Usare il controllo degli accessi in base al ruolo per gestire le distribuzioni di Azure Site RecoveryUse Role-Based Access Control to manage Azure Site Recovery deployments

Il Controllo degli accessi in base al ruolo di Azure (RBAC) consente la gestione specifica degli accessi per Azure.Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. Usando il controllo degli accessi in base al ruolo, è possibile separare le responsabilità all'interno del team e concedere agli utenti solo le autorizzazioni di accesso specifiche necessarie per svolgere il lavoro.Using RBAC, you can segregate responsibilities within your team and grant only specific access permissions to users as needed to perform specific jobs.

Azure Site Recovery offre 3 ruoli predefiniti per controllare le operazioni di gestione di Site Recovery.Azure Site Recovery provides 3 built-in roles to control Site Recovery management operations. Maggiori informazioni sui ruoli predefiniti del Controllo degli accessi in base al ruolo di AzureLearn more on Azure RBAC built-in roles

  • Collaboratore di Site Recovery - Questo ruolo ha tutte le autorizzazioni necessarie per gestire le operazioni di Azure Site Recovery in un insieme di credenziali di Servizi di ripristino.Site Recovery Contributor - This role has all permissions required to manage Azure Site Recovery operations in a Recovery Services vault. Un utente con questo ruolo, tuttavia, non può creare o eliminare un insieme di credenziali di Servizi di ripristino oppure assegnare diritti di accesso ad altri utenti.A user with this role, however, can't create or delete a Recovery Services vault or assign access rights to other users. Questo ruolo è ideale per gli amministratori del ripristino di emergenza che possono abilitare e gestire il ripristino di emergenza per le applicazioni o per intere organizzazioni.This role is best suited for disaster recovery administrators who can enable and manage disaster recovery for applications or entire organizations, as the case may be.
  • Operatore di Site Recovery - Questo ruolo ha le autorizzazioni per eseguire e gestire le operazioni di failover e failback.Site Recovery Operator - This role has permissions to execute and manager Failover and Failback operations. Un utente con questo ruolo non può abilitare o disabilitare la replica, creare o eliminare insiemi di credenziali, registrare una nuova infrastruttura oppure assegnare diritti di accesso ad altri utenti.A user with this role can't enable or disable replication, create or delete vaults, register new infrastructure or assign access rights to other users. Questo ruolo è ideale per un operatore di ripristino di emergenza che può eseguire il failover di macchine virtuali o applicazioni quando richiesto dai proprietari delle applicazioni e dagli amministratori IT in una situazione di emergenza effettiva o simulata, ad esempio per un'esercitazione sul ripristino di emergenza.This role is best suited for a disaster recovery operator who can failover virtual machines or applications when instructed by application owners and IT administrators in an actual or simulated disaster situation such as a DR drill. In seguito alla risoluzione della situazione di emergenza, l'operatore di ripristino di emergenza può proteggere nuovamente le macchine virtuali ed eseguirne il failback.Post resolution of the disaster, the DR operator can re-protect and failback the virtual machines.
  • Lettore di Site Recovery - Questo ruolo ha le autorizzazioni per visualizzare tutte le operazioni di gestione di Site Recovery.Site Recovery Reader - This role has permissions to view all Site Recovery management operations. Questo ruolo è ideale per un dirigente del monitoraggio IT che può controllare lo stato corrente di protezione e generare i ticket di supporto all'occorrenza.This role is best suited for an IT monitoring executive who can monitor the current state of protection and raise support tickets if required.

Per definire ruoli personalizzati per un controllo ancora maggiore, vedere come creare ruoli personalizzati in Azure.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure.

