Kurz: Ochrana nových prostředků pomocí Azure Blueprints prostředků
Díky Azure Blueprints prostředkůmůžete chránit nově nasazené prostředky před manipulací, a to i účtem s rolí Vlastník. Tuto ochranu můžete přidat do definic podrobných plánů prostředků vytvořených artefaktem šablony Azure Resource Manager (šablony ARM). Zámek prostředku podrobného plánu se nastaví během přiřazení podrobného plánu.
V tomto kurzu dokončíte tyto kroky:
- Vytvoření definice podrobného plánu
- Označení definice podrobného plánu jako publikované
- Přiřazení definice podrobného plánu k existujícímu předplatnému (nastavení zámků prostředků)
- Kontrola nové skupiny prostředků
- Zrušení přiřazení podrobného plánu k odebrání zámků
Požadavky
Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.
Vytvoření definice podrobného plánu
Nejprve vytvořte definici podrobného plánu.
V levém podokně vyberte Všechny služby. Vyhledejte a vyberte Podrobné plány.
Na stránce Začínáme na levé straně v části Vytvořit podrobný plán vyberte Vytvořit.
V horní části stránky vyhledejte ukázku podrobného plánu Prázdný podrobný plán. Vyberte Začít s prázdným podrobným plánem.
Na kartě Základy zadejte tyto informace:
- Název podrobného plánu: Zadejte název kopie ukázky podrobného plánu. Pro tento kurz použijeme název locked-storageaccount.
- Popis podrobného plánu: Přidejte popis definice podrobného plánu. Pro testování zamykání prostředků podrobného plánu u nasazených prostředků použijte.
- Umístění definice: Vyberte tlačítko se třemi tečkami (...) a pak vyberte skupinu pro správu nebo předplatné, do které chcete definici podrobného plánu uložit.
Vyberte Artifacts v horní části stránky nebo vyberte Další: Artifacts v dolní části stránky.
Přidejte skupinu prostředků na úrovni předplatného:
- V části Předplatné vyberte řádek Přidat artefakt.
- V části Artifact type (Typ artefaktu) vyberte Resource Group (Skupina prostředků).
- Zobrazovaný název artefaktu nastavte na RGtoLock.
- Pole Název skupiny prostředků a Umístění ponechte prázdná, ale ujistěte se, že je u každé vlastnosti zaškrtnuté políčko, aby z nich bylo dynamické parametry.
- Vyberte Přidat a přidejte artefakt do podrobného plánu.
Přidejte šablonu do skupiny prostředků:
Vyberte řádek Přidat artefakt pod položkou RGtoLock.
V Azure Resource Manager Artifact type (Typ artefaktu), nastavte Artifact display name (Zobrazovaný název artefaktu) na StorageAccount(Účet úložiště) a nechejte pole Description (Popis) prázdné.
Na kartě Šablona vložte do pole editoru následující šablonu ARM. Po vložení šablony vyberte Přidat a přidejte artefakt do podrobného plánu.
Poznámka
Tento krok definuje prostředky, které se mají nasadit a které se uzamknou zámkem prostředku podrobného plánu, ale nezahrnují zámky prostředků podrobného plánu. Zámky prostředků podrobného plánu se nastaví jako parametr přiřazení podrobného plánu.
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "storageAccountType": { "type": "string", "defaultValue": "Standard_LRS", "allowedValues": [ "Standard_LRS", "Standard_GRS", "Standard_ZRS", "Premium_LRS" ], "metadata": { "description": "Storage Account type" } } }, "variables": { "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]" }, "resources": [{ "type": "Microsoft.Storage/storageAccounts", "name": "[variables('storageAccountName')]", "location": "[resourceGroup().location]", "apiVersion": "2018-07-01", "sku": { "name": "[parameters('storageAccountType')]" }, "kind": "StorageV2", "properties": {} }], "outputs": { "storageAccountName": { "type": "string", "value": "[variables('storageAccountName')]" } } }V dolní části stránky vyberte Save Draft (Uložit koncept).
Tento krok vytvoří definici podrobného plánu ve vybrané skupině pro správu nebo předplatném.
Jakmile se zobrazí oznámení o úspěšném uložení definice podrobného plánu na portálu, přejděte k dalšímu kroku.
Publikování definice podrobného plánu
Definice podrobného plánu se teď vytvořila ve vašem prostředí. Vytvoří se v režimu konceptu a před přiřazením a nasazením se musí publikovat.
V levém podokně vyberte Všechny služby. Vyhledejte a vyberte Podrobné plány.
Vyberte stránku Definice podrobných plánů vlevo. Pomocí filtrů vyhledejte definici podrobného plánu locked-storageaccount a pak ji vyberte.
