Use o Controle de Acesso baseado em função para gerenciar pontos de recuperação de Backup do AzureUse Role-Based Access Control to manage Azure Backup recovery points

O RBAC (controle de acesso baseado em função) do Azure permite o gerenciamento de acesso refinado para o Azure.Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. Com o RBAC, você pode separar as tarefas dentro de sua equipe e conceder somente a quantidade de acesso que os usuários precisam para realizar seus trabalhos.Using RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs.

Importante

As funções fornecidas pelo backup do Azure são limitadas a ações que podem ser executadas em portal do Azure ou por meio da API REST ou dos cmdlets do PowerShell ou do cofre dos serviços de recuperação.Roles provided by Azure Backup are limited to actions that can be performed in Azure portal or via REST API or Recovery Services vault PowerShell or CLI cmdlets. As ações executadas na interface de usuário do Cliente do Agente de backup do Azure, na interface de usuário do System Center Data Protection Manager ou no Servidor de Backup do Azure estão fora do controle dessas funções.Actions performed in Azure backup Agent Client UI or System center Data Protection Manager UI or Azure Backup Server UI are out of control of these roles.

O backup do Azure fornece três funções internas para controlar as operações de gerenciamento de backup.Azure Backup provides three built-in roles to control backup management operations. Saiba mais sobre as funções internas do RBAC do AzureLearn more on Azure RBAC built-in roles

  • Colaborador de backup -essa função tem todas as permissões para criar e gerenciar o backup, exceto excluir o cofre dos serviços de recuperação e conceder acesso a outras pessoas.Backup Contributor - This role has all permissions to create and manage backup except deleting Recovery Services vault and giving access to others. Imagine essa função como administrador do gerenciamento de backups, que pode executar todas as operações de gerenciamento de backups.Imagine this role as admin of backup management who can do every backup management operation.
  • Operador de Backup: essa função tem permissões para fazer tudo que um colaborador faz, exceto remover backups e gerenciar políticas de backup.Backup Operator - This role has permissions to everything a contributor does except removing backup and managing backup policies. Essa função é equivalente à de colaborador, com exceção de que não é possível executar operações destrutivas, como interromper backups com exclusão de dados ou remover registro de recursos locais.This role is equivalent to contributor except it can't perform destructive operations such as stop backup with delete data or remove registration of on-premises resources.
  • Leitor de Backup: essa função tem permissões para exibir todas as operações de gerenciamento de backups.Backup Reader - This role has permissions to view all backup management operations. Imagine essa função como uma pessoa de monitoramento.Imagine this role to be a monitoring person.

Se você pretende definir suas próprias funções para ter ainda mais controle, confira como criar funções personalizadas no RBAC do Azure.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

Mapeando funções internas de backup para ações de gerenciamento de backupsMapping Backup built-in roles to backup management actions

A tabela a seguir captura as ações de gerenciamento de backups e a função RBAC mínima correspondente necessária para executar essa operação.The following table captures the Backup management actions and corresponding minimum RBAC role required to perform that operation.

