Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Контроль доступа на основе ролей (Azure RBAC) обеспечивает точное управление доступом в Azure. С помощью Azure RBAC вы можете распределить обязанности внутри команды и предоставить пользователям доступ на уровне, который им необходим для выполнения поставленных задач.
Внимание
Роли, предоставленные средством архивации Azure, ограничены действиями, которые можно выполнять в портале Azure, с помощью REST API или командлетов PowerShell и CLI для хранилищ служб восстановления. Эти роли не управляют действиями, выполняемыми в пользовательском интерфейсе клиента агента службы Azure Backup, System Center Data Protection Manager или Azure Backup Server.
Azure Backup предоставляет три встроенные роли для операций управления резервным копированием: Дополнительные сведения о встроенных ролях Azure
- Участник резервного копирования. Эта роль имеет все разрешения на создание резервных копий и управления ими, кроме разрешения на удаление хранилища служб восстановления и предоставление доступа другим пользователям. Эта роль представляет собой администратора управления архивацией, который может выполнять любую операцию управления архивацией.
- Оператор архивации. Эта роль имеет те же разрешения, что и участник, но не может удалять резервные копии и управлять политикой архивации. Эта роль эквивалентна роли участника, за исключением того, что пользователь с этой ролью не может выполнять операции удаления, такие как прекращение архивации с удалением данных или удаление регистрации локальных ресурсов.
- Читатель резервных копий. Эта роль имеет разрешения на просмотр всех операций управления архивацией. Представьте себе эту роль как роль наблюдателя.
Если вы хотите определить собственные роли для дополнительного управления, см. статью Пользовательские роли в Azure RBAC.
Сопоставление встроенных ролей архивации с операциями управления архивацией
Минимальные требования к ролям для резервного копирования виртуальных машин Azure
В следующей таблице указаны операции управления архивацией и соответствующая минимальная роль Azure, необходимая для их выполнения.
| Операция управления | Требуется минимальная роль Azure | Требуемая область | Альтернатива |
|---|---|---|---|
| Создать репозиторий сервисов восстановления | Вкладчик резервного копирования | Группа ресурсов, содержащая хранилище | |
| Включение архивации виртуальных машин Azure | Оператор резервного копирования | Группа ресурсов, содержащая хранилище | |
| Вкладчик виртуальной машины | Ресурс виртуальной машины | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Включить резервное копирование виртуальных машин Azure (из панели виртуальных машин) | Оператор резервного копирования | Группа ресурсов, содержащая хранилище | |
| Оператор резервного копирования | Группа ресурсов, содержащая виртуальную машину | ||
| Вкладчик виртуальной машины | Ресурс виртуальной машины | Кроме того, вместо встроенной роли вы можете рассмотреть возможность настройки индивидуальной роли с следующими разрешениями: Microsoft.Compute/virtualMachines/write, Microsoft.Compute/virtualMachines/read, Microsoft.Compute/virtualMachines/instanceView/read | |
| Включение резервного копирования виртуальных машин Azure между подписками | Оператор резервного копирования | Группа ресурсов, содержащая хранилище (подписка на хранилище) | |
| Вкладчик виртуальной машины | Ресурс виртуальной машины (подписка на защищенную виртуальную машину) | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Архивация виртуальной машины по запросу | Оператор резервного копирования | Хранилище Служб восстановления | |
| Восстановление виртуальной машины | Оператор резервного копирования | Хранилище Служб восстановления | |
| Участник | Группа ресурсов, в которой будет развернута виртуальная машина | Кроме того, вместо встроенной роли можно рассмотреть пользовательскую роль, которая имеет следующие разрешения: - Microsoft.Resources/subscriptions/resourceGroups/write - Microsoft.Resources/subscriptions/resourceGroups/read - Microsoft.DomainRegistration/domains/write - Microsoft.Compute/virtualMachines/write - Microsoft.Compute/virtualMachines/read - Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read - Microsoft.Network/virtualNetworks/subnets/join/action Кроме того, если вы хотите задать пользовательскую роль, несмотря на встроенную роль, для учетной записи хранения промежуточного расположения требуются следующие разрешения: - Microsoft.Storage/storageAccounts/read - Microsoft.Storage/storageAccounts/write |
|
| Вкладчик виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Участник аккаунта хранилища | Ресурс учетной записи хранения, где будет восстанавливаться диски | Кроме того, вместо встроенной роли можно рассмотреть пользовательскую роль, которая имеет следующие разрешения: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Восстановление виртуальных машин и дисков между подписками | Оператор резервного копирования | Хранилище служб восстановления (подписка хранилища служб восстановления) | Это в дополнение к разрешениям восстановления, упомянутым выше. Чтобы восстановить точку восстановления уровня хранилища в подписке, отличной от защищенной подписки виртуальной машины или подписки хранилища, включите восстановление между подписками в хранилище. |
