Hantera Site Recovery-åtkomst med rollbaserad åtkomstkontroll i Azure (Azure RBAC)
Rollbaserad åtkomstkontroll i Azure (Azure RBAC) möjliggör detaljerad åtkomsthantering för Azure. Med Hjälp av Azure RBAC kan du dela upp ansvarsområden inom ditt team och endast bevilja specifika åtkomstbehörigheter till användare efter behov för att utföra specifika jobb.
Azure Site Recovery innehåller tre inbyggda roller för att styra Site Recovery-hanteringsåtgärder. Läs mer om inbyggda Azure-roller
- Site Recovery-bidragsgivare – Den här rollen har alla behörigheter som krävs för att hantera Azure Site Recovery-åtgärder i ett Recovery Services-valv. En användare med denna roll kan dock inte skapa eller ta bort ett Recovery Services-valv eller tilldela behörighet till andra användare. Den här rollen passar bäst för administratörer för haveriberedskap som kan aktivera och hantera haveriberedskap för program eller hela organisationer, i förekommande fall.
- Site Recovery-operatör – Den här rollen har behörighet att utföra och hantera operationer för redundans och återställning av fel. En användare med den här rollen kan inte aktivera eller inaktivera replikering, skapa eller ta bort valv, registrera ny infrastruktur eller tilldela åtkomsträttigheter till andra användare. Den här rollen passar bäst för en haveriberedskapsoperator som kan redundansväxlar virtuella datorer eller program när de instrueras av programägare och IT-administratörer i en faktisk eller simulerad katastrofsituation, till exempel ett DR-test. Efter att haveriberedskapen har lösts kan dr-operatören skydda och återställa de virtuella datorerna igen.
- Site Recovery-läsare – Den här rollen har behörighet att visa all Site Recovery-hantering. Den här rollen passar bäst för en IT-övervakningsansvarig som kan övervaka det aktuella skyddstillståndet och skapa supportärenden om det behövs.
Om du vill definiera dina egna roller för ännu mer kontroll kan du läsa om hur du skapar anpassade roller i Azure.
Behörigheter som krävs för att aktivera replikering för nya virtuella datorer
När en ny virtuell dator replikeras till Azure med Azure Site Recovery verifieras den associerade användarens åtkomstnivåer för att säkerställa att användaren har de behörigheter som krävs för att använda De Azure-resurser som tillhandahålls till Site Recovery.
Om du vill aktivera replikering för en ny virtuell dator måste en användare ha:
- Behörighet att skapa en virtuell dator i den valda resursgruppen
- Behörighet att skapa en virtuell dator i det valda virtuella nätverket
- Behörighet att skriva till det valda lagringskontot
En användare behöver följande behörigheter för att slutföra replikeringen av en ny virtuell dator.
Viktigt!
Se till att relevanta behörigheter läggs till per distributionsmodell (Resource Manager/klassisk) som används för resursdistribution.
Kommentar
Om du aktiverar replikering för en virtuell Azure-dator och vill tillåta att Site Recovery hanterar uppdateringar kan du även skapa ett nytt Automation-konto när du aktiverar replikering. Då behöver du även behörighet att skapa ett automationskonto i samma prenumeration som valvet.
| Resurstyp | Distributionsmodell | Behörighet |
|---|---|---|
| Compute | Resource Manager | Microsoft.Compute/availabilitySets/read |
| microsoft.compute/virtualmachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klassisk | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Nätverk | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klassisk | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Storage | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klassisk | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Resursgrupp | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Överväg att använda de inbyggda rollerna "Virtual Machine Contributor" och "Classic Virtual Machine Contributor" för Resource Manager respektive klassiska distributionsmodeller.
Nästa steg
- Rollbaserad åtkomstkontroll i Azure (Azure RBAC): Kom igång med Azure RBAC i Azure Portal.
- Lär dig hur du hanterar åtkomst med:
- Felsökning av Azure RBAC: Få förslag på hur du åtgärdar vanliga problem.