你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可以使用 Azure 备份的多用户授权(MUA)为恢复服务保管库和备份保管库上的关键操作增加一层保护。 对于 MUA,Azure 备份使用另一个名为 Resource Guard 的 Azure 资源,以确保关键操作仅在适用的授权下执行。
对备份保管库使用 Resource Guard 的多用户授权现已正式发布。
Azure 备份的 MUA 权限
Azure 备份使用 Resource Guard 作为恢复服务保管库或备份保管库的其他授权机制。 若要成功执行关键作(下一部分所述),必须具有对 Resource Guard 的足够权限。
若要使 MUA 按预期运行:
- 其他用户必须拥有 Resource Guard 实例。
- 保管库管理员不得在资源防护中具有贡献者、备份 MUA 管理员或备份 MUA 操作员权限。
为了提供更好的保护,可以将资源保护器放置在与包含保管库的订阅或租户不同的订阅或租户中。
关键操作
下表列出了定义为关键的作业,并且 Resource Guard 可以提供保护。 在将保管库与 Resource Guard 关联时,可以选择排除不通过 Resource Guard 保护的某些操作。
注意
对于与之关联的保管库,标记为 必需 的操作无法被排除在通过 Resource Guard 进行保护之外。 此外,被排除的关键操作将应用于与 Resource Guard 关联的所有保管库。
| 操作 | 必需/可选 | 说明 |
|---|---|---|
| 禁用软删除或安全功能 | 必需 | 关闭密钥保管库的软删除设置。 |
| 移除 MUA 保护 | 必需 | 在保管库上禁用 MUA 保护。 |
| 删除保护 | 可选 | 通过停止备份和删除数据来删除保护。 |
| 修改保护 | 可选 | 添加保留期减少的新备份策略,或更改策略频率以增加恢复点目标(RPO)。 |
| 修改策略 | 可选 | 修改备份策略以减少保留期,或更改策略频率以增加 RPO。 |
| 获取备份安全 PIN | 可选 | 更改 Microsoft Azure 恢复服务 (MARS) 的安全 PIN。 |
| 停止备份并保留数据 | 可选 | 通过停止备份并永久保留数据或根据策略保留数据来删除保护。 |
| 禁用不可变性 | 可选 | 禁用保管库上的不可变性设置。 |
概念和流程
本部分介绍使用 MUA 进行 Azure 备份时涉及的概念和过程。
若要清楚地了解流程和职责,请考虑以下两个角色。 本文中引用了这些角色。
备份管理员:是恢复服务保管库或备份保管库的所有者,负责对保管库执行管理操作。 首先,备份管理员不得对 Resource Guard 具有任何权限。 备份管理员可以在恢复服务保管库上拥有备份操作员或备份参与者角色访问控制(RBAC)角色。
安全管理员:Resource Guard 实例的所有者,担任保险库上关键操作的守护者。 安全管理员控制备份管理员执行涉及保管库的关键操作所需的权限。 安全管理员可以在 Resource Guard 上担任 Backup MUA Admin RBAC 角色。
下图显示了对已通过 Resource Guard 配置 MUA 的保管库执行关键操作的步骤。
典型方案中的事件流如下:
备份管理员创建恢复服务保管库或备份保管库。
安全管理员创建 Resource Guard 实例。
Resource Guard 实例可以位于不同的订阅中,也可以位于保管库的其他租户中。 确保备份管理员在 Resource Guard 上没有“贡献者”、“备份 MUA 管理员”或“备份 MUA 操作员”权限。
安全管理员将读取者角色授予 Resource Guard 的备份管理员(或相关范围)。 备份管理员需要“读取者”角色才能在保管库上启用多用户认证 (MUA)。
备份管理员配置 MUA,以帮助通过 Resource Guard 保护保管库。
如果备份管理员或任何对保管库具有写入访问权限的用户想要执行受 Resource Guard 保护的关键操作,则需要请求访问 Resource Guard。
备份管理员可以联系安全管理员,了解有关获取执行此类作访问权限的详细信息。 他们可以使用特权标识管理(PIM)或其他组织授权的进程来执行此作。
备份管理员可以请求备份 MUA 操作员 RBAC 角色。 此角色仅允许用户执行由 Resource Guard 保护的关键操作。 它不允许删除 Resource Guard 实例。
安全管理员暂时将 Resource Guard 上的备份 MUA 操作员角色授予备份管理员,以执行关键操作。
备份管理员启动关键操作。
Azure 资源管理器检查备份管理员是否有足够的权限。 由于备份管理员现在在 Resource Guard 上具有备份 MUA 操作员角色,因此请求已完成。 如果备份管理员没有所需的权限或角色,请求将失败。
安全管理员会在执行授权操作后或经过设定的持续时间后,撤销执行关键操作的权限。 可以在 Microsoft Entra Privileged Identity Management 中使用实时 (JIT) 工具来撤销权限。
注意
- 如果将 Resource Guard 上的参与者或备份 MUA 管理员角色暂时授予备份管理员访问权限,该访问权限还会提供对 Resource Guard 的删除权限。 建议仅提供备份 MUA 操作员权限。
- MUA 仅为之前列出的操作执行在保管库备份上的提供保护。 直接对数据源(即受保护的 Azure 资源或工作负荷)执行的任何作都超出了 Resource Guard 的范围。
使用方案
下表列出了创建 Resource Guard 实例和保管库(恢复服务保管库和备份保管库)的方案,以及每个保管库提供的相对保护。
重要说明
在任何方案中,备份管理员不得具有 Resource Guard 的参与者、备份 MUA 管理员或备份 MUA 操作员权限。 这些权限会覆盖掉保管库上的 MUA 保护。
| 使用方案 | MUA 提供的保护 | 轻松实现 | 注释 |
|---|---|---|---|
| 保管库和 Resource Guard 位于同一订阅中。 备份管理员无权访问 Resource Guard。 |
备份管理员与安全管理员之间的最小隔离。 | 相对容易实现,因为只需要一个订阅。 | 需要正确分配资源级权限和角色。 |
| 保管库和 Resource Guard 位于不同的订阅中,但租户相同。 备份管理员无权访问 Resource Guard 或相应的订阅。 |
备份管理员与安全管理员之间的中等隔离。 | 实施相对容易,因为需要两个订阅(但只有一个租户)。 | 确保为资源或订阅正确分配权限和角色。 |
| 保管库和 Resource Guard 位于不同的租户中。
备份管理员无权访问 Resource Guard、相应的订阅或相应的租户。 |
备份管理员与安全管理员之间的最大隔离,可提供最大安全性。 | 测试相对困难,因为测试需要两个租户或目录。 | 确保为资源、订阅或目录正确分配权限和角色。 |