ロール ベースのアクセス制御を使用した Azure Backup の回復ポイントの管理Use Role-Based Access Control to manage Azure Backup recovery points

Azure のロールベースのアクセス制御 (RBAC) では、Azure のアクセス権の詳細な管理を実現します。Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. RBAC を使用して、チーム内で職務を分離し、職務に必要なアクセス許可のみをユーザーに付与します。Using RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs.

重要

Azure Backup によって提供されるロールは、Azure portal 内で実行できるアクションか、REST API または Recovery Services コンテナーの PowerShell または CLI コマンドレットを介して実行できるアクションに制限されています。Roles provided by Azure Backup are limited to actions that can be performed in Azure portal or via REST API or Recovery Services vault PowerShell or CLI cmdlets. これらのロールが、Azure Backup エージェント クライアント UI または System Center Data Protection Manager UI または Azure Backup Server UI で実行されるアクションを使用することはできません。Actions performed in Azure backup Agent Client UI or System center Data Protection Manager UI or Azure Backup Server UI are out of control of these roles.

Azure Backup では、バックアップの管理操作を制御する 3 つの組み込みロールが提供されます。Azure Backup provides three built-in roles to control backup management operations. Azure RBAC の組み込みのロールについて説明します。Learn more on Azure RBAC built-in roles

  • バックアップ共同作成者 - このロールは、Recovery Services コンテナーの削除と他のロールへの権限付与を除き、バックアップの作成と管理のすべての権限を持ちます。Backup Contributor - This role has all permissions to create and manage backup except deleting Recovery Services vault and giving access to others. このロールは、すべてのバックアップ管理操作を実行できる、バックアップ管理の管理者と考えてください。Imagine this role as admin of backup management who can do every backup management operation.
  • バックアップ オペレーター - このロールは、バックアップの削除とバックアップ ポリシーの管理を除き、共同作成者が行うすべての操作の権限を持ちます。Backup Operator - This role has permissions to everything a contributor does except removing backup and managing backup policies. このロールは共同作成者と同等ですが、データの削除によるバックアップの停止やオンプレミス リソースの登録解除など、削減する操作は実行できません。This role is equivalent to contributor except it can't perform destructive operations such as stop backup with delete data or remove registration of on-premises resources.
  • バックアップ リーダー - このロールは、すべてのバックアップ管理操作を見る権限を持ちます。Backup Reader - This role has permissions to view all backup management operations. このロールは監視役と考えてください。Imagine this role to be a monitoring person.

制御を強化するために独自のロールを定義する場合は、Azure RBAC で カスタム ロールを作成する方法を参照してください。If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

バックアップ管理アクションへの組み込みバックアップ ロールのマッピングMapping Backup built-in roles to backup management actions

次の表に、バックアップ管理アクションと、その操作を実行するために必要な最小限の RBAC ロールを示します。The following table captures the Backup management actions and corresponding minimum RBAC role required to perform that operation.

