Azure のロールベースのアクセス制御 (Azure RBAC) を使用すると、Azure のきめ細かなアクセス管理が可能になります。 Azure RBAC を使用して、チーム内で職務を分離し、職務に必要なアクセス許可のみをユーザーに付与します。
重要
Azure Backup によって提供されるロールは、Azure portal 内で実行できるアクションか、REST API または Recovery Services コンテナーの PowerShell または CLI コマンドレットを介して実行できるアクションに制限されています。 Azure Backup エージェント クライアント UI、System Center Data Protection Manager UI、または Azure Backup Server UI で実行されるアクションは、これらのロールの制御の範囲外です。
Azure Backup では、バックアップの管理操作を制御する 3 つの組み込みロールが提供されます。 Azure の組み込みロールについて説明します
- バックアップ共同作成者 - このロールは、Recovery Services コンテナーの削除と他のロールへの権限付与を除き、バックアップの作成と管理のすべての権限を持ちます。 このロールは、すべてのバックアップ管理操作を実行できる、バックアップ管理の管理者と考えてください。
- バックアップ オペレーター - このロールは、バックアップの削除とバックアップ ポリシーの管理を除き、共同作成者が行うすべての操作の権限を持ちます。 このロールは共同作成者と同等ですが、データの削除によるバックアップの停止やオンプレミス リソースの登録解除など、削減する操作は実行できません。
- バックアップ リーダー - このロールは、すべてのバックアップ管理操作を見る権限を持ちます。 このロールは監視役と考えてください。
制御を強化するために独自のロールを定義する場合は、Azure RBAC で カスタム ロールを作成する方法を参照してください。
バックアップ管理アクションへの組み込みバックアップ ロールのマッピング
Azure VM バックアップの最小ロール要件
次の表に、バックアップ管理アクションと、その操作を実行するために必要な最小限の Azure ロールを示します。
| 管理操作 | 必要最小限 Azure ロール | 必要なスコープ | 代替手段 |
|---|---|---|---|
| Recovery Services コンテナーの作成 | バックアップ共同作成者 | コンテナーを含むリソース グループ | |
| Azure VM のバックアップの有効化 | バックアップオペレーター | コンテナーを含むリソース グループ | |
| 仮想マシン共同作成者 | VM リソース | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Azure VM のバックアップを有効にする (VM ブレードから) | バックアップオペレーター | コンテナーを含むリソース グループ | |
| バックアップオペレーター | 仮想マシンを含むリソース グループ | ||
| 仮想マシン共同作成者 | VM リソース | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できま:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read | |
| VM のオンデマンド バックアップ | バックアップオペレーター | Recovery Services コンテナー | |
| VM の復元 | バックアップオペレーター | Recovery Services コンテナー | |
| 投稿者 | VM がデプロイされるリソース グループ | または、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを検討できます。 - Microsoft.Resources/subscriptions/resourceGroups/write - Microsoft.Resources/subscriptions/resourceGroups/read - 検証によると、このアクセス許可も必要です。 - Microsoft.DomainRegistration/domains/write - Microsoft.Compute/virtualMachines/write - Microsoft.Compute/virtualMachines/read - Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read - Microsoft.Network/virtualNetworks/subnets/join/action さらに、組み込みのロールにもかかわらずカスタム ロールを設定する場合は、ステージング場所のストレージ アカウントに次のアクセス許可が必要です。 - Microsoft.Storage/storageAccounts/read - Microsoft.Storage/storageAccounts/write |
|
| 仮想マシン共同作成者 | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| ストレージアカウント寄稿者 | ディスクの復元先となるストレージ アカウント リソース | または、組み込みロールではなく、次のアクセス許可を持つカスタム役割を検討できます: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| アンマネージド ディスク VM バックアップの復元 | バックアップオペレーター | Recovery Services コンテナー | |
| 仮想マシン共同作成者 | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| ストレージアカウント寄稿者 | ディスクの復元先となるストレージ アカウント リソース | または、組み込みロールではなく、次のアクセス許可を持つカスタム役割を検討できます: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| VM バックアップからのマネージド ディスクの復元 | バックアップオペレーター | Recovery Services コンテナー | |
