Veeamは元々、RBACでの権限割り当てを提供していますが、コンソールごとに構成が異なっており、Veeam Backup Enterprise ManagerのWeb UIに関してはセルフサービスポータルなど、ユーザがバックアップやリストア可能VMなど、その範囲を絞り込んだ柔軟な制御を提供いしてます。
しかし、Veeam Backup & Replicationのコンソールでは事前構成されたロールでどのような操作が可能かといった制御は行えますが、範囲とった面だと特に制御は提供していません。
Veeam Backup Enterprise ManagerはあくまでもWebからシンプルに管理することを目的としているため、Veeam Backup & Replicationのコンソールでしか設定できない項目もあり、要望が多い機能となっています。
これが次期v13ではカスタムロールの作成により、Veeam Backup & Replicationのコンソールでも、ある程度、構成可能になる予定です。今回はこのカスタムロールに関してv13 Beta2で実施に構成してみて、どのようなことが可能なのか確認していきます。
※リリース前の検証であり、本記事で紹介している手順や機能、仕様はリリースに伴い変更される可能性があることをご了承ください。
実際にカスタムロールを作成してみます。まず、カスタムロールは、WindowsのVeeam Backup & Replicationのコンソールでの操作を制御しており、新しく追加されたWeb UIでは構成できませんでした。そのため、WindowsのVeeam Backup & ReplicationのコンソールでVeeam Backup Administratorのロールを持つユーザでログインし、左上メニューからUsers and Rolesを開きます。
新たにRoleタブが追加されており、ここで、Addからカスタムロールを作成できます。またロールの複製等も可能なようですが、あくまでもカスタムロールに対してのみで、事前構成されているロールに関しては、編集や複製、削除は行えませんでした。
そしてAddからウィザードを起動すると、まずロール名と説明を指定し、Global permissionで主にどのような操作を担当するかチェックします。※少なくともいずれかにチェックが必要です。
- Backup operator:指定されたデータソースのバックアップとバックアップコピージョブを指定されたリポジトリに対して構成可能です。これを有効にするとData Source ScopeとRepository Scopeステップが追加されます。
- Restore operator:指定されたスコープのオブジェクトに対する指定されたリストア操作を実施可能です。これを有効にするとRestore Permissionsステップが追加されます。
この時点で分かるようにカスタムロールは既に特定の操作に関してのみ権限が絞りこまれています。バックアップインフラストラクチャの構成やレプリケーションジョブ、テープなどの構成は変わらず、Veeam Backup Administratorロールを割り当てたユーザで実施する必要があるようです。
それでは引き続き構成していきます。Data Source Scopeステップにて、バックアップのソースに使用できるVMを選択します。Entire infrastructureですべての対象にすることも、Only selected data sourcesで個別に指定することもできます。
仮想環境を登録する際には、VM個別に追加することもリソースグループやフォルダ、データストア、タグで追加することも可能です。
VMだけではなく、ソースとなる非構造化データ(ファイル共有、オブジェクトストレージ)を指定することも、
Agentで保護するマシンを登録することもできます。また既存のジョブを割り当てることも可能です。
今回は下記のようにVM一つとファイル共有をソーススコープに設定します。
Repository Socpeではこのロールが使用できるリポジトリを指定します。容量などのリソースに関しては制限できないようです。
Restore Permissionsではリストアに関する権限を設定します。
Object scopeではリストアに使用できるバックアップを指定します。Entire backup listは全てのバックアップからリストアでき、Only backups created by users of this roleではこのロールを割り当てられたユーザによって作成されたバックアップのみをリストアできるように構成できます。
Backup operatorが無効な場合や、追加でリストア可能なバックアップを割り当てたい場合は、Additionally allow the following backup sourceで個別のバックアップ、インベントリ(プロテクショングループのAgent保護対象マシン)、ジョブを指定して追加できます。
※今回は特に追加なしで設定
Restore optionsでは、使用できるリストア操作が選択できます。All avalable restore optionsで全てのリストアを許可、Only selected restore optionsで特定のリストア操作のみを許可できます。
今回はVM全体のリストアとファイル共有とフォルダのリストアのみを許可しておきます。
Target infrastructureでリストア先をオリジナルのみにするか、別の場所にもリストア可能にするか選択します。別の場所へのリストア(Restore to a defined infrastructure)を許可するとData Target Scopeステップが追加されます。
Data Target ScopeではEntire infrastructureですべて、Same as source data scopeでソースと同環境、Only selected data targetsで指定した環境のみをリストア先とできます。今回は一つのESXiホストとコンピュータをリストア先としてみました。
これで設定は作成です。今回はuser2に、このロールを割り当てています。
このユーザでログインしてみと…
まだ、バックアップ等は取得していないので以下のように特に何も表示されません。またバックアップインフラストラクチャの追加などは実施できないので、HomeとHistoryビューのみが表示されており、一部の権限を与えていない操作もグレーアウトしています。
また権限を与えた範囲であれば下記のようにジョブ作成時に表示されますが、
権限を与えていないものに関してはジョブの作成ウィザードを起動することはできますが、対象をAddから追加しようとしても何も表示されません。
リストア操作に関しても権限がないものはグレーアウトしています。
ただ、禁止している操作までクリックできるようで、例えば、Disk restoreをクリックした後のページであれば全て禁止されてグレーアウトしており実施できないことがわかります。ここまで進まなければ、使用できるのかどうかわからないといった点は不便なので、今後の改善に期待です。
リストア時に参照できるバックアップやリストア先も指定したものだけが選択できるようになっています。
ただ、今回オリジナルの場所はリストア先として設定していませんが、元々の仕様として デフォルトのリストア先はオリジナルの場所なためか、設定を変更しなければ、オリジナルへも上書きでリストアできてしまいます。この部分も今後の改善に含まれるのか気になるところです。
また、非構造化データ(ファイル共有)に関して、バックアップは行えましたが、リストアに関しては下記のようにアクセス拒否のエラーが発生しました。ロール設定でリストア操作やリストア先を全て可などに変更しても発生したため、非構造化データのリストアに関しては、このBeta2では実装しきれていないようです。
このように、まだBeta2ですので、作りこみが甘い部分もあります。
ただ、実装されればバックアップ全体の管理者は保護のための、インフラストラクチャの構成のみを実施し、それぞれのVMやマシンのオーナーや管理者が詳細なジョブ設定を実施、リストアを行うなど委任が容易になりますので、是非とも期待したい機能です。
関連トピックス
- 次期Veeam v13を先取り検証:OVAでのインストール編[Veeam Backup & Replication v13 Beta2]
- 次期Veeam v13を先取り検証:バックアップインフラストラクチャのロックダウンモード[Veeam Backup & Replication v13 Beta2]
- Linux系OSのファイルの権限、Owner、Groupを保持したファイルレベルリストア【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- 単一ジョブでも、より柔軟なRPOを!アラームからのクィックバックアップ実行Veeam ONEのアラーム活用① [Veeam Backup & Replication用]
- Veeam Explorer for Storage SnapshotsでのカスタムなEMCスナップショット・スケジュールでの設定方法[Veeam Backup & Replication]
- Microsoft Exchangeサーバーからのアイテム(メールボックス、メール等)リストア[Veeam Backup & Replication]
- Veeam ONE Business Viewでより柔軟にレポートを作成
- Job失敗後のリストア処理について【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- VMimportロールの設定方法:CloudBerry Backup
- カスタムスクリプトでの静止点作成がより簡単に。IBM Lotus Dominoの例【Veeam B&R Ver8新機能予告⑪】
RSSフィードを取得する