管理操作Management Operation 必要最小限 RBAC ロールMinimum RBAC role required 必要なスコープScope Required
Recovery Services コンテナーの作成Create Recovery Services vault Backup ContributorBackup Contributor コンテナーを含むリソース グループResource group containing the vault
Azure VM のバックアップの有効化Enable backup of Azure VMs Backup OperatorBackup Operator コンテナーを含むリソース グループResource group containing the vault
Virtual Machine ContributorVirtual Machine Contributor VM リソースVM resource
VM のオンデマンド バックアップOn-demand backup of VM Backup OperatorBackup Operator 復旧コンテナー リソースRecovery vault resource
VM の復元Restore VM Backup OperatorBackup Operator Recovery Services コンテナーRecovery Services vault
ContributorContributor VM がデプロイされるリソース グループResource group in which VM will be deployed
Virtual Machine ContributorVirtual Machine Contributor バックアップされたソース VMSource VM which got backed up
アンマネージド ディスク VM バックアップの復元Restore unmanaged disks VM backup Backup OperatorBackup Operator 復旧コンテナー リソースRecovery vault resource
Virtual Machine ContributorVirtual Machine Contributor バックアップされたソース VMSource VM which got backed up
Storage Account ContributorStorage Account Contributor ディスクの復元先となるストレージ アカウント リソースStorage account resource where disks are going to be restored
VM バックアップからのマネージド ディスクの復元Restore managed disks from VM backup Backup OperatorBackup Operator 復旧コンテナー リソースRecovery vault resource
Virtual Machine ContributorVirtual Machine Contributor バックアップされたソース VMSource VM which got backed up
Storage Account ContributorStorage Account Contributor マネージド ディスクに変換する前にコンテナーからのデータを保持する目的で、復元の一部として選択された一時ストレージ アカウントTemporary Storage account selected as part of restore to hold data from vault before converting them to managed disks
ContributorContributor マネージド ディスクの復元先となるリソース グループResource group to which managed disk(s) will be restored
VM バックアップからの個々のファイルの復元Restore individual files from VM backup Backup OperatorBackup Operator 復旧コンテナー リソースRecovery vault resource
Virtual Machine ContributorVirtual Machine Contributor バックアップされたソース VMSource VM which got backed up
Azure VM バックアップのバックアップ ポリシーの作成Create backup policy for Azure VM backup Backup ContributorBackup Contributor 復旧コンテナー リソースRecovery vault resource
Azure VM バックアップのバックアップ ポリシーの変更Modify backup policy of Azure VM backup Backup ContributorBackup Contributor 復旧コンテナー リソースRecovery vault resource
Azure VM バックアップのバックアップ ポリシーの削除Delete backup policy of Azure VM backup Backup ContributorBackup Contributor 復旧コンテナー リソースRecovery vault resource
VM バックアップでのバックアップの停止 (データを保持またはデータを削除)Stop backup (with retain data or delete data) on VM backup Backup ContributorBackup Contributor 復旧コンテナー リソースRecovery vault resource
オンプレミスの Windows Server/クライアント/SCDPM または Azure Backup Server での登録Register on-premises Windows Server/client/SCDPM or Azure Backup Server Backup OperatorBackup Operator 復旧コンテナー リソースRecovery vault resource
オンプレミスの Windows Server/クライアント/SCDPM または Azure Backup Server での登録解除Delete registered on-premises Windows Server/client/SCDPM or Azure Backup Server Backup ContributorBackup Contributor 復旧コンテナー リソースRecovery vault resource

重要

VM 共同作成者を VM リソース スコープで指定し、VM 設定の一部としてバックアップをクリックした場合は、VM が既にバックアップされていても、[バックアップの有効化] 画面が開きます。これは、バックアップ状態を確認するための呼び出しが、サブスクリプション レベルでのみ機能するためです。If you specify VM Contributor at a VM resource scope and click on Backup as part of VM settings, it will open 'Enable Backup' screen even though VM is already backed up as the call to verify backup status works only at subscription level. これを回避するには、コンテナーに移動して VM のバックアップ項目ビューを開くか、VM 共同作成者ロールをサブスクリプション レベルで指定します。To avoid this, either go to vault and open the backup item view of the VM or specify VM Contributor role at a subscription level.

Azure ファイル共有バックアップに使用されるロールの最低要件Minimum role requirements for the Azure File share backup

次の表に、バックアップ管理アクションと、Azure ファイル共有操作を実行するために必要な対応するロールを示します。The following table captures the Backup management actions and corresponding role required to perform Azure File share operation.

管理操作Management Operation 必要なロールRole Required リソースResources
Azure ファイル共有のバックアップの有効化Enable backup of Azure File shares Backup ContributorBackup Contributor Recovery Services コンテナーRecovery Services vault
ストレージ アカウントStorage Account 共同作成者ストレージ アカウント リソースContributor Storage account resource
VM のオンデマンド バックアップOn-demand backup of VM Backup OperatorBackup Operator Recovery Services コンテナーRecovery Services vault
ファイル共有の復元Restore File share Backup OperatorBackup Operator Recovery Services コンテナーRecovery Services vault
Storage Account ContributorStorage Account Contributor 復元元と復元先のファイル共有が存在するストレージ アカウント リソースStorage account resources where restore source and Target file shares are present
個々のファイルの復元Restore Individual Files Backup OperatorBackup Operator Recovery Services コンテナーRecovery Services vault
Storage Account ContributorStorage Account Contributor 復元元と復元先のファイル共有が存在するストレージ アカウント リソースStorage account resources where restore source and Target file shares are present
保護の停止Stop protection Backup ContributorBackup Contributor Recovery Services コンテナーRecovery Services vault
コンテナーからのストレージ アカウントの登録解除Unregister storage account from vault Backup ContributorBackup Contributor Recovery Services コンテナーRecovery Services vault
Storage Account ContributorStorage Account Contributor ストレージ アカウント リソースStorage account resource

次の手順Next steps