Resource Guard kullanarak çok kullanıcılı yetkilendirme hakkında
Azure Backup için çok kullanıcılı yetkilendirme (MUA), Kurtarma Hizmetleri kasalarınızda ve Backup kasalarınızda kritik işlemlere ek bir koruma katmanı eklemenize olanak tanır. MUA için Azure Backup, kritik işlemlerin yalnızca geçerli yetkilendirmeyle gerçekleştirildiğinden emin olmak için Resource Guard adlı başka bir Azure kaynağı kullanır.
Dekont
Yedekleme kasası için Resource Guard kullanılarak çoklu kullanıcı yetkilendirmesi genel kullanıma sunuldu.
Yedekleme için MUA nasıl çalışır?
Azure Backup, Kurtarma Hizmetleri kasası veya Backup kasası için ek yetkilendirme mekanizması olarak Resource Guard'ı kullanır. Bu nedenle, kritik bir işlemi (aşağıda açıklanmıştır) başarıyla gerçekleştirmek için, ilişkili Resource Guard üzerinde de yeterli izinlere sahip olmanız gerekir.
Önemli
Hedeflenen şekilde çalışması için Resource Guard'ın farklı bir kullanıcıya ait olması ve kasa yöneticisinin Katkıda Bulunan izinlerine sahip olmaması gerekir. Daha iyi koruma sağlamak için Resource Guard'ı kasaları içeren abonelikten farklı bir aboneliğe veya kiracıya yerleştirebilirsiniz.
Kritik işlemler
Aşağıdaki tabloda kritik işlemler olarak tanımlanan işlemler listelenir ve Resource Guard tarafından korunabilir. Kasalarla ilişkilendirirken Resource Guard'ı kullanarak belirli işlemlerin korunmasını dışlamamayı seçebilirsiniz.
Dekont
Zorunlu olarak belirtilen işlemleri, kendisiyle ilişkilendirilmiş kasalar için Resource Guard kullanılarak korunmaktan dışlayamazsınız. Ayrıca, dışlanan kritik işlemler bir Resource Guard ile ilişkili tüm kasalar için geçerli olacaktır.
Kasa seçme
| İşlem | Zorunlu/İsteğe Bağlı |
|---|---|
| Geçici silmeyi devre dışı bırakma | Zorunlu |
| MUA korumasını devre dışı bırakma | Zorunlu |
| Yedekleme ilkesini değiştirme (azaltılmış saklama) | İsteğe bağlı |
| Korumayı değiştirme (azaltılmış saklama) | İsteğe bağlı |
| Verileri silerek korumayı durdurun | İsteğe bağlı |
| MARS güvenlik PIN'ini değiştirme | İsteğe bağlı |
Kavramlar ve süreç
Azure Backup için MUA kullanılırken kullanılan kavramlar ve işlemler aşağıda açıklanmıştır.
Süreci ve sorumlulukları net bir şekilde anlamak için aşağıdaki iki kullanıcıyı ele alalım. Bu makale boyunca bu iki rol için başvuruda bulunur.
Yedekleme yöneticisi: Kurtarma Hizmetleri kasasının veya kasada yönetim işlemlerini gerçekleştiren Backup kasasının sahibi. İlk olarak, Yedekleme yöneticisinin Resource Guard üzerinde herhangi bir izni olmamalıdır.
Güvenlik yöneticisi: Resource Guard'ın sahibidir ve kasadaki kritik işlemlerin ağ geçidi denetleyicisi olarak görev yapar. Bu nedenle Güvenlik yöneticisi, Yedekleme yöneticisinin kasada kritik işlemler gerçekleştirmesi için gereken izinleri denetler.
Aşağıda, MUA'nın Resource Guard kullanılarak yapılandırıldığı bir kasada kritik bir işlem gerçekleştirmeye yönelik diyagramlı bir gösterim yer alır.
Tipik bir senaryoda olayların akışı şöyledir:
Yedekleme yöneticisi Kurtarma Hizmetleri kasasını veya Backup kasasını oluşturur.
Güvenlik yöneticisi Resource Guard'ı oluşturur. Resource Guard, kasayla ilgili olarak farklı bir abonelikte veya farklı bir kiracıda olabilir. Yedekleme yöneticisinin Resource Guard üzerinde Katkıda Bulunan izinlerine sahip olmadığından emin olunmalıdır.
