البرنامج التعليمي: حماية موارد جديدة مع Azure Blueprints resource locks

هام

في 11 يوليو 2026، سيتم إهمال المخططات (إصدار أولي). قم بترحيل تعريفات المخطط الحالي وتعييناته إلى مواصفات القالبومكدسات التوزيع. سيتم تحويل البيانات الاصطناعية للمخطط إلى قوالب ARM JSON أو ملفات Bicep المستخدمة لتعريف مكدسات التوزيع. لمعرفة كيفية تأليف أداة كمورد ARM، راجع:

• النهج
• RBAC
• عمليات النشر

مع ⁧⁩resource locks⁧⁩Azure Blueprints، يمكنك حماية الموارد المنشورة حديثًا من العبث بها، حتى من خلال حساب مع دور ⁧⁩المالك⁩. يمكنك إضافة هذه الحماية في تعريفات المخطط للموارد التي تم إنشاؤها بواسطة أداة قالب Azure Resource Manager (قالب ARM). يتم تعيين Blueprint resource lock في أثناء تعيين المخطط.

في هذا البرنامج التعليمي ستكمل هذه الخطوات:

• قم إنشاء تعريف مخطط
• قم بوضع علامة على تعريف مخطط الخاص بك ⁧⁩كمنشور⁧⁩
• قم بتعيين تعريف مخطط الخاص بك إلى اشتراك موجود (⁧⁩تعيين تأمين الموارد⁧⁩)
• قم بفحص مجموعة الموارد الجديدة
• قم بإلغاء تعيين المخطط لإزالة الأقفال

المتطلبات الأساسية

إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.

قم إنشاء تعريف مخطط

أولاً، قم بإنشاء تعريف المخطط.

1. حدد ⁧⁩All services⁩ في الجزء الأيسر. ابحث عن ⁧⁩Blueprints⁧⁩ وحددها.

2. في صفحة ⁧⁩Getting started⁧⁩ على اليسار، اختر ⁧⁩Create⁧⁩ ضمن ⁧⁩Create a blueprint⁧⁩.

3. ابحث عن عينة ⁧⁩مخطط Blank Blueprint⁧⁩ في أعلى الصفحة. اختر ⁧⁩Start with blank blueprint⁧⁩.

4. أدخل هذه المعلومات في علامة تبويب ⁧⁩Basics⁩:

   • ⁧⁩Blueprint name⁧⁩: أدخل اسمًا لنسختك من نموذج المخطط. لهذا البرنامج التعليمي، سوف نستخدم اسم ⁧⁩locked-storageaccount⁧⁩.
   • ⁧⁩وصف المخطط⁧⁩: أضف وصفًا لتعريف المخطط. استخدم ⁧⁩لاختبار تأمين موارد المخطط على الموارد المنشورة⁧⁩.
   • ⁧⁩موقع التعريف⁧⁩: حدد زر الحذف (...) ثم حدد مجموعة الإدارة أو الاشتراك لحفظ تعريف المخطط الخاص بك.

5. حدد علامة التبويب ⁧⁩Artifacts⁧⁩ في أعلى الصفحة، أو حدد ⁧⁩Next: Artifacts⁧⁩ في أسفل الصفحة.

6. قم بإضافة مجموعة موارد على مستوى الاشتراك:

   1. حدد صف "⁧⁩ Add artifact⁧⁩" ضمن "⁧⁩Subscription⁧⁩".
   2. حدد "⁧⁩Resource group⁧⁩" لـ "⁧⁩Artifact type⁧⁩".
   3. تعيين ⁧⁩اسم العرض Artifact⁧⁩ إلى ⁧⁩RGtoLock⁧⁩.
   4. اترك المربعين ⁧⁩Resource Group Name⁧⁩⁧⁩و Location⁧⁩ فارغين، ولكن تأكد من تحديد خانة الاختيار في كل خاصية لجعلها ⁧⁩معلمات ديناميكية⁩.
   5. حدد ⁧⁩إضافة⁧⁩ لإضافة الأداه إلى المخطط.

7. إضافة قالب ضمن مجموعة الموارد:

   1. حدد صف ⁧⁩ Add artifact⁧⁩ ضمن إدخال ⁧⁩RGtoLock⁧⁩.

   2. حدد "⁧⁩Azure Resource Manager template⁧⁩" لـ "⁧⁩Artifact type⁧⁩"، وعيّن "⁧⁩Artifact display name⁧⁩" إلى "⁧⁩StorageAccount⁧⁩"، واترك "⁧⁩Description⁧⁩" فارغًا.

   3. في علامة التبويب ⁧⁩Template،⁧⁩ قم بلصق قالب ARM التالي في مربع المحرر. بعد لصق في القالب، حدد ⁧⁩Add⁧⁩ لإضافة الأداة لى المخطط.

