Hantera Site Recovery åtkomst med rollbaserad åtkomstkontroll i Azure (Azure RBAC)
Rollbaserad åtkomstkontroll i Azure (Azure RBAC) möjliggör detaljerad åtkomsthantering för Azure. Med hjälp av Azure RBAC kan du skilja ansvar inom ditt team och endast bevilja specifika åtkomstbehörigheter till användare efter behov för att utföra specifika jobb.
Azure Site Recovery har tre inbyggda roller för att styra Site Recovery hanteringsåtgärder. Läs mer om inbyggda Roller i Azure
- Site Recovery-bidragsgivare – Den här rollen har alla behörigheter som krävs för att hantera Azure Site Recovery-åtgärder i ett Recovery Services-valv. En användare med denna roll kan dock inte skapa eller ta bort ett Recovery Services-valv eller tilldela behörighet till andra användare. Den här rollen passar bäst för haveriberedskapsadministratörer som kan aktivera och hantera haveriberedskap för program eller hela organisationer, i förekommande fall.
- Site Recovery-operatör – Den här rollen har behörighet att utföra och hantera operationer för redundans och återställning av fel. En användare med den här rollen kan inte aktivera eller inaktivera replikering, skapa eller ta bort valv, registrera ny infrastruktur eller tilldela åtkomsträttigheter till andra användare. Den här rollen passar bäst för en haveriberedskapsoperatör som kan redundansväxlar virtuella datorer eller program när de instrueras av programägare och IT-administratörer i en faktisk eller simulerad katastrofsituation, till exempel ett DR-test. Efter haverilösningen kan DR-operatören skydda och återställa de virtuella datorerna igen.
- Site Recovery-läsare – Den här rollen har behörighet att visa all Site Recovery-hantering. Den här rollen passar bäst för en IT-övervakningsansvarig som kan övervaka det aktuella skyddstillståndet och skapa supportärenden om det behövs.
Om du vill definiera dina egna roller för ännu mer kontroll kan du läsa om hur du skapar anpassade roller i Azure.
Behörigheter som krävs för att aktivera replikering för nya virtuella datorer
När en ny virtuell dator replikeras till Azure med Hjälp av Azure Site Recovery verifieras den associerade användarens åtkomstnivåer för att säkerställa att användaren har de behörigheter som krävs för att använda de Azure-resurser som tillhandahålls för att Site Recovery.
Om du vill aktivera replikering för en ny virtuell dator måste en användare ha:
- Behörighet att skapa en virtuell dator i den valda resursgruppen
- Behörighet att skapa en virtuell dator i det valda virtuella nätverket
- Behörighet att skriva till det valda lagringskontot
En användare behöver följande behörigheter för att slutföra replikeringen av en ny virtuell dator.
Viktigt
Se till att relevanta behörigheter läggs till enligt distributionsmodellen (Resource Manager/klassisk) som används för resursdistribution.
Anteckning
Om du aktiverar replikering för en virtuell Azure-dator och vill tillåta Site Recovery att hantera uppdateringar kan du även skapa ett nytt Automation-konto när du aktiverar replikering. Då behöver du då behörighet att skapa ett Automation-konto i samma prenumeration som valvet.
| Resurstyp | Distributionsmodell | Behörighet |
|---|---|---|
| Compute | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klassisk | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Nätverk | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klassisk | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Storage | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klassisk | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Resursgrupp | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Överväg att använda de inbyggda rollerna "Virtual Machine Contributor" och "Classic Virtual Machine Contributor" för Resource Manager respektive klassiska distributionsmodeller.
Nästa steg
- Rollbaserad åtkomstkontroll i Azure (Azure RBAC): Kom igång med Azure RBAC i Azure Portal.
- Lär dig hur du hanterar åtkomst med:
- Azure RBAC-felsökning: Få förslag på hur du åtgärdar vanliga problem.