Azure-beli szerepköralapú hozzáférés-vezérlés használata az Azure Backup helyreállítási pontjainak kezeléséhez
Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) lehetővé teszi az Azure részletes hozzáférés-kezelését. Az Azure RBAC használata lehetővé teszi, hogy elkülönítse a kötelességeket a csapaton belül, valamint csak olyan mértékű hozzáférést biztosítson, amelyre a felhasználóknak a feladataik elvégzéséhez szükségük van.
Fontos
Az Azure Backup által biztosított szerepkörök az Azure Portalon vagy REST API-val vagy Recovery Services-tárolóval PowerShell- vagy CLI-parancsmagokkal végrehajtható műveletekre korlátozódnak. Az Azure Backup-ügynök ügyfél felhasználói felületén vagy a System Center Data Protection Manager felhasználói felületén vagy az Azure Backup Server felhasználói felületén végrehajtott műveletek nem befolyásolják ezeket a szerepköröket.
Az Azure Backup három beépített szerepkört biztosít a biztonsági mentéskezelési műveletek vezérléséhez. További információ az Azure beépített szerepköreiről
- Biztonsági mentési közreműködő – Ez a szerepkör minden engedéllyel rendelkezik a biztonsági mentés létrehozásához és kezeléséhez, kivéve a Recovery Services-tároló törlését és a mások számára való hozzáférést. Képzelje el ezt a szerepkört a biztonsági mentéskezelés rendszergazdájaként, aki minden biztonsági mentéskezelési műveletet elvégezhet.
- Biztonsági mentési operátor – Ez a szerepkör mindenhez rendelkezik engedéllyel, amelyet a közreműködő végez, kivéve a biztonsági mentés eltávolítását és a biztonsági mentési szabályzatok kezelését. Ez a szerepkör egyenértékű a közreműködővel, kivéve, ha nem hajthat végre olyan romboló műveleteket, mint például a biztonsági mentés leállítása adatok törlésével vagy a helyszíni erőforrások regisztrációjának eltávolítása.
- Biztonsági mentési olvasó – Ez a szerepkör jogosult az összes biztonsági mentéskezelési művelet megtekintésére. Képzelje el, hogy ez a szerepkör monitorozási személy.
Ha saját szerepköröket szeretne definiálni a még nagyobb irányítás érdekében, tekintse meg, hogyan hozhat létre egyéni szerepköröket az Azure RBAC-ben.
Beépített biztonsági mentési szerepkörök leképezése biztonsági mentéskezelési műveletekhez
Az Azure-beli virtuális gépek biztonsági mentésének minimális szerepköri követelményei
Az alábbi táblázat a biztonsági mentések felügyeleti műveleteit és a művelet végrehajtásához szükséges minimális Azure-szerepkört rögzíti.
| Felügyeleti művelet | Minimális Azure-szerepkör szükséges | Hatókör megadása kötelező | Alternatív megoldás |
|---|---|---|---|
| Helyreállítási tár létrehozása | Biztonsági mentési közreműködő | A tárolót tartalmazó erőforráscsoport | |
| Azure-beli virtuális gépek biztonsági mentésének engedélyezése | Biztonságimásolat-felelős | A tárolót tartalmazó erőforráscsoport | |
| Virtuális gépek közreműködője | Virtuálisgép-erőforrás | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is figyelembe vehet, amely a következő engedélyekkel rendelkezik: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Azure-beli virtuális gépek biztonsági mentésének engedélyezése (a virtuális gép paneljéről) | Biztonságimásolat-felelős | A tárolót tartalmazó erőforráscsoport | |
| Biztonságimásolat-felelős | A virtuális gépet tartalmazó erőforráscsoport | ||
| Virtuális gépek közreműködője | Virtuálisgép-erőforrás | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is használhat, amely a következő engedélyekkel rendelkezik: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Virtuális gép igény szerinti biztonsági mentése | Biztonságimásolat-felelős | Recovery Services-tároló | |
| Virtuális gép visszaállítása | Biztonságimásolat-felelős | Recovery Services-tároló | |
| Közreműködő | Erőforráscsoport, amelyben a virtuális gép üzembe lesz helyezve | Másik lehetőségként a beépített szerepkör helyett a következő engedélyekkel rendelkező egyéni szerepkört tekintheti meg: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (csak a klasszikus virtuális gépek visszaállításához szükséges, és nem szükséges felügyelt virtuális gépekhez), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/ alhálózatok/csatlakozás/művelet | |