| Вкладчик виртуальной машины | Исходная виртуальная машина, которая получила резервную копию (защищенная подписка на виртуальную машину) | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Участник | Целевая группа ресурсов, в которой будут восстановлены виртуальные машины и диски (целевая подписка) | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Resources/Subscriptions/resourceGroups/Write | |
| Участник аккаунта хранилища | Целевая или промежуточная учетная запись хранения, используемая во время восстановления, где применимо | Кроме того, вместо встроенной роли можно рассмотреть пользовательскую роль, которая имеет следующие разрешения: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Восстановление устаревших точек восстановления неуправляемых виртуальных машин в качестве управляемых дисков | Оператор резервного копирования | Хранилище Служб восстановления | |
| Вкладчик виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Участник аккаунта хранилища | Временная учетная запись хранения, выбранная как часть восстановления для хранения метаданных восстановления и временных VHD-файлов | Кроме того, вместо встроенной роли можно рассмотреть пользовательскую роль, которая имеет следующие разрешения: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Участник | Группа ресурсов, в которую будут восстановлены управляемые диски | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Resources/Subscriptions/resourceGroups/Write | |
| Восстановление управляемых дисков из резервной копии виртуальной машины | Оператор резервного копирования | Хранилище Служб восстановления | |
| Вкладчик виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Участник аккаунта хранилища | Временная учетная запись хранения, выбранная в процессе восстановления, для хранения данных из хранилища перед их преобразованием в управляемые диски | Кроме того, вместо встроенной роли можно рассмотреть пользовательскую роль, которая имеет следующие разрешения: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Участник | Группа ресурсов, в которую будут восстановлены управляемые диски | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Resources/Subscriptions/resourceGroups/Write | |
| Восстановление отдельных файлов из резервной копии виртуальной машины | Оператор резервного копирования | Хранилище Служб восстановления | |
| Вкладчик виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Восстановление данных между регионами | Оператор резервного копирования | Подписка на хранилище служб восстановления | Это дополнение к описанным выше разрешениям на восстановление. В частности, для CRR вместо встроенной роли можно использовать пользовательскую роль со следующими разрешениями: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Создание политики архивации виртуальных машин Azure | Вкладчик резервного копирования | Хранилище Служб восстановления | |
| Изменение политики архивации виртуальных машин Azure | Вкладчик резервного копирования | Хранилище Служб восстановления | |
| Удаление политики архивации виртуальных машин Azure | Вкладчик резервного копирования | Хранилище Служб восстановления | |
| Остановка резервного копирования виртуальной машины (с сохранением данных или их удалением) | Вкладчик резервного копирования | Хранилище Служб восстановления | |
| Регистрация локального сервера Windows Server, клиента, SCDPM или Azure Backup Server | Оператор резервного копирования | Хранилище Служб восстановления | |
| Удаление зарегистрированного локального сервера Windows Server, клиента, SCDPM или Azure Backup Server | Вкладчик резервного копирования | Хранилище Служб восстановления | |
| Отключение неизменяемости в хранилище данных | Вкладчик резервного копирования | Хранилище служб восстановления |
Внимание
Если вы укажете роль Контрибьютор ВМ в пределах ресурса виртуальной машины и выберете Резервное копирование в параметрах ВМ, откроется экран настройки Включить резервное копирование, несмотря на то, что виртуальная машина уже резервно копируется. Это объясняется тем, что вызов для проверки состояния резервного копирования работает только на уровне подписки. Чтобы избежать этой проблемы, перейдите к хранилищу и откройте представление элемента резервного копирования для виртуальной машины или назначьте роль участника виртуальной машины на уровне подписки.
Минимальные требования к ролям для резервного копирования рабочих нагрузок Azure (резервные копии баз данных SQL и HANA)
В следующей таблице указаны операции управления архивацией и соответствующая минимальная роль Azure, необходимая для их выполнения.