      ملاحظة

      تعرف هذه الخطوة الموارد التي سيتم نشرها والتي يتم تأمينها بواسطةBlueprint resource lock، ولكنها لا تتضمن Blueprint resource lock. يتم تعيين Blueprint resource lock كمعلمة لمهمة المخطط.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "storageAccountType": {
               "type": "string",
               "defaultValue": "Standard_LRS",
               "allowedValues": [
                   "Standard_LRS",
                   "Standard_GRS",
                   "Standard_ZRS",
                   "Premium_LRS"
               ],
               "metadata": {
                   "description": "Storage Account type"
               }
           }
       },
       "variables": {
           "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
       },
       "resources": [{
           "type": "Microsoft.Storage/storageAccounts",
           "name": "[variables('storageAccountName')]",
           "location": "[resourceGroup().location]",
           "apiVersion": "2018-07-01",
           "sku": {
               "name": "[parameters('storageAccountType')]"
           },
           "kind": "StorageV2",
           "properties": {}
       }],
       "outputs": {
           "storageAccountName": {
               "type": "string",
               "value": "[variables('storageAccountName')]"
           }
       }
   }
   

8. حدد "⁧⁩Save Draft⁧⁩" من أسفل الصفحة.

تقوم هذه الخطوة بإنشاء تعريف المخطط في مجموعة الإدارة المحددة أو الاشتراك.

بعد ظهور إشعار المدخل ⁧⁩بنجاح تعريف مخطط الحفظ،⁧⁩ انتقل إلى الخطوة التالية.

نشر تعريف المخطط

تم الآن إنشاء تعريف المخطط في بيئتك. تم إنشاؤه في وضع ⁧⁩Draft⁧⁩ ويجب نشره قبل أن يمكن تعيينه ونشره.

1. حدد ⁧⁩All services⁩ في الجزء الأيسر. ابحث عن ⁧⁩Blueprints⁧⁩ وحددها.

2. حدد صفحة تعريفات المخطط على اليسار. استخدم عوامل التصفية للعثور على تعريف مخطط ⁧⁩التخزين المؤمن،⁧⁩ ثم حدده.

3. حدد نشر المخطط في أعلى الصفحة. في الجزء الجديد على اليمين، أدخل ⁧⁩1.0⁧⁩ كـ ⁧⁩الإصدار⁧⁩. هذه الخاصية مفيدة إذا قمت بإجراء تغيير لاحقًا. أدخل ⁧⁩Change notes⁧⁩، مثل الإصدار الأول المنشور لتأمين موارد المخطط ⁧⁩المنشورة⁧⁩. ثم حدد ⁧⁩Publish⁩ في أسفل الصفحة.

هذه الخطوة تجعل من الممكن تعيين المخطط إلى اشتراك. بعد نشر تعريف المخطط، لا يزال بإمكانك إجراء تغييرات. إذا قمت بإجراء تغييرات، تحتاج إلى نشر التعريف بقيمة إصدار جديد لتعقب الاختلافات بين إصدارات تعريف المخطط نفسه.

بعد ظهور ⁧⁩تعريف مخطط النشر بنجاح،⁧⁩ انتقل إلى الخطوة التالية.

قم بتعيين تعريف المخطط

بعد نشر تعريف المخطط، يمكنك تعيينه لاشتراك ضمن مجموعة الإدارة حيث قمت بحفظه. في هذه الخطوة، يمكنك توفير معلمات لجعل كل نشر تعريف المخطط فريدة من نوعها.

1. حدد ⁧⁩All services⁩ في الجزء الأيسر. ابحث عن ⁧⁩Blueprints⁧⁩ وحددها.

2. حدد صفحة تعريفات المخطط على اليسار. استخدم عوامل التصفية للعثور على تعريف مخطط ⁧⁩التخزين المؤمن،⁧⁩ ثم حدده.

3. حدد تعيين مخطط في أعلى صفحة تعريف المخطط.

4. قدّم قيم المعلمات لتعيين المخطط:

   • الأساسيات

     • ⁧⁩الاشتراكات⁧⁩: حدد اشتراكًا واحدًا أو أكثر من الاشتراكات الموجودة في مجموعة الإدارة حيث قمت بحفظ تعريف المخطط. إذا قمت بتحديد أكثر من اشتراك واحد، فسيتم إنشاء تعيين لكل اشتراك، باستخدام المعلمات التي تدخلها.
     • ⁧⁩اسم التعيين⁧⁩: الاسم تم ملؤه مسبقًا استنادًا إلى اسم تعريف المخطط. نريد هذا التعيين لتمثيل تأمين مجموعة الموارد الجديدة، لذا قم بتغيير اسم التعيين إلى ⁧⁩assignment-locked-storageaccount-TestingBPLocks⁧⁩.
     • الموقع: حدد المنطقة التي ترغب في إنشاء الهوية المُدارة بها. تستخدم Azure Blueprints هذه الهوية المدارة لنشر جميع البيانات الاصطناعية في المخطط المعين. لمعرفة المزيد، اطلع على الهويات المُدارة لموارد Azure. بالنسبة إلى هذا البرنامج التعليمي، حدد ⁧⁩US 2⁧⁩.
     • ⁧⁩نسخة تعريف المخطط⁧⁩: حدد الإصدار المنشور ⁧⁩1.0⁧⁩ من تعريف المخطط.

