使用 Azure 角色型存取控制來管理 Azure 備份復原點
Azure 角色型存取控制 (Azure RBAC) 可以對 Azure 進行更細緻的存取權管理。 Azure RBAC 可讓您區隔小組內的職責,而僅授與使用者執行作業所需的存取權。
重要
Azure 備份所提供的角色僅限執行可在 Azure 入口網站或透過 REST API 或復原服務保存庫 PowerShell 或 CLI Cmdlet 中執行的動作。 在 Azure 備份代理程式用戶端 UI、System Center Data Protection Manager UI 或 Azure 備份伺服器 UI 中執行的動作則非這些角色所能控制。
Azure 備份提供三種用來控制備份管理作業的內建角色。 深入了解 Azure 內建角色
- 備份參與者 - 此角色具有所有用來建立和管理備份的權限,但用來刪除復原服務保存庫和賦予他人存取權的權限除外。 您可以將此角色想做是管理備份的系統管理員,其可執行每一種備份管理作業。
- 備份操作員 - 此角色擁有參與者的所有權限,但用來移除備份和管理備份原則的權限除外。 此角色相當於參與者,但無法執行破壞性作業,例如停止備份並刪除資料,或移除內部部署資源的註冊。
- 備份讀取者 - 此角色擁有用來檢視所有備份管理作業的權限。 您可以將此角色想做是監視者。
如果您想要定義自己的角色,獲得更進一步控制,請參閱如何建立 Azure RBAC 中的自訂角色。
將備份的內建角色對應至備份管理動作
Azure VM 備份的最低角色需求
下表會擷取備份管理動作與執行該作業所需的對應最低 Azure 角色。
| 管理作業 | 需要的最低 Azure 角色 | 所需的範圍 | 替代函式 |
|---|---|---|---|
| 建立復原服務保存庫 | 備份參與者 | 包含保存庫的資源群組 | |
| 啟用 Azure VM 的備份 | 備份操作員 | 包含保存庫的資源群組 | |
| 虛擬機器參與者 | VM 資源 | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 啟用 Azure VM 備份 (從 VM 刀鋒視窗) | 備份操作員 | 包含保存庫的資源群組 | |
| 備份操作員 | 包含虛擬機器的資源群組 | ||
| 虛擬機器參與者 | VM 資源 | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| VM 的隨選備份 | 備份操作員 | 復原服務保存庫 | |
| 還原 VM | 備份操作員 | 復原服務保存庫 | |
| 參與者 | 將部署 VM 的資源群組 | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (只有傳統 VM 還原才需要,受控 VM 則不需要)、Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action | |
| 虛擬機器參與者 | 備份的來源 VM | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 還原非受控磁碟 VM 備份 | 備份操作員 | 復原服務保存庫 | |
| 虛擬機器參與者 | 備份的來源 VM | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 儲存體帳戶參與者 | 要還原磁碟的儲存體帳戶資源 | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Storage/storageAccounts/write | |
| 從 VM 備份還原受控磁碟 | 備份操作員 | 復原服務保存庫 | |
| 虛擬機器參與者 | 備份的來源 VM | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 儲存體帳戶參與者 | 在還原過程中選取,用來在將保存庫的資料轉換至受控磁碟之前,先保留資料的暫時儲存體帳戶 | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Storage/storageAccounts/write | |
| 參與者 | 要將受控磁碟還原到其中的資源群組 | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Resources/subscriptions/resourceGroups/write | |
