Azure ロール ベースのアクセス制御を使用して Azure Backup 復旧ポイントを管理する
Azure のロールベースのアクセス制御 (Azure RBAC) を使用すると、Azure のきめ細かなアクセス管理が可能になります。 Azure RBAC を使用して、チーム内で職務を分離し、職務に必要なアクセス許可のみをユーザーに付与します。
重要
Azure Backup によって提供されるロールは、Azure portal 内で実行できるアクションか、REST API または Recovery Services コンテナーの PowerShell または CLI コマンドレットを介して実行できるアクションに制限されています。 Azure Backup エージェント クライアント UI、System Center Data Protection Manager UI、または Azure Backup Server UI で実行されるアクションは、これらのロールの制御の範囲外です。
Azure Backup では、バックアップの管理操作を制御する 3 つの組み込みロールが提供されます。 Azure の組み込みロールについて説明します
- バックアップ共同作成者 - このロールは、Recovery Services コンテナーの削除と他のロールへの権限付与を除き、バックアップの作成と管理のすべての権限を持ちます。 このロールは、すべてのバックアップ管理操作を実行できる、バックアップ管理の管理者と考えてください。
- バックアップ オペレーター - このロールは、バックアップの削除とバックアップ ポリシーの管理を除き、共同作成者が行うすべての操作の権限を持ちます。 このロールは共同作成者と同等ですが、データの削除によるバックアップの停止やオンプレミス リソースの登録解除など、削減する操作は実行できません。
- バックアップ リーダー - このロールは、すべてのバックアップ管理操作を見る権限を持ちます。 このロールは監視役と考えてください。
制御を強化するために独自のロールを定義する場合は、Azure RBAC で カスタム ロールを作成する方法を参照してください。
バックアップ管理アクションへの組み込みバックアップ ロールのマッピング
Azure VM バックアップの最小ロール要件
次の表に、バックアップ管理アクションと、その操作を実行するために必要な最小限の Azure ロールを示します。
| 管理操作 | 必要最小限 Azure ロール | 必要なスコープ | 代替手段 |
|---|---|---|---|
| Recovery Services コンテナーの作成 | Backup Contributor | コンテナーを含むリソース グループ | |
| Azure VM のバックアップの有効化 | Backup Operator | コンテナーを含むリソース グループ | |
| Virtual Machine Contributor | VM リソース | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Azure VM のバックアップを有効にする (VM ブレードから) | Backup Operator | コンテナーを含むリソース グループ | |
| Backup Operator | 仮想マシンを含むリソース グループ | ||
| Virtual Machine Contributor | VM リソース | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できま:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| VM のオンデマンド バックアップ | Backup Operator | Recovery Services コンテナー | |
| VM の復元 | Backup Operator | Recovery Services コンテナー | |
| Contributor | VM がデプロイされるリソース グループ | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (クラシック VM のリストア時にのみ必要、マネージド VM では不要)、Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action | |
| Virtual Machine Contributor | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Storage Account Contributor | ディスクの復元先となるストレージ アカウント リソース | または、組み込みロールではなく、次のアクセス許可を持つカスタム役割を検討できます: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| アンマネージド ディスク VM バックアップの復元 | Backup Operator | Recovery Services コンテナー | |
| Virtual Machine Contributor | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Storage Account Contributor | ディスクの復元先となるストレージ アカウント リソース | または、組み込みロールではなく、次のアクセス許可を持つカスタム役割を検討できます: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| VM バックアップからのマネージド ディスクの復元 | Backup Operator | Recovery Services コンテナー | |
| Virtual Machine Contributor | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Storage Account Contributor | マネージド ディスクに変換する前にコンテナーからのデータを保持する目的で、復元の一部として選択された一時ストレージ アカウント | または、組み込みロールではなく、次のアクセス許可を持つカスタム役割を検討できます: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Contributor | マネージド ディスクの復元先となるリソース グループ | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.Resources/subscriptions/resourceGroups/write | |
| VM バックアップからの個々のファイルの復元 | Backup Operator | Recovery Services コンテナー | |