Nahoře na stránce vyberte Publikovat podrobný plán. V novém podokně na pravé straně zadejte jako Version (Verze) 1.0. Tato vlastnost je užitečná, pokud později změníte. Zadejte Poznámky ke změně, například První verze publikovaná pro uzamykání nasazených prostředků podrobného plánu. Na konci stránky pak vyberte Publikovat.
Tento krok umožňuje přiřadit podrobný plán k předplatnému. Po publikování definice podrobného plánu můžete provádět změny. Pokud budete provádět změny, budete muset definici publikovat s novou hodnotou verze, abyste sledovali rozdíly mezi verzemi stejné definice podrobného plánu.
Jakmile se zobrazí oznámení o úspěšném dokončení definice podrobného plánu na portálu, přejděte k dalšímu kroku.
Přiřazení definice podrobného plánu
Po publikování definice podrobného plánu ji můžete přiřadit k předplatnému v rámci skupiny pro správu, do které jste ji uložili. V tomto kroku zadáte parametry, které zajistí jedinečnost každého nasazení definice podrobného plánu.
V levém podokně vyberte Všechny služby. Vyhledejte a vyberte Podrobné plány.
Vyberte stránku Definice podrobných plánů vlevo. Pomocí filtrů vyhledejte definici podrobného plánu locked-storageaccount a pak ji vyberte.
V horní části stránky definice podrobného plánu vyberte Přiřadit podrobný plán.
Zadejte hodnoty parametrů pro přiřazení podrobného plánu:
Základy
- Předplatná: Vyberte jedno nebo více předplatných, která jsou ve skupině pro správu, do které jste uložili definici podrobného plánu. Pokud vyberete více než jedno předplatné, vytvoří se přiřazení pro každé předplatné s použitím parametrů, které zadáte.
- Název přiřazení: Název je předem vyplněný na základě názvu definice podrobného plánu. Chceme, aby toto přiřazení představovalo zamykání nové skupiny prostředků, proto změňte název přiřazení na assignment-locked-storageaccount-TestingBPLocks.
- Umístění: Vyberte oblast, ve které chcete vytvořit spravovanou identitu. Azure Blueprints používá tuto spravovanou identitu k nasazení všech artefaktů v přiřazeném podrobném plánu. Další informace najdete v tématu spravované identity pro prostředky Azure. Pro tento kurz vyberte USA – východ 2.
- Verze definice podrobného plánu: Vyberte publikovanou verzi 1.0 definice podrobného plánu.
Přiřazení zámku
Vyberte režim zámku podrobného plánu Jen pro čtení. Další informace naleznete v tématu uzamčení zdrojů plánu.
Poznámka
Tento krok nakonfiguruje zámek prostředku podrobného plánu pro nově nasazené prostředky.
Spravovaná identita
Použijte výchozí možnost: Přiřazeno systémem. Další informace najdete v tématu o spravovaných identitách.
Parametry artefaktů
Parametry definované v této části se vztahují na artefakt, pod kterým jsou definovány. Tyto parametry jsou dynamické parametry, protože jsou definovány během přiřazení podrobného plánu. Pro každý artefakt nastavte hodnotu parametru na hodnotu, kterou vidíte ve sloupci Hodnota.
Název artefaktu Typ artefaktu Název parametru Hodnota Popis Skupina prostředků RGtoLock Skupina prostředků Name TestingBPLocks Definuje název nové skupiny prostředků, na které se použijí zámky podrobného plánu. Skupina prostředků RGtoLock Skupina prostředků Umístění Západní USA 2 Definuje umístění nové skupiny prostředků, na které se použijí zámky podrobného plánu. StorageAccount Šablona Resource Manageru storageAccountType (StorageAccount) Standard_GRS Skladová cena úložiště. Výchozí hodnota je Standard_LRS.
Po zadání všech parametrů vyberte Přiřadit v dolní části stránky.
Tento krok nasadí definované prostředky a nakonfiguruje vybrané přiřazení zámku. Použití zámků podrobného plánu může trvat až 30 minut.
Jakmile se zobrazí oznámení o úspěšném přiřazení definice podrobného plánu na portálu, přejděte k dalšímu kroku.
Kontrola prostředků nasazených přiřazením
Přiřazení vytvoří skupinu prostředků TestingBPLocks a účet úložiště nasazený artefaktem šablony ARM. Nová skupina prostředků a vybraný stav zámku se zobrazí na stránce podrobností přiřazení.
V levém podokně vyberte Všechny služby. Vyhledejte a vyberte Podrobné plány.
