必要な権限
使用する予定のユーザーアカウントに、次のセクションで説明している権限があることを確認します。
Veeam Backup & Replicationのインストールと使用
Veeam Backup & Replication のインストールと使用に使われるアカウントには、次の権限が必要です。
アカウント | 必要な権限 |
---|---|
セットアップアカウント | 製品インストールに使用されるアカウントには、ターゲットマシンのLocal Administrator権限が必要です。 |
Veeam Backup & Replication コンソール権限 | Veeam Backup & Replication コンソールを初めて開くとき、または累積パッチがバックアップサーバーにインストールされた後に、コンソールがインストールされているマシンのローカル管理者権限を持つアカウントでコンソールを実行する必要があります。その他の場合(ファイルレベルの復元を除く)は、コンソールがインストールされているマシンのUsersグループのメンバーであるアカウントで実行できます。 Microsoft Windows VMのファイルレベルのリストアを実行するには、次の権限と特権が必要です。
ほとんどの環境で、SeBackupPrivilegeとSeRestorePrivilegeはAdministratorsグループに追加されたユーザーアカウントに割り当てられます。詳細については、Microsoftのドキュメントを参照してください。 Protected Users Active Directoryグループのメンバーであるアカウントを使用して、Veeam Backup & Replication コンソール経由でバックアップサーバーにリモートでアクセスすることはできません。詳細については、Microsoftのドキュメントを参照してください。 |
Veeam Backup Serviceアカウント | Veeam Backup Serviceを実行するために使用されるアカウントは、LocalSystemアカウントであるか、バックアップサーバーのLocal Administrator権限が必要です。 |
Microsoft SQL Server | 以下の事例ではMicrosoft SQL権限のさまざまな組み合わせが必要になります。
詳細については、Microsoftのドキュメントを参照してください。 |
データ保護タスク中に仮想化サーバーとホストを使用するために必要な権限は次の通りです。
ロール | 必要な権限 |
---|---|
ソース/ターゲットホスト | ESXiホストのルート権限。 vCenter Serverがバックアップインフラストラクチャに追加された場合、管理権限を持っているアカウントが必要になります。 |
Windows Server | 管理者権限 |
Linuxサーバー | Linuxサーバーを追加するときに指定するアカウントのアクセス許可は、このサーバーに割り当てる予定の役割によって異なります。
|
SMBバックアップリポジトリ | ターゲットフォルダおよび共有の書き込み権限。 |
ゲストOS処理(アプリケーション認識処理、プレスクリプトおよびポストスクリプト、トランザクションログ処理、ゲストファイルのインデックス作成、ファイルの除外)を使用するには、このセクションに記載されている要件に従ってアカウントを構成してください。ゲスト処理の詳細については、「ゲスト処理」を参照してください。
ゲスト処理に使用されるユーザーアカウントには、次の権限が必要です。
- Logon as a batch jobが付与されている
- Deny logon as a batch jobが設定されていない
その他の権限は、バックアップするアプリケーションによって変わります。バックアップ操作に必要な権限については、次の表を参照してください。リストア操作の権限については、『Veeam Explorersユーザーガイド』の「必要な権限」セクションを参照してください。
アプリケーション | 必要な権限 |
---|---|
Microsoft SQL Serverデータをバックアップするには、次のロールが割り当てられてる必要があります。
最小限の権限を提供する必要がある場合には、アカウントに次のロールと権限を割り当てなければなりません。
| |
