Usare il controllo degli accessi in base al ruolo di Azure per gestire i punti di ripristino di Backup di Azure
Il Controllo degli accessi in base al ruolo di Azure consente la gestione specifica degli accessi per Azure. Usando il controllo degli accessi in base al ruolo di Azure, è possibile separare le mansioni all'interno del team e concedere agli utenti solo la quantità di accesso di cui hanno bisogno per svolgere il loro lavoro.
Importante
I ruoli previsti da Backup di Azure sono limitati alle azioni che possono essere eseguite nel portale di Azure o tramite l’API REST, l’insieme di credenziali di Servizi di ripristino o i cmdlet di PowerShell. Non rientrano sotto il controllo di questi ruoli le azioni eseguite nell'interfaccia utente client dell’agente di Backup di Azure, nell'interfaccia utente di System Center Data Protection Manager o nell'interfaccia utente del server di Backup di Azure.
Backup di Azure offre tre ruoli predefiniti per controllare le operazioni di gestione del backup. Maggiori informazioni sui ruoli predefiniti di Azure
- Collaboratore per il backup: questo ruolo dispone di tutte le autorizzazioni per creare e gestire il backup, ad eccezione delle autorizzazioni per l’eliminazione dell'insieme di credenziali di Servizi di ripristino e della possibilità di fornire l'accesso ad altri utenti. Si immagini questo ruolo come amministratore della gestione di backup autorizzato a eseguire ogni operazione in tale ambito.
- Operatore di backup: questo ruolo dispone delle autorizzazioni per tutte le operazioni svolte da un collaboratore, tranne per la rimozione di backup e la gestione dei criteri di backup. Questo ruolo è equivalente al collaboratore, ma non può eseguire operazioni distruttive, ad esempio interrompere il backup con eliminazione dei dati o rimuovere la registrazione di risorse locali.
- Lettore di backup: questo ruolo dispone delle autorizzazioni per visualizzare tutte le operazioni di gestione di backup. Si immagini questo ruolo come una persona addetta al monitoraggio.
Per definire ruoli personalizzati per un maggiore controllo, vedere come creare ruoli personalizzati nel Controllo degli accessi in base al ruolo di Azure.
Mapping dei ruoli predefiniti di Backup per azioni di gestione di backup
Requisiti minimi del ruolo per il backup di macchine virtuali di Azure
La tabella seguente riporta le azioni di gestione di Backup e il ruolo minimo richiesto per eseguire tale operazione.
| Operazione di gestione | Ruolo minimo di Azure richiesto | Ambito necessario | Alternativa |
|---|---|---|---|
| Creare un insieme di credenziali di Servizi di ripristino | Collaboratore di backup | Gruppo di risorse contenente l'insieme di credenziali | |
| Abilitare il backup di VM di Azure | Operatore di backup | Gruppo di risorse contenente l'insieme di credenziali | |
| Collaboratore macchine virtuali | Risorsa della VM | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Abilitare il backup delle macchine virtuali di Azure (dal pannello della macchina virtuale) | Operatore di backup | Gruppo di risorse contenente l'insieme di credenziali | |
| Operatore di backup | Gruppo di risorse contenente la macchina virtuale | ||
| Collaboratore macchine virtuali | Risorsa della VM | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/virtualMachines/instanceView/read | |
| Backup su richiesta della VM | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Ripristinare la macchina virtuale | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore | Gruppo di risorse in cui verrà distribuita la VM | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.DomainRegistration/domains/write (obbligatorio solo per il ripristino delle macchine virtuali e non per le macchine virtuali gestite), Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Collaboratore account di archiviazione | Risorsa account di archiviazione in cui i dischi saranno ripristinati | In alternativa a un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Ripristinare dischi non gestiti dal backup delle VM | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Collaboratore account di archiviazione | Risorsa account di archiviazione in cui i dischi saranno ripristinati | In alternativa a un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Ripristinare dischi gestiti dal backup delle VM | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Collaboratore account di archiviazione | Account di archiviazione temporaneo selezionato come parte del ripristino per contenere i dati dall'insieme di credenziali prima di convertirli in dischi gestiti | In alternativa a un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| Collaboratore | Gruppo di risorse in cui verranno ripristinati i dischi gestiti | In alternativa a un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Resources/subscriptions/resourceGroups/write | |
| Ripristinare singoli file dal backup delle VM | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Ripristino tra aree | Operatore di backup | Sottoscrizione dell'insieme di credenziali di Servizi di ripristino | Ciò si aggiunge alle autorizzazioni di ripristino indicate in precedenza. In particolare per CRR, in alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: "Microsoft.RecoveryServices/locations/backupAadProperties/read" "Microsoft.RecoveryServices/locations/backupCrrJobs/action" "Microsoft.RecoveryServices/locations/backupCrrJob/action" "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action" "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read" "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Creare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Modificare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Eliminare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Interrompere il backup (con o senza conservazione dei dati) in operazioni di backup di VM | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Registrare Windows Server/client/SCDPM locale o server di Backup di Azure | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Eliminare Windows Server/client/SCDPM locale o server di Backup di Azure registrato | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino |
Importante
Se si specifica Collaboratore per macchina virtuale nell’ambito di una risorsa di macchina virtuale e si seleziona Backup come parte delle impostazioni della macchina virtuale, verrà aperta la schermata Abilita backup, anche se è già stato eseguito il backup della macchina virtuale. Questo è dovuto al fatto che la chiamata per verificare lo stato del backup funziona solo a livello di sottoscrizione. Per evitare questo problema, passare all'insieme di credenziali e aprire la visualizzazione degli elementi di backup della macchina virtuale o specificare il ruolo Collaboratore per macchina virtuale a livello di sottoscrizione.
