Kurz: ochrana nových prostředků pomocí zámků prostředků Azure modrotiskyTutorial: Protect new resources with Azure Blueprints resource locks

Pomocí zámků prostředkůAzure modrotisky můžete chránit nově nasazené prostředky proti poškození, a to i pomocí účtu s rolí vlastníka .With Azure Blueprints resource locks, you can protect newly deployed resources from being tampered with, even by an account with the Owner role. Tuto ochranu můžete přidat v definicích podrobného plánu prostředků vytvořených artefaktem šablony Správce prostředků.You can add this protection in the blueprint definitions of resources created by a Resource Manager template artifact.

V tomto kurzu provedete tyto kroky:In this tutorial, you'll complete these steps:

  • Vytvořit definici podrobného plánuCreate a blueprint definition
  • Označení definice podrobného plánu jako publikovanéMark your blueprint definition as Published
  • Přiřazení definice podrobného plánu k existujícímu předplatnémuAssign your blueprint definition to an existing subscription
  • Kontrola nové skupiny prostředkůInspect the new resource group
  • Zrušení přiřazení podrobného plánu k odebrání zámkůUnassign the blueprint to remove the locks

PožadavkyPrerequisites

K dokončení tohoto kurzu potřebujete předplatné Azure.To complete this tutorial, you need an Azure subscription. Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.If you don't have an Azure subscription, create a free account before you begin.

Vytvořit definici podrobného plánuCreate a blueprint definition

Nejprve vytvořte definici podrobného plánu.First, create the blueprint definition.

  1. V levém podokně vyberte všechny služby .Select All services in the left pane. Vyhledejte a vyberte plány.Search for and select Blueprints.

  2. Na stránce Začínáme na levé straně vyberte vytvořit v části vytvořit podrobný plán.On the Getting started page on the left, select Create under Create a blueprint.

  3. V horní části stránky vyhledejte ukázkový ukázkový podrobný plán.Find the Blank Blueprint blueprint sample at the top of the page. Vyberte možnost začít s prázdným plánem.Select Start with blank blueprint.

  4. Na kartě základy zadejte tyto informace:Enter this information on the Basics tab:

    • Názevpodrobného plánu: zadejte název vaší kopie ukázky podrobného plánu.Blueprint name: Provide a name for your copy of the blueprint sample. V tomto kurzu použijeme název uzamčený-storageaccount.For this tutorial, we'll use the name locked-storageaccount.
    • Popispodrobného plánu: přidejte popis definice podrobného plánu.Blueprint description: Add a description for the blueprint definition. Slouží k testování uzamykání prostředků podrobného plánu u nasazených prostředků.Use For testing blueprint resource locking on deployed resources.
    • Umístění definice: vyberte tlačítko se třemi tečkami (...) a pak vyberte skupinu pro správu nebo předplatné, do které chcete uložit definici podrobného plánu.Definition location: Select the ellipsis button (...) and then select the management group or subscription to save your blueprint definition to.
  5. V horní části stránky vyberte kartu artefakty nebo vyberte Další: artefakty v dolní části stránky.Select the Artifacts tab at the top of the page, or select Next: Artifacts at the bottom of the page.

  6. Přidat skupinu prostředků na úrovni předplatného:Add a resource group at the subscription level:

    1. V části předplatnévyberte řádek Přidat artefakt .Select the Add artifact row under Subscription.
    2. V části Typ artefaktuvyberte Skupina prostředků .Select Resource Group under Artifact type.
    3. Nastavte Zobrazovaný název artefaktu na RGtoLock.Set the Artifact display name to RGtoLock.
    4. Pole název skupiny prostředků a umístění ponechte prázdné, ale ujistěte se, že je zaškrtnuté políčko u každé vlastnosti, aby byly dynamické parametry.Leave the Resource Group Name and Location boxes blank, but make sure the check box is selected on each property to make them dynamic parameters.
    5. Vyberte Přidat a přidejte artefakt do podrobného plánu.Select Add to add the artifact to the blueprint.
  7. Přidejte šablonu do skupiny prostředků:Add a template under the resource group:

