Toegang Site Recovery beheren met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) maakt fijnmazig toegangsbeheer voor Azure mogelijk. Met Behulp van Azure RBAC kunt u verantwoordelijkheden binnen uw team scheiden en alleen specifieke toegangsmachtigingen verlenen aan gebruikers als dat nodig is om specifieke taken uit te voeren.
Azure Site Recovery biedt drie ingebouwde rollen voor het beheren van Site Recovery beheerbewerkingen. Meer informatie over ingebouwde Azure-rollen
- Site Recovery-inzender - deze rol bevat alle machtigingen die nodig zijn om Azure Site Recovery-bewerkingen in een Recovery Services-kluis te kunnen beheren. Een gebruiker met deze rol kan echter geen Recovery Services-kluis maken of verwijderen, noch toegangsrechten aan andere gebruikers toewijzen. Deze rol is het meest geschikt voor beheerders van herstel na noodgevallen die herstel na noodgevallen kunnen inschakelen en beheren voor toepassingen of hele organisaties, afhankelijk van het geval.
- Site Recovery-operator: deze rol heeft machtigingen om failover- en failback-bewerkingen uit te voeren en te beheren. Een gebruiker met deze rol kan replicatie niet in- of uitschakelen, kluizen maken of verwijderen, nieuwe infrastructuur registreren of toegangsrechten toewijzen aan andere gebruikers. Deze rol is het meest geschikt voor een operator voor herstel na noodgevallen die een failover kan uitvoeren voor virtuele machines of toepassingen wanneer deze worden geïnstrueerd door toepassingseigenaren en IT-beheerders in een werkelijke of gesimuleerde noodsituatie, zoals een dr-analyse. Na de oplossing van het noodgeval kan de DR-operator de virtuele machines opnieuw beveiligen en failback uitvoeren.
- Site Recovery-lezer - deze rol heeft machtigingen voor het weergeven van alle beheerbewerkingen van Site Recovery. Deze rol is het meest geschikt voor een IT-bewakingsmanager die de huidige status van beveiliging kan bewaken en indien nodig ondersteuningstickets kan genereren.
Als u uw eigen rollen wilt definiëren voor nog meer controle, raadpleegt u Aangepaste rollen bouwen in Azure.
Vereiste machtigingen voor het inschakelen van replicatie voor nieuwe virtuele machines
Wanneer een nieuwe virtuele machine wordt gerepliceerd naar Azure met behulp van Azure Site Recovery, worden de toegangsniveaus van de gekoppelde gebruiker gevalideerd om ervoor te zorgen dat de gebruiker over de vereiste machtigingen beschikt om de Azure-resources te gebruiken die zijn verstrekt aan Site Recovery.
Als u replicatie voor een nieuwe virtuele machine wilt inschakelen, moet een gebruiker het volgende hebben:
- Machtiging voor het maken van een virtuele machine in de geselecteerde resourcegroep
- Machtiging voor het maken van een virtuele machine in het geselecteerde virtuele netwerk
- Machtiging om naar het geselecteerde opslagaccount te schrijven
Een gebruiker heeft de volgende machtigingen nodig om de replicatie van een nieuwe virtuele machine te voltooien.
Belangrijk
Zorg ervoor dat relevante machtigingen worden toegevoegd volgens het implementatiemodel (Resource Manager/klassiek) dat wordt gebruikt voor resource-implementatie.
Notitie
Als u replicatie inschakelt voor een Azure-VM en Site Recovery wilt toestaan om updates te beheren, kunt u tijdens het inschakelen van replicatie ook een nieuw Automation-account maken. In dat geval hebt u ook toestemming nodig om een Automation-account te maken in hetzelfde abonnement als de kluis.
| Resourcetype | Implementatiemodel | Machtiging |
|---|---|---|
| Compute | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klassiek | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Netwerk | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klassiek | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Storage | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klassiek | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Resourcegroep | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Overweeg het gebruik van de ingebouwde rollen 'Inzender voor virtuele machines' en 'Inzender voor klassieke virtuele machines' voor respectievelijk Resource Manager en klassieke implementatiemodellen.
Volgende stappen
- Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC): aan de slag met Azure RBAC in de Azure Portal.
- Meer informatie over het beheren van toegang met:
- Problemen met Azure RBAC oplossen: suggesties krijgen voor het oplossen van veelvoorkomende problemen.