| 從 VM 備份還原個別檔案 | 備份操作員 | 復原服務保存庫 | |
| 虛擬機器參與者 | 備份的來源 VM | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 跨區域還原 | 備份操作員 | 復原服務保存庫的訂用帳戶 | 這是以上所提及的還原權限的增加。 特別針對 CRR,不要使用內建角色,您可以考慮具有下列權限的自訂角色:"Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| 建立 Azure VM 備份的備份原則 | 備份參與者 | 復原服務保存庫 | |
| 修改 Azure VM 備份的備份原則 | 備份參與者 | 復原服務保存庫 | |
| 刪除 Azure VM 備份的備份原則 | 備份參與者 | 復原服務保存庫 | |
| 在 VM 備份上停止備份 (保留資料或刪除資料) | 備份參與者 | 復原服務保存庫 | |
| 註冊內部部署 Windows Server/用戶端/SCDPM 或 Azure 備份伺服器 | 備份操作員 | 復原服務保存庫 | |
| 刪除已註冊的內部部署 Windows Server/用戶端/SCDPM 或 Azure 備份伺服器 | 備份參與者 | 復原服務保存庫 |
重要
如果您在 VM 資源範圍指定 VM 參與者,並選取 [備份] 作為 VM 設定的一部分,則會開啟 [啟用備份] 畫面,即使 VM 已備份也一樣。 這是因為驗證備份狀態的呼叫僅適用於訂用帳戶層級。 若要避免這種情況,請移至保存庫並開啟 VM 的備份項目檢視,或在訂用帳戶層級指定 VM 參與者角色。
Azure 工作負載備份 (SQL 和 HANA DB 備份) 的最低角色需求
下表會擷取備份管理動作與執行該作業所需的對應最低 Azure 角色。
| 管理作業 | 需要的最低 Azure 角色 | 所需的範圍 | 替代函式 |
|---|---|---|---|
| 建立復原服務保存庫 | 備份參與者 | 包含保存庫的資源群組 | |
| 啟用 SQL 和/或 HANA 資料庫的備份 | 備份操作員 | 包含保存庫的資源群組 | |
| 虛擬機器參與者 | 安裝資料庫所在的 VM 資源 | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 資料庫的隨選備份 | 備份操作員 | 復原服務保存庫 | |
| 還原資料庫或還原為檔案 | 備份操作員 | 復原服務保存庫 | |
| 虛擬機器參與者 | 備份的來源 VM | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 虛擬機器參與者 | 將在其中還原資料庫或建立檔案的目標 VM | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 建立 Azure VM 備份的備份原則 | 備份參與者 | 復原服務保存庫 | |
| 修改 Azure VM 備份的備份原則 | 備份參與者 | 復原服務保存庫 | |
| 刪除 Azure VM 備份的備份原則 | 備份參與者 | 復原服務保存庫 | |
| 在 VM 備份上停止備份 (保留資料或刪除資料) | 備份參與者 | 復原服務保存庫 | |
| 虛擬機器參與者 | 備份的來源 VM | 或者,不要使用內建角色,您可以考慮具有下列權限的自訂角色:Microsoft.Compute/virtualMachines/write | |
| 跨區域還原 | 備份操作員 | 復原服務保存庫的訂用帳戶 | 這是以上所提及的還原權限的補充。 如果是跨區域還原 (而不是內建角色),您可以使用具有下列權限的自訂角色: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Azure 檔案共用備份的最低角色需求
下表會擷取備份管理動作與執行該作業所需的對應 Azure 角色。
| 管理作業 | 需要的角色 | 資源 |
|---|---|---|
| 在復原服務保存庫中啟用備份 | 備份參與者 | 復原服務保存庫 |
| 儲存體帳戶參與者 | 儲存體帳戶資源 | |
| 從檔案共用刀鋒啟用備份 | 備份參與者 | 復原服務保存庫 |
| 儲存體帳戶參與者 | 儲存體帳戶資源 | |
| 參與者 | 訂用帳戶 | |
| 檔案共用的隨選備份 | 備份操作員 | 復原服務保存庫 |
| 還原檔案共用 | 備份操作員 | 復原服務保存庫 |