| Операция управления | Требуется минимальная роль Azure | Требуемая область | Альтернатива |
|---|---|---|---|
| Создать репозиторий сервисов восстановления | Вкладчик резервного копирования | Группа ресурсов, содержащая хранилище | |
| Включение резервного копирования баз данных SQL и (или) HANA | Оператор резервного копирования | Группа ресурсов, содержащая хранилище | |
| Вкладчик виртуальной машины | Ресурс виртуальной машины, где установлена база данных | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Резервное копирование базы данных по запросу | Оператор резервного копирования | Хранилище Служб восстановления | |
| Восстановление базы данных или восстановление в виде файлов | Оператор резервного копирования | Хранилище Служб восстановления | |
| Вкладчик виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Вкладчик виртуальной машины | Целевая виртуальная машина, в которой будет восстановлена база данных или созданы файлы | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Создание политики архивации виртуальных машин Azure | Вкладчик резервного копирования | Хранилище Служб восстановления | |
| Изменение политики архивации виртуальных машин Azure | Вкладчик резервного копирования | Хранилище Служб восстановления | |
| Удаление политики архивации виртуальных машин Azure | Вкладчик резервного копирования | Хранилище Служб восстановления | |
| Остановка резервного копирования виртуальной машины (с сохранением данных или их удалением) | Вкладчик резервного копирования | Хранилище Служб восстановления | |
| Вкладчик виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.Compute/virtualMachines/write | |
| Восстановление данных между регионами | Оператор резервного копирования | Подписка на хранилище служб восстановления | Это в дополнение к разрешениям восстановления, упомянутым выше. В случае восстановления между регионами вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: — Microsoft.RecoveryServices/locations/backupAadProperties/read — Microsoft.RecoveryServices/locations/backupCrrJobs/action — Microsoft.RecoveryServices/locations/backupCrrJob/action — Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action — Microsoft.RecoveryServices/locations/backupCrrOperationResults/read — Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
| Отключение неизменяемости в хранилище данных | Вкладчик резервного копирования | Хранилище служб восстановления |
Минимальные требования к ролям для резервного копирования общей папки Azure
В следующей таблице указаны операции управления архивацией и соответствующая роль Azure, необходимая для их выполнения.
| Операция управления | Требуется должность | Ресурсы |
|---|---|---|
| Включение резервного копирования из хранилища Служб восстановления | Вкладчик резервного копирования | Хранилище Служб восстановления |
| Участник учетной записи хранения | Ресурс учетной записи хранения | |
| Включение резервного копирования из панели общего доступа к файлам | Вкладчик резервного копирования | Хранилище Служб восстановления |
| Участник учетной записи хранения | Ресурс учетной записи хранения | |
| Участник | Подписка | |
| Резервное копирование общей папки по запросу | Оператор резервного копирования | Хранилище Служб восстановления |
| Восстановление общей папки | Оператор резервного копирования | Хранилище Служб восстановления |
| Вкладчик резервного копирования для учетной записи хранения | Ресурсы учетной записи хранения, в которой содержатся исходные и целевые общие папки для восстановления | |
| Восстановление отдельных файлов | Оператор резервного копирования | Хранилище Служб восстановления |
| Участник аккаунта хранилища | Ресурсы учетной записи хранения, в которой содержатся исходные и целевые общие папки для восстановления | |
| Отключение защиты | Вкладчик резервного копирования | Хранилище Служб восстановления |
| Отмена регистрации учетной записи хранения в хранилище | Вкладчик резервного копирования | Хранилище Служб восстановления |
| Участник аккаунта хранилища | Ресурс учетной записи хранения | |
| Отключение неизменяемости в хранилище данных | Вкладчик резервного копирования | Хранилище служб восстановления |
Примечание.
Если у вас есть доступ участника на уровне группы ресурсов и вы хотите конфигурировать резервное копирование из blade общей папки, обязательно получите право доступа microsoft.recoveryservices/Locations/backupStatus/action на уровне подписки. Для этого создайте пользовательскую роль и назначьте это разрешение.
