Veeam Backup for Azure : Permission et Multi Souscription

Veeam Backup for Azure : Permission et Multi Souscription

Veeam Backup for Azure est actuellement en version 3 et pour ceux qui ne le connaîtraient pas, c’est notre outil natif pour la sauvegarde des environnements Azure.

Concrètement, c’est une appliance déployable via un VBR – on premises par exemple – directement dans une souscription afin d’en réaliser la sauvegarde.
Les avantages sont nombreux :

  • Coût compétitif vs Azure Backup
  • Interface centralisée pour toutes les Appliance Cloud Public (un VBR peut piloter plusieurs VBAzure/VBAws/VBGcp)
  • Facilité et flexibilité des scenarios de restaurations
  • Réversibilité multi cloud/plateforme
  • Sauvegarde indépendante de la plateforme

L’article ci-dessous détail comment déployer un seul Veeam Backup for Azure et lui permettre de sauvegarde différente souscriptions. Nous allons donc détailler le processus de création manuel de rôle et de permissions nécessaire afin d’avoir une intégration multi souscription.

Il existe une fonctionnalité automatique dans VBAzure afin de créer ces rôles et permissions automatiquement, mais pour diverse raison, confiance, sécurité, droits, c’est intéressant de savoir le faire manuellement.

Pourquoi utiliser le multi-souscription

  • Séparer l’environnement de production de l’environnement de sauvegarde
  • Séparer les droits et les autorisations pour réduire les risques
  • Une appliance VBA pour sauvegarder plusieurs abonnements
  • Coût partagé de l’appliance
  • Interface unique pour un client multi souscription

Schéma d’architecture

Le processus étape par étape

  1. Veeam Backup pour Azure déployé dans une souscription de sauvegarde
  2. Accès à la souscription de production
  3. Configurer un enregistrement d’application (app registration)
  4. Créer un rôle personnalisé avec des autorisations personnalisées
  5. Attribuez ce rôle à l’enregistrement de l’application (app registration)
  6. Configurer l’application dans Veeam Backup pour Azure

Je saute les étapes 1 et 2 😎

Configurer un enregistrement d’application

Connectez-vous à la souscription de production et accédez à Azure Active Directory pour y créer une nouvelle app :

Créez une application (ManualVBAaccount dans mon cas) :

Conservez l’ID d’application et l’ID d’annuaire pour une utilisation ultérieure

Créez un nouveau secret client

Conservez la valeur secrète pour une utilisation ultérieure

Créer un rôle personnalisé avec des autorisations personnalisées

Allez dans Souscription(1) > souscription de production(2) et créez un nouveau rôle personnalisé(3,4,5) : dans mon cas VBA

Vous pouvez configurer les droits JSON en fonction du guide de l’utilisateur

Attribuez ce rôle à l’application

On choisit le rôle (VBA dans mon cas) et le membre sera l’application (ManualVBAaccount dans mon cas)

À ce stade, votre application est créée, votre rôle est créé et vous avez affecté ce rôle à votre application.

Configurer l’application dans Veeam Backup pour Azure

 

Félicitation ! Votre Veeam Backup for Azure peut maintenant sauvegarder des workload d’une autre souscription

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.