使用 Azure 基于角色的访问控制来管理 Azure 备份恢复点

Azure 基于角色的访问控制 (Azure RBAC) 可用于对 Azure 进行细致的访问管理。 使用 Azure RBAC,可以在团队中实现职责分离,仅向用户授予他们执行作业所需的访问权限。

重要

Azure 备份提供的角色仅限于执行可在 Azure 门户中执行的操作,或者通过 REST API 或恢复服务保管库 PowerShell 或 CLI cmdlet 执行的操作。 这些角色对在 Azure 备份代理客户端 UI、System Center Data Protection Manager UI 或 Azure 备份服务器 UI 中执行的操作不具有控制权。

Azure 备份提供三个用于控制备份管理操作的内置角色。 详细了解 Azure 内置角色

  • 备份参与者 - 此角色具有创建和管理备份的所有权限,但删除恢复服务保管库和授予其他人访问权限除外。 可以把该角色想象成可执行每个备份管理操作的备份管理的管理员。
  • 备份操作员 - 此角色具有除删除备份和管理备份策略之外的针对参与者操作的所有权限。 此角色等效于参与者,但它不能执行破坏性操作,例如通过删除数据或删除本地资源的注册来停止备份。
  • 备份读取器 - 此角色具有查看所有备份管理操作的权限。 可以把该角色想象成一位监视者。

若要定义自己的角色以便进一步控制,请参阅如何在 Azure RBAC 中 生成自定义角色

将备份内置角色映射到备份管理操作

Azure VM 备份的最低角色要求

下表捕获了备份管理操作以及执行该操作所需的相应的最低 Azure 角色。

管理操作 所需的最低 Azure 角色 所需的范围 替代方法
创建恢复服务保管库 备份参与者 包含保管库的资源组
启用 Azure VM 备份 备份操作员 包含保管库的资源组
虚拟机参与者 VM 资源 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
启用 Azure VM 备份(从 VM 边栏选项卡) 备份操作员 包含保管库的资源组
备份操作员 包含虚拟机的资源组
虚拟机参与者 VM 资源 或者,可以考虑具有以下权限的自定义角色,而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read
按需 VM 备份 备份操作员 恢复服务保管库
还原 VM 备份操作员 恢复服务保管库
参与者 将在其中部署 VM 的资源组 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write(仅经典 VM 还原需要,托管 VM 不需要)、Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action
虚拟机参与者 已备份的源 VM 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
还原非托管磁盘 VM 备份 备份操作员 恢复服务保管库
虚拟机参与者 已备份的源 VM 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
存储帐户参与者 要还原磁盘的存储帐户资源 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Storage/storageAccounts/write
从 VM 备份还原托管磁盘 备份操作员 恢复服务保管库
虚拟机参与者 已备份的源 VM 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
存储帐户参与者 在还原过程中选择的临时存储帐户,用于在将保管库转换为托管磁盘之前保存保管库中的数据 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Storage/storageAccounts/write
参与者 托管磁盘将还原到的资源组 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Resources/subscriptions/resourceGroups/write
从 VM 备份还原单个文件 备份操作员 恢复服务保管库
虚拟机参与者 已备份的源 VM 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
跨区域还原 备份操作员 恢复服务保管库的订阅 这是除上面提到的还原权限之外的权限。 你可以考虑具有以下权限的专用于 CRR 的自定义角色,而不是内置角色:Microsoft.RecoveryServices/locations/backupAadProperties/read、Microsoft.RecoveryServices/locations/backupCrrJobs/action、Microsoft.RecoveryServices/locations/backupCrrJob/action、Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action、Microsoft.RecoveryServices/locations/backupCrrOperationResults/read、Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read
创建 Azure VM 备份的备份策略 备份参与者 恢复服务保管库
修改 Azure VM 备份的备份策略 备份参与者 恢复服务保管库
删除 Azure VM 备份的备份策略 备份参与者 恢复服务保管库
停止在 VM 备份上备份(通过保留数据或删除数据) 备份参与者 恢复服务保管库
注册本地 Windows Server/客户端/SCDPM 或 Azure 备份服务器 备份操作员 恢复服务保管库
删除已注册的本地 Windows Server/客户端/SCDPM 或 Azure 备份服务器 备份参与者 恢复服务保管库

重要

如果在 VM 资源范围内指定 VM 参与者并选择“备份”作为 VM 设置的一部分,则即使已经备份 VM,也会打开“启用备份”屏幕 。 这是因为验证备份状态的调用仅在订阅级别起作用。 若要避免此问题,请转到保管库并打开 VM 的备份项视图,或者在订阅级别指定“VM 参与者”角色。

