Uso del control de acceso basado en roles para administrar puntos de recuperación de Azure BackupUse Role-Based Access Control to manage Azure Backup recovery points

El control de acceso basado en roles (RBAC) de Azure permite realizar una administración detallada del acceso para Azure.Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. También podrá repartir las tareas entre el equipo y conceder a los usuarios únicamente el nivel de acceso que necesitan para realizar su trabajo.Using RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs.

Importante

Los roles proporcionados por Azure Backup están limitados a las acciones que se pueden realizar en Azure Portal o a través de la API de REST o los cmdlets de PowerShell o la CLI para el almacén de Recovery Services.Roles provided by Azure Backup are limited to actions that can be performed in Azure portal or via REST API or Recovery Services vault PowerShell or CLI cmdlets. Las acciones realizadas en la IU del cliente del agente de Azure Backup, en la IU de System Center Data Protection Manager o en la IU del Azure Backup Server están fuera del control de estos roles.Actions performed in Azure backup Agent Client UI or System center Data Protection Manager UI or Azure Backup Server UI are out of control of these roles.

Azure Backup proporciona tres roles integrados para controlar las operaciones de administración de copia de seguridad.Azure Backup provides three built-in roles to control backup management operations. Más información sobre roles integrados del control de acceso basado en rol de AzureLearn more on Azure RBAC built-in roles

  • Colaborador de copia de seguridad: este rol tiene todos los permisos para crear y administrar copias de seguridad, excepto para eliminar el almacén de Recovery Services y facilitar acceso a otros usuarios.Backup Contributor - This role has all permissions to create and manage backup except deleting Recovery Services vault and giving access to others. Imagine este rol como administrador de copias de seguridad que puede realizar todas las operaciones de administración de copia de seguridad.Imagine this role as admin of backup management who can do every backup management operation.
  • Operador de copia de seguridad: Este rol tiene permisos para todo lo que puede hacer un colaborador, excepto quitar copias de seguridad y administrar directivas de copia de seguridad.Backup Operator - This role has permissions to everything a contributor does except removing backup and managing backup policies. Este rol es equivalente al de colaborador, salvo que no puede realizar operaciones destructivas, como detener copias de seguridad con la eliminación de datos o quitar el registro de recursos locales.This role is equivalent to contributor except it can't perform destructive operations such as stop backup with delete data or remove registration of on-premises resources.
  • Lector de copia de seguridad: Este rol tiene permisos para ver todas las operaciones de administración de copia de seguridad.Backup Reader - This role has permissions to view all backup management operations. Imagine este rol como una persona de supervisión.Imagine this role to be a monitoring person.

Si quiere definir sus propios roles para tener un mayor control, consulte cómo crear roles personalizados en RBAC de Azure.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

Asignación de roles integrados de Backup a las acciones de administración de copia de seguridadMapping Backup built-in roles to backup management actions

En la tabla siguiente se capturan acciones de administración de Backup y el rol RBAC mínimo correspondiente necesario para realizar esa operación.The following table captures the Backup management actions and corresponding minimum RBAC role required to perform that operation.