Requisiti minimi del ruolo per i backup dei carichi di lavoro di Azure (backup dei database SQL e HANA)
La tabella seguente riporta le azioni di gestione di Backup e il ruolo minimo richiesto per eseguire tale operazione.
| Operazione di gestione | Ruolo minimo di Azure richiesto | Ambito necessario | Alternativa |
|---|---|---|---|
| Creare un insieme di credenziali di Servizi di ripristino | Collaboratore di backup | Gruppo di risorse contenente l'insieme di credenziali | |
| Abilitare il backup di database SQL e/o HANA | Operatore di backup | Gruppo di risorse contenente l'insieme di credenziali | |
| Collaboratore macchine virtuali | Risorsa della macchina virtuale in cui è installato il database | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Backup su richiesta di un database | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Eseguire il ripristino del database o come file | Operatore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Collaboratore macchine virtuali | Macchina virtuale di destinazione in cui verrà ripristinato il database o verranno creati i file | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/virtualMachines/read | |
| Creare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Modificare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Eliminare criteri di backup per il backup di VM di Azure | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Interrompere il backup (con o senza conservazione dei dati) in operazioni di backup di VM | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino | |
| Collaboratore macchine virtuali | Macchina virtuale di origine di cui è stato eseguito il backup | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.Compute/virtualMachines/write | |
| Ripristino tra aree | Operatore di backup | Sottoscrizione dell'insieme di credenziali di Servizi di ripristino | Ciò si aggiunge alle autorizzazioni di ripristino indicate in precedenza. In caso di ripristino tra aree, invece di un ruolo predefinito, è possibile usare un ruolo personalizzato con le autorizzazioni seguenti: - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Requisiti minimi del ruolo per il backup della condivisione file di Azure
La tabella seguente riporta le azioni di gestione di Backup e il ruolo corrispondente di Azure richiesto per eseguire tale operazione.
| Operazione di gestione | Ruolo richiesto | Risorse |
|---|---|---|
| Abilitare il backup dall'insieme di credenziali di Servizi di ripristino | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino |
| Collaboratore per l’account di archiviazione | Risorsa dell'account di archiviazione | |
| Abilitare il backup dal pannello condivisione file | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino |
| Collaboratore per l’account di archiviazione | Risorsa dell'account di archiviazione | |
| Collaboratore | Abbonamento | |
| Backup su richiesta della condivisione file | Operatore di backup | Insieme di credenziali di Servizi di ripristino |
| Ripristinare la condivisione file | Operatore di backup | Insieme di credenziali di Servizi di ripristino |
| Ruolo Collaboratore per il backup degli account di archiviazione | Risorse dell'account di archiviazione in cui sono presenti l'origine di ripristino e le condivisioni dei file di destinazione | |
| Ripristinare singoli file | Operatore di backup | Insieme di credenziali di Servizi di ripristino |
| Collaboratore account di archiviazione | Risorse dell'account di archiviazione in cui sono presenti l'origine di ripristino e le condivisioni dei file di destinazione | |
| Arresta protezione | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino |
| Annullare la registrazione dell'account di archiviazione dall'insieme di credenziali | Collaboratore di backup | Insieme di credenziali di Servizi di ripristino |
| Collaboratore account di archiviazione | Risorsa dell'account di archiviazione |
Nota
Se si ha accesso come collaboratore a livello di gruppo di risorse e si vuole configurare il backup dal pannello della condivisione file, assicurarsi di ottenere l’autorizzazione microsoft.recoveryservices/Locations/backupStatus/action a livello di sottoscrizione. A tale scopo, creare un ruolo personalizzato e assegnare l’autorizzazione.
