备份保管库概述

本文介绍备份保管库的功能。 备份保管库是Azure中的storage实体，它为Azure Backup支持的某些较新的工作负荷提供备份数据。 可以使用备份保管库来保存各种Azure服务的备份数据，例如Azure Blob、Azure Database for PostgreSQL服务器和Azure Backup将支持的较新的工作负荷。 备份保管库便于组织备份数据，并最大限度降低管理开销。 了解备份和还原支持的保管库类型。

主要功能

备份保管库基于Azure Azure Resource Manager模型，提供以下功能：

• 增强的保护备份数据的功能：利用备份保管库，Azure Backup 提供用于保护云端备份的安全能力。 这些安全功能确保可以保护备份并安全地恢复数据，即使生产服务器和备份服务器受到危害。 Learn more

• Azure基于角色的访问控制（Azure RBAC）：Azure RBAC在Azure中提供精细的访问管理控制。 Azure提供各种内置角色，Azure Backup有三个内置角色来管理恢复点。 备份保管库与 Azure RBAC 兼容，将备份和还原访问限制为定义的用户角色集。 了解详细信息

• 数据隔离：使用 Azure Backup，保管库备份的数据存储在由 Azure 管理的 Azure 订阅和租户中。 外部用户或来宾无法直接访问此备份存储或其内容，这确保了备份数据与数据源所在的生产环境的隔离。 这种可靠的方法可确保即使在遭到入侵的环境中，未经授权的用户也无法篡改或删除现有备份。

• V2 工作负载的集中监视：使用备份保管库，可以监视从备份作业到警报的所有 V2 工作负载。

备份保管库中的存储设置

备份保管库是一个实体，用于存储随着时间推移而创建的备份和恢复点。 备份保管库还包含与受保护资源关联的备份策略。

• Azure Backup自动处理保管库的存储。 在创建备份保管库时，选择符合业务需求的storage冗余。

• 若要详细了解storage冗余，请参阅有关 geo、zone 和 local 冗余的文章。

备份保管库中的加密设置

本部分介绍可用于加密备份保管库中存储的备份数据的选项。 Azure Backup服务使用 Backup Management Service 应用来访问 Azure Key Vault，但不使用备份库的托管身份。

使用平台托管的密钥加密备份数据

Azure Backup提供了两个选项（Microsoft托管密钥和Customer 托管密钥）来管理备份保管库的备份数据加密。 默认情况下，所有数据都使用 Microsoft 管理的密钥进行加密。 Azure Backup使用备份管理服务应用程序来访问 Azure Key Vault，但不使用备份保管库的托管身份。

可使用“备份保管库”上的“加密设置”下的“客户管理的密钥”选项，提取你自己的密钥来加密备份数据。

基于角色的访问控制（RBAC）在备份保管库中

备份保管库提供可靠的基于角色的访问控制（RBAC）机制，不仅控制谁可以访问备份保管库及其可以执行哪些操作，还能够对保管库可访问的单个工作负荷及其访问程度进行精确控制。 这包括对要备份的 Azure 资源（如 Azure 磁盘或 PostgreSQL 服务器）的访问，以及用于加密密钥管理的 Key Vault。

RBAC 通过与备份保管库关联的托管标识强制执行。 可以将特定角色分配给这些标识，以授予所需的访问权限。 备份保管库支持两种类型的托管标识：

• 系统分配的托管标识： 此标识在备份保管库完成预配时自动创建，并绑定到保管库的生命周期。 可以选择根据需要禁用此身份。

• 用户分配的托管标识：这是一个独立的Azure资源，可以分配给一个或多个备份保管库。 分配后，授予此标识的任何角色也适用于保管库。 用户分配的托管标识的生命周期与保管库分离，从而提供了更大的灵活性。 多个用户分配的标识可以与单个备份保管库相关联。

这些标识确保安全且易于管理的访问控制，使备份保管库能够以最低所需特权运行，同时符合组织安全策略。

后续步骤

• 创建和删除备份保管库。
• 管理备份保管库。
• 使用 REST API 创建备份保管库。