Usar o controle de acesso baseado em função do Azure para gerenciar pontos de recuperação de Backup do Azure
O controle de acesso baseado em função do Azure (Azure RBAC) permite o gerenciamento de acesso refinado para o Azure. Com o Azure RBAC, você pode separar as tarefas dentro de sua equipe e permitir somente a quantidade de acesso de que os usuários precisam para realizar os trabalhos deles.
Importante
A funções fornecidas pelo Backup do Azure são limitadas a ações que podem ser executadas no portal do Azure ou via REST API cmdlets do PowerShell ou do CLI do cofre dos Serviços de Recuperação. As ações executadas na interface do usuário do cliente do agente de Backup do Azure, na interface do usuário do System Center Data Protection Manager ou na interface do usuário do Servidor de Backup do Azure estão fora do controle dessas funções.
O Backup do Azure oferece três funções internas para controlar as operações de gerenciamento de backups. Saiba mais sobre as funções internas do Azure
- Colaborador de Backup: essa função tem todas as permissões para criar e gerenciar backups, exceto excluir o cofre dos Serviços de Recuperação e fornecer acesso a outras pessoas. Imagine essa função como administrador do gerenciamento de backups, que pode executar todas as operações de gerenciamento de backups.
- Operador de Backup: essa função tem permissões para fazer tudo que um colaborador faz, exceto remover backups e gerenciar políticas de backup. Essa função é equivalente à de colaborador, com exceção de que não é possível executar operações destrutivas, como interromper backups com exclusão de dados ou remover registro de recursos locais.
- Leitor de Backup: essa função tem permissões para exibir todas as operações de gerenciamento de backups. Imagine essa função como uma pessoa de monitoramento.
Se você pretende definir suas próprias funções para ter ainda mais controle, confira como criar funções personalizadas no RBAC do Azure.
Mapeando funções internas de backup para ações de gerenciamento de backups
Requisitos mínimos de função para o backup de VM do Azure
A tabela a seguir captura as ações de gerenciamento de backups e a função mínima do Azure correspondente necessária para executar essa operação.
| Operação de gerenciamento | Função mínima do Azure necessária | Escopo exigido | Alternativa |
|---|---|---|---|
| Criar cofre de Serviços de Recuperação | Colaborador de Backup | Grupo de recursos contendo o cofre | |
| Habilitar backup de VMs do Azure | Operador de Backup | Grupo de recursos contendo o cofre | |
| Colaborador de Máquina Virtual | Recurso de VM | Como alternativa, em vez de uma função interna, considere uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Habilitar o backup de VMs do Azure (na folha VM) | Operador de Backup | Grupo de recursos contendo o cofre | |
| Operador de Backup | Grupo de recursos contendo a máquina virtual | ||
| Colaborador de Máquina Virtual | Recurso de VM | Como alternativa, em vez de uma função interna, considere uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Backup sob demanda de VM | Operador de Backup | Cofre dos Serviços de Recuperação | |
| Restaurar VM | Operador de Backup | Cofre dos Serviços de Recuperação | |
| Colaborador | Grupo de recursos no qual a VM será implantada | Como alternativa, em vez de uma função interna, é possível considerar uma função personalizada com as seguintes permissões: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (necessária apenas para a restauração de VMs clássicas e não obrigatória para VMs gerenciadas), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action | |
| Colaborador de Máquina Virtual | VM de origem que foi submetida a backup | Como alternativa, em vez de uma função interna, considere uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Colaborador da Conta de Armazenamento | Recurso de conta de armazenamento no qual os discos serão restaurados | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Restaurar backup de VM de discos não gerenciados | Operador de Backup | Cofre dos Serviços de Recuperação | |
| Colaborador de Máquina Virtual | VM de origem que foi submetida a backup | Como alternativa, em vez de uma função interna, considere uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Colaborador da Conta de Armazenamento | Recurso de conta de armazenamento no qual os discos serão restaurados | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Restaurar discos gerenciados do backup da VM | Operador de Backup | Cofre dos Serviços de Recuperação | |
