Aracılığıyla paylaş


Resource Guard kullanarak çok kullanıcılı yetkilendirme hakkında

Azure Backup için çok kullanıcılı yetkilendirme (MUA), Kurtarma Hizmetleri kasalarınızda ve Backup kasalarınızda kritik işlemlere ek bir koruma katmanı eklemenize olanak tanır. MUA için Azure Backup, kritik işlemlerin yalnızca geçerli yetkilendirmeyle gerçekleştirildiğinden emin olmak için Resource Guard adlı başka bir Azure kaynağı kullanır.

Not

Yedekleme kasası için Resource Guard kullanılarak çoklu kullanıcı yetkilendirmesi genel kullanıma sunuldu.

Yedekleme için MUA nasıl çalışır?

Azure Backup, Kurtarma Hizmetleri kasası veya Backup kasası için ek yetkilendirme mekanizması olarak Resource Guard'ı kullanır. Bu nedenle, kritik bir işlemi (aşağıda açıklanmıştır) başarıyla gerçekleştirmek için, ilişkili Resource Guard üzerinde de yeterli izinlere sahip olmanız gerekir.

Önemli

Hedeflenen şekilde çalışması için Resource Guard'ın farklı bir kullanıcıya ait olması ve kasa yöneticisinin Resource Guard'da Katkıda Bulunan, Yedekleme MUA Yöneticisi veya Yedekleme MUA İşleci izinleri olmamalıdır. Daha iyi koruma sağlamak için Resource Guard'ı kasaları içeren abonelikten farklı bir aboneliğe veya kiracıya yerleştirebilirsiniz.

Kritik işlemler

Aşağıdaki tabloda kritik işlemler olarak tanımlanan işlemler listelenir ve Resource Guard tarafından korunabilir. Kasalarla ilişkilendirirken Resource Guard'ı kullanarak belirli işlemlerin korunmasını dışlamamayı seçebilirsiniz.

Not

Zorunlu olarak belirtilen işlemleri, kendisiyle ilişkilendirilmiş kasalar için Resource Guard kullanılarak korunmaktan dışlayamazsınız. Ayrıca, dışlanan kritik işlemler bir Resource Guard ile ilişkili tüm kasalar için geçerli olacaktır.

Kasa seçme

İşlem Zorunlu/İsteğe Bağlı Açıklama
Geçici silmeyi veya güvenlik özelliklerini devre dışı bırakma Zorunlu Kasada geçici silme ayarını devre dışı bırakın.
MUA korumasını kaldırma Zorunlu Kasada MUA korumasını devre dışı bırakın.
Korumayı silme İsteğe bağlı Yedeklemeleri durdurarak ve silme verileri gerçekleştirerek korumayı silin.
Korumayı değiştirme İsteğe bağlı RPO'yu artırmak için bekletme azaltılmış yeni bir yedekleme ilkesi ekleyin veya ilke sıklığını değiştirin.
İlkeyi değiştirme İsteğe bağlı Bekletmeyi azaltmak için yedekleme ilkesini değiştirin veya RPO'yu artırmak için ilke sıklığını değiştirin.
Yedekleme güvenlik PIN'ini alma İsteğe bağlı MARS güvenlik PIN'ini değiştirin.
Yedeklemeyi durdurma ve verileri saklama İsteğe bağlı Yedeklemeleri durdurarak ve verileri sonsuza kadar tutarak veya ilkeye göre koruyarak korumayı silin.
Değişmezliği devre dışı bırakma İsteğe bağlı Kasada değişmezlik ayarını devre dışı bırakın.

Kavramlar ve süreç

Azure Backup için MUA kullanılırken kullanılan kavramlar ve işlemler aşağıda açıklanmıştır.

Süreci ve sorumlulukları net bir şekilde anlamak için aşağıdaki iki kişiyi ele alalım. Bu iki kişiye bu makale boyunca başvurulmektedir.

Yedekleme yöneticisi: Kurtarma Hizmetleri kasasının veya kasada yönetim işlemlerini gerçekleştiren Backup kasasının sahibi. İlk olarak, Yedekleme yöneticisinin Resource Guard üzerinde herhangi bir izni olmamalıdır. Bu, Kurtarma Hizmetleri kasasında Yedekleme operatörü veya Yedekleme Katkıda Bulunanı RBAC rolü olabilir.

Güvenlik yöneticisi: Resource Guard'ın sahibidir ve kasadaki kritik işlemlerin ağ geçidi denetleyicisi olarak görev yapar. Bu nedenle Güvenlik yöneticisi, Yedekleme yöneticisinin kasada kritik işlemler gerçekleştirmesi için gereken izinleri denetler. Bu, Resource Guard'da Yedekleme MUA Yöneticisi RBAC rolü olabilir.

Aşağıda, MUA'nın Resource Guard kullanılarak yapılandırıldığı bir kasada kritik bir işlem gerçekleştirmeye yönelik diyagramlı bir gösterim yer alır.

Resource Guard kullanarak MUA yapılandırmaya ilişkin diyagramlı gösterim.

Tipik bir senaryoda olayların akışı şöyledir:

  1. Yedekleme yöneticisi Kurtarma Hizmetleri kasasını veya Backup kasasını oluşturur.

  2. Güvenlik yöneticisi Resource Guard'ı oluşturur.

    Resource Guard, kasayla ilgili olarak farklı bir abonelikte veya farklı bir kiracıda olabilir. Yedekleme yöneticisinin Resource Guard'da Katkıda Bulunan, Yedekleme MUA Yöneticisi veya Yedekleme MUA İşleci izinlerine sahip olmadığından emin olun.