| Virtuális gépek közreműködője | Biztonsági mentést kapott forrás virtuális gép | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is figyelembe vehet, amely a következő engedélyekkel rendelkezik: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Tárfiók-közreműködő | Tárfiók-erőforrás, ahol a lemezek vissza lesznek állítva | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is használhat, amely a következő engedélyekkel rendelkezik: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Nem felügyelt lemezek biztonsági mentésének visszaállítása | Biztonságimásolat-felelős | Recovery Services-tároló | |
| Virtuális gépek közreműködője | Biztonsági mentést kapott forrás virtuális gép | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is figyelembe vehet, amely a következő engedélyekkel rendelkezik: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Tárfiók-közreműködő | Tárfiók-erőforrás, ahol a lemezek vissza lesznek állítva | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is használhat, amely a következő engedélyekkel rendelkezik: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Felügyelt lemezek visszaállítása virtuális gép biztonsági mentéséből | Biztonságimásolat-felelős | Recovery Services-tároló | |
| Virtuális gépek közreműködője | Biztonsági mentést kapott forrás virtuális gép | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is figyelembe vehet, amely a következő engedélyekkel rendelkezik: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Tárfiók-közreműködő | A visszaállítás részeként kiválasztott ideiglenes tárfiók az adatok tárolóból való tárolásához, mielőtt felügyelt lemezekké konvertálja őket | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is használhat, amely a következő engedélyekkel rendelkezik: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Közreműködő | Erőforráscsoport, amelybe a felügyelt lemez(ek) vissza lesznek állítva | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is használhat, amely a következő engedélyekkel rendelkezik: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Egyes fájlok visszaállítása virtuális gép biztonsági mentéséből | Biztonságimásolat-felelős | Recovery Services-tároló | |
| Virtuális gépek közreműködője | Biztonsági mentést kapott forrás virtuális gép | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is figyelembe vehet, amely a következő engedélyekkel rendelkezik: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Régiók közötti visszaállítás | Biztonságimásolat-felelős | A recovery Services-tároló előfizetése | Ez a fent említett visszaállítási engedélyeken kívül van. Kifejezetten CRR-hez, a beépített szerepkör helyett, a következő engedélyekkel rendelkező egyéni szerepkört tekintheti meg: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Biztonsági mentési szabályzat létrehozása Azure-beli virtuális gépek biztonsági mentéséhez | Biztonsági mentési közreműködő | Recovery Services-tároló | |
| Az Azure-beli virtuális gépek biztonsági mentési szabályzatának módosítása | Biztonsági mentési közreműködő | Recovery Services-tároló | |
| Az Azure-beli virtuális gépek biztonsági mentési szabályzatának törlése | Biztonsági mentési közreműködő | Recovery Services-tároló | |
| Biztonsági mentés leállítása (adatok megőrzésével vagy adatok törlésével) a virtuális gép biztonsági mentésén | Biztonsági mentési közreműködő | Recovery Services-tároló | |
| Helyszíni Windows Server/ügyfél/SCDPM vagy Azure Backup Server regisztrálása | Biztonságimásolat-felelős | Recovery Services-tároló | |
| Regisztrált helyszíni Windows Server/ügyfél/SCDPM vagy Azure Backup Server törlése | Biztonsági mentési közreműködő | Recovery Services-tároló |
Fontos
Ha virtuálisgép-közreműködőt ad meg egy virtuálisgép-erőforrás hatókörében, és a virtuálisgép-beállítások részeként a Biztonsági mentés lehetőséget választja, az megnyitja a Biztonsági mentés engedélyezése képernyőt, annak ellenére, hogy a virtuális gépről már biztonsági másolatot készít. Ennek oka, hogy a biztonsági mentés állapotának ellenőrzésére irányuló hívás csak az előfizetés szintjén működik. Ennek elkerülése érdekében nyissa meg a tárolót, és nyissa meg a virtuális gép biztonsági mentési elem nézetét, vagy adja meg a virtuálisgép-közreműködői szerepkört előfizetési szinten.
