Azure 基于角色的访问控制(Azure RBAC)可为 Azure 启用精细的访问管理。 使用 Azure RBAC,可以在团队中分离职责,并根据需要仅向用户授予特定访问权限来执行特定作业。
Azure Site Recovery 提供 3 个内置角色来控制 Site Recovery 管理作。 详细了解 Azure 内置角色
- Site Recovery 参与者 - 此角色具有管理恢复服务保管库中的 Azure Site Recovery作所需的所有权限。 但是,具有此角色的用户无法创建或删除恢复服务保管库或为其他用户分配访问权限。 此角色最适合能够根据情况为应用程序或整个组织启用和管理灾难恢复的灾难恢复管理员。
- Site Recovery 操作员 - 此角色有权执行和管理故障转移和故障回复操作。 具有此角色的用户无法启用或禁用复制、创建或删除保管库、注册新基础结构或为其他用户分配访问权限。 此角色最适合灾难恢复操作员,当应用程序所有者和 IT 管理员在实际或模拟的灾难情况下(例如 DR 演练)指示时,可以故障转移虚拟机或应用程序。 解决灾难后,DR 操作员可以重新保护和故障回复虚拟机。
- Site Recovery 读者 - 此角色有权查看所有 Site Recovery 管理作业。 此角色最适合 IT 监视主管,他们可以监视当前保护状态,并根据需要提交支持票证。
如果要定义自己的角色以获得更多控制,请参阅如何在 Azure 中 生成自定义角色 。
为新虚拟机启用复制所需的权限
使用 Azure Site Recovery 将新的虚拟机复制到 Azure 时,会验证关联的用户访问级别,以确保用户具有使用提供给 Site Recovery 的 Azure 资源所需的权限。
若要为新虚拟机启用复制,用户必须具有:
- 在所选资源组中创建虚拟机的权限
- 在所选虚拟网络中创建虚拟机的权限
- 写入所选存储帐户的权限
用户需要以下权限才能完成新虚拟机的复制。
重要
确保根据用于资源部署的部署模型(资源管理器/经典版)添加相关权限。
注释
如果要为 Azure VM 启用复制并希望 Site Recovery 管理更新,则在启用复制过程中,您可能需要创建新的自动化帐户,此时需确保具备在与保管库相同的订阅中创建自动化帐户的权限。
| 资源类型 | 部署模型 | 许可 |
|---|---|---|
| 计算 | 资源管理器 | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.compute/disks/delete | ||
| Microsoft.Compute/virtualMachines/write(写入虚拟机) | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Classic | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| 网络 | 资源管理器 | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Classic | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| 存储 | 资源管理器 | microsoft.storage/storageaccounts/write |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Classic | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| 资源组 | 资源管理器 | Microsoft.RecoveryServices/register/action |
| Microsoft.Resources/subscriptions/resourceGroups/read |
请考虑分别对 Resource Manager 和经典部署模型使用“虚拟机参与者”和“经典虚拟机参与者” 内置角色 。
后续步骤
- Azure 基于角色的访问控制(Azure RBAC):Azure 门户中的 Azure RBAC 入门。
- 了解如何通过以下方法管理访问权限:
- Azure RBAC 故障排除:获取修复常见问题的建议。