Autorizzazioni necessarie per consentire la replica per le nuove macchine virtualiPermissions required to Enable Replication for new Virtual Machines

Quando viene eseguita la replica di una nuova macchina virtuale in Azure con Azure Site Recovery, i livelli di accesso dell'utente associati vengono convalidati per assicurarsi che l'utente abbia le autorizzazioni necessarie per usare le risorse di Azure fornite per Site Recovery.When a new Virtual Machine is replicated to Azure using Azure Site Recovery, the associated user's access levels are validated to ensure that the user has the required permissions to use the Azure resources provided to Site Recovery.

Per la replica per una nuova macchina virtuale, un utente deve avere:To enable replication for a new virtual machine, a user must have:

  • Autorizzazione per la creazione di una macchina virtuale nel gruppo di risorse selezionatoPermission to create a virtual machine in the selected resource group
  • Autorizzazione per la creazione di una macchina virtuale nella rete virtuale selezionataPermission to create a virtual machine in the selected virtual network
  • Autorizzazione per la scrittura nell'account di archiviazione selezionatoPermission to write to the selected Storage account

Per completare la replica di una nuova macchina virtuale, un utente deve avere le autorizzazioni seguenti.A user needs the following permissions to complete replication of a new virtual machine.

Importante

Assicurarsi che vengano aggiunte le autorizzazioni appropriate per il modello di distribuzione (Resource Manager/classica) usato per la distribuzione delle risorse.Ensure that relevant permissions are added per the deployment model (Resource Manager/ Classic) used for resource deployment.

Tipo di risorsaResource Type Modello di distribuzioneDeployment Model AutorizzazionePermission
CalcoloCompute Gestione risorseResource Manager Microsoft.Compute/availabilitySets/readMicrosoft.Compute/availabilitySets/read
Microsoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/writeMicrosoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/deleteMicrosoft.Compute/virtualMachines/delete
ClassicoClassic Microsoft.ClassicCompute/domainNames/readMicrosoft.ClassicCompute/domainNames/read
Microsoft.ClassicCompute/domainNames/writeMicrosoft.ClassicCompute/domainNames/write
Microsoft.ClassicCompute/domainNames/deleteMicrosoft.ClassicCompute/domainNames/delete
Microsoft.ClassicCompute/virtualMachines/readMicrosoft.ClassicCompute/virtualMachines/read
Microsoft.ClassicCompute/virtualMachines/writeMicrosoft.ClassicCompute/virtualMachines/write
Microsoft.ClassicCompute/virtualMachines/deleteMicrosoft.ClassicCompute/virtualMachines/delete
ReteNetwork Gestione risorseResource Manager Microsoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/delete
Microsoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/join/action
Microsoft.Network/virtualNetworks/readMicrosoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/readMicrosoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/join/actionMicrosoft.Network/virtualNetworks/subnets/join/action
ClassicoClassic Microsoft.ClassicNetwork/virtualNetworks/readMicrosoft.ClassicNetwork/virtualNetworks/read
Microsoft.ClassicNetwork/virtualNetworks/join/actionMicrosoft.ClassicNetwork/virtualNetworks/join/action
ArchiviazioneStorage Gestione risorseResource Manager Microsoft.Storage/storageAccounts/readMicrosoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listkeys/actionMicrosoft.Storage/storageAccounts/listkeys/action
ClassicoClassic Microsoft.ClassicStorage/storageAccounts/readMicrosoft.ClassicStorage/storageAccounts/read
Microsoft.ClassicStorage/storageAccounts/listKeys/actionMicrosoft.ClassicStorage/storageAccounts/listKeys/action
Gruppo di risorseResource Group Gestione risorseResource Manager Microsoft.Resources/deployments/Microsoft.Resources/deployments/
Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/read

È consigliabile usare i ruoli predefiniti "Collaboratore Macchina virtuale" e "Collaboratore Macchina virtuale classica", rispettivamente per il modello di distribuzione Resource Manager e il modello di distribuzione classica.Consider using the 'Virtual Machine Contributor' and 'Classic Virtual Machine Contributor' built-in roles for Resource Manager and Classic deployment models respectively.

Passaggi successiviNext steps