Azure Backup kurtarma noktalarını yönetmek için Azure rol tabanlı erişim denetimini kullanma
Azure rol tabanlı erişim denetimi (Azure RBAC), Azure için ayrıntılı erişim yönetimi sağlar. Azure RBAC kullanarak ekibiniz içinde görevleri ayırabilir, bu işlere gerek duyan kişilere sadece erişim miktarını verebilirsiniz.
Önemli
Azure Backup tarafından sağlanan roller, Azure portalında veya REST API veya Kurtarma Hizmetleri kasası PowerShell veya CLI cmdlet'leri aracılığıyla gerçekleştirilebilecek eylemlerle sınırlıdır. Azure Backup aracısı istemci kullanıcı arabiriminde veya System center Data Protection Manager kullanıcı arabiriminde veya Azure Backup Sunucusu kullanıcı arabiriminde gerçekleştirilen eylemler bu rollerin denetiminden çıkar.
Azure Backup, yedekleme yönetimi işlemlerini denetlemek için üç yerleşik rol sağlar. Azure yerleşik rolleri hakkında daha fazla bilgi edinin
- Yedekleme Katkıda Bulunanı - Bu rol, Kurtarma Hizmetleri kasasını silme ve başkalarına erişim verme dışında yedekleme oluşturma ve yönetmeye yönelik tüm izinlere sahiptir. Bu rolü, her yedekleme yönetimi işlemini yapabilen yedekleme yönetiminin yöneticisi olarak düşünün.
- Yedekleme İşleci - Bu rol, yedeklemeyi kaldırma ve yedekleme ilkelerini yönetme dışında katkıda bulunanların yaptığı her şey için izinlere sahiptir. Bu rol, verileri silerek yedeklemeyi durdurma veya şirket içi kaynakların kaydını kaldırma gibi yıkıcı işlemler gerçekleştirememesi dışında katkıda bulunanla eşdeğerdir.
- Yedekleme Okuyucusu - Bu rolün tüm yedekleme yönetimi işlemlerini görüntüleme izinleri vardır. Bu rolün bir izleme kişisi olduğunu düşünün.
Daha fazla denetim için kendi rollerinizi tanımlamak istiyorsanız bkz . Azure RBAC'de Özel roller oluşturma.
Yedekleme yerleşik rollerini yedekleme yönetimi eylemleriyle eşleme
Azure VM yedeklemesi için en düşük rol gereksinimleri
Aşağıdaki tabloda Yedekleme yönetimi eylemleri ve bu işlemi gerçekleştirmek için gereken en düşük Azure rolü yakalanır.
| Yönetim İşlemi | Gereken en düşük Azure rolü | Kapsam Gerekli | Alternatif |
|---|---|---|---|
| Kurtarma Hizmetleri kasası oluşturma | Yedekleme Katkıda Bulunanı | Kasayı içeren kaynak grubu | |
| Azure VM'lerinin yedeklemesini etkinleştirme | Yedekleme Operatörü | Kasayı içeren kaynak grubu | |
| Sanal Makine Katılımcısı | VM kaynağı | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Azure VM'lerinin yedeklemesini etkinleştirme (VM dikey penceresinden) | Yedekleme Operatörü | Kasayı içeren kaynak grubu | |
| Yedekleme Operatörü | Sanal makineyi içeren kaynak grubu | ||
| Sanal Makine Katılımcısı | VM kaynağı | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| VM'nin isteğe bağlı yedeklemesi | Yedekleme Operatörü | Kurtarma Hizmetleri kasası | |
| Sanal makineyi geri yükleme | Yedekleme Operatörü | Kurtarma Hizmetleri kasası | |
| Katılımcı | VM'nin dağıtılacağı kaynak grubu | Alternatif olarak, yerleşik rol yerine şu izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (yalnızca klasik VM geri yüklemesi için gereklidir ve yönetilen VM'ler için gerekli değildir), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/ alt ağlar/birleştirme/eylem | |
