<book_title> を検索 ...

NetBackup™ for Microsoft Azure Stack 管理者ガイド

Last Published: 2024-11-11

Product(s): NetBackup & Alta Data Protection (10.5)

NetBackup 管理者にアクセス権を付与するための Microsoft Azure Stack カスタムロールの追加

NetBackup では、Azure Stack サブスクリプションを保護するために、これらのサブスクリプションへのアクセス権が必要です。NetBackup 向けの Active Directory にカスタムユーザーを作成し、そのユーザーにサブスクリプションにアクセスするためのロールを付与する必要があります。ユーザーに共同所有者のロールを付与するか、バックアップやリカバリのために必要なアクセス権を持つカスタムロールを作成できます。サブスクリプションの所有者としての Azure Stack 管理者は、サブスクリプション用にカスタムロールを作成できます。

NetBackup が必要とする最低限のアクセス権は次のとおりです。

Microsoft.Compute/virtualMachines/*
Microsoft.Network/networkInterfaces/*
Microsoft.Network/networkSecurityGroups/join/action
Microsoft.Network/networkSecurityGroups/read
Microsoft.Network/publicIPAddresses/join/action
Microsoft.Network/publicIPAddresses/read
Microsoft.Network/publicIPAddresses/write
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Resources/subscriptions/resourceGroups/read
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/listKeys/action

カスタムロールを作成するには、次の手順を完了します。

Active Directory フェデレーションサービス (ADFS) 向け	Microsoft 管理コンソールの［Active Directory ユーザーとコンピュータ］ダイアログボックスから、Active Directory に `nbu_azst` という名前のユーザーまたはサービスプリンシパルを作成します。
Microsoft Azure Active Directory (Azure AD) 向け	［Microsoft Azure Active Directory ユーザー］ダイアログボックスから、サービスプリンシパルを作成します。

Azure Stack 用 PowerShell が配備された Windows コンピュータで、次の手順を完了します。

詳しくは、https://docs.microsoft.com/ja-jp/azure/azure-stack/azure-stack-powershell-install を参照してください。

新しいテキストファイル rbac_NBU_role.json を作成し、このファイルに次のスクリプトを追加します。

{
"Name": "NBU BnR Role",
"IsCustom": true,
"Description": "Let's you perform backup and recovery of VMs",
"Actions": [
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Compute/Disks/read",
"Microsoft.Compute/Disks/write",
"Microsoft.Compute/Disks/beginGetAccess/action",
"Microsoft.Compute/Disks/endGetAccess/action",
"Microsoft.Compute/Snapshots/*",
"Microsoft.Network/networkInterfaces/*",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/Resources/read",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/listKeys/action"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/subscription_ID_1",
"/subscriptions/subscription_ID_2"
.
.
.
]
}

メモ:

必要なサブスクリプションを AssignableScopes フィールドに追加して、それらのサブスクリプションにカスタムロールが作成されるようにします。

たとえば、ファイルスニペットで subscription_ID_1 と subscription_ID_2 を持っている実際のサブスクリプション ID で置き換えます。

次のコマンドを実行します。
- Add-AzureRMEnvironment -Name AzureStackAdmin -ArmEndpoint "ArmEndpointValue"
  例: Add-AzureRMEnvironment -Name AzureStackAdmin -ArmEndpoint "https://management.local.azurestack.external"
- Add-AzureRmAccount -EnvironmentName "AzureStackAdmin"
- New-AzureRmRoleDefinition -InputFile "<directory_path>\rbac_NBU_role.json"
次の ARM エンドポイントを使用できます。
- プロバイダサブスクリプション
- テナントサブスクリプション
Microsoft Azure Stack のコンソールを開いて、次の手順を完了します。
1. ［メニュー］をクリックして、NetBackup で保護するサブスクリプションを開きます。［アクセス制御 (IAM)］、［役割］の順にクリックして、新しく作成したロールを表示します。
2. ［サブスクリプション］、［アクセス制御 (IAM)］、［追加］の順にクリックします。［名前の選択］フィールドで nbu_azst ユーザー (ADFS) またはサービスプリンシパル (AAD) の表示名を追加し、［種類］フィールドで［ユーザー］を選択し、［役割］フィールドに新たに追加したロールを選択します。
nbu_azst ユーザーまたはサービスプリンシパルを tpconfig コマンドに追加してバックアップを取得します。

詳細情報

NetBackup での Microsoft Azure Stack クレデンシャルの追加