Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O controle de acesso baseado em função do Azure (Azure RBAC) permite o gerenciamento de acesso refinado para o Azure. Com o RBAC do Azure, pode fazer a segregação de deveres na sua equipa e conceder aos utilizadores apenas a quantidade de acesso de que precisam para desempenhar as suas funções.
Importante
As funções fornecidas pelo Backup do Azure são limitadas a ações que podem ser executadas no portal do Azure ou por meio da API REST ou dos cmdlets do vault do Recovery Services, PowerShell ou CLI. As ações executadas na interface do usuário do cliente do agente de Backup do Azure ou na interface do usuário do System center Data Protection Manager ou na interface do usuário do Servidor de Backup do Azure estão fora de controle dessas funções.
O Backup do Azure fornece três funções internas para controlar as operações de gerenciamento de backup. Saiba mais sobre as funções internas do Azure
- Colaborador de Backup - Esta função tem todas as permissões para criar e gerir backup, exceto excluir o Cofre dos Serviços de Recuperação e dar acesso a outras pessoas. Imagine essa função como administrador do gerenciamento de backup, que pode fazer todas as operações de gerenciamento de backup.
- Operador de backup - Esta função tem permissões para tudo o que um colaborador faz, exceto remover backup e gerenciar políticas de backup. Esta função é equivalente a colaborador, exceto que não pode executar operações destrutivas, como parar o backup e excluir dados ou remover o registo de recursos no local.
- Leitor de backup - Esta função tem permissões para exibir todas as operações de gerenciamento de backup. Imagine este papel como um responsável pela monitorização.
Se você estiver procurando definir suas próprias funções para obter ainda mais controle, veja como criar funções personalizadas no RBAC do Azure.
Mapeando funções internas de backup para ações de gerenciamento de backup
Requisitos mínimos de função para backup de VM do Azure
A tabela a seguir captura as ações de gerenciamento de Backup e a função mínima correspondente do Azure necessária para executar essa operação.
| Gestão da Operação | Função mínima do Azure necessária | Âmbito de aplicação necessário | Alternativa |
|---|---|---|---|
| Criar Cofre de Serviços de Recuperação | Colaborador de backup | Grupo de recursos que contém o cofre | |
| Ativar cópia de segurança de VMs do Azure | Operador de Cópia de Segurança | Grupo de recursos que contém o cofre | |
| Contribuidor de Máquina Virtual | Recurso VM | Como alternativa, em vez de uma função incorporada, poderá considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Ativar o backup de VMs do Azure (do painel da VM) | Operador de Cópia de Segurança | Grupo de recursos que contém o cofre | |
| Operador de Cópia de Segurança | Grupo de recursos que contém a máquina virtual | ||
| Contribuidor de Máquina Virtual | Recurso VM | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| Backup sob demanda de VM | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação | |
| Restaurar VMs | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação | |
| Colaborador | Grupo de recursos no qual a VM será implantada | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: - Microsoft.Resources/subscriptions/resourceGroups/write - Microsoft.Resources/subscriptions/resourceGroups/read - Microsoft.DomainRegistration/domains/write - Microsoft.Compute/virtualMachines/write - Microsoft.Compute/virtualMachines/read - Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read - Microsoft.Network/virtualNetworks/subnets/join/action Além disso, se pretender definir uma função personalizada apesar da função incorporada, são necessárias as seguintes permissões na conta de armazenamento da Localização de Pré-produção: - Microsoft.Storage/storageAccounts/read - Microsoft.Storage/storageAccounts/write |
|
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função incorporada, poderá considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Contribuidor de Conta de Armazenamento | Recurso da conta de armazenamento onde os discos serão restaurados | Como alternativa, em vez de uma função incorporada, pode-se considerar uma função personalizada com as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Restaurar discos não gerenciados, backup de VM | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função incorporada, poderá considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Contribuidor de Conta de Armazenamento | Recurso da conta de armazenamento onde os discos serão restaurados | Como alternativa, em vez de uma função incorporada, pode-se considerar uma função personalizada com as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Restaurar discos gerenciados a partir do backup de VM | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função incorporada, poderá considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Contribuidor de Conta de Armazenamento | Conta de armazenamento temporário selecionada para guardar os dados do cofre como parte da