Минимальные требования к ролям для резервного копирования дисков Azure
| Операция управления | Требуется минимальная роль Azure | Требуемая область | Альтернатива |
|---|---|---|---|
| Проверка перед настройкой резервного копирования | Оператор резервного копирования | Хранилище резервных копий | |
| Читатель резервной копии диска | Диск для резервного копирования | ||
| Включение резервного копирования из хранилища резервных копий | Оператор резервного копирования | Хранилище резервных копий | |
| Читатель резервной копии диска | Диск для резервного копирования | Кроме того, для MSI хранилища резервных копий должны быть назначены эти разрешения | |
| Резервное копирование диска по запросу | Оператор резервного копирования | Хранилище резервных копий | |
| Проверка перед восстановлением диска | Оператор резервного копирования | Хранилище резервных копий | |
| Оператор восстановления дисков | Группа ресурсов, куда будут восстановлены диски | ||
| Восстановление диска | Оператор резервного копирования | Хранилище резервных копий | |
| Оператор восстановления дисков | Группа ресурсов, куда будут восстановлены диски | Кроме того, для MSI хранилища резервных копий должны быть назначены эти разрешения |
Минимальные требования к ролям для резервного копирования BLOB-объекта Azure
| Операция управления | Требуется минимальная роль Azure | Требуемая область | Альтернатива |
|---|---|---|---|
| Проверка перед настройкой резервного копирования | Оператор резервного копирования | Хранилище резервных копий: — Ресурсы/развертывания/проверка/действие — Ресурсы/развертывания/запись — Ресурсы/подписки/группы_ресурсов/чтение |
|
| Участник резервного копирования хранилища | Учетная запись хранения, содержащая объект BLOB | ||
| Включение резервного копирования из хранилища резервных копий | Оператор резервного копирования | Хранилище резервных копий: — Ресурсы/развертывания/проверка/действие — Ресурсы/развертывания/запись — Ресурсы/подписки/группы_ресурсов/чтение |
|
| Участник резервного копирования хранилища | Учетная запись хранения, содержащая объект BLOB | Кроме того, MSI хранилища резервных копий должен иметь эти разрешения. | |
| Резервное копирование BLOB-объектов по запросу | Оператор резервного копирования | Хранилище резервных копий: — Ресурсы/развертывания/проверка/действие — Ресурсы/развертывания/запись — Ресурсы/подписки/группы_ресурсов/чтение |
|
| Проверка перед восстановлением BLOB-объекта | Оператор резервного копирования | Хранилище резервных копий: — Ресурсы/развертывания/проверка/действие — Ресурсы/развертывания/запись — Ресурсы/подписки/группы_ресурсов/чтение |
|
| Участник резервного копирования хранилища | Учетная запись хранения, содержащая объект BLOB | ||
| Восстановление BLOB-объекта | Оператор резервного копирования | Хранилище резервных копий: — Ресурсы/развертывания/проверка/действие — Ресурсы/развертывания/запись — Ресурсы/подписки/группы_ресурсов/чтение |
|
| Участник резервного копирования хранилища | Учетная запись хранения, содержащая объект BLOB | Кроме того, MSI хранилища резервных копий должен иметь эти разрешения. | |
| Отключение неизменяемости в хранилище данных | Вкладчик резервного копирования | Хранилище резервных копий |
Примечание.
Для операции проверки учетной записи хранения управляемый идентификатор Backup Vault должен иметь права владельца.
Минимальные требования к ролям для резервного копирования сервера Azure Database для PostgreSQL.
| Операция управления | Требуется минимальная роль Azure | Требуемая область | Альтернатива |
|---|---|---|---|
| Проверка перед настройкой резервного копирования | Оператор резервного копирования | Хранилище резервных копий | |
| Читатель | Сервер Azure PostgreSQL | ||
| Включение резервного копирования из хранилища резервных копий | Оператор резервного копирования | Хранилище резервных копий | |
| Участник | Сервер Azure PostgreSQL | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read, кроме того, для MSI хранилища резервных копий должны быть назначены эти разрешения | |
| Резервное копирование сервера PostgreSQL по запросу | Оператор резервного копирования | Хранилище резервных копий | |
| Проверка перед восстановлением сервера | Оператор резервного копирования | Хранилище резервных копий | |
| Участник | Целевой сервер Azure PostgreSQL | Вместо стандартной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read. | |
| Восстановление сервера | Оператор резервного копирования | Хранилище резервных копий | |
| Участник | Целевой сервер Azure PostgreSQL | Вместо встроенной роли можно использовать пользовательскую роль, которая имеет следующие разрешения: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read, кроме того, для MSI хранилища резервных копий должны быть назначены эти разрешения | |
| Отключение неизменяемости в хранилище данных | Вкладчик резервного копирования | Хранилище резервных копий |
Минимальные требования к ролям для кросс-подписочного восстановления базы данных SAP ASE (Sybase)
| Тип операции | Оператор архивации | Хранилище Служб восстановления | Альтернативный оператор |
|---|---|---|---|
| Восстановление базы данных или восстановление в виде файлов | Вкладчик виртуальной машины | Исходная виртуальная машина, для которой создана резервная копия | Вместо встроенной роли можно рассмотреть пользовательскую роль, которая имеет следующие разрешения: — Microsoft.Compute/virtualMachines/write — Microsoft.Compute/virtualMachines/read |
| Вкладчик виртуальной машины | Целевая виртуальная машина, в которой будет восстановлена база данных или создаются файлы. | Вместо встроенной роли можно рассмотреть пользовательскую роль, которая имеет следующие разрешения: — Microsoft.Compute/virtualMachines/write — Microsoft.Compute/virtualMachines/read |
|
| Оператор резервного копирования | Целевое хранилище служб восстановления |
Следующие шаги
- Управление доступом на основе ролей Azure (Azure RBAC): начните работу с Azure RBAC на портале Azure.
- Узнайте, как управлять доступом с помощью:
- Устранение неполадок при управлении доступом на основе ролей Azure. Рекомендации по устранению распространенных проблем.