Az Azure-beli számítási feladatok biztonsági mentésének minimális szerepköri követelményei (SQL- és HANA DB-biztonsági mentések)
Az alábbi táblázat a biztonsági mentések felügyeleti műveleteit és a művelet végrehajtásához szükséges minimális Azure-szerepkört rögzíti.
| Felügyeleti művelet | Minimális Azure-szerepkör szükséges | Hatókör megadása kötelező | Alternatív megoldás |
|---|---|---|---|
| Helyreállítási tár létrehozása | Biztonsági mentési közreműködő | A tárolót tartalmazó erőforráscsoport | |
| SQL- és/vagy HANA-adatbázisok biztonsági mentésének engedélyezése | Biztonságimásolat-felelős | A tárolót tartalmazó erőforráscsoport | |
| Virtuális gépek közreműködője | Virtuálisgép-erőforrás, ahol a db telepítve van | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is figyelembe vehet, amely a következő engedélyekkel rendelkezik: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Adatbázis igény szerinti biztonsági mentése | Biztonságimásolat-felelős | Recovery Services-tároló | |
| Adatbázis visszaállítása vagy visszaállítás fájlként | Biztonságimásolat-felelős | Recovery Services-tároló | |
| Virtuális gépek közreműködője | Biztonsági mentést kapott forrás virtuális gép | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is figyelembe vehet, amely a következő engedélyekkel rendelkezik: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Virtuális gépek közreműködője | Cél virtuális gép, amelyben a rendszer visszaállítja a adatbázist, vagy fájlok jönnek létre | Másik lehetőségként a beépített szerepkör helyett egy egyéni szerepkört is figyelembe vehet, amely a következő engedélyekkel rendelkezik: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Biztonsági mentési szabályzat létrehozása Azure-beli virtuális gépek biztonsági mentéséhez | Biztonsági mentési közreműködő | Recovery Services-tároló | |
| Az Azure-beli virtuális gépek biztonsági mentési szabályzatának módosítása | Biztonsági mentési közreműködő | Recovery Services-tároló | |
| Az Azure-beli virtuális gépek biztonsági mentési szabályzatának törlése | Biztonsági mentési közreműködő | Recovery Services-tároló | |
| Biztonsági mentés leállítása (adatok megőrzésével vagy adatok törlésével) a virtuális gép biztonsági mentésén | Biztonsági mentési közreműködő | Recovery Services-tároló | |
| Virtuális gépek közreműködője | Biztonsági mentést kapott forrás virtuális gép | Másik lehetőségként egy beépített szerepkör helyett egy egyéni szerepkört is használhat, amely a következő engedélyekkel rendelkezik: Microsoft.Compute/virtualMachines/write | |
| Régiók közötti visszaállítás | Biztonságimásolat-felelős | A Recovery Services-tároló előfizetése | Ez a fent említett visszaállítási engedélyek mellett van. Régiók közötti visszaállítás esetén a beépített szerepkör helyett használhat egyéni szerepkört, amely a következő engedélyekkel rendelkezik: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Az Azure-fájlmegosztás biztonsági mentésének minimális szerepkör-követelményei
Az alábbi táblázat a biztonsági mentési felügyeleti műveleteket és a művelet végrehajtásához szükséges megfelelő Azure-szerepkört rögzíti.
| Felügyeleti művelet | Szerepkör szükséges | Források |
|---|---|---|
| Biztonsági mentés engedélyezése a Recovery Services-tárolóból | Biztonsági mentési közreműködő | Recovery Services-tároló |
| Tárfiók közreműködője | Tárfiók erőforrása | |
| Biztonsági mentés engedélyezése a fájlmegosztás panelről | Biztonsági mentési közreműködő | Recovery Services-tároló |
| Tárfiók közreműködője | Tárfiók erőforrása | |
| Közreműködő | Előfizetés | |
| Fájlmegosztás igény szerinti biztonsági mentése | Biztonságimásolat-felelős | Recovery Services-tároló |
| Fájlmegosztás visszaállítása | Biztonságimásolat-felelős | Recovery Services-tároló |
| Tárfiók biztonsági mentési közreműködője | Tárfiók erőforrásai, ahol a forrás és a célfájlmegosztások visszaállítása jelen van | |
| Egyes fájlok visszaállítása | Biztonságimásolat-felelős | Recovery Services-tároló |
| Tárfiók-közreműködő | Tárfiók erőforrásai, ahol a forrás és a célfájlmegosztások visszaállítása jelen van | |
| Védelem leállítása | Biztonsági mentési közreműködő | Recovery Services-tároló |
| Tárfiók regisztrációja a tárolóból | Biztonsági mentési közreműködő | Recovery Services-tároló |
| Tárfiók-közreműködő | Tárfiók erőforrása |
Feljegyzés
Ha közreműködői hozzáféréssel rendelkezik az erőforráscsoport szintjén, és a fájlmegosztás panelről szeretné konfigurálni a biztonsági mentést, győződjön meg arról, hogy az előfizetés szintjén beszerezi a microsoft.recoveryservices/Locations/backupStatus/action engedélyt. Ehhez hozzon létre egy egyéni szerepkört, és rendelje hozzá ezt az engedélyt.