Microsoft Active Directoryデータをバックアップするには、アカウントがbuilt-in Administratorsグループのメンバーである必要があります。 | |
Microsoft Exchangeデータをバックアップするには、Microsoft Exchangeがインストールされているマシンに対して、アカウントがLocal Administrator権限を持っていることが必要です。 | |
Guest Processingのステップで指定したアカウントは、次のように設定する必要があります。
Oracleデータベースをバックアップするには、[Oracle]タブで指定したアカウントにSYSDBA権限が付与されている必要があります。[Specify Guest Processing Settings]のステップで指定したアカウントがWindowsベースVMのORA_DBAグループおよびLinuxベースVMのOSASM、OSDBA、OINSTALLグループのメンバーである場合は、このようなアカウントを使用できます。または、たとえばSYS OracleアカウントやSYSDBA権限が付与されているその他のOracleアカウントを使用することもできます。 Linuxサーバー上のOracleデータベースのゲスト処理を実行するには、 /tmpディレクトリがexecオプションでマウントされていることを確認してください。そうしないと、アクセス権限の拒否でエラーが発生します。 | |
Microsoft SharePointサーバーをバックアップするには、アカウントにFarm Administratorのロールが割り当てられている必要があります。 Microsoft SharePoint ServerのMicrosoft SQLデータベースをバックアップするには、アカウントにVeeam Explorer for Microsoft SQL Serverと同じ権限が割り当てられている必要があります。 |
ユーザーアカウントを選択する場合は、次の一般要件を考慮してください。
- [ゲストOSファイルのインデックス作成の場合] Windowsベースのワークロードの場合は、管理者権限を持つアカウントを選択してください。Linuxベースのワークロードの場合は、rootユーザーまたはrootに昇格したユーザーのアカウントを選択してください。
- ネットワークレスゲスト処理を使用するには VIX API/vSphere Webサービス、バックアップウィザードのゲスト処理ステップで次のアカウントのいずれかを指定する必要があります。アカウントに、表にリストされている権限もあることを確認してください。
- Windowsユーザーアカウント制御(UAC)が有効になっている場合は、ローカル管理者(MACHINE \ Administrator)またはドメイン管理者(DOMAIN \ Administrator)のアカウントを指定します。
- UACが無効になっている場合は、組み込みのAdministratorsグループのメンバーであるアカウントを指定します。
- LinuxベースのVMの場合、rootアカウントを指定します。
- [VMwareVIXを介したネットワークレスゲスト処理の場合]1000を超えるゲスト処理操作を実行できるようにするには、ゲスト処理に指定したユーザーが少なくとも1回VMにログインしている必要があります。
- Active Directoryアカウントを使用する場合は、必ずDOMAIN\Usernameの形式でアカウントを指定してください。
- ローカルのユーザーアカウントを使用する場合は、必ずUsernameまたはHOST\Usernameの形式でアカウントを指定してください。
- ドメインコントローラサーバーを処理するには、DOMAIN\Administratorsグループのメンバーであるアカウントを使用してください。
- 読み取り専用のドメインコントローラをバックアップするには、委任されたRODC管理者のアカウントで十分です。詳細については、こちらのMicrosoftの記事を参照してください。
- 使用しているアカウントがAmazonのバケットとフォルダにアクセスできることを確認してください。
- The ListAllMyBuckets permission is not required if you specify the bucket name explicitly at the Bucket step of the New Object Repository wizard.