Operación de administraciónManagement Operation Rol RBAC mínimo necesarioMinimum RBAC role required Ámbito requeridoScope Required
Crear almacén de Recovery ServicesCreate Recovery Services vault Colaborador de copias de seguridadBackup Contributor Grupo de recursos que contiene el almacénResource group containing the vault
Habilitar la copia de seguridad de VM de AzureEnable backup of Azure VMs Operador de copias de seguridadBackup Operator Grupo de recursos que contiene el almacénResource group containing the vault
Colaborador de la máquina virtualVirtual Machine Contributor Recurso de máquina virtualVM resource
Copia de seguridad a petición de VMOn-demand backup of VM Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Restaurar VMRestore VM Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
ColaboradorContributor Grupo de recursos en el que se implementará la máquina virtualResource group in which VM will be deployed
Colaborador de la máquina virtualVirtual Machine Contributor Máquina virtual de origen de la que se hizo una copia de seguridadSource VM that got backed up
Restaurar la copia de seguridad de la máquina virtual de discos no administradosRestore unmanaged disks VM backup Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Colaborador de la máquina virtualVirtual Machine Contributor Máquina virtual de origen de la que se hizo una copia de seguridadSource VM that got backed up
Colaborador de la cuenta de almacenamientoStorage Account Contributor Recurso de la cuenta de almacenamiento donde se van a restaurar los discosStorage account resource where disks are going to be restored
Restaurar discos administrados de la copia de seguridad de la máquina virtualRestore managed disks from VM backup Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Colaborador de la máquina virtualVirtual Machine Contributor Máquina virtual de origen de la que se hizo una copia de seguridadSource VM that got backed up
Colaborador de la cuenta de almacenamientoStorage Account Contributor Cuenta de almacenamiento temporal seleccionada como parte de la restauración para contener datos del almacén antes de convertirlos a discos administradosTemporary Storage account selected as part of restore to hold data from vault before converting them to managed disks
ColaboradorContributor Grupo de recursos en el cual se restaurarán los discos administradosResource group to which managed disk(s) will be restored
Restaurar archivos individuales desde la copia de seguridad de la máquina virtualRestore individual files from VM backup Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Colaborador de la máquina virtualVirtual Machine Contributor Máquina virtual de origen de la que se hizo una copia de seguridadSource VM that got backed up
Crear directiva de copia de seguridad para copia de seguridad de VM de AzureCreate backup policy for Azure VM backup Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Modificar directiva de copia de seguridad de copia de seguridad de VM de AzureModify backup policy of Azure VM backup Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Eliminar directiva de copia de seguridad de copia de seguridad de VM de AzureDelete backup policy of Azure VM backup Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Detener copia de seguridad (con retención de datos o eliminación de datos) en copia de seguridad de VMStop backup (with retain data or delete data) on VM backup Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Registrar Windows Server, cliente o SCDPM local o Azure Backup ServerRegister on-premises Windows Server/client/SCDPM or Azure Backup Server Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Eliminar Windows Server, cliente o SCDPM local registrado o Azure Backup ServerDelete registered on-premises Windows Server/client/SCDPM or Azure Backup Server Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault

Importante

Si especifica Colaborador de máquina virtual en un ámbito de recursos de máquina virtual y hace clic en Copia de seguridad como parte de la configuración de máquina virtual, se abrirá la pantalla "Habilitar copia de seguridad" aunque ya se haya realizado una copia de seguridad de la máquina virtual, ya que la llamada para comprobar el estado de la copia de seguridad solo funciona en el nivel de suscripción.If you specify VM Contributor at a VM resource scope and click on Backup as part of VM settings, it will open 'Enable Backup' screen even though VM is already backed up as the call to verify backup status works only at subscription level. Para evitar este problema, vaya al almacén y abra la vista de elementos de copia de seguridad de la máquina virtual o especifique un rol de colaborador de máquina virtual en un nivel de suscripción.To avoid this, either go to vault and open the backup item view of the VM or specify VM Contributor role at a subscription level.

Requisitos de rol mínimos para la copia de seguridad de recursos compartidos de archivos de AzureMinimum role requirements for the Azure File share backup

En la tabla siguiente se capturan las acciones de administración de Backup y el rol correspondiente necesario para realizar la operación de recursos compartidos de archivos de Azure.The following table captures the Backup management actions and corresponding role required to perform Azure File share operation.

Operación de administraciónManagement Operation Rol requeridoRole Required RecursosResources
Habilitar la copia de seguridad de recursos compartidos de archivos de AzureEnable backup of Azure File shares Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Cuenta de almacenamientoStorage Account Recurso de la cuenta de almacenamiento del colaboradorContributor Storage account resource
Copia de seguridad a petición de VMOn-demand backup of VM Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Restaurar el recurso compartido de archivosRestore File share Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Colaborador de la cuenta de almacenamientoStorage Account Contributor Recursos de la cuenta de almacenamiento donde están presentes los recursos compartidos de archivos de destino y origen de restauraciónStorage account resources where restore source and Target file shares are present
Restaurar archivos individualesRestore Individual Files Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Colaborador de la cuenta de almacenamientoStorage Account Contributor Recursos de la cuenta de almacenamiento donde están presentes los recursos compartidos de archivos de destino y origen de restauraciónStorage account resources where restore source and Target file shares are present
Detener protecciónStop protection Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Anular el registro de la cuenta de almacenamiento del almacénUnregister storage account from vault Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Colaborador de la cuenta de almacenamientoStorage Account Contributor Recurso de la cuenta de almacenamientoStorage account resource

Pasos siguientesNext steps