Az Azure-lemez biztonsági mentésének minimális szerepkör-követelményei
| Felügyeleti művelet | Minimális Azure-szerepkör szükséges | Hatókör megadása kötelező | Alternatív megoldás |
|---|---|---|---|
| Ellenőrzés a biztonsági mentés konfigurálása előtt | Biztonságimásolat-felelős | Biztonsági mentési tár | |
| Lemez biztonsági mentésének olvasója | Biztonsági másolatot készítendő lemez | ||
| Biztonsági mentés engedélyezése a biztonsági mentési tárolóból | Biztonságimásolat-felelős | Biztonsági mentési tár | |
| Lemez biztonsági mentésének olvasója | Biztonsági másolatot készítendő lemez | Emellett a biztonsági mentési tároló MSI-jének meg kell adni ezeket az engedélyeket | |
| Lemez igény szerinti biztonsági mentése | Biztonságimásolat-felelős | Biztonsági mentési tár | |
| Érvényesítés lemez visszaállítása előtt | Biztonságimásolat-felelős | Biztonsági mentési tár | |
| Lemez-visszaállítási operátor | Erőforráscsoport, amelybe a lemezek vissza lesznek állítva | ||
| Lemez visszaállítása | Biztonságimásolat-felelős | Biztonsági mentési tár | |
| Lemez-visszaállítási operátor | Erőforráscsoport, amelybe a lemezek vissza lesznek állítva | Emellett a biztonsági mentési tároló MSI-jének meg kell adni ezeket az engedélyeket |
Az Azure Blob biztonsági mentésének minimális szerepköri követelményei
| Felügyeleti művelet | Minimális Azure-szerepkör szükséges | Hatókör megadása kötelező | Alternatív megoldás |
|---|---|---|---|
| Ellenőrzés a biztonsági mentés konfigurálása előtt | Biztonságimásolat-felelős | Biztonsági mentési tár | |
| Tárfiók biztonsági mentési közreműködője | A blobot tartalmazó tárfiók | ||
| Biztonsági mentés engedélyezése a biztonsági mentési tárolóból | Biztonságimásolat-felelős | Biztonsági mentési tár | |
| Tárfiók biztonsági mentési közreműködője | A blobot tartalmazó tárfiók | Emellett a biztonsági mentési tároló MSI-jének meg kell adni ezeket az engedélyeket | |
| Igény szerinti biztonsági mentés a blobról | Biztonságimásolat-felelős | Biztonsági mentési tár | |
| Ellenőrzés blob visszaállítása előtt | Biztonságimásolat-felelős | Biztonsági mentési tár | |
| Tárfiók biztonsági mentési közreműködője | A blobot tartalmazó tárfiók | ||
| Blob visszaállítása | Biztonságimásolat-felelős | Biztonsági mentési tár | |
| Tárfiók biztonsági mentési közreműködője | A blobot tartalmazó tárfiók | Emellett a biztonsági mentési tároló MSI-jének meg kell adni ezeket az engedélyeket |
Az Azure Database for PostGreSQL-kiszolgáló biztonsági mentésének minimális szerepköri követelményei
Következő lépések
- Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC): Ismerkedés az Azure RBAC-vel az Azure Portalon.
- Megtudhatja, hogyan kezelheti a hozzáférést a következőkkel:
- Azure-beli szerepköralapú hozzáférés-vezérlés hibaelhárítása: Javaslatok a gyakori problémák megoldásához.