Azure 备份服务需要哪些权限？

Question

在调查 Azure 加密 VM 备份失败的原因时，我遇到了以下错误详细信息，但错误提供的链接 (https://docs.microsoft.com/en-in/azure/backup/backup-azure-vms-encryption) 无法解决我的问题：我应该授予哪些权限？ 它所说的只是“为密钥权限和秘密权限预先填写了所需的权限。”好吧，这不是很大的帮助！我已经将这些权限设置为我认为的默认权限，因为我确实有很多备份/快照；显然备份在过去一直有效。如果我现在缺少一些权限，是密钥权限还是秘密权限？不清楚！我确实看到我现在进行了以下设置：

关键权限：

密钥管理操作

• 获取（选中）

• 列表（选中）

• 更新
• 创建
• 导入
• 删除
• 恢复
• 备份（选中）
• 恢复

加密操作：

• 解密

• 加密

• 解包密钥

• 换行键

• 验证

• 签名

特权键操作

• 清除

秘密权限：

秘密管理行动

• 获取（选中）

• 列表（选中）

• 设置

• 删除

• 恢复

• 备份

• 恢复

特权秘密行动

• 清除

证书权限：

证书管理操作

• 获取

• 列表

• 更新
• 创建
• 导入
• 删除
• 恢复
• 备份
• 恢复
• 管理联系人
• 管理证书颁发机构
• 获取证书颁发机构
• 列出证书颁发机构
• 设置证书颁发机构
• 删除证书颁发机构

特权证书操作

• 清除

以下是我看到的备份错误：

错误代码

UserErrorKeyVaultPermissionsNotConfigured

错误信息

Azure 备份服务对用于备份加密虚拟机的 Key Vault 没有足够的权限。

推荐操作

请授予 Azure 备份服务所需的权限。参考https://azure.microsoft.com/en-in/documentation/articles/backup-azure-vms-encryption/

相关链接

https://azure.microsoft.com/en-in/documentation/articles/backup-azure-vms-encryption

Answer 1

您似乎错过了Secret permissions 的Backup 权限。

在link的第6步中，

我假设你手动授予权限而不是选择Configure from template (optional)中的Azure Backup，如果选择它，权限将自动选择，即The required permissions are prefilled for Key permissions and Secret permissions的意思。

Answer 2

以下是我通过http://portal.azure.com 纠正此问题所采取的步骤（我意识到第 6 步可能是多余的，因为此处可能不需要恢复权限——但是，嘿，这行得通）：

1. 搜索“密钥保管库”。

2. 单击我的密钥保管库。

3. 单击“访问策略”。

4. 单击“备份管理服务”。

5. 单击密钥权限下拉菜单并取消选中所有复选框。

6. 单击 Secret 权限下拉菜单并选择 Get、List、Backup 和 Restore 复选框。

7. 单击“确定”。

8. 在“访问策略”屏幕上单击“保存”。

上述最后一步很重要，因为缺少它会导致您的更改无法保存。我写了这些步骤并按照我在https://docs.microsoft.com/en-us/azure/backup/backup-azure-vms-encryption 找到的声明的影响进行了操作，该声明说：“如果您的 VM 仅使用 BEK 加密，请删除密钥权限的选择，因为您只需要机密权限。”看来我有 BEK——至少我的秘密类型是这样的。确实，上述方法奏效了。备份从 7 月 11 日起重新开始工作！