Zarządzanie Azure Backup punktów odzyskiwania przy użyciu Access Control opartych na rolachUse Role-Based Access Control to manage Azure Backup recovery points

Kontrola dostępu oparta na rolach (Role-Based Access Control, RBAC) na platformie Azure umożliwia precyzyjne zarządzanie dostępem dla platformy Azure.Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. Przy użyciu kontroli dostępu opartej na rolach można przeprowadzić segregowanie zadań w ramach zespołu i nadać użytkownikom tylko takie uprawnienia dostępu, które są im niezbędne do wykonywania zadań.Using RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs.

Ważne

Role udostępniane przez Azure Backup są ograniczone do akcji, które mogą być wykonywane w Azure Portal lub za pośrednictwem interfejsu API REST lub poleceń cmdlet programu PowerShell dla magazynu Recovery Services lub interfejsu wiersza polecenia.Roles provided by Azure Backup are limited to actions that can be performed in Azure portal or via REST API or Recovery Services vault PowerShell or CLI cmdlets. Akcje wykonywane w interfejsie użytkownika klienta agenta usługi Azure Backup lub w interfejsie użytkownika programu System Center Data Protection Manager lub Azure Backup Server interfejsie użytkownika nie kontrolują tych ról.Actions performed in Azure backup Agent Client UI or System center Data Protection Manager UI or Azure Backup Server UI are out of control of these roles.

Azure Backup udostępnia trzy wbudowane role do kontrolowania operacji zarządzania kopiami zapasowymi.Azure Backup provides three built-in roles to control backup management operations. Aby dowiedzieć się więcej, zobacz Wbudowane role RBAC na platformie Azure.Learn more on Azure RBAC built-in roles

  • Współautor kopii zapasowych — ta rola ma wszystkie uprawnienia do tworzenia kopii zapasowych i zarządzania nimi z wyjątkiem usuwania magazynu Recovery Services i udzielania dostępu innym osobom.Backup Contributor - This role has all permissions to create and manage backup except deleting Recovery Services vault and giving access to others. Wyobraź sobie tę rolę jako administrator zarządzania kopiami zapasowymi, który może wykonywać każdą operację zarządzania kopiami zapasowymi.Imagine this role as admin of backup management who can do every backup management operation.
  • Operator kopii zapasowych — ta rola ma uprawnienia do wszystkich elementów współautora, z wyjątkiem usuwania kopii zapasowych i zarządzania zasadami tworzenia kopii zapasowych.Backup Operator - This role has permissions to everything a contributor does except removing backup and managing backup policies. Ta rola jest równoznaczna z współautorem, z wyjątkiem sytuacji, w której nie może wykonać operacji niszczących, takich jak zatrzymanie wykonywania kopii zapasowej z usuwaniem danych lub usuwanie rejestracji zasobów lokalnych.This role is equivalent to contributor except it can't perform destructive operations such as stop backup with delete data or remove registration of on-premises resources.
  • Czytnik kopii zapasowych — ta rola ma uprawnienia do wyświetlania wszystkich operacji zarządzania kopiami zapasowymi.Backup Reader - This role has permissions to view all backup management operations. Wyobraź sobie, że ta rola jest osobą odpowiedzialną za monitorowanie.Imagine this role to be a monitoring person.

Jeśli chcesz zdefiniować własne role, aby jeszcze bardziej kontrolować, zobacz jak tworzyć role niestandardowe na platformie Azure RBAC.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

Mapowanie wbudowanych ról kopii zapasowej na akcje zarządzania kopiami zapasowymiMapping Backup built-in roles to backup management actions

W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiadające im minimalne role RBAC wymagane do wykonania tej operacji.The following table captures the Backup management actions and corresponding minimum RBAC role required to perform that operation.

