Gerenciar o acesso de recuperação do site com controle de acesso baseado em função (RBAC)Manage Site Recovery access with role-based access control (RBAC)

O Azure RBAC (controle de acesso baseado em função) permite o gerenciamento de acesso refinado para o Azure.Azure role-based access control (Azure RBAC) enables fine-grained access management for Azure. Usando o RBAC, você pode separar as responsabilidades dentro de sua equipe e conceder somente permissões de acesso específicas aos usuários conforme necessário para executar trabalhos específicos.Using RBAC, you can segregate responsibilities within your team and grant only specific access permissions to users as needed to perform specific jobs.

O Azure Site Recovery fornece 3 funções internas para controlar as operações de gerenciamento do Site Recovery.Azure Site Recovery provides 3 built-in roles to control Site Recovery management operations. Saiba mais sobre as funções internas do AzureLearn more on Azure built-in roles

  • Colaborador do Site Recovery -essa função tem todas as permissões necessárias para gerenciar operações do Azure Site Recovery em um cofre dos Serviços de Recuperação.Site Recovery Contributor - This role has all permissions required to manage Azure Site Recovery operations in a Recovery Services vault. No entanto, um usuário com essa função não pode criar ou excluir um cofre dos Serviços de Recuperação ou atribuir direitos de acesso a outros usuários.A user with this role, however, can't create or delete a Recovery Services vault or assign access rights to other users. Essa função é ideal para os administradores de recuperação de desastre que podem habilitar e gerenciar a recuperação de desastre para aplicativos ou organizações inteiras, conforme o caso.This role is best suited for disaster recovery administrators who can enable and manage disaster recovery for applications or entire organizations, as the case may be.
  • Operador do Site Recovery - Essa função tem permissões para executar e gerenciar operações de Failover e Failback.Site Recovery Operator - This role has permissions to execute and manage Failover and Failback operations. Um usuário com essa função não pode habilitar ou desabilitar a replicação, criar ou excluir cofres, registrar nova infraestrutura ou atribuir direitos de acesso a outros usuários.A user with this role can't enable or disable replication, create or delete vaults, register new infrastructure or assign access rights to other users. Essa função é ideal para um operador de recuperação de desastre que pode executar failover em máquinas virtuais ou aplicativos quando instruído por administradores de TI ou proprietários do aplicativo em uma situação de desastre real ou simulada, como em uma simulação de recuperação de desastre.This role is best suited for a disaster recovery operator who can failover virtual machines or applications when instructed by application owners and IT administrators in an actual or simulated disaster situation such as a DR drill. Após a resolução do desastre, o operador de recuperação de desastre pode proteger e fazer failback das máquinas virtuais novamente.Post resolution of the disaster, the DR operator can re-protect and failback the virtual machines.
  • Leitor do Site Recovery: essa função tem permissões para exibir todas as operações de gerenciamento do Site Recovery.Site Recovery Reader - This role has permissions to view all Site Recovery management operations. Essa função é ideal para um executivo de monitoramento de TI que possa monitorar o estado atual de proteção e gerar tíquetes de suporte, se necessário.This role is best suited for an IT monitoring executive who can monitor the current state of protection and raise support tickets if required.

Se você pretende definir suas próprias funções para ter ainda mais controle, confira como criar Funções personalizadas no Azure.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure.

Permissões necessárias para habilitar a replicação para novas máquinas virtuaisPermissions required to enable replication for new virtual machines

Quando uma nova máquina virtual é replicada para o Azure usando o Azure Site Recovery, os níveis de acesso do usuário associados são validados para garantir que o usuário tem as permissões necessárias para usar os recursos do Azure fornecidos para o Site Recovery.When a new Virtual Machine is replicated to Azure using Azure Site Recovery, the associated user's access levels are validated to ensure that the user has the required permissions to use the Azure resources provided to Site Recovery.