restauração antes de convertê-los em discos geridos. | Como alternativa, em vez de uma função incorporada, pode-se considerar uma função personalizada com as seguintes permissões: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Colaborador | Grupo de recursos para o(s) qual(is) o(s) disco(s) gerenciado(s) será(ão) restaurado(s) | Como alternativa, em vez de uma função incorporada, pode-se considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Restaure arquivos individuais a partir do backup da VM | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função incorporada, poderá considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Restauração entre regiões | Operador de Cópia de Segurança | Assinatura do cofre de Serviços de recuperação | Isso é além das permissões de restauração mencionadas acima. Especificamente para CRR, em vez de uma função interna, pode considerar uma função personalizada que tenha as seguintes permissões: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Criar política de backup para backup de VM do Azure | Colaborador de backup | cofre dos Serviços de Recuperação | |
| Modificar a política de backup da VM do Azure | Colaborador de backup | cofre dos Serviços de Recuperação | |
| Eliminar política de backup de VM do Azure | Colaborador de backup | cofre dos Serviços de Recuperação | |
| Interromper o backup (mantendo ou eliminando dados) do backup de VM | Colaborador de backup | cofre dos Serviços de Recuperação | |
| Registrar o Windows Server/cliente/SCDPM local ou o Servidor de Backup do Azure | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação | |
| Eliminar o servidor Windows, cliente, SCDPM ou Servidor de Backup do Azure registados localmente. | Colaborador de backup | cofre dos Serviços de Recuperação | |
| Desativar a Imutabilidade num cofre | Colaborador de backup | Cofre dos Serviços de Recuperação |
Importante
Se você especificar Colaborador de VM em um escopo de recurso de VM e selecionar Backup como parte das configurações de VM, ele abrirá a tela Habilitar Backup , mesmo que já tenha sido feito backup da VM. Isto ocorre porque a chamada para verificar o estado da cópia de segurança funciona apenas ao nível da subscrição. Para evitar isso, acesse o cofre, abra a exibição de item de backup da VM ou especifique a função de Contribuinte da VM ao nível de subscrição.
Requisitos mínimos de função para backups de carga de trabalho do Azure (backups de banco de dados SQL e HANA)
A tabela a seguir captura as ações de gerenciamento de Backup e a função mínima correspondente do Azure necessária para executar essa operação.
| Gestão da Operação | Função mínima do Azure necessária | Âmbito de aplicação necessário | Alternativa |
|---|---|---|---|
| Criar Cofre de Serviços de Recuperação | Colaborador de backup | Grupo de recursos que contém o cofre | |
| Habilitar backup de bancos de dados SQL e/ou HANA | Operador de Cópia de Segurança | Grupo de recursos que contém o cofre | |
| Contribuidor de Máquina Virtual | Recurso de VM onde o banco de dados está instalado | Como alternativa, em vez de uma função incorporada, poderá considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Backup sob demanda de banco de dados | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação | |
| Restaurar banco de dados ou Restaurar como arquivos | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função incorporada, poderá considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Contribuidor de Máquina Virtual | VM de destino na qual o banco de dados será restaurado ou os arquivos serão criados | Como alternativa, em vez de uma função incorporada, poderá considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Criar política de backup para backup de VM do Azure | Colaborador de backup | cofre dos Serviços de Recuperação | |
| Modificar a política de backup da VM do Azure | Colaborador de backup | cofre dos Serviços de Recuperação | |
| Eliminar política de backup de VM do Azure | Colaborador de backup | cofre dos Serviços de Recuperação | |
| Interromper o backup (mantendo ou eliminando dados) do backup de VM | Colaborador de backup | cofre dos Serviços de Recuperação | |
| Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.Compute/virtualMachines/write | |
| Restauração entre regiões | Operador de Cópia de Segurança | Subscrição do Cofre de Serviços de Recuperação | Isso é além das permissões de restauração mencionadas acima. No caso de restauração entre regiões, em vez de uma função interna, você pode usar uma função personalizada que tenha as seguintes permissões: - Microsoft.RecoveryServices/locations/backupAadProperties/leitura - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/ação - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
| Desativar a Imutabilidade num cofre | Colaborador de backup | Cofre dos Serviços de Recuperação |
Requisitos mínimos de função para o backup de compartilhamento de arquivos do Azure
A tabela a seguir captura as ações de gerenciamento de Backup e a função correspondente do Azure necessárias para executar essa operação.