| 儲存體帳戶備份參與者 | 有還原來源和目標檔案共用的儲存體帳戶資源 | |
| 還原個別檔案 | 備份操作員 | 復原服務保存庫 |
| 儲存體帳戶參與者 | 有還原來源和目標檔案共用的儲存體帳戶資源 | |
| 停止保護 | 備份參與者 | 復原服務保存庫 |
| 從保存庫取消註冊儲存體帳戶 | 備份參與者 | 復原服務保存庫 |
| 儲存體帳戶參與者 | 儲存體帳戶資源 |
注意
若已在資源群組層級具有參與者存取權,並且想要從檔案共用刀鋒設定備份,請先確認您已取得訂用帳戶層級的 microsoft.recoveryservices/Locations/backupStatus/action 許可權。 若要這樣做,請建立自訂角色,並指派此許可權。
Azure 磁碟備份的最低角色需求
| 管理作業 | 需要的最低 Azure 角色 | 所需的範圍 | 替代函式 |
|---|---|---|---|
| 先驗證再設定備份 | 備份操作員 | 備份保存庫 | |
| 磁碟備份讀取器 | 要備份的磁碟 | ||
| 從備份保存庫啟用備份 | 備份操作員 | 備份保存庫 | |
| 磁碟備份讀取器 | 要備份的磁碟 | 此外,應該將這些權限授與備份保存庫 MSI | |
| 磁碟的隨選備份 | 備份操作員 | 備份保存庫 | |
| 先驗證再復原磁碟 | 備份操作員 | 備份保存庫 | |
| 磁碟還原運算子 | 將用於儲存復原磁碟的資源群組 | ||
| 復原磁碟 | 備份操作員 | 備份保存庫 | |
| 磁碟還原運算子 | 將用於儲存復原磁碟的資源群組 | 此外,應該將這些權限授與備份保存庫 MSI |
Azure Blob 備份的最低角色需求
| 管理作業 | 需要的最低 Azure 角色 | 所需的範圍 | 替代函式 |
|---|---|---|---|
| 先驗證再設定備份 | 備份操作員 | 備份保存庫 | |
| 儲存體帳戶備份參與者 | 包含 Blob 的儲存體帳戶 | ||
| 從備份保存庫啟用備份 | 備份操作員 | 備份保存庫 | |
| 儲存體帳戶備份參與者 | 包含 Blob 的儲存體帳戶 | 此外,應該將這些權限授與備份保存庫 MSI | |
| Blob 的隨選備份 | 備份操作員 | 備份保存庫 | |
| 先驗證再復原 blob | 備份操作員 | 備份保存庫 | |
| 儲存體帳戶備份參與者 | 包含 Blob 的儲存體帳戶 | ||
| 復原 blob | 備份操作員 | 備份保存庫 | |
| 儲存體帳戶備份參與者 | 包含 Blob 的儲存體帳戶 | 此外,應該將這些權限授與備份保存庫 MSI |
適用於 PostGreSQL 伺服器備份的 Azure 資料庫最低角色需求
| 管理作業 | 需要的最低 Azure 角色 | 所需的範圍 | 替代函式 |
|---|---|---|---|
| 先驗證再設定備份 | 備份操作員 | 備份保存庫 | |
| 讀取者 | Azure PostGreSQL 伺服器 | ||
| 從備份保存庫啟用備份 | 備份操作員 | 備份保存庫 | |
| 參與者 | Azure PostGreSQL 伺服器 | 或者,您可以考慮具有下列權限的自訂角色,而不是內建角色:Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read,此外,備份保存庫 MSI 應被授與這些權限 | |
| PostGreSQL 伺服器的隨選備份 | 備份操作員 | 備份保存庫 | |
| 先驗證再復原伺服器 | 備份操作員 | 備份保存庫 | |
| 參與者 | 目標 Azure PostGreSQL 伺服器 | 或者,您可以考慮具有下列權限的自訂角色,而不是內建角色:Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| 還原伺服器 | 備份操作員 | 備份保存庫 | |
| 參與者 | 目標 Azure PostGreSQL 伺服器 | 或者,您可以考慮具有下列權限的自訂角色,而不是內建角色:Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read,此外,備份保存庫 MSI 應被授與這些權限 |
下一步
- Azure 角色型存取控制 (Azure RBAC):開始在 Azure 入口網站中使用 Azure RBAC。
- 了解如何使用下列各項管理存取權:
- Azure 角色型存取控制疑難排解:取得修正常見問題的建議。