Utiliser le contrôle d’accès en fonction du rôle pour gérer les points de récupération Sauvegarde AzureUse Role-Based Access Control to manage Azure Backup recovery points

Le contrôle d’accès en fonction du rôle (RBAC) Azure permet une gestion précise de l’accès pour Azure.Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. Avec le contrôle d’accès en fonction du rôle, vous pouvez séparer les tâches au sein de votre équipe et accorder aux utilisateurs uniquement les accès nécessaires pour accomplir leur travail.Using RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs.

Important

Les rôles fournis par Azure Backup sont limités à des actions qui peuvent être effectuées dans le portail Azure ou via l’API REST, le coffre Recovery Services Powershell, ou les cmdlets d’interface de ligne de commande.Roles provided by Azure Backup are limited to actions that can be performed in Azure portal or via REST API or Recovery Services vault PowerShell or CLI cmdlets. Les actions effectuées dans l’interface cliente de l’agent Azure Backup, l’interface System Center Data Protection Manager ou l’interface de serveur de sauvegarde Azure ne sont pas contrôlées par ces rôles.Actions performed in Azure backup Agent Client UI or System center Data Protection Manager UI or Azure Backup Server UI are out of control of these roles.

Azure Backup fournit 3 rôles intégrés pour contrôler les opérations de gestion des sauvegardes.Azure Backup provides three built-in roles to control backup management operations. En savoir plus sur les rôles intégrés Azure RBACLearn more on Azure RBAC built-in roles

  • Contributeur de sauvegarde : ce rôle dispose de toutes les autorisations pour créer et gérer des sauvegardes, à l’exception de la suppression du coffre Recovery Services et de l’octroi d’un accès à d’autres personnes.Backup Contributor - This role has all permissions to create and manage backup except deleting Recovery Services vault and giving access to others. Imaginez ce rôle comme un administrateur de gestion des sauvegardes qui peut exécuter chaque opération de gestion des sauvegardes.Imagine this role as admin of backup management who can do every backup management operation.
  • Opérateur de sauvegarde : ce rôle dispose des autorisations généralement accordées à un contributeur à l’exception de la suppression de sauvegardes et de la gestion des stratégies de sauvegarde.Backup Operator - This role has permissions to everything a contributor does except removing backup and managing backup policies. Ce rôle est équivalent au contributeur, mais il ne peut pas effectuer d’opérations destructrices telles que l’arrêt de la sauvegarde avec suppression des données ou la suppression de l’enregistrement de ressources locales.This role is equivalent to contributor except it can't perform destructive operations such as stop backup with delete data or remove registration of on-premises resources.
  • Lecteur de sauvegarde : ce rôle dispose des autorisations pour afficher toutes les opérations de gestion des sauvegardes.Backup Reader - This role has permissions to view all backup management operations. Imaginez ce rôle comme un responsable de surveillance.Imagine this role to be a monitoring person.

Si vous avez besoin de définir vos propres rôles pour un meilleur contrôle, découvrez comment créer des rôles personnalisés dans RBAC Azure.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

Mappage des rôles de sauvegarde intégrés pour les actions de gestion des sauvegardesMapping Backup built-in roles to backup management actions

Le tableau suivant répertorie les actions de gestion des sauvegardes et le rôle RBAC minimum nécessaire correspondant pour effectuer cette opération.The following table captures the Backup management actions and corresponding minimum RBAC role required to perform that operation.

