Azure rol tabanlı erişim denetimi (Azure RBAC) ile Site Recovery erişimi yönetme
Azure rol tabanlı erişim denetimi (Azure RBAC), Azure için ayrıntılı erişim yönetimi sağlar. Azure RBAC'yi kullanarak, ekibiniz içindeki sorumlulukları ayrıştırabilir ve belirli işleri gerçekleştirmek için kullanıcılara yalnızca belirli erişim izinleri vekleyebilirsiniz.
Azure Site Recovery, Site Recovery yönetim işlemlerini denetlemek için 3 yerleşik rol sağlar. Azure yerleşik rolleri hakkında daha fazla bilgi edinin
- Site Recovery Katkıda Bulunanı - Bu rol, Kurtarma Hizmetleri kasasında Site Recovery işlemlerini yönetmek için gereken tüm izinlere sahiptir. Ancak bu role sahip kullanıcı, Kurtarma Hizmetleri kasasını oluşturamaz veya silemez ya da diğer kullanıcılara erişim hakkı atayamaz. Bu rol, uygulamalar veya tüm kuruluşlar için olağanüstü durum kurtarmayı etkinleştirebilen ve yönetebilen olağanüstü durum kurtarma yöneticileri için en uygun roldür.
- Site Recovery Operatörü - Bu rol, Yük Devretme ve Yeniden Çalışma işlemlerini yürütme ve yönetme izinlerine sahiptir. Bu role sahip bir kullanıcı çoğaltmayı etkinleştiremez veya devre dışı bırakamaz, kasa oluşturamaz veya silemez, yeni altyapı kaydedemez veya diğer kullanıcılara erişim hakları atayamaz. Bu rol, uygulama sahipleri ve BT yöneticileri tarafından DR tatbikatı gibi gerçek veya sanal bir olağanüstü durum durumunda talimat verildiğinde sanal makineleri veya uygulamaları yük devredebilen bir olağanüstü durum kurtarma operatörü için en uygun roldür. Olağanüstü durum çözümünden sonra DR operatörü sanal makineleri yeniden koruyabilir ve yeniden başlatabilir.
- Site Recovery Okuyucusu - Bu rol tüm Site Recovery yönetim işlemlerini görüntüleme iznine sahiptir. Bu rol, geçerli koruma durumunu izleyebilen ve gerekirse destek bileti oluşturabilen bir BT izleme yöneticisi için en uygun roldür.
Daha fazla denetim için kendi rollerinizi tanımlamak istiyorsanız bkz. Azure'da özel roller oluşturma .
Yeni sanal makineler için çoğaltmayı etkinleştirmek için gereken izinler
Azure Site Recovery kullanılarak Azure'a yeni bir Sanal Makine çoğaltıldığında, kullanıcının Site Recovery için sağlanan Azure kaynaklarını kullanmak için gerekli izinlere sahip olduğundan emin olmak için ilişkili kullanıcının erişim düzeyleri doğrulanır.
Yeni bir sanal makinede çoğaltmayı etkinleştirmek için kullanıcının aşağıdakilere sahip olması gerekir:
- Seçili kaynak grubunda sanal makine oluşturma izni
- Seçili sanal ağda sanal makine oluşturma izni
- Seçili Depolama hesabına yazma izni
Bir kullanıcının yeni bir sanal makinenin çoğaltmasını tamamlamak için aşağıdaki izinlere ihtiyacı vardır.
Önemli
Kaynak dağıtımı için kullanılan dağıtım modeline (Resource Manager/Klasik) göre ilgili izinlerin eklendiğinden emin olun.
Not
Azure VM için çoğaltmayı etkinleştiriyorsanız ve Site Recovery güncelleştirmeleri yönetmesine izin vermek istiyorsanız, çoğaltmayı etkinleştirirken yeni bir Otomasyon hesabı da oluşturmak isteyebilirsiniz. Bu durumda kasayla aynı abonelikte otomasyon hesabı oluşturmak için de izin almanız gerekebilir.
| Kaynak Türü | Dağıtım Modeli | İzin |
|---|---|---|
| İşlem | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klasik | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Ağ | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klasik | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Depolama | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klasik | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Kaynak Grubu | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
sırasıyla Resource Manager ve Klasik dağıtım modelleri için 'Sanal Makine Katılımcısı' ve 'Klasik Sanal Makine Katılımcısı' yerleşik rollerini kullanmayı göz önünde bulundurun.
Sonraki adımlar
- Azure rol tabanlı erişim denetimi (Azure RBAC): Azure portal Azure RBAC'yi kullanmaya başlayın.
- Şu özelliklerle erişimi yönetmeyi öğrenin:
- Azure RBAC sorunlarını giderme: Yaygın sorunları gidermek için öneriler alın.