    1. V položce RGtoLock vyberte řádek Přidat artefakt .Select the Add artifact row under the RGtoLock entry.
    2. V části Typ artefaktuvyberte šablonu Azure Resource Manager , nastavte Zobrazovaný název artefaktu na StorageAccounta nechejte Popis prázdný.Select Azure Resource Manager template under Artifact type, set Artifact display name to StorageAccount, and leave Description blank.
    3. Na kartě Šablona vložte do pole Editor následující šablonu správce prostředků.On the Template tab, paste the following Resource Manager template into the editor box. Po vložení do šablony vyberte Přidat a přidejte artefakt do podrobného plánu.After you paste in the template, select Add to add the artifact to the blueprint.
    {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
            "storageAccountType": {
                "type": "string",
                "defaultValue": "Standard_LRS",
                "allowedValues": [
                    "Standard_LRS",
                    "Standard_GRS",
                    "Standard_ZRS",
                    "Premium_LRS"
                ],
                "metadata": {
                    "description": "Storage Account type"
                }
            }
        },
        "variables": {
            "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
        },
        "resources": [{
            "type": "Microsoft.Storage/storageAccounts",
            "name": "[variables('storageAccountName')]",
            "location": "[resourceGroup().location]",
            "apiVersion": "2018-07-01",
            "sku": {
                "name": "[parameters('storageAccountType')]"
            },
            "kind": "StorageV2",
            "properties": {}
        }],
        "outputs": {
            "storageAccountName": {
                "type": "string",
                "value": "[variables('storageAccountName')]"
            }
        }
    }
    
  8. V dolní části stránky vyberte Uložit koncept .Select Save Draft at the bottom of the page.

Tento krok vytvoří definici podrobného plánu ve vybrané skupině nebo předplatném pro správu.This step creates the blueprint definition in the selected management group or subscription.

Po úspěšném zobrazení oznámení na portálu pro uložení definice podrobného plánu se dostanete k dalšímu kroku.After the Saving blueprint definition succeeded portal notification appears, go to the next step.

Publikovat definici podrobného plánuPublish the blueprint definition

Ve vašem prostředí se teď vytvořila vaše definice podrobného plánu.Your blueprint definition has now been created in your environment. Je vytvořená v režimu konceptu a musí být publikována před tím, než bude možné ji přiřadit a nasadit.It's created in Draft mode and must be published before it can be assigned and deployed.

  1. V levém podokně vyberte všechny služby .Select All services in the left pane. Vyhledejte a vyberte plány.Search for and select Blueprints.

  2. Na levé straně vyberte stránku definice podrobného plánu.Select the Blueprint definitions page on the left. Pomocí filtrů vyhledejte definici storageaccount podrobného plánu a vyberte ji.Use the filters to find the locked-storageaccount blueprint definition, and then select it.

  3. V horní části stránky vyberte publikovat podrobný plán .Select Publish blueprint at the top of the page. V pravém podokně vpravo zadejte 1,0 jako verzi.In the new pane on the right, enter 1.0 as the Version. Tato vlastnost je užitečná, pokud provedete změnu později.This property is useful if you make a change later. Zadejte poznámky ke změnám, jako je například první verze publikovaná pro uzamykání prostředků nasazených v podrobnémplánu.Enter Change notes, such as First version published for locking blueprint deployed resources. Potom v dolní části stránky vyberte publikovat .Then select Publish at the bottom of the page.

Tento krok umožňuje přiřadit podrobný plán k předplatnému.This step makes it possible to assign the blueprint to a subscription. Po publikování definice podrobného plánu můžete provádět změny.After the blueprint definition is published, you can still make changes. Pokud provedete změny, je nutné publikovat definici s novou hodnotou verze ke sledování rozdílů mezi verzemi stejné definice podrobného plánu.If you make changes, you need to publish the definition with a new version value to track differences between versions of the same blueprint definition.

Po úspěšném zobrazení oznámení na portálu pro definici podrobného plánu publikování přejdete k dalšímu kroku.After the Publishing blueprint definition succeeded portal notification appears, go to the next step.

Přiřadit definici podrobného plánuAssign the blueprint definition

Po publikování definice podrobného plánu ji můžete přiřadit k předplatnému v rámci skupiny pro správu, do které jste ji uložili.After the blueprint definition is published, you can assign it to a subscription within the management group where you saved it. V tomto kroku zadáte parametry, které zajistí, aby každé nasazení definice podrobného plánu bylo jedinečné.In this step, you provide parameters to make each deployment of the blueprint definition unique.

