Azure基于角色的访问控制(Azure RBAC)可实现对Azure进行精细的访问管理。 使用 Azure RBAC,可以在团队中分离职责,并仅授予他们执行其作业所需的用户访问权限。
重要
Azure Backup提供的角色仅限于可在Azure门户中或通过 REST API 或恢复服务保管库 PowerShell 或 CLI cmdlet 执行的操作。 Azure Backup代理客户端 UI 或 System center Data Protection Manager UI 或 Azure Backup 服务器 UI 中执行的操作控制不了这些角色。
Azure Backup提供三个内置角色来控制备份管理操作。 详细了解 Azure 内置角色
- 备份参与者 - 此角色具有创建和管理备份的所有权限,但删除恢复服务保管库和授予其他人访问权限除外。 可以把该角色想象成能够执行所有备份管理操作的管理员。
- 备份操作员 - 此角色具有除删除备份和管理备份策略之外的针对参与者操作的所有权限。 此角色等效于参与者,但它不能执行破坏性操作,例如通过删除数据或删除本地资源的注册来停止备份。
- 备份读取器 - 此角色具有查看所有备份管理操作的权限。 可以把该角色想象成一位监视者。
如果要定义自己的角色以获得更多控制,请参阅如何在 Azure RBAC 中生成自定义角色。
将备份内置角色映射到备份管理操作
Azure VM 备份的最低角色要求
下表列出了备份管理操作及执行这些操作所需的最低 Azure 角色。
| 管理操作 | 所需的Azure最低角色 | 所需的范围 | 替代方法 |
|---|---|---|---|
| 创建恢复服务保管库 | 备份协作者 | 包含存储库的资源组 | |
| 启用Azure VM 的备份 | 备份操作员 | 包含存储库的资源组 | |
| 虚拟机贡献者 | VM 资源 | 或者,可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 启用 Azure 虚拟机的备份(从 VM 面板) | 备份操作员 | 包含存储库的资源组 | |
| 备份操作员 | 包含虚拟机的资源组 | ||
| 虚拟机贡献者 | VM 资源 | 或者,可以考虑创建一个具有以下权限的自定义角色,而不是使用内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| 按需虚拟机备份 | 备份操作员 | 恢复服务保管库 | |
| 还原虚拟机 | 备份操作员 | 恢复服务保管库 | |
| 贡献者 | 将在其中部署 VM 的资源组 | 或者,可以考虑具有以下权限的自定义角色,而不是内置角色: - Microsoft.Resources/subscriptions/resourceGroups/write - Microsoft.Resources/subscriptions/resourceGroups/read - Microsoft.DomainRegistration/domains/write - Microsoft.Compute/virtualMachines/write - Microsoft.Compute/virtualMachines/read - Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read - Microsoft.Network/virtualNetworks/subnets/join/action 此外,如果您想设置自定义角色,即使已有内置角色,您需要在暂存位置的存储账户上具有以下权限: - Microsoft.Storage/storageAccounts/read - Microsoft.Storage/storageAccounts/write |
|
| 虚拟机贡献者 | 已备份的源 VM | 或者,可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 存储帐户贡献者 | 用于还原磁盘的存储帐户资源 | 您可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| 将旧版非托管磁盘 VM 恢复点还原为托管磁盘 | 备份操作员 | 恢复服务保管库 | |
| 虚拟机贡献者 | 已备份的源 VM | 或者,可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 存储帐户贡献者 | 作为还原的一部分选择的临时存储帐户,用于保存还原元数据和临时 VHD 文件 | 您可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| 贡献者 | 将托管磁盘还原到的资源组 | 或者,可以考虑选择具有以下权限的自定义角色,而不是内置角色:Microsoft.Resources/subscriptions/resourceGroups/write | |
| 从 VM 备份中还原托管磁盘 | 备份操作员 | 恢复服务保管库 | |
| 虚拟机贡献者 | 已备份的源 VM | 或者,可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 存储帐户贡献者 | 在还原过程中选择的临时存储帐户,用于在将保管库转换为托管磁盘之前保存保管库中的数据 | 您可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| 贡献者 | 将托管磁盘还原到的资源组 | 或者,可以考虑选择具有以下权限的自定义角色,而不是内置角色:Microsoft.Resources/subscriptions/resourceGroups/write | |