イミュータビリティを無効にしてAmazon S3オブジェクトストレージを使用するために必要な権限は次の通りです。
{{ "s3:ListBucket"、 "s3:GetBucketLocation"、 "s3:GetObject"、 "s3:PutObject"、 "s3:DeleteObject"、 "s3:ListAllMyBuckets", "s3:GetBucketVersioning" } |
イミュータビリティを有効にしてAmazon S3オブジェクトストレージを使用するために必要な権限は次の通りです。イミュータビリティの詳細については、「イミュータビリティ」を参照してください。
{ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:GetBucketVersioning", "s3:GetBucketObjectLockConfiguration"、 "s3:ListBucketVersions"、 "s3:GetObjectVersion"、 "s3:GetObjectRetention"、 "s3:GetObjectLegalHold"、 "s3:PutObjectRetention"、 "s3:PutObjectLegalHold"、 "s3:DeleteObjectVersion" } |
例については、このVeeamナレッジベースの記事を参照してください。権限の詳細については、こちらのAmazonの記事を参照してください。
次のことを考慮してください:New Object Repository ウィザードの Bucket ステップでバケット名を明示的に指定する場合は、storage.buckets.list パーミッションは必要ではありません。
注 |
Owner IAMロールは、Google Cloud Storageの操作に必要な権限を必ずしも付与するわけではありません。 |
Google Cloudオブジェクトストレージの使用に必要な権限は次の通りです。
{ "storage.buckets.get"、 "storage.buckets.list"、 "storage.objects.create"、 "storage.objects.delete"、 "storage.objects.get"、 「storage.objects.list」 } |
Amazon S3 Glacierのアクセス許可は、不変性を有効または無効にしてストレージを使用するかどうかによって異なります。
イミュータビリティを無効にしてAmazon S3 Glacierオブジェクトストレージを使用するために必要な権限は次の通りです。
- VPC、サブネット、およびセキュリティグループを[新規作成]として設定します
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultiPartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:ModifyVpcAttribute", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:DescribeRouteTables", "ec2:DescribeInstances", ], "Resource": "*" } ] } |
- 事前構成されたVPC、サブネット、およびセキュリティグループ
{ "Version": "2012-10-17", "Statement": [{ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultiPartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs", ], "Resource": "*" } ] } |
イミュータビリティを有効にしてAmazon S3オブジェクトストレージを使用するために必要な権限は次の通りです。
- With VPC, subnet and security group set as Create new
{ "Version": "2012-10-17", "Statement": [{ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultiPartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "s3:PutObjectRetention", "s3:GetObjectVersion", "s3:PutObjectLegalHold", "s3:GetObjectRetention", "s3:DeleteObjectVersion" "s3:ListBucketVersions", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:ModifyVpcAttribute", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:DescribeRouteTables", "ec2:DescribeInstances", ], "Resource": "*" } ] } |
- With preconfigured VPC, subnet and security group
{ "Version": "2012-10-17", "Statement": [{ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultiPartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "s3:PutObjectRetention", "s3:GetObjectVersion", "s3:PutObjectLegalHold", "s3:GetObjectRetention", "s3:DeleteObjectVersion" "s3:ListBucketVersions", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs", ], "Resource": "*" } ] } |
Azure Archiveオブジェクトストレージの使用に必要な権限は次の通りです。
{ "properties": { "roleName": "CUSTOM_ROLE_MINIMAL_PERMISSIONS", "description": "CUSTOM_ROLE_MINIMAL_PERMISSIONS", "assignableScopes": [ "/subscriptions/111111-1111-1111-0000-00000000000" ], "permissions": [ { "actions": [ "Microsoft.Authorization/*/read", "Microsoft.Compute/locations/*", "Microsoft.Compute/virtualMachines/*", "Microsoft.Network/locations/*", "Microsoft.Network/networkInterfaces/*", 'Microsoft.Network/networkSecurityGroups/join/action', 'Microsoft.Network/networkSecurityGroups/read', 'Microsoft.Network/networkSecurityGroups/write', 'Microsoft.Network/networkSecurityGroups/delete', 'Microsoft.Network/publicIPAddresses/join/action', 