   • ⁧⁩تعيين التأمين⁧⁩

     حدد وضع تأمين المخطط ⁧⁩للقراءة فقط⁩. لمعرفة المزيد من المعلومات، اطلع على تأمين موارد المخططات.

     ملاحظة

     تهيئ هذه الخطوة Blueprint resource lock على الموارد المنشورة حديثًا.

   • ⁧⁩الهوية المُدارة⁧⁩

     قم باستخدم الخيار الافتراضي: ⁧⁩النظام المعين⁧⁩. لمزيد من المعلومات، راجع ⁧⁩الهويات المدارة⁧⁩.

   • معلمات البيانات الاصطناعية

     تم تعريف المعلمات المحددة في هذا القسم على العنصر الذي تم تعريفها تحته. تعد هذه المعلمات ⁧⁩ديناميكية⁧⁩ نظرًا إلى أنه تم تحديدها في أثناء تعيين المخطط. لكل أداة، قم بتعيين قيمة المعلمة إلى ما تشاهده في عمود ⁧⁩Value⁩.

     اسم البيانات الاصطناعية	نوع البيانات الاصطناعية	اسم المعلمة	القيمة	الوصف
     مجموعة موارد RGtoLock	مجموعة الموارد	الاسم	TestingBPLocks	تعريف اسم مجموعة الموارد الجديدة لتطبيق تأمين المخطط عليها.
     مجموعة موارد RGtoLock	مجموعة الموارد	‏‏الموقع	منطقة غرب الولايات المتحدة الأمريكية 2	تحديد موقع مجموعة الموارد الجديدة لتطبيق تأمين المخطط عليها.
     StorageAccount	قالب إدارة الموارد	storageAccountType (StorageAccount)	Standard_GRS	SKU تخزين. القيمة الافتراضية ⁧⁩هي Standard_LRS⁧⁩.

5. بعد إدخال جميع المعلمات، حدد تعيين في أسفل الصفحة.

تنشر هذه الخطوة الموارد المعرفة وتهيئ ⁧⁩تعيين تأمين⁧⁩المحدد. قد يستغرق الأمر ما يصل إلى 30 دقيقة لتطبيق تأمين المخطط.

بعد ظهور إشعار المدخل ⁧⁩بنجاح تعيين تعريف المخطط،⁧⁩ انتقل إلى الخطوة التالية.

فحص الموارد التي تم توزيعها بواسطة التعيين

يقوم التعيين بإنشاء مجموعة الموارد ⁧⁩TestingBPLocks⁧⁩ وحساب التخزين الذي تم نشره بواسطة مجموعة القالب ARM. يتم عرض مجموعة الموارد الجديدة وحالة التأمين المحددة في صفحة تفاصيل التعيين.

1. حدد ⁧⁩All services⁩ في الجزء الأيسر. ابحث عن ⁧⁩Blueprints⁧⁩ وحددها.

2. حدد "⁧⁩Assigned blueprints⁧⁩" من على يسار الصفحة. استخدم عوامل التصفية للعثور على تعيين مخطط ⁧⁩assignment-locked-storageaccount-TestingBPLocks⁧⁩ ثم حدده.

   من هذه الصفحة، يمكننا أن نرى أن المهمة نجحت وأن الموارد تم نشرها مع حالة تأمين مخطط جديد. إذا تم تحديث التعيين، تعرض القائمة المنسدلة ⁧⁩لعملية التعيين⁧⁩ تفاصيل حول نشر كل إصدار تعريف. يمكنك تحديد مجموعة الموارد لفتح صفحة الخصائص.

3. حدد مجموعة موارد ⁧⁩TestingBPLocks⁩.

4. حدد صفحة ⁧⁩التحكم بالوصول (IAM)⁧⁩ على اليسار. ثم حدد علامة تبويب ⁧⁩Role assignments⁧⁩.

   هنا نرى أن تعيين مخطط ⁧⁩assignment-locked-storageaccount-TestingBPLocks⁧⁩ له دور ⁧⁩Owner⁧⁩. هذا الدور له لأنه تم استخدام هذا الدور لنشر مجموعة الموارد وتأمينها.

