關於使用資源防護的多使用者授權
適用於 Azure 備份的多使用者授權 (MUA) 可讓您為復原服務保存庫和備份保存庫上的重要作業增加額外的保護層。 針對 MUA,Azure 備份使用另一種名為資源防護的 Azure 資源,以確保僅在獲得適用授權的情況下執行重要作業。
注意
針對備份保存庫使用資源防護的多使用者授權現已正式推出。
用於備份的 MUA 如何運作?
Azure 備份使用資源防護作為復原服務保存庫或備份保存庫的額外授權機制。 因此,若要成功執行重要作業 (如下所述),您還必須對關聯的資源防護擁有足夠的權限。
重要
若要以預期方式運作,資源防護必須由不同的使用者擁有,而且保存庫管理員在資源防護上不得擁有參與者、Azure 備份 MUA 系統管理員或Azure 備份 MUA 操作員權限。 您可以在訂用帳戶或租用戶中放置與包含保存庫的訂用帳戶或租用戶不同的資源防護,以提供更好的保護。
重要作業
下表列出定義為重要作業並且可以受資源防護保護的作業。 在將保存庫與資源防護關聯時,您可以選擇不使用資源防護保護某些作業。
注意
您無法將標記為「強制」的作業排除在使用與其關聯的保存庫的資源防護保護之外。 此外,已排除的重要作業將適用於與資源防護關聯的所有保存庫。
選擇保存庫
| 作業 | 強制/選用 | 描述 |
|---|---|---|
| 停用 [虚删除] 或 [安全性功能] | 必要 | 停用保存庫上的虛刪除設定。 |
| 移除 MUA 保護 | 必要 | 停用保存庫上的 MUA 保護。 |
| 刪除保護 | 選擇性 | 停止備份並執行刪除資料,以刪除保護。 |
| 修改保護 | 選擇性 | 新增保留率降低或變更原則頻率的新備份原則,以增加 RPO。 |
| 修改原則 | 選擇性 | 修改備份原則以降低保留率或變更原則頻率,以增加 RPO。 |
| 取得備份安全性 PIN | 選擇性 | 變更 MARS 安全性 PIN。 |
| 停止備份並保留資料 | 選擇性 | 停止備份並執行永遠保留資料或根據原則保留資料,以刪除保護。 |
| 停用不變性 | 選擇性 | 停用保存庫上的不變性設定。 |
概念及流程
使用適用於 Azure 備份的 MUA 時所涉及的概念和流程說明如下。
讓我們考慮以下兩個角色,以便清楚了解流程和職責。 本文將引用這兩個角色。
備份管理員:復原服務保存庫的擁有者,或者可對保存庫執行管理作業的備份保存庫。 首先,備份管理員不得對資源防護擁有任何權限。 這可以是復原服務保存庫上的 Azure 備份操作員或 Azure 備份參與者 RBAC 角色。
安全性管理員:資源防護的擁有者,並擔任保存庫重要作業的管理員。 因此,安全性管理員會控制備份管理員在保存庫上執行重要作業所需的權限。 這可以是資源防護上 Azure 備份 MUA 系統管理員 RBAC 角色。
以下是已使用資源防護設定 MUA 的保存庫上執行重要作業的圖示法。
以下是典型案例中的事件流程:
備份管理員建立復原服務保存庫或備份保存庫。
安全性管理員會建立資源防護。
資源防護可以位於不同的訂用帳戶中,也可以位於和保存庫相關的不同租用戶中。 確保備份系統管理員在資源防護上沒有參與者、Azure 備份 MUA 系統管理員或 Azure 備份 MUA 操作員權限。
安全性管理員將讀取程式角色授與資源防護 (或相關範圍) 的備份管理員。 備份管理員需要讀取程式角色才能在保存庫上啟用 MUA。
備份管理員現在將保存庫設定為由 MUA 透過資源防護保護。
現在,如果備份管理員或任何具有保存庫寫入權限的使用者想要執行在保存庫上使用資源防護保護的重要作業,他們就必須要求存取資源防護。 備份管理員可以聯絡安全性管理員,以獲取執行此類作業存取權的詳細資料。 他們可以使用 Privileged Identity Management (PIM) 或組織規定的其他流程來執行此作業。 他們可以要求「備份 MUA 操作員」RBAC 角色,讓使用者只執行受資源防護保護且不允許刪除資源防護的重要作業。
安全性管理員臨時將資源防護上的「備份 MUA 操作員」角色授與給備份管理員以執行重要作業。
然後,備份管理員會起始重要作業。
Azure Resource Manager 會檢查備份管理員是否有足夠的權限。 由於備份管理員現在在資源防護上已擁有「備份 MUA 操作員」角色,因此要求已完成。 如果備份管理員沒有所需的權限/角色,要求則會失敗。
安全性系統管理員必須確保撤銷在授權動作執行或定義期間之後執行重要作業的權限。 您可以使用 JIT 工具 Microsoft Entra Privileged Identity Management 以確保相同的動作。
注意
- 如果您暫時將資源防護存取權上的參與者或備份 MUA 管理員角色授與備份管理員,它也會提供資源防護上的刪除權限。 我們建議您只提供Azure 備份 MUA 操作員權限。
- MUA 僅對在保存庫備份上執行的上述作業提供保護。 直接在資料來源 (也就是受保護的 Azure 資源/工作負載) 上執行的任何作業都超出資源防護的範圍。
使用方式情節
下表列出建立資源防護和保存庫 (復原服務保存庫和備份保存庫) 的案例,以及各自提供的相關保護。
重要
在任何情況下,Azure 備份管理員不得有資源防護的參與者、Azure 備份 MUA 系統管理員,或Azure 備份 MUA 操作員權限,因為這會覆寫在保存庫上新增 MUA 保護。
| 使用方式情節 | 由於 MUA 提供的保護 | 易於實作 | 注意事項 |
|---|---|---|---|
| 保存庫和資源防護位在相同的訂用帳戶中。 Azure 備份管理員無法存取資源防護。 |
備份管理員和安全性管理員之間的隔離最少。 | 因為只需要一個訂用帳戶,相對容易實作。 | 需要確保正確指派資源層級的權限/角色。 |
| 保存庫和資源防護位在不同的訂用帳戶但相同的租用戶中。 Azure 備份管理員無法存取資源防護或對應的訂用帳戶。 |
備份管理員和安全性管理員之間的適中隔離。 | 由於需要兩個訂用帳戶 (但只有單一租用戶),實作的難度相對適中。 | 請確保為資源或訂用帳戶正確指派權限/角色。 |
| 保存庫和資源防護在不同的租用戶中。 Azure 備份管理員無法存取資源防護、對應的訂用帳戶或對應的租用戶。 |
備份管理員和安全性管理員之間的最大隔離,從而實作最大的安全性。 | 執行測試相對困難,因為需要兩個租用戶或目錄進行測試。 | 請確保為資源、訂用帳戶或目錄正確指派權限/角色。 |