| Virtual Machine Contributor | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| リージョンをまたがる復元 | Backup Operator | Recovery Services コンテナーのサブスクリプション | これは、前述の復元アクセス許可に追加されます。 特に CRR の場合、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: "Microsoft.RecoveryServices/locations/backupAadProperties/read"、"Microsoft.RecoveryServices/locations/backupCrrJobs/action"、"Microsoft.RecoveryServices/locations/backupCrrJob/action"、"Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action"、"Microsoft.RecoveryServices/locations/backupCrrOperationResults/read"、"Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Azure VM バックアップのバックアップ ポリシーの作成 | Backup Contributor | Recovery Services コンテナー | |
| Azure VM バックアップのバックアップ ポリシーの変更 | Backup Contributor | Recovery Services コンテナー | |
| Azure VM バックアップのバックアップ ポリシーの削除 | Backup Contributor | Recovery Services コンテナー | |
| VM バックアップでのバックアップの停止 (データを保持またはデータを削除) | Backup Contributor | Recovery Services コンテナー | |
| オンプレミスの Windows Server/クライアント/SCDPM または Azure Backup Server での登録 | Backup Operator | Recovery Services コンテナー | |
| オンプレミスの Windows Server/クライアント/SCDPM または Azure Backup Server での登録解除 | Backup Contributor | Recovery Services コンテナー |
重要
VM リソースのスコープで VM 共同作成者を指定し、VM 設定の一部として [バックアップ] を選択すると、その VM が既にバックアップされている場合でも [バックアップの有効化] 画面が開きます。 これは、バックアップの状態を確認するための呼び出しがサブスクリプション レベルでしか機能しないためです。 これを回避するには、コンテナーに移動して VM のバックアップ項目ビューを開くか、またはサブスクリプション レベルで VM 共同作成者ロールを指定します。
Azure ワークロード バックアップ (SQL と HANA DB のバックアップ) での最小ロール要件
次の表に、バックアップ管理アクションと、その操作を実行するために必要な最小限の Azure ロールを示します。
| 管理操作 | 必要最小限 Azure ロール | 必要なスコープ | 代替手段 |
|---|---|---|---|
| Recovery Services コンテナーの作成 | Backup Contributor | コンテナーを含むリソース グループ | |
| SQL または HANA データベースのバックアップの有効化 | Backup Operator | コンテナーを含むリソース グループ | |
| Virtual Machine Contributor | DB がインストールされている VM リソース | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| DB のオンデマンド バックアップ | Backup Operator | Recovery Services コンテナー | |
| データベースを復元、またはファイルとして復元 | Backup Operator | Recovery Services コンテナー | |
| Virtual Machine Contributor | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Virtual Machine Contributor | DB が復元される、またはファイルが作成されるターゲット VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Azure VM バックアップのバックアップ ポリシーの作成 | Backup Contributor | Recovery Services コンテナー | |
| Azure VM バックアップのバックアップ ポリシーの変更 | Backup Contributor | Recovery Services コンテナー | |
| Azure VM バックアップのバックアップ ポリシーの削除 | Backup Contributor | Recovery Services コンテナー | |
| VM バックアップでのバックアップの停止 (データを保持またはデータを削除) | Backup Contributor | Recovery Services コンテナー | |
| Virtual Machine Contributor | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.Compute/virtualMachines/write | |
| リージョンをまたがる復元 | Backup Operator | Recovery Services コンテナーのサブスクリプション | これは、前述の復元アクセス許可に追加されるものです。 リージョンをまたがる復元の場合は、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを使用することができます。 - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Azure ファイル共有バックアップに使用されるロールの最低要件
次の表に、バックアップ管理アクションと、その操作を実行するために必要な Azure ロールを示します。
| 管理操作 | 必要なロール | リソース |
|---|---|---|
| Recovery Services コンテナーからのバックアップを有効にする | Backup Contributor | Recovery Services コンテナー |
| ストレージ アカウント共同作業者 | ストレージ アカウント リソース | |
| ファイル共有ブレードからのバックアップを有効にする | Backup Contributor | Recovery Services コンテナー |
