使用 Azure 基于角色的访问控制 (Azure RBAC) 管理 Site Recovery 访问
Azure 基于角色的访问控制 (Azure RBAC) 可用于对 Azure 进行细致的访问管理。 通过 Azure RBAC 可分离团队中的职责,仅向用户授予执行特定作业所需的特定访问权限。
Azure Site Recovery 提供了 3 个用于控制 Site Recovery 管理操作的内置角色。 详细了解 Azure 内置角色
- Site Recovery 参与者 - 此角色拥有管理恢复服务保管库中 Azure Site Recovery 操作所需的全部权限。 不过,拥有此角色的用户既无法创建或删除恢复服务保管库,也无法向其他用户分配访问权限。 此角色最适合分配给灾难恢复管理员,这样他们就可以为应用程序或整个组织(视情况而定)启用和管理灾难恢复。
- Site Recovery 操作员 - 此角色有权执行和管理故障转移和故障回复操作。 拥有此角色的用户无法启用或禁用复制、无法创建或删除保管库,也无法注册新的基础结构或向其他用户分配访问权限。 此角色最适合分配给灾难恢复操作员,这样他们就可以在实际或模拟灾难情形(如 DR 钻取)下,遵循应用程序所有者或 IT 管理员的指示,对虚拟机或应用程序进行故障转移。 灾难解决后,DR 操作员可以重新保护和故障回复虚拟机。
- Site Recovery 读者 - 此角色有权查看所有 Site Recovery 管理操作。 此角色最适合分配给 IT 监视主管,这样他们就可以在需要时监视当前保护状态并创建支持票证。
若要定义自己的角色以加强控制,请了解如何在 Azure 中生成自定义角色。
为新虚拟机启用复制所需的权限
使用 Azure Site Recovery 将新虚拟机复制到 Azure 时,会验证相关用户的访问级别,确保用户具有使用提供给 Site Recovery 的 Azure 资源所需的权限。
若要为新虚拟机启用复制,用户必须具有:
- 在所选资源组中创建虚拟机的权限
- 在所选虚拟网络中创建虚拟机的权限
- 写入所选存储帐户的权限
用户需要以下权限来完成新虚拟机的复制。
重要
确保根据用于资源部署的部署模型(Resource Manager/经典)添加相关权限。
注意
如果要为 Azure VM 启用复制,并且希望允许 Site Recovery 管理更新,则在启用复制时,你还需要创建新的自动化帐户,在这种情况下,还需要权限才能在与保管库相同的订阅中创建自动化帐户。
| 资源类型 | 部署模型 | 权限 |
|---|---|---|
| 计算 | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| 经典 | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| 网络 | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| 经典 | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| 存储 | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| 经典 | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| 资源组 | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
考虑分别为 Resource Manager 和经典部署模型使用内置角色“虚拟机参与者”和“经典虚拟机参与者”。
后续步骤
- Azure 基于角色的访问控制 (Azure RBAC):Azure 门户中的 Azure RBAC 入门。
- 了解如何通过以下方式管理访问权限:
- Azure RBAC 故障排除:获取有关修复常见问题的建议。