Kelola akses Site Recovery dengan akses kontrol berbasis peran (Azure RBAC)
Kontrol akses berbasis peran Azure (Azure RBAC) memungkinkan manajemen akses terperinci untuk Azure. Dengan menggunakan Azure RBAC, Anda dapat memisahkan tanggung jawab dalam tim Anda dan hanya memberikan izin akses khusus kepada pengguna jika diperlukan untuk melakukan pekerjaan tertentu.
Azure Site Recovery menyediakan 3 peran bawaan untuk mengontrol operasi manajemen Site Recovery. Pelajari lebih lanjutPeran bawaan Azure
- Kontributor Site Recovery - Peran ini memiliki semua izin yang diperlukan untuk mengelola operasi Azure Site Recovery di brankas Layanan Pemulihan. Namun, pengguna dengan peran ini tidak dapat membuat atau menghapus brankas Layanan Pemulihan atau menetapkan hak akses kepada pengguna lain. Peran ini paling cocok untuk administrator pemulihan bencana yang dapat mengaktifkan dan mengelola pemulihan bencana untuk aplikasi atau seluruh organisasi, seperti yang mungkin terjadi.
- Operator Site Recovery - Peran ini memiliki izin untuk menjalankan dan mengelola operasi Failover dan Failback. Pengguna dengan peran ini tidak dapat mengaktifkan atau menonaktifkan replikasi, membuat atau menghapus brankas, mendaftarkan infrastruktur baru, atau menetapkan hak akses kepada pengguna lain. Peran ini paling cocok untuk operator pemulihan bencana yang dapat melakukan failover mesin atau aplikasi virtual ketika diinstruksikan oleh pemilik aplikasi dan administrator TI dalam situasi bencana yang sebenarnya atau simulasi seperti latihan DR. Pasca penanganan bencana, operator DR dapat melindungi kembali dan failback mesin virtual.
- Pembaca Site Recovery - Peran ini memiliki izin untuk melihat semua operasi manajemen Site Recovery. Peran ini paling cocok untuk eksekutif pemantau TI yang bisa memantau kondisi perlindungan terkini dan membuat tiket dukungan jika dibutuhkan.
Jika Anda ingin menentukan peran Anda sendiri untuk kontrol yang lebih besar, lihat cara membuat peran kustom di Azure.
Izin diperlukan untuk mengaktifkan replikasi untuk mesin virtual baru
Saat Mesin Virtual baru direplikasi ke Azure menggunakan Azure Site Recovery, tingkat akses pengguna terkait divalidasi untuk memastikan bahwa pengguna memiliki izin yang diperlukan untuk menggunakan sumber daya Azure yang disediakan untuk Site Recovery.
Untuk mengaktifkan replikasi mesin virtual baru, pengguna harus memiliki:
- Izin untuk membuat mesin virtual di grup sumber daya yang dipilih
- Izin untuk membuat mesin virtual di jaringan sumber daya yang dipilih
- Izin untuk menulis ke akun Penyimpanan yang dipilih
Pengguna memerlukan izin berikut untuk menyelesaikan replikasi mesin virtual baru.
Penting
Pastikan bahwa izin yang relevan ditambahkan per model penyebaran (Resource Manager/ Classic) yang digunakan untuk penyebaran sumber daya.
Catatan
Jika Anda mengaktifkan replikasi untuk VM Azure dan ingin mengizinkan Site Recovery untuk mengelola pembaruan, sambil mengaktifkan replikasi, Anda mungkin juga ingin membuat akun Otomatisasi baru yang dalam hal ini Anda akan memerlukan izin untuk membuat akun otomatisasi dalam langganan yang sama dengan brankas.
| Jenis Sumber Daya | Model Penyebaran | Izin |
|---|---|---|
| Compute | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klasik | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Jaringan | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klasik | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Penyimpanan | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klasik | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Grup Sumber Daya | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Pertimbangkan untuk menggunakan peran bawaan 'Kontributor Mesin Virtual' dan 'Kontributor Mesin Virtual Klasik' untuk model penerapan Resource Manager dan Classic.
Langkah berikutnya
- Kontrol akses berbasis peran Azure (Azure RBAC): Mulai gunakan Azure RBAC di portal Microsoft Azure.
- Pelajari cara mengelola akses dengan:
- Pemecahan masalah Azure RBAC: Dapatkan saran untuk memperbaiki masalah umum.