Usare il controllo di accesso in base al ruolo di Azure per gestire i punti di ripristino di backup di AzureUse Azure role-based access control to manage Azure Backup recovery points

Il controllo degli accessi in base al ruolo di Azure (RBAC di Azure) consente una gestione degli accessi con granularità fine per Azure.Azure role-based access control (Azure RBAC) enables fine-grained access management for Azure. Usando il controllo degli accessi in base al ruolo di Azure, è possibile separare le mansioni all'interno del team e concedere agli utenti solo la quantità di accesso di cui hanno bisogno per svolgere il loro lavoro.Using Azure RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs.

Importante

I ruoli forniti da backup di Azure sono limitati alle azioni che possono essere eseguite in portale di Azure o tramite l'API REST o i cmdlet di PowerShell per l'insieme di credenziali di servizi di ripristino.Roles provided by Azure Backup are limited to actions that can be performed in Azure portal or via REST API or Recovery Services vault PowerShell or CLI cmdlets. Le azioni eseguite nell'interfaccia utente del client dell'agente di backup di Azure o nell'interfaccia utente di System Center Data Protection Manager o nell'interfaccia utente server di Backup di Azure non sono in alcun controllo di questi ruoli.Actions performed in the Azure Backup agent client UI or System center Data Protection Manager UI or Azure Backup Server UI are out of control of these roles.

Backup di Azure offre tre ruoli predefiniti per controllare le operazioni di gestione dei backup.Azure Backup provides three built-in roles to control backup management operations. Scopri di più sui ruoli predefiniti di AzureLearn more on Azure built-in roles

  • Collaboratore backup : questo ruolo dispone di tutte le autorizzazioni per creare e gestire il backup, eccetto l'eliminazione dell'insieme di credenziali dei servizi di ripristino e l'accesso ad altri.Backup Contributor - This role has all permissions to create and manage backup except deleting Recovery Services vault and giving access to others. Si immagini questo ruolo come amministratore della gestione di backup autorizzato a eseguire ogni operazione in tale ambito.Imagine this role as admin of backup management who can do every backup management operation.
  • Operatore di backup: questo ruolo dispone delle autorizzazioni per tutte le operazioni svolte da un collaboratore, tranne per la rimozione di backup e la gestione dei criteri di backup.Backup Operator - This role has permissions to everything a contributor does except removing backup and managing backup policies. Questo ruolo è equivalente al collaboratore, ma non può eseguire operazioni distruttive, ad esempio interrompere il backup con eliminazione dei dati o rimuovere la registrazione di risorse locali.This role is equivalent to contributor except it can't perform destructive operations such as stop backup with delete data or remove registration of on-premises resources.
  • Lettore di backup: questo ruolo dispone delle autorizzazioni per visualizzare tutte le operazioni di gestione di backup.Backup Reader - This role has permissions to view all backup management operations. Si immagini questo ruolo come una persona addetta al monitoraggio.Imagine this role to be a monitoring person.

Per definire ruoli personalizzati per un maggiore controllo, vedere How to Build Custom Roles in Azure RBAC.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

Mapping dei ruoli predefiniti di Backup per azioni di gestione di backupMapping Backup built-in roles to backup management actions

Requisiti minimi del ruolo per il backup delle macchine virtuali di AzureMinimum role requirements for Azure VM backup

La tabella seguente acquisisce le azioni di gestione del backup e il ruolo di Azure minimo corrispondente necessario per eseguire tale operazione.The following table captures the Backup management actions and corresponding minimum Azure role required to perform that operation.