Requisiti minimi del ruolo per il backup dei dischi di Azure
| Operazione di gestione | Ruolo minimo di Azure richiesto | Ambito necessario | Alternativa |
|---|---|---|---|
| Eseguire la convalida prima di configurare il backup | Operatore di backup | Insieme di credenziali per il backup | |
| Lettore di backup del disco | Disco di cui eseguire il backup | ||
| Abilitare il backup dall'insieme di credenziali di backup | Operatore di backup | Insieme di credenziali per il backup | |
| Lettore di backup del disco | Disco di cui eseguire il backup | Inoltre, è necessario concedere queste autorizzazioni all'identità del servizio gestito dell'insieme di credenziali di backup | |
| Backup su richiesta del disco | Operatore di backup | Insieme di credenziali per il backup | |
| Convalidare prima del ripristino di un disco | Operatore di backup | Insieme di credenziali per il backup | |
| Operatore di ripristino del disco | Gruppo di risorse in cui verranno ripristinati i dischi | ||
| Ripristinare un disco | Operatore di backup | Insieme di credenziali per il backup | |
| Operatore di ripristino del disco | Gruppo di risorse in cui verranno ripristinati i dischi | Inoltre, è necessario concedere queste autorizzazioni all'identità del servizio gestito dell'insieme di credenziali di backup |
Requisiti minimi del ruolo per il backup dei BLOB di Azure
| Operazione di gestione | Ruolo minimo di Azure richiesto | Ambito necessario | Alternativa |
|---|---|---|---|
| Eseguire la convalida prima di configurare il backup | Operatore di backup | Insieme di credenziali per il backup | |
| Ruolo Collaboratore per il backup degli account di archiviazione | Account di archiviazione contenente il BLOB | ||
| Abilitare il backup dall'insieme di credenziali di backup | Operatore di backup | Insieme di credenziali per il backup | |
| Ruolo Collaboratore per il backup degli account di archiviazione | Account di archiviazione contenente il BLOB | Inoltre, è necessario concedere queste autorizzazioni all'identità del servizio gestito dell'insieme di credenziali di backup | |
| Backup su richiesta del BLOB | Operatore di backup | Insieme di credenziali per il backup | |
| Convalidare prima di ripristinare un BLOB | Operatore di backup | Insieme di credenziali per il backup | |
| Ruolo Collaboratore per il backup degli account di archiviazione | Account di archiviazione contenente il BLOB | ||
| Ripristinare un BLOB | Operatore di backup | Insieme di credenziali per il backup | |
| Ruolo Collaboratore per il backup degli account di archiviazione | Account di archiviazione contenente il BLOB | Inoltre, è necessario concedere queste autorizzazioni all'identità del servizio gestito dell'insieme di credenziali di backup |
Requisiti minimi del ruolo per il backup del server Database di Azure per PostgreSQL
| Operazione di gestione | Ruolo minimo di Azure richiesto | Ambito necessario | Alternativa |
|---|---|---|---|
| Eseguire la convalida prima di configurare il backup | Operatore di backup | Insieme di credenziali per il backup | |
| Reader | Server Azure PostGreSQL | ||
| Abilitare il backup dall'insieme di credenziali di backup | Operatore di backup | Insieme di credenziali per il backup | |
| Collaboratore | Server Azure PostGreSQL | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read. Inoltre, è necessario concedere queste autorizzazioni all'identità del servizio gestito dell'insieme di credenziali di backup | |
| Backup su richiesta del server PostGreSQL | Operatore di backup | Insieme di credenziali per il backup | |
| Convalidare prima di ripristinare un server | Operatore di backup | Insieme di credenziali per il backup | |
| Collaboratore | Server Azure PostGreSQL di destinazione | In alternativa a un ruolo predefinito, è possibile prendere in considerazione un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| Rispristino di un server | Operatore di backup | Insieme di credenziali per il backup | |
| Collaboratore | Server Azure PostGreSQL di destinazione | In alternativa a un ruolo predefinito, è possibile considerare un ruolo personalizzato con le autorizzazioni seguenti: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read. Inoltre, è necessario concedere queste autorizzazioni all'identità del servizio gestito dell'insieme di credenziali di backup |
Passaggi successivi
- Controllo degli accessi in base al ruolo di Azure: introduzione al controllo degli accessi in base al ruolo di Azure nel portale di Azure.
- Informazioni su come gestire l'accesso con:
- Risoluzione dei problemi del controllo degli accessi in base al ruolo di Azure: suggerimenti per la risoluzione di problemi comuni.