5. حدد علامة تبويب ⁧⁩Deny assignments⁧⁩.

   قام تعيين مخطط بإنشاء⁧⁩رفض التعيين ⁧⁩ في مجموعة الموارد المنشورة لفرض وضع تأمين مخطط ⁧⁩القراءة فقط⁩. يمنع رفض التعيين أي فرد لديه حقوق مناسبة في علامة تبويب تعيينات الدور من اتخاذ إجراءات ⁧⁩محددة⁩. يؤثر رفض التعيين على ⁧⁩جميع الأصول⁧⁩.

   للحصول على معلومات حول استبعاد أصل من تعيين رفض، راجع ⁧⁩تأمين موارد المخططات⁧⁩.

6. حدد رفض التعيين، ثم حدد صفحة ⁧⁩الأذونات المرفوضة⁧⁩ على اليسار.

   يمنع تعيين الرفض كافة العمليات مع تكوين * والإجراء ولكنه يسمح الوصول للقراءة عن طريق استبعاد */read عبر NotActions.

7. من خلال Azure portal breadcrumb، حدد ⁧⁩TestingBPLocks - Access control (IAM)⁧⁩. ثم حدد صفحة ⁧⁩نظرة عامة⁧⁩ على اليسار ثم زر ⁧⁩حذف مجموعة الموارد⁧⁩. أدخل اسم ⁧⁩TestingBPLocks⁧⁩ لتأكيد الحذف ثم حدد ⁧⁩حذف⁧⁩ في الجزء السفلي من الجزء.

   يظهر إشعار المدخل ⁧⁩Delete resource group TestingBPLocks failed⁧⁩. يوضح الخطأ أنه على الرغم من أن الحساب لديه الإذن بحذف مجموعة الموارد، فإن تعيين المخطط يرفض الوصول. تذكر أننا اخترنا وضع تأمين المخطط ⁧⁩للقراءة فقط⁧⁩ في أثناء تعيينه. يمنع تأمين المخطط الحساب المرخص، حتى لو كان ⁧⁩المالك⁧⁩، من حذف المورد. للحصول على مزيدٍ من المعلومات، راجع ⁧⁩تأمين موارد المخططات⁧⁩.

تظهر هذه الخطوات أن مواردنا المنشورة محمية الآن بتأمينات المخططات التي تمنع الحذف غير المرغوب فيه، حتى من حساب لديه إذن بحذف الموارد.

إلغاء تعيين المخطط

الخطوة الأخيرة هي إزالة تعيين تعريف المخطط. لا تؤدي إزالة التعيين إلى إزالة العناصر الملموسة المقترنة.

1. حدد ⁧⁩All services⁩ في الجزء الأيسر. ابحث عن ⁧⁩Blueprints⁧⁩ وحددها.

2. حدد "⁧⁩Assigned blueprints⁧⁩" من على يسار الصفحة. استخدم عوامل التصفية للعثور على تعيين مخطط ⁧⁩assignment-locked-storageaccount-TestingBPLocks⁧⁩ ثم حدده.

3. حدد⁧⁩Unassign blueprint⁧⁩" في أعلى الصفحة. اقرأ التحذير في مربع الحوار تأكيد، ثم حدد ⁧⁩OK⁧⁩.

   عند إزالة مهمة المخطط، تتم إزالة تأمينات المخطط أيضًا. يمكن مرة أخرى حذف الموارد بواسطة حساب لديه الأذونات المناسبة.

4. حدد ⁧⁩ Resource groups⁧⁩ من قائمة Azure، ثم حدد ⁧⁩ProductionRG⁧⁩.

5. حدد صفحة ⁧⁩Access control (IAM)⁧⁩ على اليسار ثم حدد علامة تبويب ⁧⁩Role assignments⁧⁩.

يظهر أمان مجموعة الموارد أن تعيين المخطط لم يعد له حق وصول ⁧⁩Owner⁩.

بعد إزالة ⁧⁩مخطط التعيين بنجاح⁧⁩ يظهر إشعار المدخل، انتقل إلى الخطوة التالية.

تنظيف الموارد

عند الانتهاء من هذا البرنامج التعليمي، قم بحذف هذه الموارد:

• مجموعة الموارد ⁧⁩TestingBPLocks⁧⁩
• تعريف المخطط ⁧⁩locked-storageaccount⁧⁩

الخطوات التالية

في هذا البرنامج التعليمي، تعلمت كيفية حماية الموارد الجديدة المنشورة باستخدام Azure Blueprints. لمعرفة المزيد حول Azure Blueprints، تابع مقالة دورة حياة المخطط.

تعرف على دورة حياة المخطط