  1. V levém podokně vyberte všechny služby .Select All services in the left pane. Vyhledejte a vyberte plány.Search for and select Blueprints.

  2. Na levé straně vyberte stránku definice podrobného plánu.Select the Blueprint definitions page on the left. Pomocí filtrů vyhledejte definici storageaccount podrobného plánu a vyberte ji.Use the filters to find the locked-storageaccount blueprint definition, and then select it.

  3. V horní části stránky definice podrobného plánu vyberte přiřadit podrobný plán .Select Assign blueprint at the top of the blueprint definition page.

  4. Zadejte hodnoty parametrů pro přiřazení podrobného plánu:Provide the parameter values for the blueprint assignment:

    • ZákladyBasics

      • Předplatná: vyberte jedno nebo více předplatných, které jsou ve skupině pro správu, do které jste uložili definici podrobného plánu.Subscriptions: Select one or more of the subscriptions that are in the management group where you saved your blueprint definition. Pokud vyberete více než jedno předplatné, bude pro každé předplatné vytvořeno přiřazení, a to pomocí zadaných parametrů.If you select more than one subscription, an assignment will be created for each subscription, using the parameters you enter.
      • Název přiřazení: název je předem vyplněný na základě názvu definice podrobného plánu.Assignment name: The name is pre-populated based on the name of the blueprint definition. Chceme, aby toto přiřazení představovalo uzamykání nové skupiny prostředků, proto změňte název přiřazení na přiřazení-Locked-storageaccount-TestingBPLocks.We want this assignment to represent locking the new resource group, so change the assignment name to assignment-locked-storageaccount-TestingBPLocks.
      • Umístění: Vyberte oblast, ve které chcete vytvořit spravovanou identitu.Location: Select a region in which to create the managed identity. Podrobný plán Azure Blueprint používá tuto spravovanou identitu k aplikaci všech artefaktů v přiřazené podrobného plánu.Azure Blueprint uses this managed identity to deploy all artifacts in the assigned blueprint. Další informace najdete v tématu Spravované identity pro zdroje Azure.To learn more, see managed identities for Azure resources. Pro tento kurz vyberte východní USA 2.For this tutorial, select East US 2.
      • Verze definicepodrobného plánu: vyberte publikovanou verzi 1,0 definice podrobného plánu.Blueprint definition version: Select the published version 1.0 of the blueprint definition.
    • Zamknout přiřazeníLock Assignment

      Vyberte režim zámku podrobného plánu.Select the Read Only blueprint lock mode. Další informace naleznete v tématu uzamčení zdrojů plánu.For more information, see blueprints resource locking.

    • Spravovaná identitaManaged Identity

      Použijte výchozí možnost: přiřazený systém.Use the default option: System assigned. Další informace najdete v tématu spravované identity.For more information, see managed identities.

    • Parametry artefaktuArtifact parameters

      Parametry definované v této části se vztahují na artefakt, ve kterém jsou definovány.The parameters defined in this section apply to the artifact under which they're defined. Tyto parametry jsou dynamické parametry , protože jsou definovány během přiřazení podrobného plánu.These parameters are dynamic parameters because they're defined during the assignment of the blueprint. Pro každý artefakt nastavte hodnotu parametru tak, aby se zobrazila ve sloupci hodnota .For each artifact, set the parameter value to what you see in the Value column.

      Název artefaktuArtifact name Typ artefaktuArtifact type Název parametruParameter name HodnotaValue PopisDescription
      Skupina prostředků RGtoLockRGtoLock resource group Skupina prostředkůResource group NázevName TestingBPLocksTestingBPLocks Definuje název nové skupiny prostředků, na kterou se mají použít zámky podrobného plánu.Defines the name of the new resource group to apply blueprint locks to.
      Skupina prostředků RGtoLockRGtoLock resource group Skupina prostředkůResource group UmístěníLocation USA – západ 2West US 2 Definuje umístění nové skupiny prostředků, na kterou se mají použít zámky podrobného plánu.Defines the location of the new resource group to apply blueprint locks to.
      StorageAccountStorageAccount Šablona Resource ManageruResource Manager template storageAccountType (StorageAccount)storageAccountType (StorageAccount) Standard_GRSStandard_GRS SKU úložiště.The storage SKU. Výchozí hodnota je Standard_LRS.The default value is Standard_LRS.
  5. Po zadání všech parametrů vyberte přiřadit v dolní části stránky.After you've entered all parameters, select Assign at the bottom of the page.

