Управление доступом для восстановления сайта с помощью управления доступом на основе ролей Azure (Azure RBAC)
Управление доступом на основе ролей Azure (Azure RBAC) обеспечивает детальное управление доступом для Azure. Используя Azure RBAC, вы можете разделить обязанности внутри своей группы и предоставить пользователям только определенные разрешения на доступ по мере необходимости для выполнения определенных заданий.
Azure Site Recovery предоставляет 3 встроенные роли для контроля операций управления Site Recovery. Дополнительные сведения о встроенных ролях Azure
- Участник Site Recovery. Эта роль имеет все разрешения, необходимые для управления операциями Azure Site Recovery в хранилище служб восстановления. Но пользователь с этой ролью не может создать или удалить хранилище Служб восстановления или назначить права доступа другим пользователям. Эта роль лучше всего подходит для администраторов аварийного восстановления, которые могут включить и аварийное восстановление и управлять им для приложений или всей организации, в зависимости от ситуации.
- Оператор Site Recovery. Эта роль имеет разрешения на выполнение операций отработки отказа и восстановления размещения и управление ими. Пользователь с этой ролью не может включить или отключить репликацию, создать или удалить хранилище, зарегистрировать новую инфраструктуру или назначить права доступа другим пользователям. Эта роль лучше всего подходит для оператора аварийного восстановления, который может выполнять отработку отказа виртуальных машин или приложений по указанию владельцев приложений и ИТ-администраторов в случае действительной аварии или ее имитации, например отработки аварийного восстановления. После устранения аварии оператор аварийного восстановления может повторно применить защиту и восстановить размещение виртуальных машин.
- Читатель Site Recovery. Эта роль имеет разрешения на просмотр всех операций управления Site Recovery. Она лучше всего подходит для специалиста по контролю ИТ, который может отслеживать текущее состояние защиты и отправлять запросы в службу поддержки, если это необходимо.
Если вы хотите определить свои собственные роли для еще большего контроля, узнайте, как создавать собственные роли в Azure.
Разрешения, необходимые для включения репликации для новых виртуальных машин
Когда новая виртуальная машина реплицируется в Azure с помощью Azure Site Recovery, проверяются уровни доступа соответствующего пользователя, чтобы подтвердить, что пользователь имеет разрешения, необходимые для использования ресурсов Azure, предоставленных Site Recovery.
Чтобы включить репликацию для новой виртуальной машины, пользователь должен иметь следующие разрешения.
- Разрешение на создание виртуальной машины в выбранной группе ресурсов.
- Разрешение на создание виртуальной машины в выбранной виртуальной сети.
- Разрешение на запись в выбранной учетной записи хранения.
Пользователю необходимы следующие разрешения для полной репликации новой виртуальной машины.
Важно!
Проследите, чтобы соответствующие разрешения были добавлены для каждой модели развертывания (Resource Manager и классическая), которая используется для развертывания ресурсов.
Примечание
Если вы включаете репликацию для виртуальной машины Azure и хотите разрешить Site Recovery управлять обновлениями, то при включении репликации вы также можете создать новую учетную запись службы автоматизации, и в этом случае вам потребуется разрешение на создание учетной записи автоматизации в той же подписке, что и хранилище.
| Тип ресурса | Модель развертывания | Разрешение |
|---|---|---|
| Вычисления | Resource Manager | Microsoft.Compute/availabilitySets/read |
| Microsoft.Compute/virtualMachines/read | ||
| Microsoft.Compute/virtualMachines/write | ||
| Microsoft.Compute/virtualMachines/delete | ||
| Классический | Microsoft.ClassicCompute/domainNames/read | |
| Microsoft.ClassicCompute/domainNames/write | ||
| Microsoft.ClassicCompute/domainNames/delete | ||
| Microsoft.ClassicCompute/virtualMachines/read | ||
| Microsoft.ClassicCompute/virtualMachines/write | ||
| Microsoft.ClassicCompute/virtualMachines/delete | ||
| Сеть | Resource Manager | Microsoft.Network/networkInterfaces/read |
| Microsoft.Network/networkInterfaces/write | ||
| Microsoft.Network/networkInterfaces/delete | ||
| Microsoft.Network/networkInterfaces/join/action | ||
| Microsoft.Network/virtualNetworks/read | ||
| Microsoft.Network/virtualNetworks/subnets/read | ||
| Microsoft.Network/virtualNetworks/subnets/join/action | ||
| Классический | Microsoft.ClassicNetwork/virtualNetworks/read | |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | ||
| Память | Resource Manager | Microsoft.Storage/storageAccounts/read |
| Microsoft.Storage/storageAccounts/listkeys/action | ||
| Классический | Microsoft.ClassicStorage/storageAccounts/read | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ||
| Группа ресурсов | Resource Manager | Microsoft.Resources/deployments/* |
| Microsoft.Resources/subscriptions/resourceGroups/read |
Попробуйте использовать встроенные роли "Участник виртуальных машин" и "Участник классических виртуальных машин" для развертывания с помощью модели Resource Manager и классической модели соответственно.
Дальнейшие действия
- Управление доступом на основе ролей Azure (Azure RBAC): Начните работу с Azure RBAC на портале Azure.
- Сведения об управлении доступом с помощью следующих средств:
- Устранение неполадок Azure RBAC: получите предложения по устранению распространенных проблем.