| Gestão da Operação | Função Necessária | Recursos |
|---|---|---|
| Habilitar o backup do Cofre de Serviços de Recuperação | Colaborador de backup | cofre dos Serviços de Recuperação |
| Colaborador da conta de armazenamento | Recurso de conta de armazenamento | |
| Habilitar o backup a partir da interface de partilha de ficheiros | Colaborador de backup | cofre dos Serviços de Recuperação |
| Colaborador da conta de armazenamento | Recurso da conta de armazenamento | |
| Colaborador | Subscrição | |
| Backup a pedido de partilha de ficheiros | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação |
| Restaurar partilha de ficheiros | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação |
| Colaborador da Conta de Armazenamento para Backup | Recursos da conta de armazenamento onde estão presentes as partilhas de ficheiros de origem e de destino para a restauração | |
| Restaurar arquivos individuais | Operador de Cópia de Segurança | cofre dos Serviços de Recuperação |
| Contribuidor de Conta de Armazenamento | Recursos da conta de armazenamento onde estão presentes as partilhas de ficheiros de origem e de destino para a restauração | |
| Parar proteção | Colaborador de backup | cofre dos Serviços de Recuperação |
| Desassociar a conta de armazenamento do vault | Colaborador de backup | cofre dos Serviços de Recuperação |
| Contribuidor de Conta de Armazenamento | Recurso de conta de armazenamento | |
| Desativar a Imutabilidade num cofre | Colaborador de backup | Cofre dos Serviços de Recuperação |
Nota
Se tiveres acesso de colaborador ao nível do grupo de recursos e quiseres configurar o backup a partir da interface de partilha de ficheiros, certifica-te de obter a permissão microsoft.recoveryservices/Locations/backupStatus/action ao nível da subscrição. Para fazer isso, crie uma função personalizada e atribua essa permissão.
Requisitos mínimos de função para backup de disco do Azure
| Gestão da Operação | Função mínima do Azure necessária | Âmbito de aplicação necessário | Alternativa |
|---|---|---|---|
| Validar antes de configurar o backup | Operador de Cópia de Segurança | Cofre de backup | |
| Leitor de backup de disco | Disco para backup | ||
| Ativar o backup a partir do cofre de backup | Operador de Cópia de Segurança | Cofre de backup | |
| Leitor de backup de disco | Disco para backup | Além disso, o MSI do cofre de backup deve receber essas permissões | |
| Backup de disco sob demanda | Operador de Cópia de Segurança | Cofre de backup | |
| Validar antes de restaurar um disco | Operador de Cópia de Segurança | Cofre de backup | |
| Operador de restauração de disco | Grupo de recursos para o qual os discos serão restaurados | ||
| Restaurando um disco | Operador de Cópia de Segurança | Cofre de backup | |
| Operador de restauração de disco | Grupo de recursos para o qual os discos serão restaurados | Além disso, o MSI do cofre de backup deve receber essas permissões |
Requisitos mínimos de função para backup de blob do Azure
| Gestão da Operação | Função mínima do Azure necessária | Âmbito de aplicação necessário | Alternativa |
|---|---|---|---|
| Validar antes de configurar o backup | Operador de Cópia de Segurança | Cofre de backup: - Recursos/implantações/validação/ação - Recursos/implantações/escrita - Recursos/subscrições/gruposDeRecursos/ler |
|
| Contribuidor de backup de conta de armazenamento | Conta de armazenamento que contém o blob | ||
| Ativar o backup a partir do cofre de backup | Operador de Cópia de Segurança | Cofre de backup: - Recursos/implantações/validação/ação - Recursos/implantações/escrita - Recursos/subscrições/gruposDeRecursos/ler |
|