Güvenlik yöneticisi, Resource Guard (veya ilgili bir kapsam) için Yedekleme Yönetici Okuyucu rolü verir. Yedekleme yöneticisi, kasada MUA'yı etkinleştirmek için okuyucu rolünü gerektirir.
Yedekleme yöneticisi artık kasayı Resource Guard aracılığıyla MUA tarafından korunacak şekilde yapılandırıyor.
Şimdi Yedekleme yöneticisi kasada kritik bir işlem gerçekleştirmek istiyorsa Resource Guard'a erişim istemesi gerekir. Yedekleme yöneticisi, bu tür işlemleri gerçekleştirmek için erişim kazanmayla ilgili ayrıntılar için Güvenlik yöneticisine başvurabilir. Bunu Privileged Identity Management (PIM) veya kuruluş tarafından zorunlu kılınan diğer işlemleri kullanarak gerçekleştirebilirler.
Güvenlik yöneticisi, kritik işlemleri gerçekleştirmek için Resource Guard'da Katkıda Bulunan rolünü geçici olarak Yedekleme yöneticisine verir.
Şimdi Yedekleme yöneticisi kritik işlemi başlatır.
Azure Resource Manager, Yedekleme yöneticisinin yeterli izinlere sahip olup olmadığını denetler. Yedekleme yöneticisi artık Resource Guard'da Katkıda Bulunan rolüne sahip olduğundan istek tamamlanır.
Yedekleme yöneticisi gerekli izinlere/rollere sahip olmasaydı istek başarısız olurdu.
Güvenlik yöneticisi, yetkili eylemler gerçekleştirildikten sonra veya tanımlı bir süre sonra kritik işlemleri gerçekleştirme ayrıcalıklarının iptal edilmesini sağlar. JIT araçlarının kullanılması Microsoft Entra Privileged Identity Management bunun sağlanmasında yararlı olabilir.
Dekont
MUA, yalnızca kasalı yedeklemelerde gerçekleştirilen yukarıda listelenen işlemlerde koruma sağlar. Veri kaynağında (yani korunan Azure kaynağı/iş yükü) doğrudan gerçekleştirilen tüm işlemler Resource Guard'ın kapsamının dışındadır.
Kullanım senaryoları
Aşağıdaki tabloda Resource Guard ve kasalarınızı (Kurtarma Hizmetleri kasası ve Backup kasası) oluşturma senaryolarının yanı sıra her birinin sunduğu göreli koruma listelenir.
Önemli
Yedekleme yöneticisinin hiçbir senaryoda Resource Guard için Katkıda Bulunan izinlerine sahip olmaması gerekir.
| Kullanım senaryosu | MUA nedeniyle koruma | Uygulama kolaylığı | Notlar |
|---|---|---|---|
| Kasa ve Resource Guard aynı aboneliktedir . Yedekleme yöneticisinin Resource Guard'a erişimi yok. |
Yedekleme yöneticisi ile Güvenlik yöneticisi arasında en az yalıtım. | Yalnızca bir abonelik gerektiğinden uygulanması görece kolaydır. | Kaynak düzeyi izinlerinin/rollerinin doğru atandığından emin olunması gerekir. |
| Kasa ve Resource Guard farklı aboneliklerde ama aynı kiracıda yer alır. Yedekleme yöneticisinin Resource Guard'a veya ilgili aboneliğe erişimi yoktur. |
Yedekleme yöneticisi ile Güvenlik yöneticisi arasında orta düzeyde yalıtım. | İki abonelik (ancak tek bir kiracı) gerektiğinden, nispeten orta düzeyde uygulama kolaylığı. | Kaynak veya abonelik için izinlerin/rollerin doğru atandığından emin olun. |
| Kasa ve Resource Guard farklı kiracılarda yer alır. Yedekleme yöneticisinin Resource Guard'a, ilgili aboneliğe veya ilgili kiracıya erişimi yoktur. |
Yedekleme yöneticisi ile Güvenlik yöneticisi arasında en yüksek yalıtım, dolayısıyla maksimum güvenlik. | Test etmek için iki kiracı veya dizin gerektiğinden test etmek nispeten zor. | Kaynak, abonelik veya dizin için izinlerin/rollerin doğru atandığından emin olun. |
Sonraki adımlar
Resource Guard kullanarak çok kullanıcılı yetkilendirmeyi yapılandırın.