Zarządzanie dostępem Site Recovery przy użyciu kontroli dostępu opartej na rolach platformy Azure (Azure RBAC)
Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia szczegółowe zarządzanie dostępem na platformie Azure. Korzystając z kontroli dostępu opartej na rolach platformy Azure, możesz rozdzielić obowiązki w zespole i udzielić użytkownikom tylko określonych uprawnień dostępu w razie potrzeby do wykonywania określonych zadań.
Usługa Azure Site Recovery udostępnia 3 wbudowane role do kontrolowania operacji zarządzania Site Recovery. Dowiedz się więcej na temat wbudowanych ról platformy Azure
- Współautor usługi Site Recovery — ta rola ma wszystkie uprawnienia wymagane do zarządzania operacjami usługi Azure Site Recovery w magazynie usługi Recovery Services. Użytkownik z tą rolą nie może jednak tworzyć ani usuwać magazynu usługi Recovery Services, ani przypisywać praw dostępu innym użytkownikom. Ta rola jest najlepiej odpowiednia dla administratorów odzyskiwania po awarii, którzy mogą włączyć odzyskiwanie po awarii i zarządzać nimi dla aplikacji lub całych organizacji, jak to możliwe.
- Operator usługi Site Recovery — ta rola ma uprawnienia do uruchamiania operacji trybu failover i powrotu po awarii oraz zarządzania nimi. Użytkownik z tą rolą nie może włączać ani wyłączać replikacji, tworzyć ani usuwać magazynów, rejestrować nowej infrastruktury ani przypisywać praw dostępu innym użytkownikom. Ta rola najlepiej nadaje się dla operatora odzyskiwania po awarii, który może przechodzić w tryb failover maszyn wirtualnych lub aplikacji, gdy są poinstruowani przez właścicieli aplikacji i administratorów IT w rzeczywistej lub symulowanej sytuacji awarii, takiej jak próbne odzyskiwanie po awarii. Po rozwiązaniu awarii operator odzyskiwania po awarii może ponownie chronić maszyny wirtualne i przywracać je po awarii.
- Czytelnik usługi Site Recovery — ta rola ma uprawnienia do wyświetlania wszystkich operacji zarządzania usługą Site Recovery. Ta rola jest najlepiej odpowiednia dla dyrektora zarządzającego monitorowaniem IT, który w razie potrzeby może monitorować bieżący stan ochrony i zgłaszać bilety pomocy technicznej.
Jeśli chcesz zdefiniować własne role, aby uzyskać jeszcze większą kontrolę, zobacz, jak tworzyć role niestandardowe na platformie Azure.
Uprawnienia wymagane do włączenia replikacji dla nowych maszyn wirtualnych
Gdy nowa maszyna wirtualna zostanie zreplikowana na platformę Azure przy użyciu usługi Azure Site Recovery, poziom dostępu skojarzonego użytkownika zostanie zweryfikowany, aby upewnić się, że użytkownik ma wymagane uprawnienia do korzystania z zasobów platformy Azure dostarczonych do Site Recovery.
Aby włączyć replikację dla nowej maszyny wirtualnej, użytkownik musi mieć następujące elementy:
- Uprawnienie do tworzenia maszyny wirtualnej w wybranej grupie zasobów
- Uprawnienie do tworzenia maszyny wirtualnej w wybranej sieci wirtualnej
- Uprawnienie do zapisu na wybranym koncie magazynu
Użytkownik potrzebuje następujących uprawnień, aby ukończyć replikację nowej maszyny wirtualnej.
Ważne
Upewnij się, że odpowiednie uprawnienia są dodawane dla modelu wdrażania (Resource Manager/ klasycznego) używanego do wdrażania zasobów.
Uwaga
Jeśli włączasz replikację dla maszyny wirtualnej platformy Azure i chcesz zezwolić Site Recovery na zarządzanie aktualizacjami, podczas włączania replikacji możesz również utworzyć nowe konto usługi Automation, w którym przypadku konieczne będzie uprawnienie do utworzenia konta usługi Automation w tej samej subskrypcji co magazyn.
| Typ zasobu | Model wdrażania | Uprawnienie |
|---|---|---|
| Compute | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Klasyczny | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Sieć | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Klasyczny | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Storage | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Klasyczny | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Grupa zasobów | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Rozważ użycie wbudowanych ról "Współautor maszyny wirtualnej" i "Współautor klasycznej maszyny wirtualnej" dla modeli wdrażania Resource Manager i klasycznych.
Następne kroki
- Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure: rozpoczynanie pracy z kontrolą dostępu opartą na rolach platformy Azure w Azure Portal.
- Dowiedz się, jak zarządzać dostępem za pomocą następujących funkcji:
- Rozwiązywanie problemów z kontrolą dostępu opartą na rolach platformy Azure: uzyskaj sugestie dotyczące rozwiązywania typowych problemów.