'Microsoft.Network/publicIPAddresses/read', 'Microsoft.Network/publicIPAddresses/write', 'Microsoft.Network/publicIPAddresses/delete', 'Microsoft.Network/virtualNetworks/read', "Microsoft.Network/virtualNetworks/write", 'Microsoft.Network/virtualNetworks/subnets/join/action', 'Microsoft.Storage/storageAccounts/listkeys/action', 'Microsoft.Storage/storageAccounts/read', "Microsoft.Resources/deployments/*", 'Microsoft.Resources/subscriptions/resourceGroups/read', 'Microsoft.Resources/checkResourceName/action', 'Microsoft.Resources/subscriptions/resourceGroups/write', "Microsoft.Resources/subscriptions/locations/read" ], "notActions": [], "dataActions": [], "notDataActions": [] } ] } } |
ストレージスナップショットでデータ保護と災害復旧の操作を実行するには、ストレージシステムへの接続に使用するアカウントに必要な権限が付与されていなければなりません。
NetApp Data ONTAP/Lenovo Thinksystem DMの権限
NetApp Data ONTAP/Lenovo Thinksystem DMストレージシステムへの接続に使用するアカウントには、次の権限が必要です。
- login-http-admin
- api-system- *
- api-license-*(api-license-list-info)
- api-volume-*
- api-net- *
- api-options-*
- api-vfiler- *
- api-qtree- *
- api-nfs- *
- api-snapshot-*
- api-lun- *
- api-iscsi- *
- api-feature-*
- api-registry-*
- api-fcp-*
- api-file-*
- api-igroup- *
- api-clone- *
- api-snapvault- *
- api-snapmirror- *
- api-cf-*
- cli-options
- security-api-vfiler
コマンド/ディレクトリ | アクセス/クエリレベル |
---|---|
DEFAULT | readonly |
cluster | readonly |
metrocluster | readonly |
fcp | readonly |
file | readonly |
igroup | all |
iscsi | all |
network | readonly |
node | readonly |
security | readonly |
security login | readonly |
set | readonly |
snapmirror | all |
system | readonly |
version | readonly |
qtree | readonly |
lun | all |
nfs | all |
snapshot | all |
volume | all |
vserver | all |
コマンド/ディレクトリ | アクセス/クエリレベル |
---|---|
DEFAULT | none |
lun | all |
lun igroup | all |
network | readonly |
security | readonly |
security login | readonly |
snapmirror | all |
system | readonly |
version | readonly |
volume | all |
volume file | readonly |
volume qtree | all |
volume snapshot | all |
vserver | all |
vserver fcp | all |
vserver iscsi | all |
vserver nfs | all |
コマンド/ディレクトリ | アクセス/クエリレベル |
---|---|
DEFAULT | readonly |
security | readonly |
security login | readonly |
volume snapshot | all |
vserver | all |
vserver nfs | all |
コマンド/ディレクトリ | アクセス/クエリレベル |
---|---|
DEFAULT | none |
lun | readonly |
network | readonly |
security | readonly |
security login | readonly |
snapmirror | readonly |
version | readonly |
volume | readonly |
volume snapshot | all |
vserver | all |
コマンド/ディレクトリ | アクセス/クエリレベル |
---|---|
cluster | readonly |
lun | all |
metrocluster | readonly |
network | readonly |
システムライセンス | readonly |
system node | readonly |
version | readonly |
volume | all |
volume snapshot | all |
vserver | all |
SVM(Veeam Agent Integration)としてのみ
コマンド/ディレクトリ | アクセス/クエリレベル |
---|---|
lun | all |
network | readonly |
version | readonly |
volume | all |
volume snapshot | all |
vserver | all |
Universal Storage API統合化システムの権限
- Dell EMC PowerMaxの場合、アカウントにStorage AdministratorのRoleを割り当てる必要があります。
- Fujitsu ETERNUSの場合、このアカウントにはSoftwareロールが割り当てられている必要があります。
- Western Digital IntelliFlashの場合、このアカウントにはVeeam管理者ロールが割り当てられている必要があります。
- DataCoreの場合、このアカウントには以下の権限が必要です。
NASバックアップ機能をDellEMCIsilon / PowerScaleと統合するために必要な権限については、NASバックアップサポートセクションの「 DellEMC Isilon/PowerScaleとの統合」を参照してください。
上記のストレージシステム以外の場合、このアカウントには管理者ロールが必要です。
関連トピック
Veeam Backup Enterprise Managerに必要な権限については、『Enterprise Managerユーザーガイド』の「必要な権限」を参照してください。