Om auktorisering för flera användare med Resource Guard
Med multianvändarauktorisering (MUA) för Azure Backup kan du lägga till ytterligare ett skyddslager till kritiska åtgärder i dina Recovery Services-valv och säkerhetskopieringsvalv. För MUA använder Azure Backup en annan Azure-resurs som kallas Resource Guard för att säkerställa att kritiska åtgärder endast utförs med tillämplig auktorisering.
Kommentar
Auktorisering för flera användare med Resource Guard för Backup-valv är nu allmänt tillgängligt.
Hur fungerar MUA för säkerhetskopiering?
Azure Backup använder Resource Guard som ytterligare en auktoriseringsmekanism för ett Recovery Services-valv eller ett säkerhetskopieringsvalv. För att kunna utföra en kritisk åtgärd (beskrivs nedan) måste du därför också ha tillräcklig behörighet för den associerade Resource Guard.
Viktigt!
För att fungera som avsett måste Resource Guard ägas av en annan användare och valvadministratören får inte ha deltagarbehörighet. Du kan placera Resource Guard i en prenumeration eller klientorganisation som skiljer sig från den som innehåller valven för att ge bättre skydd.
Kritiska åtgärder
I följande tabell visas de åtgärder som definierats som kritiska åtgärder och kan skyddas av en Resource Guard. Du kan välja att undanta vissa åtgärder från att skyddas med hjälp av Resource Guard när du associerar valv med den.
Kommentar
Du kan inte undanta de åtgärder som anges som Obligatoriska från att skyddas med hjälp av Resource Guard för valv som är associerade med det. Dessutom gäller de undantagna kritiska åtgärderna för alla valv som är associerade med en Resource Guard.
Välj ett valv
| Åtgärd | Obligatoriskt/valfritt |
|---|---|
| Inaktivera mjuk borttagning | Obligatorisk |
| Inaktivera MUA-skydd | Obligatorisk |
| Ändra säkerhetskopieringsprincip (minskad kvarhållning) | Valfritt |
| Ändra skydd (minskad kvarhållning) | Valfritt |
| Avbryt skyddet med borttagningsdata | Valfritt |
| Ändra säkerhetskod för MARS | Valfritt |
Begrepp och processer
Begreppen och processerna som ingår när du använder MUA för Azure Backup beskrivs nedan.
Låt oss överväga följande två användare för en tydlig förståelse av processen och ansvarsområden. Dessa två roller refereras i hela den här artikeln.
Administratör för säkerhetskopiering: Ägare av Recovery Services-valvet eller backup-valvet som utför hanteringsåtgärder i valvet. Till att börja med får säkerhetskopieringsadministratören inte ha några behörigheter för Resource Guard.
Säkerhetsadministratör: Ägare av Resource Guard och fungerar som gatekeeper för kritiska åtgärder i valvet. Därför styr säkerhetsadministratören behörigheter som säkerhetskopieringsadministratören behöver för att utföra kritiska åtgärder i valvet.
Följande är en diagrammatisk representation för att utföra en kritisk åtgärd i ett valv som har MUA konfigurerat med hjälp av en Resource Guard.
Här är händelseflödet i ett typiskt scenario:
Säkerhetskopieringsadministratören skapar Recovery Services-valvet eller säkerhetskopieringsvalvet.
Säkerhetsadministratören skapar Resource Guard. Resource Guard kan finnas i en annan prenumeration eller en annan klient med avseende på valvet. Det måste säkerställas att säkerhetskopieringsadministratören inte har deltagarbehörigheter för Resource Guard.
Säkerhetsadministratören ger rollen Läsare till säkerhetskopieringsadministratören för Resource Guard (eller ett relevant omfång). Säkerhetskopieringsadministratören kräver läsarrollen för att aktivera MUA i valvet.
Säkerhetskopieringsadministratören konfigurerar nu valvet så att det skyddas av MUA via Resource Guard.
Om säkerhetskopieringsadministratören nu vill utföra en kritisk åtgärd i valvet måste de begära åtkomst till Resource Guard. Administratören för säkerhetskopiering kan kontakta säkerhetsadministratören för information om hur du får åtkomst till att utföra sådana åtgärder. De kan göra detta med privileged Identity Management (PIM) eller andra processer enligt organisationens mandat.
Säkerhetsadministratören beviljar tillfälligt rollen Deltagare på Resource Guard till säkerhetskopieringsadministratören för att utföra kritiska åtgärder.
Nu initierar säkerhetskopieringsadministratören den kritiska åtgärden.
Azure Resource Manager kontrollerar om säkerhetskopieringsadministratören har tillräcklig behörighet eller inte. Eftersom säkerhetskopieringsadministratören nu har rollen Deltagare i Resource Guard slutförs begäran.
Om säkerhetskopieringsadministratören inte hade de behörigheter/roller som krävs skulle begäran ha misslyckats.
Säkerhetsadministratören ser till att behörigheterna för att utföra kritiska åtgärder återkallas efter att auktoriserade åtgärder har utförts eller efter en definierad varaktighet. Det kan vara användbart att använda JIT-verktyg för Microsoft Entra Privileged Identity Management för att säkerställa detta.
Kommentar
MUA ger endast skydd för ovanstående åtgärder som utförs på de välvda säkerhetskopiorna. Alla åtgärder som utförs direkt på datakällan (dvs. den Azure-resurs/arbetsbelastning som är skyddad) ligger utanför resource guard-omfånget.
Användningsscenarier
I följande tabell visas scenarier för att skapa Resource Guard och valv (Recovery Services-valv och säkerhetskopieringsvalv), tillsammans med det relativa skydd som erbjuds av var och en.
Viktigt!
Säkerhetskopieringsadministratören får inte ha deltagarbehörighet till Resource Guard i något scenario.
| Användningsscenario | Skydd på grund av MUA | Enkel implementering | Anteckningar |
|---|---|---|---|
| Valvet och Resource Guard finns i samma prenumeration. Säkerhetskopieringsadministratören har inte åtkomst till Resource Guard. |
Minsta isolering mellan säkerhetskopieringsadministratören och säkerhetsadministratören. | Relativt enkelt att implementera eftersom endast en prenumeration krävs. | Behörigheter/roller på resursnivå måste vara korrekt tilldelade. |
| Valvet och Resource Guard finns i olika prenumerationer men samma klientorganisation. Säkerhetskopieringsadministratören har inte åtkomst till Resource Guard eller motsvarande prenumeration. |
Medelisolering mellan säkerhetskopieringsadministratören och säkerhetsadministratören. | Relativt enkel implementering eftersom två prenumerationer (men en enda klientorganisation) krävs. | Kontrollera att behörigheter/roller är korrekt tilldelade för resursen eller prenumerationen. |
| Valvet och Resource Guard finns i olika klientorganisationer. Säkerhetskopieringsadministratören har inte åtkomst till Resource Guard, motsvarande prenumeration eller motsvarande klientorganisation. |
Maximal isolering mellan säkerhetskopieringsadministratören och säkerhetsadministratören, därav maximal säkerhet. | Relativt svårt att testa eftersom kräver två klienter eller kataloger för att testa. | Kontrollera att behörigheter/roller är korrekt tilldelade för resursen, prenumerationen eller katalogen. |
Nästa steg
Konfigurera auktorisering för flera användare med Resource Guard.