本教程介绍如何在恢复服务保管库和备份保管库上创建 Resource Guard 并启用多用户授权(MUA)。 这为保管库上的关键操作增加了额外的一层保护。
备注
- 多用户授权现已正式可用于恢复服务保管库和备份保管库。
了解 MUA 概念。
开始之前:
选择保管库
- 资源防护和恢复服务保管库必须位于同一 Azure 区域。
- 确保备份管理员对资源防护没有参与者权限。 你可以选择将资源防护放在同一目录的另一个订阅中或另一个目录中,以确保最大程度的隔离。
- 确保订阅包含恢复服务保管库以及资源防护(在不同的订阅或租户中)已注册为使用 Microsoft.RecoveryServices 提供程序。 有关更多详细信息,请参阅 Azure 资源提供程序和类型。
了解各种 MUA 使用方案。
安全管理员创建资源防护。 建议在与保管库不同的订阅或租户中创建。 但是,它应该与保管库位于同一区域。
备注
备份管理员不能对资源防护或包含它的订阅具有参与者访问权限。
选择保管库
若要以安全管理员身份在与保管库租户不同的租户中创建资源防护,请执行以下步骤:
在 Azure 门户中,转到要在其中创建 Resource Guard 的目录。
在搜索栏中搜索 资源防护 ,并从下拉列表中选择相应的项。
- 选择“创建”开始创建资源防护。
- 在“创建”边栏选项卡中,填写此资源防护所需的详细信息。
- 确保资源防护与恢复服务保管库位于同一 Azure 区域。
- 此外,还可以添加说明,解释在需要时如何获取或请求对关联保管库的访问权限以执行操作。 此说明也会显示在关联的保管库中,以指导备份管理员获取所需的权限。 如果需要,可以在以后编辑说明,但建议始终采用明确定义的说明。
在“受保护的操作”选项卡上,选择需要使用此资源防护进行保护的操作。
还可以在创建资源防护后选择要保护的操作。
(可选)根据需要向资源防护添加任何标记
选择 “审核 + 创建” ,然后跟随通知检查状态并成功创建资源保护。
创建保管库后,安全管理员还可以在所有受支持的关键操作中选择要使用资源防护进行保护的操作。 默认情况下,所有受支持的关键操作均处于启用状态。 但是,安全管理员可以使用资源防护将某些操作排除在 MUA 的监控范围之外。
选择保管库
若要选择要保护的操作,请执行以下步骤:
在上面创建的资源防护中,转到“属性”>“恢复服务保管库”选项卡。
请为要排除在使用 Resource Guard 授权之外的操作选择“禁用”。
备注
无法禁用“禁用软删除”和“移除 MUA 保护”操作。
(可选)你还可以使用此边栏选项卡更新资源防护的相关说明。
选择“保存”。
备份管理员必须对资源防护或者对包含资源防护的订阅具有“读取者”角色,才能在保管库上启用 MUA。 安全管理员需要将此角色分配给备份管理员。
选择保管库
若要在资源防护上分配“读取者”角色,请执行以下步骤:
- 在上面创建的 Resource Guard 中,转到“访问控制”(IAM)边栏选项卡,然后转到 “添加角色分配”。
- 从内置角色列表中选择 “读取者 ”,然后选择“ 下一步”。
- 单击“选择成员”并添加备份管理员的电子邮件 ID,将其添加为读取者。 由于在这种情况下,备份管理员在另一个租户中,它们将作为来宾添加到包含资源防护的租户。
- 单击“选择”,然后继续单击“查看 + 分配”以完成角色分配。
备份管理员拥有对资源防护的读取者角色后,可以按照以下步骤在其管理的保管库上启用多用户授权:
选择保管库
转到“恢复服务保管库”。
转到 “属性>多用户授权”,然后选择“ 更新”。
现在,你会看到启用 MUA 的选项,并使用以下方法之一选择 Resource Guard:
你可以指定资源防护的 URI,确保指定你拥有读取者访问权限的资源防护的 URI,并且该资源防护与保管库在同一区域。 你可以在资源防护的“概述”屏幕中查找其 URI(资源防护 ID):
或者,可以从你拥有读者访问权限并且区域中可用的资源防护列表中选择资源防护。
- 单击“选择资源防护”
- 选择下拉列表,然后选择资源防护所在的目录。
- 选择“身份验证”以验证你的身份和访问权限。
- 进行身份验证后,从所示列表中选择“资源防护”。
选择“保存”以启用 MUA。