| Colaborador de Máquina Virtual | VM de origem que foi submetida a backup | Como alternativa, em vez de uma função interna, considere uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Colaborador da Conta de Armazenamento | Conta de armazenamento temporária selecionada como parte da restauração para manter dados do cofre antes de convertê-los em discos gerenciados | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Colaborador | Grupo de recursos para o qual o disco gerenciado, ou discos, será restaurado | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Restaurar arquivos individuais do backup da VM | Operador de Backup | Cofre dos Serviços de Recuperação | |
| Colaborador de Máquina Virtual | VM de origem que foi submetida a backup | Como alternativa, em vez de uma função interna, considere uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Restauração entre regiões | Operador de Backup | Assinatura do cofre dos Serviços de Recuperação | Isso é um acréscimo das permissões de restauração mencionadas acima. Especificamente para CRR, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Criar política de backup para backup da VM do Azure | Colaborador de Backup | Cofre dos Serviços de Recuperação | |
| Modificar a política de backup da VM do Azure | Colaborador de Backup | Cofre dos Serviços de Recuperação | |
| Excluir a política de backup da VM do Azure | Colaborador de Backup | Cofre dos Serviços de Recuperação | |
| Interromper o backup (com retenção de dados ou exclusão de dados) no backup da VM | Colaborador de Backup | Cofre dos Serviços de Recuperação | |
| Registrar-se no Windows Server/cliente/SCDPM local ou no Servidor de Backup do Azure | Operador de Backup | Cofre dos Serviços de Recuperação | |
| Excluir o Windows Server/cliente/SCDPM local registrado ou o Servidor de Backup do Azure | Colaborador de Backup | Cofre dos Serviços de Recuperação |
Importante
Se você especificar Colaborador de VM em um escopo de recurso da VM e selecionar Backup como parte das configurações da VM, ele abrirá a tela Habilitar backup, mesmo que o backup da VM já tenha sido realizado. Isso ocorre porque a chamada para verificar o status do backup funciona apenas no nível da assinatura. Para evitar isso, acesse o cofre e abra a exibição de item de backup da VM ou especifique a função Colaborador de VM em um nível de assinatura.
Requisitos mínimos de função para backups de carga de trabalho do Azure (backups de BD SQL e HANA)
A tabela a seguir captura as ações de gerenciamento de backups e a função mínima do Azure correspondente necessária para executar essa operação.
| Operação de gerenciamento | Função mínima do Azure necessária | Escopo exigido | Alternativa |
|---|---|---|---|
| Criar cofre de Serviços de Recuperação | Colaborador de Backup | Grupo de recursos contendo o cofre | |
| Habilitar o backup dos bancos de dados SQL e/ou HANA | Operador de Backup | Grupo de recursos contendo o cofre | |
| Colaborador de Máquina Virtual | Recurso de VM onde o BD está instalado | Como alternativa, em vez de uma função interna, considere uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Backup sob demanda do BD | Operador de Backup | Cofre dos Serviços de Recuperação | |
| Restaurar banco de dados ou Restaurar como arquivos | Operador de Backup | Cofre dos Serviços de Recuperação | |
| Colaborador de Máquina Virtual | VM de origem que foi submetida a backup | Como alternativa, em vez de uma função interna, considere uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Colaborador de Máquina Virtual | VM de destino na qual o BD será restaurado ou os arquivos são criados | Como alternativa, em vez de uma função interna, considere uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Criar política de backup para backup da VM do Azure | Colaborador de Backup | Cofre dos Serviços de Recuperação | |
| Modificar a política de backup da VM do Azure | Colaborador de Backup | Cofre dos Serviços de Recuperação | |
| Excluir a política de backup da VM do Azure | Colaborador de Backup | Cofre dos Serviços de Recuperação | |
| Interromper o backup (com retenção de dados ou exclusão de dados) no backup da VM | Colaborador de Backup | Cofre dos Serviços de Recuperação | |
| Colaborador de Máquina Virtual | VM de origem que foi submetida a backup | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write | |
| Restauração entre regiões | Operador de Backup | Assinatura do cofre dos Serviços de Recuperação | Isso é além das permissões de restauração mencionadas acima. No caso de restauração entre regiões, em vez de uma função interna, você pode usar uma função personalizada que tenha as seguintes permissões: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Requisitos mínimos de função para o backup do compartilhamento de arquivo do Azure
A tabela a seguir captura as ações de gerenciamento de backups e a função do Azure correspondente necessária para executar essa operação.