Para habilitar a replicação para uma nova máquina virtual, o usuário deve ter:To enable replication for a new virtual machine, a user must have:

  • Permissão para criar uma máquina virtual no grupo de recursos selecionadoPermission to create a virtual machine in the selected resource group
  • Permissão para criar uma máquina virtual na rede virtual selecionadaPermission to create a virtual machine in the selected virtual network
  • Permissão de gravação para a conta de armazenamento selecionadaPermission to write to the selected Storage account

Um usuário precisa das seguintes permissões para concluir a replicação de uma nova máquina virtual.A user needs the following permissions to complete replication of a new virtual machine.

Importante

Certifique-se de que as permissões relevantes sejam adicionadas pelo modelo de implantação (Resource Manager/Clássico) usado para implantação de recursos.Ensure that relevant permissions are added per the deployment model (Resource Manager/ Classic) used for resource deployment.

Observação

Se você estiver habilitando a replicação para uma VM do Azure e quiser permitir que Site Recovery gerencie atualizações, ao mesmo tempo em que permite a replicação, você também pode querer criar uma nova conta de automação, caso em que você precisará de permissão para criar uma conta de automação na mesma assinatura que o cofre também.If you are enabling replication for an Azure VM and want to allow Site Recovery to manage updates, then while enabling replication you may also want to create a new Automation account in which case you would need permission to create an automation account in the same subscription as the vault as well.

Tipo de RecursoResource Type Modelo de implantaçãoDeployment Model PermissãoPermission
ComputaçãoCompute Gerenciador de RecursosResource Manager Microsoft.Compute/availabilitySets/readMicrosoft.Compute/availabilitySets/read
Microsoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/writeMicrosoft.Compute/virtualMachines/write
Microsoft.Compute/virtualMachines/deleteMicrosoft.Compute/virtualMachines/delete
ClássicoClassic Microsoft.ClassicCompute/domainNames/readMicrosoft.ClassicCompute/domainNames/read
Microsoft.ClassicCompute/domainNames/writeMicrosoft.ClassicCompute/domainNames/write
Microsoft.ClassicCompute/domainNames/deleteMicrosoft.ClassicCompute/domainNames/delete
Microsoft.ClassicCompute/virtualMachines/readMicrosoft.ClassicCompute/virtualMachines/read
Microsoft.ClassicCompute/virtualMachines/writeMicrosoft.ClassicCompute/virtualMachines/write
Microsoft.ClassicCompute/virtualMachines/deleteMicrosoft.ClassicCompute/virtualMachines/delete
RedeNetwork Gerenciador de RecursosResource Manager Microsoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/delete
Microsoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/join/action
Microsoft.Network/virtualNetworks/readMicrosoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/readMicrosoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/join/actionMicrosoft.Network/virtualNetworks/subnets/join/action
ClássicoClassic Microsoft.ClassicNetwork/virtualNetworks/readMicrosoft.ClassicNetwork/virtualNetworks/read
Microsoft.ClassicNetwork/virtualNetworks/join/actionMicrosoft.ClassicNetwork/virtualNetworks/join/action
ArmazenamentoStorage Gerenciador de RecursosResource Manager Microsoft.Storage/storageAccounts/readMicrosoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listkeys/actionMicrosoft.Storage/storageAccounts/listkeys/action
ClássicoClassic Microsoft.ClassicStorage/storageAccounts/readMicrosoft.ClassicStorage/storageAccounts/read
Microsoft.ClassicStorage/storageAccounts/listKeys/actionMicrosoft.ClassicStorage/storageAccounts/listKeys/action
Grupo de recursosResource Group Gerenciador de RecursosResource Manager Microsoft.Resources/deployments/*Microsoft.Resources/deployments/*
Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/read

Considere usar as funções internas 'Colaborador de Máquina Virtual' e ‘Colaborador de Máquina Virtual Clássica’ para os modelos de implantação do Resource Manager e do Clássico respectivamente.Consider using the 'Virtual Machine Contributor' and 'Classic Virtual Machine Contributor' built-in roles for Resource Manager and Classic deployment models respectively.

Próximas etapasNext steps