| 从 VM 备份还原单个文件 | 备份操作员 | 恢复服务保管库 | |
| 虚拟机贡献者 | 已备份的源 VM | 或者,可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 跨区域还原 | 备份操作员 | 订阅恢复服务保管库 | 除了上面提到的还原权限之外,还包括其他权限。 具体而言,对于 CRR,而不是内置角色,可以考虑具有以下权限的自定义角色:“Microsoft。RecoveryServices/locations/backupAadProperties/read“ ”Microsoft。RecoveryServices/locations/backupCrrJobs/action“ ”Microsoft。RecoveryServices/locations/backupCrrJob/action“ ”Microsoft。RecoveryServices/locations/backupCrossRegionRestore/action“ ”Microsoft。RecoveryServices/locations/backupCrrOperationResults/read“ ”Microsoft。RecoveryServices/locations/backupCrrOperationsStatus/read” |
| 为Azure VM 备份创建备份策略 | 备份协作者 | 恢复服务保管库 | |
| 修改Azure VM 备份的备份策略 | 备份协作者 | 恢复服务保管库 | |
| 删除Azure VM 备份的备份策略 | 备份协作者 | 恢复服务保管库 | |
| 停止在 VM 备份上备份(通过保留数据或删除数据) | 备份协作者 | 恢复服务保管库 | |
| 注册本地 Windows Server/client/SCDPM 或 Azure Backup 服务器 | 备份操作员 | 恢复服务保管库 | |
| 删除已注册的本地 Windows Server/client/SCDPM 或 Azure Backup 服务器 | 备份协作者 | 恢复服务保管库 | |
| 禁用保管库的不可变属性 | 备份协作者 | 恢复服务保管库 |
重要
如果在 VM 资源范围内指定 VM 参与者并选择“备份”作为 VM 设置的一部分,则即使已经备份 VM,也会打开“启用备份”屏幕 。 这是因为验证备份状态的调用仅在订阅级别起作用。 若要避免此问题,请转到保管库并打开 VM 的备份项视图,或者在订阅级别指定“VM 参与者”角色。
Azure工作负荷备份的最低角色要求(SQL 和 HANA DB 备份)
下表列出了备份管理操作及执行这些操作所需的最低 Azure 角色。
| 管理操作 | 所需的Azure最低角色 | 所需的范围 | 替代方法 |
|---|---|---|---|
| 创建恢复服务保管库 | 备份协作者 | 包含存储库的资源组 | |
| 启用 SQL 数据库和/或 HANA 数据库的备份 | 备份操作员 | 包含存储库的资源组 | |
| 虚拟机贡献者 | 安装了 DB 的 VM 资源 | 或者,可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 按需数据库备份 | 备份操作员 | 恢复服务保管库 | |
| 还原数据库或还原为文件 | 备份操作员 | 恢复服务保管库 | |
| 虚拟机贡献者 | 已备份的源 VM | 或者,可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 虚拟机贡献者 | 将用于还原数据库或创建文件的目标虚拟机 | 或者,可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 为Azure VM 备份创建备份策略 | 备份协作者 | 恢复服务保管库 | |
| 修改Azure VM 备份的备份策略 | 备份协作者 | 恢复服务保管库 | |
| 删除Azure VM 备份的备份策略 | 备份协作者 | 恢复服务保管库 | |
| 停止在 VM 备份上备份(通过保留数据或删除数据) | 备份协作者 | 恢复服务保管库 | |
| 虚拟机贡献者 | 已备份的源 VM | 或者,您可以考虑使用具有以下权限的自定义角色,而不是内置角色:Microsoft.Compute/virtualMachines/write | |
| 跨区域还原 | 备份操作员 | 订阅恢复服务保管库 | 这是除上面提到的还原权限之外的权限。 如果进行跨区域还原,可考虑具有以下权限的自定义角色,而不是内置角色: - Microsoft。RecoveryServices/locations/backupAadProperties/read - Microsoft。RecoveryServices/locations/backupCrrJobs/action - Microsoft。RecoveryServices/locations/backupCrrJob/action - Microsoft。RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft。RecoveryServices/locations/backupCrrOperationResults/read - Microsoft。RecoveryServices/locations/backupCrrOperationsStatus/read |
| 禁用保管库的不可变属性 | 备份协作者 | 恢复服务保管库 |