Tento krok nasadí definované prostředky a nakonfiguruje vybrané přiřazení zámku.This step deploys the defined resources and configures the selected Lock Assignment. Použít zámky podrobného plánu může trvat až 30 minut.It can take up to 30 minutes to apply blueprint locks.

Až se zobrazí oznámení na portálu přiřazení definice podrobného plánu, přejít k dalšímu kroku.After the Assigning blueprint definition succeeded portal notification appears, go to the next step.

Kontrola prostředků nasazených přiřazenímInspect resources deployed by the assignment

Přiřazením se vytvoří skupina prostředků TestingBPLocks a účet úložiště nasazený artefaktem šablony Správce prostředků.The assignment creates the resource group TestingBPLocks and the storage account deployed by the Resource Manager template artifact. Nová skupina prostředků a vybraný stav uzamčení se zobrazí na stránce Podrobnosti přiřazení.The new resource group and the selected lock state are shown on the assignment details page.

  1. V levém podokně vyberte všechny služby .Select All services in the left pane. Vyhledejte a vyberte plány.Search for and select Blueprints.

  2. Na levé straně vyberte stránku přiřazené plány .Select the Assigned blueprints page on the left. Pomocí filtrů vyhledejte přiřazení podrobného plánu přiřazení storageaccount-TestingBPLocks a pak ho vyberte.Use the filters to find the assignment-locked-storageaccount-TestingBPLocks blueprint assignment, and then select it.

    Na této stránce vidíte, že přiřazení bylo úspěšné a že se prostředky nasadily s novým stavem zámku podrobného plánu.From this page, we can see that the assignment succeeded and that the resources were deployed with the new blueprint lock state. Pokud je přiřazení aktualizováno, rozevírací seznam operace přiřazení zobrazí podrobnosti o nasazení každé verze definice.If the assignment is updated, the Assignment operation drop-down shows details about the deployment of each definition version. Můžete vybrat skupinu prostředků a otevřít stránku vlastností.You can select the resource group to open the property page.

  3. Vyberte skupinu prostředků TestingBPLocks .Select the TestingBPLocks resource group.

  4. Na levé straně vyberte stránku řízení přístupu (IAM) .Select the Access control (IAM) page on the left. Pak vyberte kartu přiřazení rolí .Then select the Role assignments tab.

    Tady vidíte, že přiřazení role vlastníka pro přiřazení storageaccount-Locked-TestingBPLocks má roli Owner .Here we see that the assignment-locked-storageaccount-TestingBPLocks blueprint assignment has the Owner role. Má tuto roli, protože tato role se použila k nasazení a uzamčení skupiny prostředků.It has this role because this role was used to deploy and lock the resource group.

  5. Vyberte kartu Odepřít přiřazení .Select the Deny assignments tab.

    Přiřazení podrobného plánu vytvořilo přiřazení odepřít pro nasazenou skupinu prostředků, aby se vynutil režim zámku podrobného plánu pro čtení .The blueprint assignment created a deny assignment on the deployed resource group to enforce the Read Only blueprint lock mode. Přiřazení zamítnutí brání osobě s odpovídajícími právy na kartě přiřazení rolí v tom, aby převzal konkrétní akce.The deny assignment prevents someone with appropriate rights on the Role assignments tab from taking specific actions. Přiřazení zamítnutí má vliv na všechny objekty zabezpečení.The deny assignment affects All principals.

    Informace o vyloučení objektu zabezpečení z přiřazení zamítnutí najdete v tématu dezamykání prostředků modrotisky.For information about excluding a principal from a deny assignment, see blueprints resource locking.

  6. Vyberte přiřazení odepřít a na levé straně vyberte stránku Zamítnutá oprávnění .Select the deny assignment, and then select the Denied Permissions page on the left.

    Přiřazení zamítnutí brání všem operacím s konfigurací * a Akce , ale umožňuje přístup pro čtení vyloučením */Read prostřednictvím NotActions.The deny assignment is preventing all operations with the * and Action configuration, but it allows read access by excluding */read via NotActions.

