Utilize o Controlo de Acesso baseado em funções para gerir pontos de recuperação de backup do AzureUse Role-Based Access Control to manage Azure Backup recovery points

O Controlo de Acesso Baseado em Funções (RBAC) do Azure permite uma gestão pormenorizada de acesso ao Azure.Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. Ao utilizar o RBAC, pode segregar funções na sua equipa e conceder apenas a quantidade de acesso a utilizadores que precisam para desempenhar as suas funções.Using RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs.

Importante

As funções fornecidas pela Azure Backup limitam-se a ações que podem ser executadas no portal Azure ou através do cofre de Serviços de Recuperação Da REST API ou dos Serviços de Recuperação PowerShell ou CLI.Roles provided by Azure Backup are limited to actions that can be performed in Azure portal or via REST API or Recovery Services vault PowerShell or CLI cmdlets. As ações realizadas em Azure backup Agent Client UI ou System center Data Protection Manager UI ou Azure Backup Server UI estão fora de controlo destas funções.Actions performed in Azure backup Agent Client UI or System center Data Protection Manager UI or Azure Backup Server UI are out of control of these roles.

A Azure Backup fornece três funções incorporadas para controlar as operações de gestão de backup.Azure Backup provides three built-in roles to control backup management operations. Obter mais informações sobre Funções incorporadas do RBAC do AzureLearn more on Azure RBAC built-in roles

  • Backup Contributor - Esta função tem todas as permissões para criar e gerir backup, exceto apagar o cofre dos Serviços de Recuperação e dar acesso a outros.Backup Contributor - This role has all permissions to create and manage backup except deleting Recovery Services vault and giving access to others. Imagine este papel como administrador da gestão de backup que pode fazer todas as operações de gestão de backup.Imagine this role as admin of backup management who can do every backup management operation.
  • Backup Operator - Esta função tem permissões para tudo o que um colaborador faz, exceto remover as políticas de backup e gestão de políticas de backup.Backup Operator - This role has permissions to everything a contributor does except removing backup and managing backup policies. Esta função é equivalente ao contribuinte, exceto que não pode realizar operações destrutivas, tais como parar a cópia de segurança com eliminar dados ou remover o registo de recursos no local.This role is equivalent to contributor except it can't perform destructive operations such as stop backup with delete data or remove registration of on-premises resources.
  • Backup Reader - Este papel tem permissões para visualizar todas as operações de gestão de backup.Backup Reader - This role has permissions to view all backup management operations. Imagine este papel como uma pessoa de monitorização.Imagine this role to be a monitoring person.

Se procura definir os seus próprios papéis para ainda mais controlo, veja como construir papéis personalizados no Azure RBAC.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

Mapeando papéis incorporados de backup para ações de gestão de backupMapping Backup built-in roles to backup management actions

O quadro seguinte captura as ações de gestão de Backup e a função rBAC mínima correspondente necessária para executar essa operação.The following table captures the Backup management actions and corresponding minimum RBAC role required to perform that operation.