| ストレージ アカウント共同作業者 | ストレージ アカウント リソース | |
| 共同作成者 | サブスクリプション | |
| ファイル共有のオンデマンド バックアップ | Backup Operator | Recovery Services コンテナー |
| ファイル共有の復元 | Backup Operator | Recovery Services コンテナー |
| ストレージ アカウントのバックアップ共同作成者 | 復元元と復元先のファイル共有が存在するストレージ アカウント リソース | |
| 個々のファイルの復元 | Backup Operator | Recovery Services コンテナー |
| Storage Account Contributor | 復元元と復元先のファイル共有が存在するストレージ アカウント リソース | |
| 保護の停止 | Backup Contributor | Recovery Services コンテナー |
| コンテナーからのストレージ アカウントの登録解除 | Backup Contributor | Recovery Services コンテナー |
| Storage Account Contributor | ストレージ アカウント リソース |
注意
リソース グループ レベルで共同作成者アクセス権を持ち、ファイル共有ブレードからバックアップを構成する場合は、サブスクリプション レベルで microsoft.recoveryservices/Locations/backupStatus/action アクセス許可を取得してください。 これを行うには、カスタム ロールを作成し、このアクセス許可を割り当てる必要があります。
Azure ディスク バックアップの最小ロール要件
| 管理操作 | 必要最小限 Azure ロール | 必要なスコープ | 代替手段 |
|---|---|---|---|
| バックアップを構成する前に検証する | Backup Operator | バックアップ資格情報コンテナー | |
| Disk Backup Reader | バックアップするディスク | ||
| バックアップ コンテナーからのバックアップを有効にする | Backup Operator | バックアップ資格情報コンテナー | |
| Disk Backup Reader | バックアップするディスク | さらに、バックアップ資格情報コンテナーの MSI にこれらのアクセス許可が付与されている必要があります。 | |
| ディスクのオンデマンド バックアップ | Backup Operator | バックアップ資格情報コンテナー | |
| ディスクを復元する前に検証する | Backup Operator | バックアップ資格情報コンテナー | |
| Disk Restore Operator | ディスクが復元されるリソース グループ | ||
| ディスクを復元する | Backup Operator | バックアップ資格情報コンテナー | |
| Disk Restore Operator | ディスクが復元されるリソース グループ | さらに、バックアップ資格情報コンテナーの MSI にこれらのアクセス許可が付与されている必要があります |
Azure Blob バックアップの最小ロール要件
| 管理操作 | 必要最小限 Azure ロール | 必要なスコープ | 代替手段 |
|---|---|---|---|
| バックアップを構成する前に検証する | Backup Operator | バックアップ資格情報コンテナー | |
| ストレージ アカウントのバックアップ共同作成者 | BLOB を含むストレージ アカウント | ||
| バックアップ コンテナーからのバックアップを有効にする | Backup Operator | バックアップ資格情報コンテナー | |
| ストレージ アカウントのバックアップ共同作成者 | BLOB を含むストレージ アカウント | さらに、バックアップ資格情報コンテナーの MSI にこれらのアクセス許可が付与されている必要があります | |
| BLOB のオンデマンド バックアップ | Backup Operator | バックアップ資格情報コンテナー | |
| BLOB を復元する前に検証する | Backup Operator | バックアップ資格情報コンテナー | |
| ストレージ アカウントのバックアップ共同作成者 | BLOB を含むストレージ アカウント | ||
| BLOB を復元する | Backup Operator | バックアップ資格情報コンテナー | |
| ストレージ アカウントのバックアップ共同作成者 | BLOB を含むストレージ アカウント | さらに、バックアップ資格情報コンテナーの MSI にこれらのアクセス許可が付与されている必要があります |
PostGreSQL サーバー バックアップ用の Azure データベースの最小ロール要件
| 管理操作 | 必要最小限 Azure ロール | 必要なスコープ | 代替手段 |
|---|---|---|---|
| バックアップを構成する前に検証する | Backup Operator | バックアップ資格情報コンテナー | |
| Reader | Azure PostGreSQL サーバー | ||
| バックアップ コンテナーからのバックアップを有効にする | Backup Operator | バックアップ資格情報コンテナー | |
| 共同作成者 | Azure PostGreSQL サーバー | または、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read さらに、バックアップ資格情報コンテナー MSI にこれらのアクセス許可を与える必要があります | |
| PostGreSQL サーバーのオンデマンド バックアップ | Backup Operator | バックアップ資格情報コンテナー | |
| サーバーを復元する前に検証する | Backup Operator | バックアップ資格情報コンテナー | |
| 共同作成者 | ターゲットの Azure PostGreSQL サーバー | または、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| サーバーの復元 | Backup Operator | バックアップ資格情報コンテナー | |
| 共同作成者 | ターゲットの Azure PostGreSQL サーバー | または、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read さらに、バックアップ資格情報コンテナー MSI にこれらのアクセス許可を与える必要があります |
次のステップ
- Azure ロールベースのアクセス制御 (Azure RBAC): Azure portal で Azure RBAC の使用を開始します。
- 次の要素を使用したアクセス管理方法の詳細
- Azure ロールベースのアクセス制御のトラブルシューティング:一般的な問題の修正に関する推奨事項を紹介します。