Uso del control de acceso basado en roles de Azure para administrar puntos de recuperación de Azure BackupUse Azure role-based access control to manage Azure Backup recovery points

El control de acceso basado en rol de Azure (Azure RBAC) permite realizar una administración detallada del acceso para Azure.Azure role-based access control (Azure RBAC) enables fine-grained access management for Azure. Con Azure RBAC, puede repartir las tareas entre el equipo y conceder a los usuarios únicamente el nivel de acceso que necesitan para realizar su trabajo.Using Azure RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs.

Importante

Los roles proporcionados por Azure Backup están limitados a las acciones que se pueden realizar en Azure Portal o a través de la API de REST o los cmdlets de PowerShell o la CLI para el almacén de Recovery Services.Roles provided by Azure Backup are limited to actions that can be performed in Azure portal or via REST API or Recovery Services vault PowerShell or CLI cmdlets. Las acciones realizadas en la interfaz de usuario del cliente del agente de Azure Backup, la interfaz de usuario de System Center Data Protection Manager o la interfaz de usuario de Azure Backup Server están fuera del control de estos roles.Actions performed in the Azure Backup agent client UI or System center Data Protection Manager UI or Azure Backup Server UI are out of control of these roles.

Azure Backup proporciona tres roles integrados para controlar las operaciones de administración de copia de seguridad.Azure Backup provides three built-in roles to control backup management operations. Más información sobre los roles integrados de AzureLearn more on Azure built-in roles

  • Colaborador de copia de seguridad: este rol tiene todos los permisos para crear y administrar copias de seguridad, excepto para eliminar el almacén de Recovery Services y facilitar acceso a otros usuarios.Backup Contributor - This role has all permissions to create and manage backup except deleting Recovery Services vault and giving access to others. Imagine este rol como administrador de copias de seguridad que puede realizar todas las operaciones de administración de copia de seguridad.Imagine this role as admin of backup management who can do every backup management operation.
  • Operador de copia de seguridad: Este rol tiene permisos para todo lo que puede hacer un colaborador, excepto quitar copias de seguridad y administrar directivas de copia de seguridad.Backup Operator - This role has permissions to everything a contributor does except removing backup and managing backup policies. Este rol es equivalente al de colaborador, salvo que no puede realizar operaciones destructivas, como detener copias de seguridad con la eliminación de datos o quitar el registro de recursos locales.This role is equivalent to contributor except it can't perform destructive operations such as stop backup with delete data or remove registration of on-premises resources.
  • Lector de copia de seguridad: Este rol tiene permisos para ver todas las operaciones de administración de copia de seguridad.Backup Reader - This role has permissions to view all backup management operations. Imagine este rol como una persona de supervisión.Imagine this role to be a monitoring person.

Si quiere definir sus propios roles para tener un mayor control, consulte cómo crear roles personalizados en RBAC de Azure.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

Asignación de roles integrados de Backup a las acciones de administración de copia de seguridadMapping Backup built-in roles to backup management actions

En la tabla siguiente se capturan acciones de administración de Backup y el rol de Azure mínimo correspondiente necesario para realizar esa operación.The following table captures the Backup management actions and corresponding minimum Azure role required to perform that operation.

