你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于使用资源防护的多用户授权
用于 Azure 备份的多用户授权 (MUA) 可为恢复服务保管库和备份保管库上的关键操作增添一层额外的保护。 对于 MUA,Azure 备份使用另一个称为资源防护的 Azure 资源来确保仅在适用的授权下执行关键操作。
注意
将资源防护用于备份保管库的多用户授权现已正式发布。
用于备份的 MUA 如何工作?
Azure 备份使用资源防护作为恢复服务保管库或备份保管库的额外授权机制。 因此,若要成功执行关键操作(如下所述),还必须对关联的资源防护拥有足够的权限。
重要
若要按预期方式工作,资源防护的所有者必须是其他用户,并且保管库管理员不得具有参与者权限。 为了提供更好的保护,资源防护所在的订阅或租户可以不同于包含保管库的订阅或租户。
关键操作
下表列出了定义为关键操作并且可由资源防护保护的操作。 在将保管库与资源防护关联时,可以选择使用资源防护将某些操作排除在保护范围外。
注意
对于与资源防护关联的保管库,不能使用资源防护将表示为“必需”的操作排除在保护范围外。 此外,排除的关键操作适用于与资源防护关联的所有保管库。
选择保管库
操作 | 必需/可选 |
---|---|
禁用软删除 | 必需 |
禁用 MUA 保护 | 必需 |
修改备份策略(减少保留) | 可选 |
修改保护(减少保留) | 可选 |
停止保护并删除数据 | 可选 |
更改 MARS 安全 PIN | 可选 |
概念和流程
下面解释了使用用于 Azure 备份的 MUA 时涉及到的一些概念和流程。
让我们以下面两个用户为例来阐释该流程以及各角色的职责。 这两个角色全文都有提及。
备份管理员:恢复服务保管库或备份保管库的所有者,对保管库执行管理操作。 首先,备份管理员不得对资源防护拥有任何权限。
安全管理员:资源防护的所有者,充当保管库关键操作的看门人。 因此,安全管理员控制备份管理员对保管库执行关键操作所需的权限。
下面的图示解释了如何对使用资源防护配置了 MUA 的保管库执行关键操作。
典型方案中的事件流如下:
备份管理员创建恢复服务保管库或备份保管库。
安全管理员创建资源防护。 资源防护可以位于与保管库不同的订阅或租户中。 必须确保备份管理员对资源防护没有参与者权限。
安全管理员向备份管理员授予对资源防护(或相关范围)的读取者角色。 备份管理员需要拥有读取者角色才能在保管库上启用 MUA。
备份管理员现在通过资源防护将保管库配置为由 MUA 提供保护。
现在,如果备份管理员想对保管库执行关键操作,就需要请求访问资源防护。 备份管理员可以联系安全管理员,详细了解如何获取执行此类操作的访问权限。 他们可以使用 Privileged Identity Management (PIM) 或组织要求的其他流程来实现此目的。
安全管理员向备份管理员临时授予对资源防护的参与者角色,以允许其执行关键操作。
现在,备份管理员启动关键操作。
Azure 资源管理器检查备份管理员是否具有足够的权限。 由于备份管理员现在对资源防护具有参与者角色,因此请求将成功完成。
如果备份管理员没有所需的权限/角色,请求将失败。
安全管理员确保在执行授权操作后或在定义的持续时间后撤销执行关键操作的权限。 使用 JIT 工具 Microsoft Entra Privileged Identity Management 可能有助于确保这一点。
注意
MUA 仅对在保管库备份上执行的上述操作提供保护。 直接对数据源(即受保护的 Azure 资源/工作负载)执行的任何操作都超出了资源防护的范围。
使用方案
下表列出了创建资源防护和保管库(恢复服务保管库和备份保管库)的场景,以及每种场景提供的相应保护。
重要
在任何情况下,备份管理员都不能对资源防护具有参与者权限。
使用方案 | 借由 MUA 提供的保护 | 实现难易度 | 备注 |
---|---|---|---|
保管库和资源防护在同一订阅中。备份管理员无权访问资源防护。 | 备份管理员和安全管理员之间的隔离程度最低。 | 相对来说较易实现,因为只需要一个订阅。 | 需要确保正确分配资源级别权限/角色。 |
保管库和资源防护在不同的订阅中,但在相同的租户中。备份管理员无权访问资源防护或相应的订阅。 | 备份管理员和安全管理员之间的隔离程度为中等。 | 实现难易度相对来说为中等,因为需要两个订阅(但只要一个租户)。 | 确保为资源或订阅正确分配权限/角色。 |
保管库和资源防护在不同租户中。备份管理员无权访问资源防护、相应的订阅或相应的租户。 | 备份管理员和安全管理员之间的隔离程度最高,因此最安全。 | 相对来说较难测试,因为需要两个租户或目录进行测试。 | 确保为资源、订阅或目录正确分配权限/角色。 |