Azure文件共享备份的最低角色要求
下表显示了备份管理操作及执行该操作所需的相应 Azure 角色。
| 管理操作 | 所需的角色 | 资源 |
|---|---|---|
| 从恢复服务保管库启用备份 | 备份协作者 | 恢复服务保管库 |
| 存储帐户贡献者 | 存储帐户资源 | |
| 启用文件共享刀片备份 | 备份协作者 | 恢复服务保管库 |
| 存储帐户贡献者 | 存储帐户资源 | |
| 贡献者 | 订阅 | |
| 共享文件的按需备份 | 备份操作员 | 恢复服务保管库 |
| 恢复文件共享 | 备份操作员 | 恢复服务保管库 |
| 存储帐户备份参与者 | 存在还原源和目标文件共享的存储帐户资源 | |
| 还原单个文件 | 备份操作员 | 恢复服务保管库 |
| 存储帐户贡献者 | 存在还原源和目标文件共享的存储帐户资源 | |
| 停止保护 | 备份协作者 | 恢复服务保管库 |
| 从保管库中注销存储帐户 | 备份协作者 | 恢复服务保管库 |
| 存储帐户贡献者 | 存储帐户资源 | |
| 禁用保管库的不可变属性 | 备份协作者 | 恢复服务保管库 |
注意
如果您在资源组级别拥有贡献者访问权限,并且想要配置文件共享边栏上的备份,请确保您在订阅级别获取 microsoft.recoveryservices/Locations/backupStatus/action 权限。 为此,请创建一个 自定义角色 并分配此权限。
Azure磁盘备份的最低角色要求
| 管理操作 | 所需的Azure最低角色 | 所需的范围 | 替代方法 |
|---|---|---|---|
| 在配置备份前验证 | 备份操作员 | 备份保管库 | |
| 磁盘备份读取者 | 要备份的磁盘 | ||
| 从备份保管库启用备份 | 备份操作员 | 备份保管库 | |
| 磁盘备份读取者 | 要备份的磁盘 | 此外,应向备份保管库 MSI 授予这些权限 | |
| 按需备份磁盘 | 备份操作员 | 备份保管库 | |
| 在还原磁盘之前验证 | 备份操作员 | 备份保管库 | |
| 磁盘还原操作员 | 将在其中还原磁盘的资源组 | ||
| 还原磁盘 | 备份操作员 | 备份保管库 | |
| 磁盘还原操作员 | 将在其中还原磁盘的资源组 | 此外,应向备份保管库 MSI 授予这些权限 |
Azure blob 备份的最低角色要求
| 管理操作 | 所需的Azure最低角色 | 所需的范围 | 替代方法 |
|---|---|---|---|
| 在配置备份前验证 | 备份操作员 | 备份保管库: - Resources/deployments/validate/action - Resources/deployments/write - 资源/订阅/资源组/读取 |
|
| 存储账户备份贡献者 | 包含 Blob 的存储帐户 | ||
| 从备份保管库启用备份 | 备份操作员 | 备份保管库: - Resources/deployments/validate/action - Resources/deployments/write - 资源/订阅/资源组/读取 |
|
| 存储账户备份贡献者 | 包含 Blob 的存储帐户 | 此外,应向备份保管库 MSI 授予 这些权限。 | |
| 按需备份 Blob | 备份操作员 | 备份保管库: - Resources/deployments/validate/action - Resources/deployments/write - 资源/订阅/资源组/读取 |
|
| 在还原 Blob 数据之前进行验证 | 备份操作员 | 备份保管库: - Resources/deployments/validate/action - Resources/deployments/write - 资源/订阅/资源组/读取 |
|
| 存储账户备份贡献者 | 包含 Blob 的存储帐户 | ||
| 还原 Blob | 备份操作员 | 备份保管库: - Resources/deployments/validate/action - Resources/deployments/write - 资源/订阅/资源组/读取 |
|
| 存储账户备份贡献者 | 包含 Blob 的存储帐户 | 此外,应向备份保管库 MSI 授予 这些权限。 | |
| 禁用保管库的不可变属性 | 备份协作者 | 备份保管库 |
注意
对于 存储帐户验证 操作,备份保管库的托管 ID 需要具有 所有者权限。
SAP ASE (Sybase) 数据库跨订阅还原的最低角色要求
| 操作类型 | 备份操作员 | 恢复服务保管库 | 备用操作员 |
|---|---|---|---|
| 还原数据库或转换为文件 | 虚拟机贡献者 | 已备份的源 VM | 可考虑具有以下权限的自定义角色而不是内置角色: - Microsoft。Compute/virtualMachines/write - Microsoft。Compute/virtualMachines/read |
| 虚拟机贡献者 | 将在其中还原数据库或创建文件的目标 VM。 | 可考虑具有以下权限的自定义角色,而不是内置角色: - Microsoft。Compute/virtualMachines/write - Microsoft。Compute/virtualMachines/read |
|
| 备份操作员 | 目标恢复服务保管库 |
后续步骤
- Azure基于角色的访问控制(Azure RBAC):Azure 门户中的 Azure RBAC 入门。
- 了解如何通过以下方式管理访问权限:
- Azure基于角色的访问控制故障排除:获取修复常见问题的建议。