  3. Güvenlik yöneticisi, Resource Guard (veya ilgili bir kapsam) için Yedekleme Yöneticisi'ne Okuyucu rolü verir. Yedekleme yöneticisi, kasada MUA'yı etkinleştirmek için okuyucu rolünü gerektirir.

  4. Yedekleme yöneticisi artık kasayı Resource Guard aracılığıyla MUA tarafından korunacak şekilde yapılandırıyor.

  5. Şimdi, Yedekleme yöneticisi veya kasaya yazma erişimi olan herhangi bir kullanıcı kasada Resource Guard ile korunan kritik bir işlem gerçekleştirmek istiyorsa Resource Guard'a erişim istemesi gerekir. Yedekleme Yöneticisi, bu tür işlemleri gerçekleştirmek için erişim kazanmayla ilgili ayrıntılar için Güvenlik yöneticisine başvurabilir. Bunu Privileged Identity Management (PIM) veya kuruluş tarafından zorunlu kılınan diğer işlemleri kullanarak gerçekleştirebilirler. Kullanıcıların yalnızca Resource Guard tarafından korunan kritik işlemleri gerçekleştirmesine olanak tanıyan ve resource Guard'ın silinmesine izin vermeyen "Yedekleme MUA İşleci" RBAC rolü isteyebilirler.

  6. Güvenlik yöneticisi, kritik işlemleri gerçekleştirmek için Resource Guard'da geçici olarak "Yedekleme MUA İşleci" rolünü Yedekleme yöneticisine verir.

  7. Ardından Yedekleme yöneticisi kritik işlemi başlatır.

  8. Azure Resource Manager, Yedekleme yöneticisinin yeterli izinlere sahip olup olmadığını denetler. Yedekleme yöneticisi artık Resource Guard'da "Yedekleme MUA İşleci" rolüne sahip olduğundan istek tamamlanır. Yedekleme yöneticisi gerekli izinlere/rollere sahip değilse istek başarısız olur.

  9. Güvenlik yöneticisi, yetkili eylemler gerçekleştirildikten sonra veya tanımlı bir süre sonra kritik işlemleri gerçekleştirmek için ayrıcalıkların iptal edilmesini sağlamalıdır. Aynı olduğundan emin olmak için Microsoft Entra Privileged Identity Management JIT araçlarını kullanabilirsiniz.

Not

  • Resource Guard'da Katkıda Bulunan veya Yedekleme MUA Yöneticisi rolünü Yedekleme Yöneticisine geçici olarak verirseniz, Resource Guard'da silme izinleri de sağlanır. Yalnızca Yedekleme MUA İşleci izinlerini sağlamanızı öneririz.
  • MUA, yalnızca kasalı yedeklemelerde gerçekleştirilen yukarıda listelenen işlemlerde koruma sağlar. Veri kaynağında (yani korunan Azure kaynağı/iş yükü) doğrudan gerçekleştirilen tüm işlemler Resource Guard'ın kapsamının dışındadır.

Kullanım senaryoları

Aşağıdaki tabloda Resource Guard ve kasalarınızı (Kurtarma Hizmetleri kasası ve Backup kasası) oluşturma senaryolarının yanı sıra her birinin sunduğu göreli koruma listelenir.

Önemli

Bu işlem kasaya MUA koruması eklemeyi geçersiz kıldığından, Yedekleme yöneticisinin herhangi bir senaryoda Resource Guard'a Katkıda Bulunan, Yedek MUA Yöneticisi veya Yedekleme MUA İşleci izinleri olmamalıdır.

Kullanım senaryosu MUA nedeniyle koruma Uygulama kolaylığı Notlar
Kasa ve Resource Guard aynı aboneliktedir .
Yedekleme yöneticisinin Resource Guard'a erişimi yok.
Yedekleme yöneticisi ile Güvenlik yöneticisi arasında en az yalıtım. Yalnızca bir abonelik gerektiğinden uygulanması görece kolaydır. Kaynak düzeyi izinlerinin/rollerinin doğru atandığından emin olunması gerekir.
Kasa ve Resource Guard farklı aboneliklerde ama aynı kiracıda yer alır.
Yedekleme yöneticisinin Resource Guard'a veya ilgili aboneliğe erişimi yoktur.
Yedekleme yöneticisi ile Güvenlik yöneticisi arasında orta düzeyde yalıtım. İki abonelik (ancak tek bir kiracı) gerektiğinden, nispeten orta düzeyde uygulama kolaylığı. Kaynak veya abonelik için izinlerin/rollerin doğru atandığından emin olun.
Kasa ve Resource Guard farklı kiracılarda yer alır.
Yedekleme yöneticisinin Resource Guard'a, ilgili aboneliğe veya ilgili kiracıya erişimi yoktur.
Yedekleme yöneticisi ile Güvenlik yöneticisi arasında en yüksek yalıtım, dolayısıyla maksimum güvenlik. Test etmek için iki kiracı veya dizin gerektiğinden test etmek nispeten zor. Kaynak, abonelik veya dizin için izinlerin/rollerin doğru atandığından emin olun.

Sonraki adımlar

Resource Guard kullanarak çok kullanıcılı yetkilendirmeyi yapılandırın.