Na levé straně vyberte stránku Přiřazené podrobné plány. Pomocí filtrů vyhledejte přiřazení podrobného plánu assignment-locked-storageaccount-TestingBPLocks a pak ho vyberte.
Na této stránce vidíme, že přiřazení bylo úspěšné a že prostředky byly nasazeny s novým stavem zámku podrobného plánu. Pokud se přiřazení aktualizuje, zobrazí se v rozevíracím seznamu Operace přiřazení podrobnosti o nasazení jednotlivých verzí definice. Výběrem skupiny prostředků otevřete stránku vlastností.
Vyberte skupinu prostředků TestingBPLocks.
Na levé straně vyberte stránku Řízení přístupu (IAM). Pak vyberte kartu Přiřazení rolí.
Tady vidíme, že přiřazení podrobného plánu assignment-locked-storageaccount-TestingBPLocks má roli Vlastník. Má tuto roli, protože tato role se použila k nasazení a uzamčení skupiny prostředků.
Vyberte kartu Odepřít přiřazení.
Přiřazení podrobného plánu vytvořilo pro nasazenou skupinu prostředků přiřazení zamítnutí, aby se vynucoval režim zámku podrobného plánu Jen pro čtení. Přiřazení zamítnutí brání tomu, aby někdo s příslušnými právy na kartě Přiřazení rolí mohl provádět konkrétní akce. Přiřazení zamítnutí má vliv na všechny objekty zabezpečení.
Informace o vyloučení objektu zabezpečení z přiřazení zamítnutí najdete v tématu uzamčení prostředků podrobných plánů.
Vyberte přiřazení odepřít a pak vyberte stránku Odepřená oprávnění na levé straně.
Přiřazení zamítnutí brání všem operacím s konfigurací _ a * _ akce, ale umožňuje přístup pro čtení tím, že přes NotActions vyloučí * /read.
V části Azure Portal s popisem cestě vyberte TestováníBPLocks – Řízení přístupu (IAM). Pak vlevo vyberte stránku Přehled a pak tlačítko Odstranit skupinu prostředků. Zadáním názvu TestingBPLocks potvrďte odstranění a pak v dolní části podokna vyberte Odstranit.
Zobrazí se oznámení portálu Odstranit skupinu prostředků TestingBPLocks failed (Odstranění skupiny prostředků TestingBPLocks selhalo). Chyba uvádí, že i když má váš účet oprávnění k odstranění skupiny prostředků, přiřazení podrobného plánu přístup zamítne. Nezapomeňte, že jsme při přiřazení podrobného plánu vybrali režim zámku podrobného plánu Jen pro čtení. Zámek podrobného plánu brání účtu s oprávněním, dokonce i vlastníkovi, v odstranění prostředku. Další informace naleznete v tématu uzamčení zdrojů plánu.
Tyto kroky ukazují, že naše nasazené prostředky jsou teď chráněné zámky podrobného plánu, které brání nežádoucímu odstranění, a to i z účtu, který má oprávnění k odstranění prostředků.
Zrušení přiřazení podrobného plánu
Posledním krokem je odebrání přiřazení definice podrobného plánu. Odebráním přiřazení neodeberete přidružené artefakty.
V levém podokně vyberte Všechny služby. Vyhledejte a vyberte Podrobné plány.
Na levé straně vyberte stránku Přiřazené podrobné plány. Pomocí filtrů vyhledejte přiřazení podrobného plánu assignment-locked-storageaccount-TestingBPLocks a pak ho vyberte.
V horní části stránky vyberte Zrušit přiřazení podrobného plánu. Přečtěte si upozornění v potvrzovacím dialogovém okně a pak vyberte OK.
Po odebrání přiřazení podrobného plánu se odstraní také zámky podrobného plánu. Prostředky může znovu odstranit účet s příslušnými oprávněními.
V nabídce Azure vyberte Skupiny prostředků a pak vyberte TestováníBPLocks.
Na levé straně vyberte stránku Řízení přístupu (IAM) a pak vyberte kartu Přiřazení rolí.
Zabezpečení skupiny prostředků ukazuje, že přiřazení podrobného plánu už nemá přístup vlastníka.
Jakmile se zobrazí oznámení Odebrání přiřazení podrobného plánu na portálu bylo úspěšné, přejděte k dalšímu kroku.
Vyčištění prostředků
Až tento kurz dokončíte, odstraňte tyto prostředky:
- Testování skupiny prostředkůBPLocks
- Definice podrobného plánu locked-storageaccount
Další kroky
V tomto kurzu jste se dozvěděli, jak chránit nové prostředky nasazené pomocí Azure Blueprints. Další informace o Azure Blueprints najdete v článku Životní cyklus podrobného plánu.