Operação de GestãoManagement Operation Função RBAC mínima necessáriaMinimum RBAC role required Âmbito necessárioScope Required
Criar cofre dos Serviços de RecuperaçãoCreate Recovery Services vault Colaborador de backupBackup Contributor Grupo de recursos contendo o cofreResource group containing the vault
Ativar backup de VMs AzureEnable backup of Azure VMs Operador de backupBackup Operator Grupo de recursos contendo o cofreResource group containing the vault
Contribuidor de Máquina VirtualVirtual Machine Contributor Recurso VMVM resource
Backup a pedido da VMOn-demand backup of VM Operador de backupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Restaurar VMsRestore VM Operador de backupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
ContribuinteContributor Grupo de recursos no qual a VM será implantadaResource group in which VM will be deployed
Contribuidor de Máquina VirtualVirtual Machine Contributor Fonte VM que foi apoiadaSource VM that got backed up
Restaurar a cópia de segurança VM dos discos não geridosRestore unmanaged disks VM backup Operador de backupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Contribuidor de Máquina VirtualVirtual Machine Contributor Fonte VM que foi apoiadaSource VM that got backed up
Contribuidor de Conta de ArmazenamentoStorage Account Contributor Recurso da conta de armazenamento onde os discos vão ser restauradosStorage account resource where disks are going to be restored
Restaurar os discos geridos a partir de backup VMRestore managed disks from VM backup Operador de backupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Contribuidor de Máquina VirtualVirtual Machine Contributor Fonte VM que foi apoiadaSource VM that got backed up
Contribuidor de Conta de ArmazenamentoStorage Account Contributor Conta de Armazenamento Temporário selecionada como parte da restauração para reter dados do cofre antes de convertê-los em discos geridosTemporary Storage account selected as part of restore to hold data from vault before converting them to managed disks
ContribuinteContributor Grupo de recursos para o qual o disco gerido será restauradoResource group to which managed disk(s) will be restored
Restaurar ficheiros individuais a partir de backup VMRestore individual files from VM backup Operador de backupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Contribuidor de Máquina VirtualVirtual Machine Contributor Fonte VM que foi apoiadaSource VM that got backed up
Criar política de backup para backup Azure VMCreate backup policy for Azure VM backup Colaborador de backupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault
Modificar a política de backup do backup Azure VMModify backup policy of Azure VM backup Colaborador de backupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault
Eliminar a política de backup do backup Azure VMDelete backup policy of Azure VM backup Colaborador de backupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault
Parar a cópia de segurança (com dados de retenção ou eliminar dados) na cópia de segurança vMStop backup (with retain data or delete data) on VM backup Colaborador de backupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault
Registe-se no local Windows Server/cliente/SCDPM ou Azure Backup ServerRegister on-premises Windows Server/client/SCDPM or Azure Backup Server Operador de backupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Eliminar registado no local O Servidor/Cliente/Cliente/SCDPM ou o Servidor de Backup AzureDelete registered on-premises Windows Server/client/SCDPM or Azure Backup Server Colaborador de backupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault

Importante

Se especificar o Colaborador VM num âmbito de recursos VM e clicar em Backup como parte das definições vM, abrirá o ecrã 'Enable Backup', mesmo que o VM já esteja apoiado, uma vez que a chamada para verificar se o estado de backup funciona apenas a nível de subscrição.If you specify VM Contributor at a VM resource scope and click on Backup as part of VM settings, it will open 'Enable Backup' screen even though VM is already backed up as the call to verify backup status works only at subscription level. Para evitar isto, vá ao cofre e abra a vista de cópia de segurança do VM ou especifique a função do Colaborador VM a um nível de subscrição.To avoid this, either go to vault and open the backup item view of the VM or specify VM Contributor role at a subscription level.

Requisitos mínimos de função para o backup de ações do Ficheiro AzureMinimum role requirements for the Azure File share backup

A tabela seguinte captura as ações de gestão de Backup e a função correspondente necessária para executar a operação de partilha de ficheiros Azure.The following table captures the Backup management actions and corresponding role required to perform Azure File share operation.

Operação de GestãoManagement Operation Papel necessárioRole Required RecursosResources
Ativar a cópia de segurança das ações do Ficheiro AzureEnable backup of Azure File shares Colaborador de backupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault
Conta de ArmazenamentoStorage Account Recurso da conta de armazenamento do contribuinteContributor Storage account resource
Backup a pedido da VMOn-demand backup of VM Operador de backupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Restaurar a partilha de ficheirosRestore File share Operador de backupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Contribuidor de Conta de ArmazenamentoStorage Account Contributor Recursos da conta de armazenamento onde restaurar fonte e ações de ficheiros Target estão presentesStorage account resources where restore source and Target file shares are present
Restaurar ficheiros individuaisRestore Individual Files Operador de backupBackup Operator Cofre dos Serviços de RecuperaçãoRecovery Services vault
Contribuidor de Conta de ArmazenamentoStorage Account Contributor Recursos da conta de armazenamento onde restaurar fonte e ações de ficheiros Target estão presentesStorage account resources where restore source and Target file shares are present
Parar proteçãoStop protection Colaborador de backupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault
Desregistar conta de armazenamento a partir do cofreUnregister storage account from vault Colaborador de backupBackup Contributor Cofre dos Serviços de RecuperaçãoRecovery Services vault
Contribuidor de Conta de ArmazenamentoStorage Account Contributor Recurso de conta de armazenamentoStorage account resource

Passos seguintesNext steps