| Sanal Makine Katılımcısı | Yedeklenen kaynak VM | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Depolama Hesabı Katılımcısı | Disklerin geri yükleneceği depolama hesabı kaynağı | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Yönetilmeyen diskleri geri yükleme VM yedeklemesi | Yedekleme Operatörü | Kurtarma Hizmetleri kasası | |
| Sanal Makine Katılımcısı | Yedeklenen kaynak VM | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Depolama Hesabı Katılımcısı | Disklerin geri yükleneceği depolama hesabı kaynağı | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Yönetilen diskleri VM yedeklemesinden geri yükleme | Yedekleme Operatörü | Kurtarma Hizmetleri kasası | |
| Sanal Makine Katılımcısı | Yedeklenen kaynak VM | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Depolama Hesabı Katılımcısı | Verileri yönetilen disklere dönüştürmeden önce kasadaki verileri tutmak için geri yüklemenin bir parçası olarak seçilen geçici Depolama hesabı | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Katılımcı | Yönetilen disklerin geri yükleneceği kaynak grubu | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Resources/subscriptions/resourceGroups/write | |
| VM yedeklemesinden tek tek dosyaları geri yükleme | Yedekleme Operatörü | Kurtarma Hizmetleri kasası | |
| Sanal Makine Katılımcısı | Yedeklenen kaynak VM | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Bölgeler arası geri yükleme | Yedekleme Operatörü | Kurtarma Hizmetleri kasası aboneliği | Bu, yukarıda belirtilen geri yükleme izinlerine ek olarak yapılır. Özellikle yerleşik rol yerine CRR için, şu izinlere sahip özel bir rol düşünebilirsiniz: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Azure VM yedeklemesi için yedekleme ilkesi oluşturma | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası | |
| Azure VM yedeklemesinin yedekleme ilkesini değiştirme | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası | |
| Azure VM yedeklemesinin yedekleme ilkesini silme | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası | |
| VM yedeklemesinde yedeklemeyi durdurma (verileri saklama veya silme ile) | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası | |
| Şirket içi Windows Server/client/SCDPM veya Azure Backup Sunucusu'nu kaydetme | Yedekleme Operatörü | Kurtarma Hizmetleri kasası | |
| Kayıtlı şirket içi Windows Server/istemci/SCDPM veya Azure Backup Sunucusu'nu silme | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası |
Önemli
VM kaynak kapsamında VM Katkıda Bulunanı'nı belirtir ve VM ayarlarının bir parçası olarak Yedekle'yi seçerseniz, VM zaten yedeklenmiş olsa bile Yedeklemeyi Etkinleştir ekranı açılır. Bunun nedeni yedekleme durumunu doğrulama çağrısının yalnızca abonelik düzeyinde çalışmasıdır. Bunu önlemek için kasaya gidin ve VM'nin yedekleme öğesi görünümünü açın veya ABONELIK düzeyinde VM Katkıda Bulunanı rolünü belirtin.
Azure iş yükü yedeklemeleri için en düşük rol gereksinimleri (SQL ve HANA DB yedeklemeleri)
Aşağıdaki tabloda Yedekleme yönetimi eylemleri ve bu işlemi gerçekleştirmek için gereken en düşük Azure rolü yakalanır.
