备份保管库概述

本文介绍备份保管库的功能。 备份保管库是 Azure 中的一个存储实体，用于保存 Azure 备份支持的某些更新的工作负荷的备份数据。 可以使用备份保管库来保存各种 Azure 服务（例如 Azure Blob、Azure Database for PostgreSQL 服务器以及 Azure 备份会支持的更新的工作负荷）的备份数据。 备份保管库便于组织备份数据，并最大限度降低管理开销。 了解备份和还原支持的保管库类型。

主要功能

备份保管库基于 Azure 的 Azure 资源管理器模型，该模型提供如下功能：

• 有助于确保备份数据安全的增强功能：使用备份保管库时，Azure 备份提供用于保护云备份的安全功能。 这些安全功能确保可以保护备份并安全地恢复数据，即使生产服务器和备份服务器受到危害。 了解详细信息

• Azure 基于角色的访问控制 (Azure RBAC) ：Azure RBAC 在 Azure 中提供精细的访问管理控制。 Azure 提供各种内置角色，而 Azure 备份具有三个用于管理恢复点的内置角色。 备份保管库与 Azure RBAC 兼容，后者会限制对已定义用户角色集的备份和还原访问权限。 了解详细信息

• 数据隔离：使用 Azure 备份时，保管的备份数据存储在 Microsoft 托管的 Azure 订阅和租户中。 外部用户或来宾无权直接访问此备份存储或其内容，这可确保将备份数据与数据源所在的生产环境隔离。 这种可靠的方法可确保即使在遭到入侵的环境中，未经授权的用户也无法篡改或删除现有备份。

• V2 工作负载的集中监视：使用备份保管库，可以监视从备份作业到警报的所有 V2 工作负载。 Azure 业务连续性中心提供了相同的报告功能。

备份保管库中的存储设置

备份保管库是一个实体，用于存储随着时间推移而创建的备份和恢复点。 备份保管库还包含与受保护资源关联的备份策略。

• Azure 备份会自动处理保管库的存储。 创建备份保管库时，请选择符合业务需求的存储冗余。

• 若要详细了解存储冗余，请参阅有关异地、区域和本地冗余的这些文章。

备份保管库中的加密设置

本部分介绍可用于加密备份保管库中存储的备份数据的选项。 Azure 备份服务使用“备份管理服务”应用来访问 Azure Key Vault，而不是使用备份保管库的托管标识。

使用平台托管的密钥加密备份数据

Azure 备份提供了两个选项（Microsoft 管理的密钥和客户管理的密钥）来管理备份保管库的备份数据加密。 默认情况下，所有数据都使用 Microsoft 管理的密钥进行加密。 Azure 备份使用“备份管理服务”应用来访问 Azure Key Vault，而不是备份保管库的托管标识。

可使用“备份保管库”上的“加密设置”下的“客户管理的密钥”选项，提取你自己的密钥来加密备份数据。

备份保管库中基于角色的访问控制 (RBAC)

备份保管库提供可靠的 Role-Based 访问控制（RBAC）机制，不仅控制谁可以访问备份保管库及其可执行哪些作，还可以对保管库可以访问的单个工作负荷以及哪些程度进行精细控制。 这包括访问要备份的 Azure 磁盘或 PostgreSQL 服务器以及用于加密密钥管理的 Key Vault 等 Azure 资源。

RBAC 通过与备份保管库关联的托管标识强制执行。 可以将特定角色分配给这些标识，以授予所需的访问权限。 备份保管库支持两种类型的托管标识：

• 系统分配的托管标识： 此标识在备份保管库完成预配时自动创建，并绑定到保管库的生命周期。 可以选择根据需要禁用此身份。

• 用户分配的托管标识： 这是一个独立的 Azure 资源，可以分配给一个或多个备份保管库。 分配后，授予此标识的任何角色也适用于保管库。 用户分配的托管标识的生命周期与保管库分离，从而提供了更大的灵活性。 多个用户分配的标识可以与单个备份保管库相关联。

这些标识确保安全且易于管理的访问控制，使备份保管库能够使用必要的最低特权运行，同时符合组织安全策略。

使用 Azure 备份支持 PostgreSQL 的跨区域还原

通过 Azure 备份，可使用异地冗余存储 (GRS) 将备份复制到其他 Azure 配对区域，以保护备份免受区域性中断的影响。 使用 GRS 启用备份时，仅当 Microsoft 宣布主要区域中断时，次要区域中的备份才可访问。 但是，有了跨区域还原，即使主要区域未发生中断，你也能够访问次要区域恢复点并从这些恢复点执行还原；因此，这让你能够执行演练来评估区域复原能力。

了解如何执行跨区域还原。

后续步骤

• 创建和删除备份保管库。
• 管理备份保管库。