Azure 工作负荷备份(SQL 和 HANA DB 备份)的最低角色要求

下表捕获了备份管理操作以及执行该操作所需的相应的最低 Azure 角色。

管理操作 所需的最低 Azure 角色 所需的范围 替代方法
创建恢复服务保管库 备份参与者 包含保管库的资源组
启用 SQL 数据库和/或 HANA 数据库的备份 备份操作员 包含保管库的资源组
虚拟机参与者 在其中安装 DB 的 VM 资源 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
按需 DB 备份 备份操作员 恢复服务保管库
还原数据库或还原为文件 备份操作员 恢复服务保管库
虚拟机参与者 已备份的源 VM 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
虚拟机参与者 将在其中还原 DB 或创建文件的目标 VM 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read
创建 Azure VM 备份的备份策略 备份参与者 恢复服务保管库
修改 Azure VM 备份的备份策略 备份参与者 恢复服务保管库
删除 Azure VM 备份的备份策略 备份参与者 恢复服务保管库
停止在 VM 备份上备份(通过保留数据或删除数据) 备份参与者 恢复服务保管库
虚拟机参与者 已备份的源 VM 你也可以考虑具有以下权限的自定义角色而不是内置角色:Microsoft.Compute/virtualMachines/write
跨区域还原 备份操作员 恢复服务保管库的订阅 这是除上面提到的还原权限之外的权限。 如果进行跨区域还原,可考虑具有以下权限的自定义角色,而不是内置角色:

- Microsoft.RecoveryServices/locations/backupAadProperties/read

- Microsoft.RecoveryServices/locations/backupCrrJobs/action

- Microsoft.RecoveryServices/locations/backupCrrJob/action

- Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action

- Microsoft.RecoveryServices/locations/backupCrrOperationResults/read

- Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read

Azure 文件共享备份的最低角色要求

下表捕获了备份管理操作以及执行该操作所需的相应的 Azure 角色。

管理操作 所需的角色 资源
从恢复服务保管库启用备份 备份参与者 恢复服务保管库
存储帐户参与者 存储帐户名称
启用 "从文件共享" 边栏选项卡备份 备份参与者 恢复服务保管库
存储帐户参与者 存储帐户名称
参与者 订阅
文件共享的按需备份 备份操作员 恢复服务保管库
还原文件共享 备份操作员 恢复服务保管库
存储帐户备份参与者 存在还原源和目标文件共享的存储帐户资源
还原单个文件 备份操作员 恢复服务保管库
存储帐户参与者 存在还原源和目标文件共享的存储帐户资源
停止保护 备份参与者 恢复服务保管库
从保管库中注销存储帐户 备份参与者 恢复服务保管库
存储帐户参与者 存储帐户名称

注意

如果已在资源组级别进行了参与者访问,并且想要配置 "文件共享" 边栏选项卡上的 "备份",请确保在订阅级别获取 microsoft.recoveryservices/Locations/backupStatus/action 权限。 为此,请创建一个 自定义角色 并分配此权限。

Azure 磁盘备份的最低角色要求

管理操作 所需的最低 Azure 角色 所需的范围 替代方法
在配置备份前验证 备份操作员 备份保管库
磁盘备份读取者 要备份的磁盘
从备份保管库启用备份 备份操作员 备份保管库
磁盘备份读取者 要备份的磁盘 此外,应向备份保管库 MSI 授予这些权限
按需备份磁盘 备份操作员 备份保管库
在还原磁盘之前验证 备份操作员 备份保管库
磁盘还原操作员 将在其中还原磁盘的资源组
还原磁盘 备份操作员 备份保管库
磁盘还原操作员 将在其中还原磁盘的资源组 此外,应向备份保管库 MSI 授予这些权限

Azure Blob 备份的最低角色要求

管理操作 所需的最低 Azure 角色 所需的范围 替代方法
在配置备份前验证 备份操作员 备份保管库
存储帐户备份参与者 包含 Blob 的存储帐户
从备份保管库启用备份 备份操作员 备份保管库
存储帐户备份参与者 包含 Blob 的存储帐户 此外,应向备份保管库 MSI 授予这些权限
按需备份 Blob 备份操作员 备份保管库
在还原 Blob 之前验证 备份操作员 备份保管库
存储帐户备份参与者 包含 Blob 的存储帐户
还原 Blob 备份操作员 备份保管库
存储帐户备份参与者 包含 Blob 的存储帐户 此外,应向备份保管库 MSI 授予这些权限

后续步骤