關於使用資源防護的多使用者授權
適用於 Azure 備份的多使用者授權 (MUA) 可讓您為復原服務保存庫和備份保存庫上的重要作業增加額外的保護層。 針對 MUA,Azure 備份使用另一種名為資源防護的 Azure 資源,以確保僅在獲得適用授權的情況下執行重要作業。
注意
針對備份保存庫使用資源防護的多使用者授權現已正式推出。
用於備份的 MUA 如何運作?
Azure 備份使用資源防護作為復原服務保存庫或備份保存庫的額外授權機制。 因此,若要成功執行重要作業 (如下所述),您還必須對關聯的資源防護擁有足夠的權限。
重要
若要如預期般運作,Resource Guard 必須由不同的用戶擁有,且 保存庫管理員 不得擁有 Resource Guard 的參與者、 備份 MUA 管理員或 備份 MUA 操作員 許可權。 您可以在訂用帳戶或租用戶中放置與包含保存庫的訂用帳戶或租用戶不同的資源防護,以提供更好的保護。
重要作業
下表列出定義為重要作業並且可以受資源防護保護的作業。 在將保存庫與資源防護關聯時,您可以選擇不使用資源防護保護某些作業。
注意
您無法將標記為「強制」的作業排除在使用與其關聯的保存庫的資源防護保護之外。 此外,已排除的重要作業將適用於與資源防護關聯的所有保存庫。
選擇保存庫
| 作業 | 強制/選用 | 描述 |
|---|---|---|
| 停用虛刪除或安全性功能 | 必要 | 停用保存庫上的虛刪除設定。 |
| 拿掉 MUA 保護 | 必要 | 停用保存庫上的 MUA 保護。 |
| 刪除保護 | 選擇性 | 停止備份並執行刪除資料,以刪除保護。 |
| 修改保護 | 選擇性 | 新增保留期降低或變更原則頻率的新備份原則,以增加 RPO。 |
| 修改原則 | 選擇性 | 修改備份原則以減少保留或變更原則頻率以增加 RPO。 |
| 取得備份安全性 PIN | 選擇性 | 變更MARS安全性 PIN。 |
| 停止備份並保留數據 | 選擇性 | 停止備份並執行永遠保留數據或根據原則保留數據,以刪除保護。 |
| 停用不變性 | 選擇性 | 停用保存庫上的不變性設定。 |
概念及流程
使用適用於 Azure 備份的 MUA 時所涉及的概念和流程說明如下。
讓我們考慮下列兩個角色,以清楚瞭解流程和責任。 本文會參考這兩個角色。
備份管理員:復原服務保存庫的擁有者,或者可對保存庫執行管理作業的備份保存庫。 首先,備份管理員不得對資源防護擁有任何權限。 這可以是 復原服務保存庫中的備份操作員 或 備份參與者 RBAC 角色。
安全性管理員:資源防護的擁有者,並擔任保存庫重要作業的管理員。 因此,安全性管理員會控制備份管理員在保存庫上執行重要作業所需的權限。 這可以是 Resource Guard 上的備份 MUA 管理員 RBAC 角色。
以下是已使用資源防護設定 MUA 的保存庫上執行重要作業的圖示法。
以下是典型案例中的事件流程:
備份管理員建立復原服務保存庫或備份保存庫。
安全性管理員會建立資源防護。
資源防護可以位於不同的訂用帳戶中,也可以位於和保存庫相關的不同租用戶中。 請確定備份管理員在 Resource Guard 上沒有 參與者、 備份 MUA 管理員或 備份 MUA 操作員 許可權。
安全性管理員將讀取程式角色授與資源防護 (或相關範圍) 的備份管理員。 備份管理員需要讀取程式角色才能在保存庫上啟用 MUA。
備份管理員現在將保存庫設定為由 MUA 透過資源防護保護。
現在,如果備份管理員或任何具有保存庫寫入許可權的使用者想要執行在保存庫上使用 Resource Guard 保護的重要作業,他們就必須要求存取 Resource Guard。 備份管理員可以連絡安全性系統管理員,以取得執行這類作業存取權的詳細數據。 他們可以使用 Privileged Identity Management (PIM) 或組織規定的其他流程來執行此作業。 他們可以要求「備份 MUA 操作員」RBAC 角色,讓使用者只執行受 Resource Guard 保護且不允許刪除資源防護的重要作業。
安全性系統管理員會暫時將 Resource Guard 上的「備份 MUA 操作員」角色授與備份管理員,以執行重大作業。
然後,備份管理員會起始重大作業。
Azure Resource Manager 會檢查備份管理員是否有足夠的權限。 由於備份管理員現在在 Resource Guard 上具有「備份 MUA 操作員」角色,因此要求已完成。 如果備份管理員沒有必要的許可權/角色,要求將會失敗。
安全性系統管理員必須確保撤銷在授權動作執行或定義期間之後執行重要作業的許可權。 您可以使用 JIT 工具Microsoft Entra Privileged Identity Management 來確保相同。
注意
- 如果您暫時將 Resource Guard 存取權上的參與者或備份 MUA 管理員角色授與備份管理員,它也會提供 Resource Guard 的刪除許可權。 我們建議您只提供 備份 MUA 操作員 許可權。
- MUA 僅對在保存庫備份上執行的上述作業提供保護。 直接在資料來源 (也就是受保護的 Azure 資源/工作負載) 上執行的任何作業都超出資源防護的範圍。
使用方式情節
下表列出建立資源防護和保存庫 (復原服務保存庫和備份保存庫) 的案例,以及各自提供的相關保護。
重要
備份 管理員 不得在任何案例中擁有 資源防護的參與者、 備份 MUA 管理員或 備份 MUA 操作員 許可權,因為此作業會覆寫在保存庫上新增 MUA 保護。
| 使用方式情節 | 由於 MUA 提供的保護 | 易於實作 | 注意事項 |
|---|---|---|---|
| 保存庫和資源防護位在相同的訂用帳戶中。備份管理員無法存取資源防護。 | 備份管理員和安全性管理員之間的隔離最少。 | 因為只需要一個訂用帳戶,相對容易實作。 | 需要確保正確指派資源層級的權限/角色。 |
| 保存庫和資源防護位在不同的訂用帳戶但相同的租用戶中。備份管理員無法存取資源防護或對應的訂用帳戶。 | 備份管理員和安全性管理員之間的適中隔離。 | 由於需要兩個訂用帳戶 (但只有單一租用戶),實作的難度相對適中。 | 請確保為資源或訂用帳戶正確指派權限/角色。 |
| 保存庫和資源防護在不同的租用戶中。備份管理員無法存取資源防護、對應的訂用帳戶或對應的租用戶。 | 備份管理員和安全性管理員之間的最大隔離,從而實作最大的安全性。 | 執行測試相對困難,因為需要兩個租用戶或目錄進行測試。 | 請確保為資源、訂用帳戶或目錄正確指派權限/角色。 |
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應