| Contribuidor de backup de conta de armazenamento | Conta de armazenamento que contém o blob | Além disso, o MSI do cofre de backup deve receber essas permissões. | |
| Backup sob solicitação de blob | Operador de Cópia de Segurança | Cofre de backup: - Recursos/implantações/validação/ação - Recursos/implantações/escrita - Recursos/subscrições/gruposDeRecursos/ler |
|
| Validar antes de restaurar um blob | Operador de Cópia de Segurança | Cofre de backup: - Recursos/implantações/validação/ação - Recursos/implantações/escrita - Recursos/subscrições/gruposDeRecursos/ler |
|
| Contribuidor de backup de conta de armazenamento | Conta de armazenamento que contém o blob | ||
| Restaurando um blob | Operador de Cópia de Segurança | Cofre de backup: - Recursos/implantações/validação/ação - Recursos/implantações/escrita - Recursos/subscrições/gruposDeRecursos/ler |
|
| Contribuidor de backup de conta de armazenamento | Conta de armazenamento que contém o blob | Além disso, o MSI do cofre de backup deve receber essas permissões. | |
| Desativar a Imutabilidade num cofre | Colaborador de backup | Cofre de backup |
Nota
Para a operação de validação da conta de armazenamento, o ID gerenciado do Backup Vault precisa ter privilégios de proprietário.
Requisitos mínimos de função para o banco de dados do Azure para backup do servidor PostgreSQL
| Gestão da Operação | Função mínima do Azure necessária | Âmbito de aplicação necessário | Alternativa |
|---|---|---|---|
| Validar antes de configurar o backup | Operador de Cópia de Segurança | Cofre de backup | |
| Leitor | Servidor PostgreSQL do Azure | ||
| Ativar o backup a partir do cofre de backup | Operador de Cópia de Segurança | Cofre de backup | |
| Colaborador | Servidor PostgreSQL do Azure | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Além disso, o MSI do cofre de backup deve receber essas permissões | |
| Backup sob demanda do servidor PostgreSQL | Operador de Cópia de Segurança | Cofre de backup | |
| Validar antes de restaurar um servidor | Operador de Cópia de Segurança | Cofre de backup | |
| Colaborador | Servidor PostgreSQL do Azure de destino | Como alternativa, em vez de uma função incorporada, pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Restaurar um servidor | Operador de Cópia de Segurança | Cofre de backup | |
| Colaborador | Servidor PostgreSQL do Azure de destino | Como alternativa, em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read Além disso, o MSI do cofre de backup deve receber essas permissões | |
| Desativar a Imutabilidade num cofre | Colaborador de backup | Cofre de backup |
Requisitos mínimos de função para restauração entre subscrições do banco de dados SAP ASE (Sybase)
| Tipo de operação | Operador de backups | cofre dos Serviços de Recuperação | Operador alternativo |
|---|---|---|---|
| Restaurar banco de dados ou restaurar como arquivos | Contribuidor de Máquina Virtual | VM de origem cujo backup foi feito | Em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: - Microsoft.Compute/virtualMachines/escrita - Microsoft.Compute/virtualMachines/leitura |
| Contribuidor de Máquina Virtual | VM de destino na qual o banco de dados será restaurado ou os arquivos serão criados. | Em vez de uma função interna, você pode considerar uma função personalizada que tenha as seguintes permissões: - Microsoft.Compute/virtualMachines/escrita - Microsoft.Compute/virtualMachines/leitura |
|
| Operador de Cópia de Segurança | Cofre dos Serviços de Recuperação de Destino |
Próximos passos
- Controle de acesso baseado em função do Azure (Azure RBAC): Introdução ao Azure RBAC no portal do Azure.
- Saiba como gerir o acesso com:
- Solução de problemas de controle de acesso baseado em função do Azure: obtenha sugestões para corrigir problemas comuns.