| 仮想マシン共同作成者 | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| ストレージアカウント寄稿者 | マネージド ディスクに変換する前にコンテナーからのデータを保持する目的で、復元の一部として選択された一時ストレージ アカウント | または、組み込みロールではなく、次のアクセス許可を持つカスタム役割を検討できます: Microsoft.Storage/storageAccounts/write Microsoft.Storage/storageAccounts/listkeys/action | |
| 投稿者 | マネージド ディスクの復元先となるリソース グループ | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.Resources/subscriptions/resourceGroups/write | |
| VM バックアップからの個々のファイルの復元 | バックアップオペレーター | Recovery Services コンテナー | |
| 仮想マシン共同作成者 | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| リージョンをまたがる復元 | バックアップオペレーター | Recovery Services コンテナーのサブスクリプション | これは、前述の復元アクセス許可に追加されます。 特に CRR の場合、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: "Microsoft.RecoveryServices/locations/backupAadProperties/read"、"Microsoft.RecoveryServices/locations/backupCrrJobs/action"、"Microsoft.RecoveryServices/locations/backupCrrJob/action"、"Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action"、"Microsoft.RecoveryServices/locations/backupCrrOperationResults/read"、"Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read" |
| Azure VM バックアップのバックアップ ポリシーの作成 | バックアップ共同作成者 | Recovery Services コンテナー | |
| Azure VM バックアップのバックアップ ポリシーの変更 | バックアップ共同作成者 | Recovery Services コンテナー | |
| Azure VM バックアップのバックアップ ポリシーの削除 | バックアップ共同作成者 | Recovery Services コンテナー | |
| VM バックアップでのバックアップの停止 (データを保持またはデータを削除) | バックアップ共同作成者 | Recovery Services コンテナー | |
| オンプレミスの Windows Server/クライアント/SCDPM または Azure Backup Server での登録 | バックアップオペレーター | Recovery Services コンテナー | |
| オンプレミスの Windows Server/クライアント/SCDPM または Azure Backup Server での登録解除 | バックアップ共同作成者 | Recovery Services コンテナー |
重要
VM リソースのスコープで VM 共同作成者を指定し、VM 設定の一部として [バックアップ] を選択すると、その VM が既にバックアップされている場合でも [バックアップの有効化] 画面が開きます。 これは、バックアップの状態を確認するための呼び出しがサブスクリプション レベルでしか機能しないためです。 これを回避するには、コンテナーに移動して VM のバックアップ項目ビューを開くか、またはサブスクリプション レベルで VM 共同作成者ロールを指定します。
Azure ワークロード バックアップ (SQL と HANA DB のバックアップ) での最小ロール要件
次の表に、バックアップ管理アクションと、その操作を実行するために必要な最小限の Azure ロールを示します。
| 管理操作 | 必要最小限 Azure ロール | 必要なスコープ | 代替手段 |
|---|---|---|---|
| Recovery Services コンテナーの作成 | バックアップ共同作成者 | コンテナーを含むリソース グループ | |
| SQL または HANA データベースのバックアップの有効化 | バックアップオペレーター | コンテナーを含むリソース グループ | |
| 仮想マシン共同作成者 | DB がインストールされている VM リソース | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| DB のオンデマンド バックアップ | バックアップオペレーター | Recovery Services コンテナー | |
| データベースを復元、またはファイルとして復元 | バックアップオペレーター | Recovery Services コンテナー | |
| 仮想マシン共同作成者 | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| 仮想マシン共同作成者 | DB が復元される、またはファイルが作成されるターゲット VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます:Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/read | |
