbaserad åtkomstkontroll i Azure: Få förslag på hur du åtgärdar vanliga problem.