Operacja zarządzaniaManagement Operation Wymagana minimalna rola RBACMinimum RBAC role required Wymagany zakresScope Required
Tworzenie magazynu usługi Recovery ServicesCreate Recovery Services vault Współautor kopii zapasowejBackup Contributor Grupa zasobów zawierająca magazynResource group containing the vault
Włącz tworzenie kopii zapasowych maszyn wirtualnych platformy AzureEnable backup of Azure VMs Operator kopii zapasowychBackup Operator Grupa zasobów zawierająca magazynResource group containing the vault
Współautor maszyny wirtualnejVirtual Machine Contributor Zasób maszyny wirtualnejVM resource
Tworzenie kopii zapasowej maszyny wirtualnej na żądanieOn-demand backup of VM Operator kopii zapasowychBackup Operator Magazyn usługi Recovery ServicesRecovery Services vault
Przywracanie maszyny wirtualnejRestore VM Operator kopii zapasowychBackup Operator Magazyn usługi Recovery ServicesRecovery Services vault
WspółautorContributor Grupa zasobów, w której zostanie wdrożona maszyna wirtualnaResource group in which VM will be deployed
Współautor maszyny wirtualnejVirtual Machine Contributor Źródłowa maszyna wirtualna, której kopię zapasową utworzonoSource VM that got backed up
Przywróć dyski niezarządzane kopia zapasowa maszyny wirtualnejRestore unmanaged disks VM backup Operator kopii zapasowychBackup Operator Magazyn usługi Recovery ServicesRecovery Services vault
Współautor maszyny wirtualnejVirtual Machine Contributor Źródłowa maszyna wirtualna, której kopię zapasową utworzonoSource VM that got backed up
Współautor konta magazynuStorage Account Contributor Zasób konta magazynu, w którym mają zostać przywrócone dyskiStorage account resource where disks are going to be restored
Przywróć dyski zarządzane z kopii zapasowej maszyny wirtualnejRestore managed disks from VM backup Operator kopii zapasowychBackup Operator Magazyn usługi Recovery ServicesRecovery Services vault
Współautor maszyny wirtualnejVirtual Machine Contributor Źródłowa maszyna wirtualna, której kopię zapasową utworzonoSource VM that got backed up
Współautor konta magazynuStorage Account Contributor Konto magazynu tymczasowego wybrane w ramach przywracania do przechowywania danych z magazynu przed przekonwertowaniem ich na dyski zarządzaneTemporary Storage account selected as part of restore to hold data from vault before converting them to managed disks
WspółautorContributor Grupa zasobów, do której zostaną przywrócone dyski zarządzaneResource group to which managed disk(s) will be restored
Przywróć pojedyncze pliki z kopii zapasowej maszyny wirtualnejRestore individual files from VM backup Operator kopii zapasowychBackup Operator Magazyn usługi Recovery ServicesRecovery Services vault
Współautor maszyny wirtualnejVirtual Machine Contributor Źródłowa maszyna wirtualna, której kopię zapasową utworzonoSource VM that got backed up
Tworzenie zasad kopii zapasowych dla kopii zapasowej maszyny wirtualnej platformy AzureCreate backup policy for Azure VM backup Współautor kopii zapasowejBackup Contributor Magazyn usługi Recovery ServicesRecovery Services vault
Modyfikowanie zasad tworzenia kopii zapasowej maszyny wirtualnej platformy AzureModify backup policy of Azure VM backup Współautor kopii zapasowejBackup Contributor Magazyn usługi Recovery ServicesRecovery Services vault
Usuwanie zasad tworzenia kopii zapasowej maszyny wirtualnej platformy AzureDelete backup policy of Azure VM backup Współautor kopii zapasowejBackup Contributor Magazyn usługi Recovery ServicesRecovery Services vault
Zatrzymaj kopię zapasową (z zachowaniem Zachowaj dane lub Usuń dane) na kopii zapasowej maszyny wirtualnejStop backup (with retain data or delete data) on VM backup Współautor kopii zapasowejBackup Contributor Magazyn usługi Recovery ServicesRecovery Services vault
Rejestrowanie lokalnego systemu Windows Server/Client/SCDPM lub Azure Backup ServerRegister on-premises Windows Server/client/SCDPM or Azure Backup Server Operator kopii zapasowychBackup Operator Magazyn usługi Recovery ServicesRecovery Services vault
Usuń zarejestrowane lokalne serwery z systemem Windows/Client/SCDPM lub Azure Backup ServerDelete registered on-premises Windows Server/client/SCDPM or Azure Backup Server Współautor kopii zapasowejBackup Contributor Magazyn usługi Recovery ServicesRecovery Services vault

Ważne

Jeśli określisz współautor maszyny wirtualnej w zakresie zasobów maszyny wirtualnej i klikniesz pozycję Utwórz kopię zapasową w ramach ustawień maszyny wirtualnej, zostanie otwarty ekran "Włącz kopię zapasową", nawet jeśli maszyna wirtualna została już utworzona jako wywołanie weryfikacji stanu kopii zapasowej działa tylko na poziomie subskrypcji.If you specify VM Contributor at a VM resource scope and click on Backup as part of VM settings, it will open 'Enable Backup' screen even though VM is already backed up as the call to verify backup status works only at subscription level. Aby tego uniknąć, należy przejść do magazynu i otworzyć widok elementu kopii zapasowej maszyny wirtualnej lub określić rolę współautor maszyny wirtualnej na poziomie subskrypcji.To avoid this, either go to vault and open the backup item view of the VM or specify VM Contributor role at a subscription level.

Minimalne wymagania roli dla kopii zapasowej udziału plików platformy AzureMinimum role requirements for the Azure File share backup

W poniższej tabeli przedstawiono akcje zarządzania kopiami zapasowymi i odpowiadające im role wymagane do wykonania operacji udziału plików platformy Azure.The following table captures the Backup management actions and corresponding role required to perform Azure File share operation.

Operacja zarządzaniaManagement Operation Rola jest wymaganaRole Required ZasobyResources
Włącz tworzenie kopii zapasowych udziałów plików platformy AzureEnable backup of Azure File shares Współautor kopii zapasowejBackup Contributor Magazyn usługi Recovery ServicesRecovery Services vault
Konto magazynuStorage Account Zasób konta magazynu współautoraContributor Storage account resource
Tworzenie kopii zapasowej maszyny wirtualnej na żądanieOn-demand backup of VM Operator kopii zapasowychBackup Operator Magazyn usługi Recovery ServicesRecovery Services vault
Przywróć udział plikówRestore File share Operator kopii zapasowychBackup Operator Magazyn usługi Recovery ServicesRecovery Services vault
Współautor konta magazynuStorage Account Contributor Zasoby konta magazynu, w których znajdują się źródła przywracania i docelowe udziały plikówStorage account resources where restore source and Target file shares are present
Przywróć pojedyncze plikiRestore Individual Files Operator kopii zapasowychBackup Operator Magazyn usługi Recovery ServicesRecovery Services vault
Współautor konta magazynuStorage Account Contributor Zasoby konta magazynu, w których znajdują się źródła przywracania i docelowe udziały plikówStorage account resources where restore source and Target file shares are present
Zatrzymywanie ochronyStop protection Współautor kopii zapasowejBackup Contributor Magazyn usługi Recovery ServicesRecovery Services vault
Wyrejestrowywanie konta magazynu z magazynuUnregister storage account from vault Współautor kopii zapasowejBackup Contributor Magazyn usługi Recovery ServicesRecovery Services vault
Współautor konta magazynuStorage Account Contributor Zasób konta magazynuStorage account resource

Następne krokiNext steps