Каковы необходимые разрешения для службы резервного копирования Azure?

Question

При обнаружении причины сбоя резервного копирования зашифрованной виртуальной машины Azure произошла следующая ошибка: https://docs.microsoft.com/en-in/azure/backup/backup-azure-vms-encryption) не разрешает мой вопрос: какие именно разрешения следует указывать Грант? Все, что он говорит, это то, что «необходимые разрешения предварительно заполнены для разрешений ключей и секретных разрешений.» Ну, это не очень помогает! У меня уже были настроены эти разрешения по умолчанию, как я думал, потому что у меня много резервные копии / снимки; очевидно, что резервные копии работали в прошлом. Если сейчас мне не хватает какого-либо разрешения, это разрешение «Ключ» или «Секрет»? Это неясно! Я вижу, что сейчас у меня настроено следующее:

Основные разрешения:

Ключевые операции управления

• Получить (проверено)

• Список (проверено)

• Обновление
• Создать
• Импорт
• Удалить
• Восстановление
• Резервное копирование (проверено)
• Восстановление

Криптографические операции:

• Расшифровать

• Шифрование

• Развернуть ключ

• Ключ для переноса

• Проверка

• Вход

Операции с привилегированными ключами

• Purge

Секретные разрешения:

Секретные операции управления

• Получить (проверено)

• Список (проверено)

• Установить

• Удалить

• Восстановление

• Резервное копирование

• Восстановление

Привилегированные секретные операции

• Purge

Разрешения на сертификат:

Операции по управлению сертификатами

• Получить

• Список

• Обновление
• Создать
• Импорт
• Удалить
• Восстановление
• Резервное копирование
• Восстановление
• Управление контактами
• Управление центрами сертификации
• Получить центр сертификации
• Список центров сертификации
• Установить центры сертификации
• Удалить центры сертификации

Операции с привилегированными сертификатами

• Purge

Ниже приведена ошибка, которую я вижу для своей резервной копии:

Код ошибки

UserErrorKeyVaultPermissionsNotConfigured

Сообщение об ошибке

Служба резервного копирования Azure не имеет достаточных разрешений для хранилища ключей для резервного копирования зашифрованных виртуальных машин.

Рекомендуемое действие

Предоставьте необходимые разрешения службе резервного копирования Azure. См. https://azure.microsoft.com/en-in/documentation/articles/backup-azure-vms-encryption/

Ссылки по теме

https://azure.microsoft.com/en-in/documentation/articles/backup-azure-vms-encryption

Answer 1

Похоже, вы пропустили Backup разрешение Secret permissions.

На шаге 6 ссылки ,

Полагаю, вы даете разрешения вручную вместо того, чтобы выбирать Azure Backup из Configure from template (optional), если вы выберете его, разрешения будут выбраны автоматически, то есть The required permissions are prefilled for Key permissions and Secret permissions означает.

Answer 2

Вот шаги, которые я предпринял, чтобы исправить это с помощью http://portal.azure.com (я понимаю, что шаг 6 может быть излишним, поскольку разрешение на восстановление здесь может быть ненужным - но эй, это сработало):

1. Поиск "хранилищ ключей".

2. Нажмите на мое хранилище ключей.

3. Нажмите «Политики доступа».

4. Нажмите «Служба управления резервным копированием».

5. Нажмите на раскрывающийся список Разрешения ключа и снимите все флажки.

6. Щелкните раскрывающийся список «Разрешения для секрета» и установите флажки «Получить», «Список», «Резервное копирование» и «Восстановить».

7. Нажмите ОК.

8. Нажмите Сохранить обратно на экране «Политики доступа».

Последний шаг, описанный выше, важен, так как его отсутствие приведет к тому, что ваши изменения НЕ будутбыть спасеннымЯ написал эти шаги и последовал за ними под влиянием заявления, которое я нашел в https://docs.microsoft.com/en-us/azure/backup/backup-azure-vms-encryption, которое гласит: «Если ваша виртуальная машина зашифрована только с помощью BEK, отмените выбор разрешений для ключа, поскольку вам нужны только разрешения для секретов».Кажется, у меня есть BEK - по крайней мере, таковы мои секретные типы.И действительно, вышесказанное сработало.Резервные копии снова начали работать с 11 июля!