  7. V Azure Portal s popisem cesty vyberte TestingBPLocks-Access Control (IAM) .In the Azure portal breadcrumb, select TestingBPLocks - Access control (IAM). Pak na levé straně vyberte stránku Přehled a pak klikněte na tlačítko Odstranit skupinu prostředků .Then select the Overview page on the left and then the Delete resource group button. Zadáním názvu TestingBPLocks potvrďte odstranění a potom v dolní části podokna vyberte Odstranit .Enter the name TestingBPLocks to confirm the delete and then select Delete at the bottom of the pane.

    Zobrazí se dialogové okno Odstranit TestingBPLocks skupinu prostředků oznámení o portálu.The portal notification Delete resource group TestingBPLocks failed appears. Chyba uvádí, že i když má váš účet oprávnění k odstranění skupiny prostředků, přístup je odepřen přiřazením podrobného plánu.The error states that although your account has permission to delete the resource group, access is denied by the blueprint assignment. Mějte na paměti, že při přiřazení podrobného plánu jsme vybrali režim zámku podrobný plán pro čtení .Remember that we selected the Read Only blueprint lock mode during blueprint assignment. Zámek podrobného plánu zabraňuje účtu s oprávněním, dokonce i vlastníkem, z odstranění prostředku.The blueprint lock prevents an account with permission, even Owner, from deleting the resource. Další informace naleznete v tématu uzamčení zdrojů plánu.For more information, see blueprints resource locking.

Tyto kroky ukazují, že naše nasazené prostředky jsou teď chráněné pomocí zámků podrobného plánu, které brání nechtěnému odstranění, a to i z účtu, který má oprávnění k odstranění těchto prostředků.These steps show that our deployed resources are now protected with blueprint locks that prevent unwanted deletion, even from an account that has permission to delete the resources.

Zrušit přiřazení podrobného plánuUnassign the blueprint

Posledním krokem je odebrání přiřazení definice podrobného plánu.The last step is to remove the assignment of the blueprint definition. Odebráním přiřazení nedojde k odebrání přidružených artefaktů.Removing the assignment doesn't remove the associated artifacts.

  1. V levém podokně vyberte všechny služby .Select All services in the left pane. Vyhledejte a vyberte plány.Search for and select Blueprints.

  2. Na levé straně vyberte stránku přiřazené plány .Select the Assigned blueprints page on the left. Pomocí filtrů vyhledejte přiřazení podrobného plánu přiřazení storageaccount-TestingBPLocks a pak ho vyberte.Use the filters to find the assignment-locked-storageaccount-TestingBPLocks blueprint assignment, and then select it.

  3. V horní části stránky vyberte zrušit přiřazení podrobného plánu.Select Unassign blueprint at the top of the page. Přečtěte si upozornění v potvrzovacím dialogovém okně a pak vyberte OK.Read the warning in the confirmation dialog box, and then select OK.

    Když se odebere přiřazení podrobného plánu, odeberou se taky zámky podrobného plánu.When the blueprint assignment is removed, the blueprint locks are also removed. Prostředky můžete znovu odstranit pomocí účtu s příslušnými oprávněními.The resources can once again be deleted by an account with appropriate permissions.

  4. V nabídce Azure vyberte skupiny prostředků a pak vyberte TestingBPLocks.Select Resource groups from the Azure menu, and then select TestingBPLocks.

  5. Na levé straně vyberte stránku řízení přístupu (IAM) a pak vyberte kartu přiřazení rolí .Select the Access control (IAM) page on the left and then select the Role assignments tab.

Zabezpečení skupiny prostředků ukazuje na to, že přiřazení podrobného plánu už nemá přístup vlastníka .The security for the resource group shows that the blueprint assignment no longer has Owner access.

Až se zobrazí oznámení o úspěšném odebrání přiřazení podrobného plánu, pokračujte na další krok.After the Removing blueprint assignment succeeded portal notification appears, go to the next step.

Vyčištění prostředkůClean up resources

Až skončíte s tímto kurzem, odstraňte tyto prostředky:When you're finished with this tutorial, delete these resources:

  • TestingBPLocks skupiny prostředkůResource group TestingBPLocks
  • Definice podrobného plánu je zamčená – storageaccountBlueprint definition locked-storageaccount

Další krokyNext steps