Operazione di gestioneManagement Operation Ruolo minimo di Azure obbligatorioMinimum Azure role required Ambito necessarioScope Required AlternativaAlternative
Creare un insieme di credenziali di Servizi di ripristinoCreate Recovery Services vault Collaboratore di backupBackup Contributor Gruppo di risorse contenente l'insieme di credenzialiResource group containing the vault
Abilitare il backup di VM di AzureEnable backup of Azure VMs Operatore di backupBackup Operator Gruppo di risorse contenente l'insieme di credenzialiResource group containing the vault
Collaboratore macchine virtualiVirtual Machine Contributor Risorsa della VMVM resource In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. Compute/virtualMachines/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Compute/virtualMachines/write
Backup su richiesta della VMOn-demand backup of VM Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Ripristino della VMRestore VM Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
CollaboratoreContributor Gruppo di risorse in cui verrà distribuita la VMResource group in which VM will be deployed In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. resources/subscriptions/resourceGroups/Write Microsoft. DomainRegistration/Domains/Write, Microsoft. Compute/virtualMachines/Write Microsoft. Network/virtualNetworks/Read Microsoft. Network/virtualNetworks/Subnets/join/ActionAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write, Microsoft.Compute/virtualMachines/write Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/join/action
Collaboratore macchine virtualiVirtual Machine Contributor VM di origine di cui è stato eseguito il backupSource VM that got backed up In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. Compute/virtualMachines/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Compute/virtualMachines/write
Ripristinare dischi non gestiti dal backup delle VMRestore unmanaged disks VM backup Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Collaboratore macchine virtualiVirtual Machine Contributor VM di origine di cui è stato eseguito il backupSource VM that got backed up In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. Compute/virtualMachines/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Compute/virtualMachines/write
Collaboratore account di archiviazioneStorage Account Contributor Risorsa account di archiviazione in cui i dischi saranno ripristinatiStorage account resource where disks are going to be restored In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. storage/storageAccounts/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Storage/storageAccounts/write
Ripristinare dischi gestiti dal backup delle VMRestore managed disks from VM backup Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Collaboratore macchine virtualiVirtual Machine Contributor VM di origine di cui è stato eseguito il backupSource VM that got backed up In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. Compute/virtualMachines/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Compute/virtualMachines/write
Collaboratore account di archiviazioneStorage Account Contributor Account di archiviazione temporaneo selezionato come parte del ripristino per contenere i dati dall'insieme di credenziali prima di convertirli in dischi gestitiTemporary Storage account selected as part of restore to hold data from vault before converting them to managed disks In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. storage/storageAccounts/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Storage/storageAccounts/write
CollaboratoreContributor Gruppo di risorse in cui verranno ripristinati i dischi gestitiResource group to which managed disk(s) will be restored In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. resources/subscriptions/resourceGroups/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Resources/subscriptions/resourceGroups/write
Ripristinare singoli file dal backup delle VMRestore individual files from VM backup Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Collaboratore macchine virtualiVirtual Machine Contributor VM di origine di cui è stato eseguito il backupSource VM that got backed up In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. Compute/virtualMachines/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Compute/virtualMachines/write
Ripristino tra areeCross region restore Operatore di backupBackup Operator Sottoscrizione dell'insieme di credenziali di servizi di ripristinoSubscription of the recovery Services vault Questa operazione è aggiunta alle autorizzazioni di ripristino indicate in precedenza.This is in addition of the restore permissions mentioned above. In particolare per CRR, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: "Microsoft. RecoveryServices/locations/backupAadProperties/Read" "Microsoft. RecoveryServices/locations/backupCrrJobs/Action" "Microsoft. RecoveryServices/locations/backupCrrJob/Action" "Microsoft. RecoveryServices/locations/backupCrossRegionRestore/Action" "Microsoft. RecoveryServices/locations/backupCrrOperationResults/Read" "Microsoft. RecoveryServices/locations/backupCrrOperationsStatus/Read"Specifically for CRR, instead of a built-in-role, you can consider a custom role which has the following permissions: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read"
Creare criteri di backup per il backup di VM di AzureCreate backup policy for Azure VM backup Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Modificare criteri di backup per il backup di VM di AzureModify backup policy of Azure VM backup Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Eliminare criteri di backup per il backup di VM di AzureDelete backup policy of Azure VM backup Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Interrompere il backup (con o senza conservazione dei dati) in operazioni di backup di VMStop backup (with retain data or delete data) on VM backup Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Registrare Windows Server/client/SCDPM locale o server di Backup di AzureRegister on-premises Windows Server/client/SCDPM or Azure Backup Server Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Eliminare Windows Server/client/SCDPM locale o server di Backup di Azure registratoDelete registered on-premises Windows Server/client/SCDPM or Azure Backup Server Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault

Importante

Se si specifica collaboratore macchina virtuale in un ambito di risorse VM e si seleziona backup come parte delle impostazioni della macchina virtuale, verrà visualizzata la schermata Abilita backup , anche se è già stato eseguito il backup della macchina virtuale.If you specify VM Contributor at a VM resource scope and select Backup as part of VM settings, it will open the Enable Backup screen, even though the VM is already backed up. Questo perché la chiamata per verificare lo stato del backup funziona solo a livello di sottoscrizione.This is because the call to verify backup status works only at the subscription level. Per evitare questo problema, passare all'insieme di credenziali e aprire la visualizzazione dell'elemento di backup della VM o specificare il ruolo Collaboratore macchina virtuale a livello di sottoscrizione.To avoid this, either go to the vault and open the backup item view of the VM or specify the VM Contributor role at a subscription level.