| Operação de gerenciamento | Função necessária | Recursos |
|---|---|---|
| Habilitar Backup do cofre de Serviços de Recuperação | Colaborador de Backup | Cofre dos Serviços de Recuperação |
| Colaborador da conta de armazenamento | Recurso da conta de armazenamento | |
| Habilitar o backup na folha de compartilhamento de arquivos | Colaborador de Backup | Cofre dos Serviços de Recuperação |
| Colaborador da conta de armazenamento | Recurso da conta de armazenamento | |
| Colaborador | Subscription | |
| Backup sob demanda do compartilhamento de arquivos | Operador de Backup | Cofre dos Serviços de Recuperação |
| Restaurar o compartilhamento de arquivo | Operador de Backup | Cofre dos Serviços de Recuperação |
| Colaborador de Backup da Conta de Armazenamento | Recursos de conta de armazenamento em que os compartilhamentos de arquivos de origem e de destino estão presentes | |
| Restaurar arquivos individuais | Operador de Backup | Cofre dos Serviços de Recuperação |
| Colaborador da Conta de Armazenamento | Recursos de conta de armazenamento em que os compartilhamentos de arquivos de origem e de destino estão presentes | |
| Parar a proteção | Colaborador de Backup | Cofre dos Serviços de Recuperação |
| Cancelar o registro da conta de armazenamento do cofre | Colaborador de Backup | Cofre dos Serviços de Recuperação |
| Colaborador da Conta de Armazenamento | Recurso da conta de armazenamento |
Observação
Se você tiver acesso de colaborador no nível do grupo de recursos e quiser configurar o backup da folha de compartilhamento de arquivos, certifique-se de obter a permissão microsoft.recoveryservices/Locations/backupStatus/action no nível da assinatura. Para fazer isso, crie uma função personalizada e atribua essa permissão.
Requisitos mínimos de função para o backup de disco do Azure
| Operação de gerenciamento | Função mínima do Azure necessária | Escopo exigido | Alternativa |
|---|---|---|---|
| Validar antes de configurar o backup | Operador de Backup | Cofre de backup | |
| Leitor de Backup de Disco | Disco a ser copiado em backup | ||
| Habilitar backup do cofre de backup | Operador de Backup | Cofre de backup | |
| Leitor de Backup de Disco | Disco a ser copiado em backup | Além disso, o MSI do cofre de backup deve receber essas permissões | |
| Backup sob demanda do disco | Operador de Backup | Cofre de backup | |
| Validar antes de restaurar um disco | Operador de Backup | Cofre de backup | |
| Operador de Restauração de Disco | Grupo de recursos em que os discos serão restaurados | ||
| Restauração de um disco | Operador de Backup | Cofre de backup | |
| Operador de Restauração de Disco | Grupo de recursos em que os discos serão restaurados | Além disso, o MSI do cofre de backup deve receber essas permissões |
Requisitos mínimos de função para o backup de blob do Azure
| Operação de gerenciamento | Função mínima do Azure necessária | Escopo exigido | Alternativa |
|---|---|---|---|
| Validar antes de configurar o backup | Operador de Backup | Cofre de backup | |
| Colaborador de backup da conta de armazenamento | Conta de armazenamento que contém o blob | ||
| Habilitar backup do cofre de backup | Operador de Backup | Cofre de backup | |
| Colaborador de backup da conta de armazenamento | Conta de armazenamento que contém o blob | Além disso, o MSI do cofre de backup deve receber essas permissões | |
| Backup sob demanda do blob | Operador de Backup | Cofre de backup | |
| Validar antes de restaurar um blob | Operador de Backup | Cofre de backup | |
| Colaborador de backup da conta de armazenamento | Conta de armazenamento que contém o blob | ||
| Restauração de um blob | Operador de Backup | Cofre de backup | |
| Colaborador de backup da conta de armazenamento | Conta de armazenamento que contém o blob | Além disso, o MSI do cofre de backup deve receber essas permissões |
Requisitos mínimos de função para o backup do servidor do banco de dados do Azure para PostGreSQL
| Operação de gerenciamento | Função mínima do Azure necessária | Escopo exigido | Alternativa |
|---|---|---|---|
| Validar antes de configurar o backup | Operador de Backup | Cofre de backup | |
| Leitor | Servidor do Azure para PostGreSQL | ||
| Habilitar backup do cofre de backup | Operador de Backup | Cofre de backup | |
| Colaborador | Servidor do Azure para PostGreSQL | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Além disso, o MSI do cofre de backup deve receber essas permissões | |
| Backup sob demanda do servidor PostGreSQL | Operador de Backup | Cofre de backup | |
| Validar antes de restaurar um servidor | Operador de Backup | Cofre de backup | |
| Colaborador | Servidor de destino do Azure para PostGreSQL | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Restaurando um servidor | Operador de Backup | Cofre de backup | |
| Colaborador | Servidor de destino do Azure para PostGreSQL | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Além disso, o MSI do cofre de backup deve receber essas permissões |
Próximas etapas
- Controle de acesso baseado em função do Azure (Azure RBAC): Introdução ao Azure RBAC no portal do Azure.
- Saiba como gerenciar o acesso com:
- Solução de problemas do controle de acesso baseado em função do Azure: Obtenha sugestões para corrigir problemas comuns.