Veeam Backup for Azure – Criando uma Service Account com Custom Role

 

Introdução

 

No Veeam Backup for Azure é necessário criar uma Service Account para ter acesso a Subscription onde os recursos a serem protegidos estão localizados.
É possível criar a Service Account automaticamente durante a configuração do Veeam Backup for Azure seguindo os passos descritos no User Guide, entretanto, dependendo das políticas de segurança da empresa é normal a necessidade de fazer todo esse processo manualmente na Azure.

Nesse post irei detalhar como criar o Entra ID Application, a Custom Role e adicionar as permissões necessárias para utilização no Veeam Backup for Azure.

 

Criando o Entra ID Application

 

No Azure Portal devemos ir até o Microsoft Entra ID:

 

Depois iremos até “App registrations” para criar um novo Entra Application.
Clique em “New registration”:

 

Escolha um nome para o App, deixe a primeira opção selecionado em “Supported account types” e clique em “Register”:

 

Com isso teremos o Application ID e o Tenant ID. Anote-os pois vamos precisar utilizá-los durante a criação do Service Account no Veeam Backup for Azure.

 

Agora vamos em “Certificates & secrets” para criar um Client secret para nosso App.
Clique em “New client secret”:

 

Escolha um nome para a client secret e quando irá expirar. Se a client secret expirar será necessário criar uma nova e alterar no Service Account no Veeam Backup for Azure, então escolha de acordo com sua necessidade e políticas de segurança.

 

Após a criação o campo “Value” será exibido. Anote-o para ser utilizado na criação da Service Account. Esse valor é mostrado apenas durante a criação, caso não seja anotado será necessário criar uma nova Client secret.

 

Criando Custom Role

 

Agora que temos o Application criado, precisamos criar uma Custom Role na Subscription com as permissões necessárias para o Veeam Backup for Azure funcionar corretamente.
Vá até “Subscriptions” e clique na subscription que deseja adicionar a Role.

 

Em “Access control (IAM)”, clique em “Add custom role”.

 

Escolha um nome para a Role.

 

Em “JSON” clique em “Edit” para adicionar as permissões.
As permissões necessárias estão listadas no User Guide.

 

Clique em “Create” para finalizar a criação da Role.

 

Agora que criamos a Role podemos adicionar o Entra ID Application criado anteriormente a essa Role.
Ainda na seção de “Access control (IAM) clique em “Add role assignment”:

 

Procure pela Role criada anteriormente e clique em “Next”.

 

Em “Members” selecione a opção “Select members” e procure pelo Applicatioan criado.

 

Clique em “Review + assign”.

 

Criando Service Account

 

Agora vamos criar a Service Account no Veeam Backup for Azure.
Em “Accounts” clique em “Add”.

 

Escolha um nome para identificar a conta.

 

Escolha a opção “Specify existing service account”.

 

Preencha os campos com o Application ID, Client secret e Tenant ID que coletamos nos passos anteriores.

 

Em “Summary” será mostrado as Subscription que essa conta possui acesso.

 

Com isso finalizamos a criação da conta.
Ao criar uma nova política de backup é possível selecionar a conta que será utilizada.

 

Mais detalhes sobre o criação do Service Account e permissões necessárias podem ser verificadas no User Guide:

Compartilhe!