Requisiti minimi del ruolo per i backup del carico di lavoro di Azure (backup del database SQL e HANA)Minimum role requirements for Azure workload backups (SQL and HANA DB backups)

La tabella seguente acquisisce le azioni di gestione del backup e il ruolo di Azure minimo corrispondente necessario per eseguire tale operazione.The following table captures the Backup management actions and corresponding minimum Azure role required to perform that operation.

Operazione di gestioneManagement Operation Ruolo minimo di Azure obbligatorioMinimum Azure role required Ambito necessarioScope Required AlternativaAlternative
Creare un insieme di credenziali di Servizi di ripristinoCreate Recovery Services vault Collaboratore di backupBackup Contributor Gruppo di risorse contenente l'insieme di credenzialiResource group containing the vault
Abilitare il backup dei database SQL e/o HANAEnable backup of SQL and/or HANA databases Operatore di backupBackup Operator Gruppo di risorse contenente l'insieme di credenzialiResource group containing the vault
Collaboratore macchine virtualiVirtual Machine Contributor Risorsa macchina virtuale in cui è installato il databaseVM resource where DB is installed In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. Compute/virtualMachines/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Compute/virtualMachines/write
Backup su richiesta del databaseOn-demand backup of DB Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Ripristina database o Ripristina come fileRestore database or Restore as files Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Collaboratore macchine virtualiVirtual Machine Contributor VM di origine di cui è stato eseguito il backupSource VM that got backed up In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. Compute/virtualMachines/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Compute/virtualMachines/write
Collaboratore macchine virtualiVirtual Machine Contributor VM di destinazione in cui verrà ripristinato il database o verranno creati i fileTarget VM in which DB will be restored or files are created In alternativa, invece di un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft. Compute/virtualMachines/WriteAlternatively, instead of a built-in-role, you can consider a custom role which has the following permissions: Microsoft.Compute/virtualMachines/write
Creare criteri di backup per il backup di VM di AzureCreate backup policy for Azure VM backup Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Modificare criteri di backup per il backup di VM di AzureModify backup policy of Azure VM backup Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Eliminare criteri di backup per il backup di VM di AzureDelete backup policy of Azure VM backup Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Interrompere il backup (con o senza conservazione dei dati) in operazioni di backup di VMStop backup (with retain data or delete data) on VM backup Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault

Requisiti minimi del ruolo per il backup della condivisione file di AzureMinimum role requirements for the Azure File share backup

La tabella seguente acquisisce le azioni di gestione del backup e il ruolo corrispondente necessari per eseguire l'operazione di condivisione file di Azure.The following table captures the Backup management actions and corresponding role required to perform Azure File share operation.

Operazione di gestioneManagement Operation Ruolo obbligatorioRole Required RisorseResources
Abilitare il backup delle condivisioni file di AzureEnable backup of Azure File shares Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Account di archiviazioneStorage Account Risorsa account di archiviazione collaboratoreContributor Storage account resource
Backup su richiesta della VMOn-demand backup of VM Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Ripristino della condivisione fileRestore File share Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Collaboratore account di archiviazioneStorage Account Contributor Risorse dell'account di archiviazione in cui sono presenti condivisioni file di origine e di destinazioneStorage account resources where restore source and Target file shares are present
Ripristinare singoli fileRestore Individual Files Operatore di backupBackup Operator Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Collaboratore account di archiviazioneStorage Account Contributor Risorse dell'account di archiviazione in cui sono presenti condivisioni file di origine e di destinazioneStorage account resources where restore source and Target file shares are present
Arresta protezioneStop protection Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Annulla la registrazione dell'account di archiviazione dall'insieme di credenzialiUnregister storage account from vault Collaboratore di backupBackup Contributor Insieme di credenziali dei servizi di ripristinoRecovery Services vault
Collaboratore account di archiviazioneStorage Account Contributor Risorsa dell'account di archiviazioneStorage account resource

Passaggi successiviNext steps