Operação de gerenciamentoManagement Operation Função RBAC mínima necessáriaMinimum RBAC role required Escopo exigidoScope Required
Criar cofre de Serviços de RecuperaçãoCreate Recovery Services vault Colaborador de BackupBackup Contributor Grupo de recursos contendo o cofreResource group containing the vault
Habilitar backup de VMs do AzureEnable backup of Azure VMs Operador de BackupBackup Operator Grupo de recursos contendo o cofreResource group containing the vault
Colaborador de Máquina VirtualVirtual Machine Contributor Recurso de VMVM resource
Backup sob demanda de VMOn-demand backup of VM Operador de BackupBackup Operator Recurso de cofre de recuperaçãoRecovery vault resource
Restaurar VMRestore VM Operador de BackupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
ColaboradorContributor Grupo de recursos no qual a VM será implantadaResource group in which VM will be deployed
Colaborador de Máquina VirtualVirtual Machine Contributor VM de origem que foi submetida a backupSource VM that got backed up
Restaurar backup de VM de discos não gerenciadosRestore unmanaged disks VM backup Operador de BackupBackup Operator Recurso de cofre de recuperaçãoRecovery vault resource
Colaborador de Máquina VirtualVirtual Machine Contributor VM de origem que foi submetida a backupSource VM that got backed up
Colaborador da Conta de ArmazenamentoStorage Account Contributor Recurso de conta de armazenamento no qual os discos serão restauradosStorage account resource where disks are going to be restored
Restaurar discos gerenciados do backup da VMRestore managed disks from VM backup Operador de BackupBackup Operator Recurso de cofre de recuperaçãoRecovery vault resource
Colaborador de Máquina VirtualVirtual Machine Contributor VM de origem que foi submetida a backupSource VM that got backed up
Colaborador da Conta de ArmazenamentoStorage Account Contributor Conta de armazenamento temporária selecionada como parte da restauração para manter dados do cofre antes de convertê-los em discos gerenciadosTemporary Storage account selected as part of restore to hold data from vault before converting them to managed disks
ColaboradorContributor Grupo de recursos para o qual o disco gerenciado, ou discos, será restauradoResource group to which managed disk(s) will be restored
Restaurar arquivos individuais do backup da VMRestore individual files from VM backup Operador de BackupBackup Operator Recurso de cofre de recuperaçãoRecovery vault resource
Colaborador de Máquina VirtualVirtual Machine Contributor VM de origem que foi submetida a backupSource VM that got backed up
Criar política de backup para backup da VM do AzureCreate backup policy for Azure VM backup Colaborador de BackupBackup Contributor Recurso de cofre de recuperaçãoRecovery vault resource
Modificar a política de backup da VM do AzureModify backup policy of Azure VM backup Colaborador de BackupBackup Contributor Recurso de cofre de recuperaçãoRecovery vault resource
Excluir a política de backup da VM do AzureDelete backup policy of Azure VM backup Colaborador de BackupBackup Contributor Recurso de cofre de recuperaçãoRecovery vault resource
Interromper o backup (com retenção de dados ou exclusão de dados) no backup da VMStop backup (with retain data or delete data) on VM backup Colaborador de BackupBackup Contributor Recurso de cofre de recuperaçãoRecovery vault resource
Registrar-se no Windows Server/cliente/SCDPM local ou no Servidor de Backup do AzureRegister on-premises Windows Server/client/SCDPM or Azure Backup Server Operador de BackupBackup Operator Recurso de cofre de recuperaçãoRecovery vault resource
Excluir o Windows Server/cliente/SCDPM local registrado ou o Servidor de Backup do AzureDelete registered on-premises Windows Server/client/SCDPM or Azure Backup Server Colaborador de BackupBackup Contributor Recurso de cofre de recuperaçãoRecovery vault resource

Importante

Se você especificar o Colaborador de VM em um escopo de recurso da VM e clicar em Backup como parte das configurações da VM, ele abrirá a tela 'Habilitar Backup', mesmo que o backup da VM já tenha sido realizado, pois a chamada para verificar o status do backup funciona apenas no nível de assinatura.If you specify VM Contributor at a VM resource scope and click on Backup as part of VM settings, it will open 'Enable Backup' screen even though VM is already backed up as the call to verify backup status works only at subscription level. Para evitar isso, vá para o cofre e abra a exibição de item de backup da VM ou especifique a função de Colaborador de VM em um nível de assinatura.To avoid this, either go to vault and open the backup item view of the VM or specify VM Contributor role at a subscription level.

Requisitos mínimos de função para o backup do compartilhamento de arquivos do AzureMinimum role requirements for the Azure File share backup

A tabela a seguir captura as ações de gerenciamento de backup e a função correspondente necessária para executar a operação de compartilhamento de arquivos do Azure.The following table captures the Backup management actions and corresponding role required to perform Azure File share operation.

Operação de gerenciamentoManagement Operation Função necessáriaRole Required RecursosResources
Habilitar o backup de compartilhamentos de arquivos do AzureEnable backup of Azure File shares Colaborador de BackupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault
Conta de ArmazenamentoStorage Account Recurso de conta de armazenamento do colaboradorContributor Storage account resource
Backup sob demanda de VMOn-demand backup of VM Operador de BackupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Restaurar compartilhamento de arquivosRestore File share Operador de BackupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Colaborador da Conta de ArmazenamentoStorage Account Contributor Recursos da conta de armazenamento em que os compartilhamentos de arquivos de origem e de destino são presentesStorage account resources where restore source and Target file shares are present
Restaurar arquivos individuaisRestore Individual Files Operador de BackupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Colaborador da Conta de ArmazenamentoStorage Account Contributor Recursos da conta de armazenamento em que os compartilhamentos de arquivos de origem e de destino são presentesStorage account resources where restore source and Target file shares are present
Parar proteçãoStop protection Colaborador de BackupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault
Cancelar o registro da conta de armazenamento do cofreUnregister storage account from vault Colaborador de BackupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault
Colaborador da Conta de ArmazenamentoStorage Account Contributor Recurso da conta de armazenamentoStorage account resource

Próximas etapasNext steps