Operación de administraciónManagement Operation Rol de Azure mínimo necesarioMinimum Azure role required Ámbito requeridoScope Required
Crear almacén de Recovery ServicesCreate Recovery Services vault Colaborador de copias de seguridadBackup Contributor Grupo de recursos que contiene el almacénResource group containing the vault
Habilitar la copia de seguridad de VM de AzureEnable backup of Azure VMs Operador de copias de seguridadBackup Operator Grupo de recursos que contiene el almacénResource group containing the vault
Colaborador de la máquina virtualVirtual Machine Contributor Recurso de máquina virtualVM resource
Copia de seguridad a petición de VMOn-demand backup of VM Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Restaurar VMRestore VM Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
ColaboradorContributor Grupo de recursos en el que se implementará la máquina virtualResource group in which VM will be deployed
Colaborador de la máquina virtualVirtual Machine Contributor Máquina virtual de origen de la que se hizo una copia de seguridadSource VM that got backed up
Restaurar la copia de seguridad de la máquina virtual de discos no administradosRestore unmanaged disks VM backup Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Colaborador de la máquina virtualVirtual Machine Contributor Máquina virtual de origen de la que se hizo una copia de seguridadSource VM that got backed up
Colaborador de la cuenta de almacenamientoStorage Account Contributor Recurso de la cuenta de almacenamiento donde se van a restaurar los discosStorage account resource where disks are going to be restored
Restaurar discos administrados de la copia de seguridad de la máquina virtualRestore managed disks from VM backup Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Colaborador de la máquina virtualVirtual Machine Contributor Máquina virtual de origen de la que se hizo una copia de seguridadSource VM that got backed up
Colaborador de la cuenta de almacenamientoStorage Account Contributor Cuenta de almacenamiento temporal seleccionada como parte de la restauración para contener datos del almacén antes de convertirlos a discos administradosTemporary Storage account selected as part of restore to hold data from vault before converting them to managed disks
ColaboradorContributor Grupo de recursos en el cual se restaurarán los discos administradosResource group to which managed disk(s) will be restored
Restaurar archivos individuales desde la copia de seguridad de la máquina virtualRestore individual files from VM backup Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Colaborador de la máquina virtualVirtual Machine Contributor Máquina virtual de origen de la que se hizo una copia de seguridadSource VM that got backed up
Crear directiva de copia de seguridad para copia de seguridad de VM de AzureCreate backup policy for Azure VM backup Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Modificar directiva de copia de seguridad de copia de seguridad de VM de AzureModify backup policy of Azure VM backup Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Eliminar directiva de copia de seguridad de copia de seguridad de VM de AzureDelete backup policy of Azure VM backup Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Detener copia de seguridad (con retención de datos o eliminación de datos) en copia de seguridad de VMStop backup (with retain data or delete data) on VM backup Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Registrar Windows Server, cliente o SCDPM local o Azure Backup ServerRegister on-premises Windows Server/client/SCDPM or Azure Backup Server Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Eliminar Windows Server, cliente o SCDPM local registrado o Azure Backup ServerDelete registered on-premises Windows Server/client/SCDPM or Azure Backup Server Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault

Importante

Si especifica el rol de colaborador de VM en un ámbito de recursos de VM y hace clic en Copia de seguridad como parte de la configuración de VM, se abrirá la pantalla Habilitar copia de seguridad aunque ya se haya realizado una copia de seguridad de la VM.If you specify VM Contributor at a VM resource scope and select Backup as part of VM settings, it will open the Enable Backup screen, even though the VM is already backed up. Esto se debe a que la llamada para comprobar el estado de copia de seguridad solo funciona en el nivel de suscripción.This is because the call to verify backup status works only at the subscription level. Para evitarlo, vaya al almacén y abra la vista de elementos de copia de seguridad de la VM o especifique un rol de colaborador de VM en un nivel de suscripción.To avoid this, either go to the vault and open the backup item view of the VM or specify the VM Contributor role at a subscription level.

Requisitos de rol mínimos para la copia de seguridad de recursos compartidos de archivos de AzureMinimum role requirements for the Azure File share backup

En la tabla siguiente se capturan las acciones de administración de Backup y el rol correspondiente necesario para realizar la operación de recursos compartidos de archivos de Azure.The following table captures the Backup management actions and corresponding role required to perform Azure File share operation.

Operación de administraciónManagement Operation Rol requeridoRole Required RecursosResources
Habilitar la copia de seguridad de recursos compartidos de archivos de AzureEnable backup of Azure File shares Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Cuenta de almacenamientoStorage Account Recurso de la cuenta de almacenamiento del colaboradorContributor Storage account resource
Copia de seguridad a petición de VMOn-demand backup of VM Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Restaurar el recurso compartido de archivosRestore File share Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Colaborador de la cuenta de almacenamientoStorage Account Contributor Recursos de la cuenta de almacenamiento donde están presentes los recursos compartidos de archivos de destino y origen de restauraciónStorage account resources where restore source and Target file shares are present
Restaurar archivos individualesRestore Individual Files Operador de copias de seguridadBackup Operator Almacén de Recovery ServicesRecovery Services vault
Colaborador de la cuenta de almacenamientoStorage Account Contributor Recursos de la cuenta de almacenamiento donde están presentes los recursos compartidos de archivos de destino y origen de restauraciónStorage account resources where restore source and Target file shares are present
Detener protecciónStop protection Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Anular el registro de la cuenta de almacenamiento del almacénUnregister storage account from vault Colaborador de copias de seguridadBackup Contributor Almacén de Recovery ServicesRecovery Services vault
Colaborador de la cuenta de almacenamientoStorage Account Contributor Recurso de la cuenta de almacenamientoStorage account resource

Pasos siguientesNext steps