| Yönetim İşlemi | Gereken en düşük Azure rolü | Kapsam Gerekli | Alternatif |
|---|---|---|---|
| Kurtarma Hizmetleri kasası oluşturma | Yedekleme Katkıda Bulunanı | Kasayı içeren kaynak grubu | |
| SQL ve/veya HANA veritabanlarının yedeklerini etkinleştirme | Yedekleme Operatörü | Kasayı içeren kaynak grubu | |
| Sanal Makine Katılımcısı | DB'nin yüklü olduğu VM kaynağı | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Veritabanının isteğe bağlı yedeklemesi | Yedekleme Operatörü | Kurtarma Hizmetleri kasası | |
| Veritabanını geri yükleme veya Dosya olarak geri yükleme | Yedekleme Operatörü | Kurtarma Hizmetleri kasası | |
| Sanal Makine Katılımcısı | Yedeklenen kaynak VM | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Sanal Makine Katılımcısı | VERITABANı'nın geri yükleneceği veya dosyaların oluşturulduğu hedef VM | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Azure VM yedeklemesi için yedekleme ilkesi oluşturma | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası | |
| Azure VM yedeklemesinin yedekleme ilkesini değiştirme | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası | |
| Azure VM yedeklemesinin yedekleme ilkesini silme | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası | |
| VM yedeklemesinde yedeklemeyi durdurma (verileri saklama veya silme ile) | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası | |
| Sanal Makine Katılımcısı | Yedeklenen kaynak VM | Alternatif olarak, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol düşünebilirsiniz: Microsoft.Compute/virtualMachines/write | |
| Bölgeler arası geri yükleme | Yedekleme Operatörü | Kurtarma Hizmetleri kasası aboneliği | Bu, yukarıda belirtilen geri yükleme izinlerine ek olarak sağlanır. Bölgeler arası geri yükleme durumunda, yerleşik rol yerine aşağıdaki izinlere sahip özel bir rol kullanabilirsiniz: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Azure Dosya paylaşımı yedeklemesi için en düşük rol gereksinimleri
Aşağıdaki tabloda Yedekleme yönetimi eylemleri ve bu işlemi gerçekleştirmek için gereken ilgili Azure rolü yakalanır.
| Yönetim İşlemi | Rol Gerekli | Kaynaklar |
|---|---|---|
| Kurtarma Hizmetleri kasasından yedeklemeyi etkinleştirme | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası |
| Depolama hesabı Katkıda Bulunanı | Depolama hesabı kaynağı | |
| Dosya paylaşımı dikey penceresinden yedeklemeyi etkinleştirme | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası |
| Depolama hesabı Katkıda Bulunanı | Depolama hesabı Kaynağı | |
| Katılımcı | Abonelik | |
| Dosya paylaşımının isteğe bağlı yedeklemesi | Yedekleme Operatörü | Kurtarma Hizmetleri kasası |
| Dosya paylaşımını geri yükleme | Yedekleme Operatörü | Kurtarma Hizmetleri kasası |
| Depolama Hesabı Yedekleme Katkıda Bulunanı | Geri yükleme kaynağı ve Hedef dosya paylaşımlarının bulunduğu depolama hesabı kaynakları | |
| Tek Tek Dosyaları Geri Yükle | Yedekleme Operatörü | Kurtarma Hizmetleri kasası |
| Depolama Hesabı Katılımcısı | Geri yükleme kaynağı ve Hedef dosya paylaşımlarının bulunduğu depolama hesabı kaynakları | |
| Korumayı durdurma | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası |
| Kasadan depolama hesabının kaydını kaldırma | Yedekleme Katkıda Bulunanı | Kurtarma Hizmetleri kasası |
| Depolama Hesabı Katılımcısı | Depolama hesabı kaynağı |
Not
Kaynak grubu düzeyinde katkıda bulunan erişiminiz varsa ve dosya paylaşımı dikey penceresinden yedeklemeyi yapılandırmak istiyorsanız abonelik düzeyinde microsoft.recoveryservices/Locations/backupStatus/action izni aldığınızdan emin olun. Bunu yapmak için özel bir rol oluşturun ve bu izni atayın.
Azure disk yedeklemesi için en düşük rol gereksinimleri
Azure blob yedeklemesi için en düşük rol gereksinimleri
PostGreSQL için Azure veritabanı sunucu yedeklemesi için en düşük rol gereksinimleri
Sonraki adımlar
- Azure rol tabanlı erişim denetimi (Azure RBAC): Azure portalında Azure RBAC'yi kullanmaya başlayın.
- Aşağıdakilerle erişimi yönetmeyi öğrenin:
- Azure rol tabanlı erişim denetimi sorunlarını giderme: Yaygın sorunları gidermek için öneriler alın.