| Azure VM バックアップのバックアップ ポリシーの作成 | バックアップ共同作成者 | Recovery Services コンテナー | |
| Azure VM バックアップのバックアップ ポリシーの変更 | バックアップ共同作成者 | Recovery Services コンテナー | |
| Azure VM バックアップのバックアップ ポリシーの削除 | バックアップ共同作成者 | Recovery Services コンテナー | |
| VM バックアップでのバックアップの停止 (データを保持またはデータを削除) | バックアップ共同作成者 | Recovery Services コンテナー | |
| 仮想マシン共同作成者 | バックアップされたソース VM | または、組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.Compute/virtualMachines/write | |
| リージョンをまたがる復元 | バックアップオペレーター | Recovery Services コンテナーのサブスクリプション | これは、前述の復元アクセス許可に追加されるものです。 リージョンをまたがる復元の場合は、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを使用することができます。 - Microsoft.RecoveryServices/locations/backupAadProperties/read - Microsoft.RecoveryServices/locations/backupCrrJobs/action - Microsoft.RecoveryServices/locations/backupCrrJob/action - Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action - Microsoft.RecoveryServices/locations/backupCrrOperationResults/read - Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read |
Azure ファイル共有バックアップに使用されるロールの最低要件
次の表に、バックアップ管理アクションと、その操作を実行するために必要な Azure ロールを示します。
| 管理操作 | 必要なロール | リソース |
|---|---|---|
| Recovery Services コンテナーからのバックアップを有効にする | バックアップ共同作成者 | Recovery Services コンテナー |
| ストレージ アカウント共同作業者 | ストレージ アカウント リソース | |
| ファイル共有ブレードからのバックアップを有効にする | バックアップ共同作成者 | Recovery Services コンテナー |
| ストレージ アカウント共同作業者 | ストレージ アカウント リソース | |
| 投稿者 | サブスクリプション | |
| ファイル共有のオンデマンド バックアップ | バックアップオペレーター | Recovery Services コンテナー |
| ファイル共有の復元 | バックアップオペレーター | Recovery Services コンテナー |
| ストレージ アカウントのバックアップ共同作成者 | 復元元と復元先のファイル共有が存在するストレージ アカウント リソース | |
| 個々のファイルの復元 | バックアップオペレーター | Recovery Services コンテナー |
| ストレージアカウント寄稿者 | 復元元と復元先のファイル共有が存在するストレージ アカウント リソース | |
| 保護の停止 | バックアップ共同作成者 | Recovery Services コンテナー |
| コンテナーからのストレージ アカウントの登録解除 | バックアップ共同作成者 | Recovery Services コンテナー |
| ストレージアカウント寄稿者 | ストレージ アカウント リソース |
注意
リソース グループ レベルで共同作成者アクセス権を持ち、ファイル共有ブレードからバックアップを構成する場合は、サブスクリプション レベルで microsoft.recoveryservices/Locations/backupStatus/action アクセス許可を取得してください。 これを行うには、カスタム ロールを作成し、このアクセス許可を割り当てる必要があります。
Azure ディスク バックアップの最小ロール要件
| 管理操作 | 必要最小限 Azure ロール | 必要なスコープ | 代替手段 |
|---|---|---|---|
| バックアップを構成する前に検証する | バックアップオペレーター | バックアップ資格情報コンテナー | |
| ディスク バックアップ閲覧者 | バックアップするディスク | ||
| バックアップ コンテナーからのバックアップを有効にする | バックアップオペレーター | バックアップ資格情報コンテナー | |
| ディスク バックアップ閲覧者 | バックアップするディスク | さらに、バックアップ資格情報コンテナーの MSI にこれらのアクセス許可が付与されている必要があります。 | |
| ディスクのオンデマンド バックアップ | バックアップオペレーター | バックアップ資格情報コンテナー | |
| ディスクを復元する前に検証する | バックアップオペレーター | バックアップ資格情報コンテナー | |
| ディスク復旧オペレーター | ディスクが復元されるリソース グループ | ||
| ディスクを復元する | バックアップオペレーター | バックアップ資格情報コンテナー | |
| ディスク復旧オペレーター | ディスクが復元されるリソース グループ | さらに、バックアップ資格情報コンテナーの MSI にこれらのアクセス許可が付与されている必要があります。 |
Azure Blob バックアップの最小ロール要件
| 管理操作 | 必要最小限 Azure ロール | 必要なスコープ | 代替手段 |