Opération de gestionManagement Operation Rôle RBAC minimum nécessaireMinimum RBAC role required Étendue requiseScope Required
Créer un coffre Recovery ServicesCreate Recovery Services vault Contributeur de sauvegardeBackup Contributor Groupe de ressources contenant le coffreResource group containing the vault
Activer la sauvegarde des machines virtuelles AzureEnable backup of Azure VMs Opérateur de sauvegardeBackup Operator Groupe de ressources contenant le coffreResource group containing the vault
Contributeur de machine virtuelleVirtual Machine Contributor Ressource de machine virtuelleVM resource
Sauvegarde de machine virtuelle à la demandeOn-demand backup of VM Opérateur de sauvegardeBackup Operator Ressource du coffreRecovery vault resource
Restaurer une machine virtuelleRestore VM Opérateur de sauvegardeBackup Operator Coffre Recovery ServicesRecovery Services vault
ContributeurContributor Groupe de ressources dans lequel la machine virtuelle sera déployéeResource group in which VM will be deployed
Contributeur de machine virtuelleVirtual Machine Contributor Machine virtuelle source qui a été sauvegardéeSource VM which got backed up
Restaurer la sauvegarde de machine virtuelle de disques non managésRestore unmanaged disks VM backup Opérateur de sauvegardeBackup Operator Ressource du coffreRecovery vault resource
Contributeur de machine virtuelleVirtual Machine Contributor Machine virtuelle source qui a été sauvegardéeSource VM which got backed up
Contributeur de compte de stockageStorage Account Contributor Ressource de compte de stockage où les disques vont être restaurésStorage account resource where disks are going to be restored
Restaurer des disques managés de la sauvegarde de machine virtuelleRestore managed disks from VM backup Opérateur de sauvegardeBackup Operator Ressource du coffreRecovery vault resource
Contributeur de machine virtuelleVirtual Machine Contributor Machine virtuelle source qui a été sauvegardéeSource VM which got backed up
Contributeur de compte de stockageStorage Account Contributor Compte de stockage temporaire sélectionné dans le cadre de la restauration pour conserver les données de l’espace de stockage avant de les convertir en disques managés.Temporary Storage account selected as part of restore to hold data from vault before converting them to managed disks
ContributeurContributor Groupe de ressources vers lequel le(s) disque(s) managé(s) sera (seront) restauré(s)Resource group to which managed disk(s) will be restored
Restaurer des fichiers individuels à partir d’une sauvegarde de machine virtuelleRestore individual files from VM backup Opérateur de sauvegardeBackup Operator Ressource du coffreRecovery vault resource
Contributeur de machine virtuelleVirtual Machine Contributor Machine virtuelle source qui a été sauvegardéeSource VM which got backed up
Créer une stratégie de sauvegarde pour la sauvegarde de machine virtuelle AzureCreate backup policy for Azure VM backup Contributeur de sauvegardeBackup Contributor Ressource du coffreRecovery vault resource
Modifier une stratégie de sauvegarde pour la sauvegarde de machine virtuelle AzureModify backup policy of Azure VM backup Contributeur de sauvegardeBackup Contributor Ressource du coffreRecovery vault resource
Supprimer une stratégie de sauvegarde pour la sauvegarde de machine virtuelle AzureDelete backup policy of Azure VM backup Contributeur de sauvegardeBackup Contributor Ressource du coffreRecovery vault resource
Arrêt de la sauvegarde (avec conservation ou suppression des données) lors la sauvegarde d’une machine virtuelleStop backup (with retain data or delete data) on VM backup Contributeur de sauvegardeBackup Contributor Ressource du coffreRecovery vault resource
Inscrire un Windows Server/client/SCDPM ou un serveur de sauvegarde AzureRegister on-premises Windows Server/client/SCDPM or Azure Backup Server Opérateur de sauvegardeBackup Operator Ressource du coffreRecovery vault resource
Supprimer un Windows Server/client/SCDPM inscrit ou un serveur de sauvegarde AzureDelete registered on-premises Windows Server/client/SCDPM or Azure Backup Server Contributeur de sauvegardeBackup Contributor Ressource du coffreRecovery vault resource

Important

Si vous spécifiez VM Contributor dans le cadre d’une ressource de machine virtuelle et cliquez sur Backup dans les paramètres de la machine virtuelle, l’écran 'Enable Backup' (Activer la sauvegarde) s’ouvre même si la VM est déjà sauvegardée car l’appel de vérification de l’état de la sauvegarde fonctionne uniquement au niveau abonnement.If you specify VM Contributor at a VM resource scope and click on Backup as part of VM settings, it will open 'Enable Backup' screen even though VM is already backed up as the call to verify backup status works only at subscription level. Pour éviter cela, allez dans le coffre-fort et ouvrez l’affichage des éléments de sauvegarde de la machine virtuelle ou spécifiez le rôle VM Contributor au niveau de l’abonnement.To avoid this, either go to vault and open the backup item view of the VM or specify VM Contributor role at a subscription level.

Exigences de rôle minimum pour la sauvegarde de partage de fichiers AzureMinimum role requirements for the Azure File share backup

Le tableau suivant répertorie les actions de gestion des sauvegardes et le rôle nécessaire correspondant pour effectuer cette opération de partage Azure File.The following table captures the Backup management actions and corresponding role required to perform Azure File share operation.

Opération de gestionManagement Operation Rôle requisRole Required RessourcesResources
Activer la sauvegarde d’un partage de fichiers AzureEnable backup of Azure File shares Contributeur de sauvegardeBackup Contributor Coffre Recovery ServicesRecovery Services vault
Compte de stockageStorage Account Ressource de compte de stockage de contributeurContributor Storage account resource
Sauvegarde de machine virtuelle à la demandeOn-demand backup of VM Opérateur de sauvegardeBackup Operator Coffre Recovery ServicesRecovery Services vault
Restaurer le partage de fichiersRestore File share Opérateur de sauvegardeBackup Operator Coffre Recovery ServicesRecovery Services vault
Contributeur de compte de stockageStorage Account Contributor Ressources du compte de stockage où les partages de fichiers source et cible de restauration sont présentsStorage account resources where restore source and Target file shares are present
Restaurer des fichiers individuelsRestore Individual Files Opérateur de sauvegardeBackup Operator Coffre Recovery ServicesRecovery Services vault
Contributeur de compte de stockageStorage Account Contributor Ressources du compte de stockage où les partages de fichiers source et cible de restauration sont présentsStorage account resources where restore source and Target file shares are present
Arrêter la protectionStop protection Contributeur de sauvegardeBackup Contributor Coffre Recovery ServicesRecovery Services vault
Annuler l’inscription d’un compte de stockage au coffreUnregister storage account from vault Contributeur de sauvegardeBackup Contributor Coffre Recovery ServicesRecovery Services vault
Contributeur de compte de stockageStorage Account Contributor Ressource du compte de stockageStorage account resource

Étapes suivantesNext steps