|---|---|---|---|
| バックアップを構成する前に検証する | バックアップオペレーター | バックアップ コンテナー: - リソース/デプロイ/検証/アクション - Resources/deployments/write - Resources/subscriptions/resourceGroups/read |
|
| ストレージ アカウントのバックアップ共同作成者 | BLOB を含むストレージ アカウント | ||
| バックアップ コンテナーからのバックアップを有効にする | バックアップオペレーター | バックアップ コンテナー: - リソース/デプロイ/検証/アクション - Resources/deployments/write - Resources/subscriptions/resourceGroups/read |
|
| ストレージ アカウントのバックアップ共同作成者 | BLOB を含むストレージ アカウント | さらに、バックアップ コンテナーの MSI に これらのアクセス許可を付与する必要があります。 | |
| BLOB のオンデマンド バックアップ | バックアップオペレーター | バックアップ コンテナー: - リソース/デプロイ/検証/アクション - Resources/deployments/write - Resources/subscriptions/resourceGroups/read |
|
| BLOB を復元する前に検証する | バックアップオペレーター | バックアップ コンテナー: - リソース/デプロイ/検証/アクション - Resources/deployments/write - Resources/subscriptions/resourceGroups/read |
|
| ストレージ アカウントのバックアップ共同作成者 | BLOB を含むストレージ アカウント | ||
| BLOB を復元する | バックアップオペレーター | バックアップ コンテナー: - リソース/デプロイ/検証/アクション - Resources/deployments/write - リソース/サブスクリプション/リソースグループ/読み取り |
|
| ストレージ アカウントのバックアップ共同作成者 | BLOB を含むストレージ アカウント | さらに、バックアップ コンテナーの MSI に これらのアクセス許可を付与する必要があります。 |
注意
ストレージ アカウントの検証操作では、Backup Vault のマネージド ID に所有者特権が必要です。
Azure データベース PostgreSQL 用サーバー バックアップの最小限のロール要件
| 管理操作 | 必要最小限 Azure ロール | 必要なスコープ | 代替手段 |
|---|---|---|---|
| バックアップを構成する前に検証する | バックアップオペレーター | バックアップ資格情報コンテナー | |
| 閲覧者 | Azure PostgreSQL サーバー | ||
| バックアップ コンテナーからのバックアップを有効にする | バックアップオペレーター | バックアップ資格情報コンテナー | |
| 投稿者 | Azure PostgreSQL サーバー | または、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read さらに、バックアップ資格情報コンテナー MSI にこれらのアクセス許可を与える必要があります | |
| PostgreSQL サーバーのオンデマンド バックアップ | バックアップオペレーター | バックアップ資格情報コンテナー | |
| サーバーを復元する前に検証する | バックアップオペレーター | バックアップ資格情報コンテナー | |
| 投稿者 | ターゲット Azure PostgreSQL サーバー | または、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read | |
| サーバーの復元 | バックアップオペレーター | バックアップ資格情報コンテナー | |
| 投稿者 | ターゲット Azure PostgreSQL サーバー | または、組み込みのロールではなく、次のアクセス許可を持つカスタム ロールを検討できます: Microsoft.DBforPostgreSQL/servers/write Microsoft.DBforPostgreSQL/servers/read さらに、バックアップ資格情報コンテナー MSI にこれらのアクセス許可を与える必要があります |
SAP ASE (Sybase) データベースのサブスクリプション間復元の最小ロール要件
| 操作の種類 | バックアップ オペレーター | Recovery Services コンテナー | 代替オペレーター |
|---|---|---|---|
| データベースを復元する、またはファイルとして復元する | 仮想マシン共同作成者 | バックアップされたソース VM | 組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます。 - Microsoft.Compute/virtualMachines/write - Microsoft.Compute/virtualMachines/read |
| 仮想マシン共同作成者 | データベースが復元される、またはファイルが作成されるターゲット VM。 | 組み込みロールではなく、次のアクセス許可を持つカスタム ロールを検討できます。 - Microsoft.Compute/virtualMachines/write - Microsoft.Compute/virtualMachines/read |
|
| バックアップオペレーター | ターゲット Recovery Services コンテナー |
次のステップ
- Azure ロールベースのアクセス制御 (Azure RBAC): Azure portal で Azure RBAC の使用を開始します。
- 次の要素を使用したアクセス管理方法の詳細
- Azure ロールベースのアクセス制御のトラブルシューティング:一般的な問題の修正に関する推奨事項を紹介します。