Ochrana prostředků pomocí zámků prostředků

  • 7 min

Váš nadřízený nedávno v rozhovoru zmínil, že se několikrát stalo, že někdo omylem odstranil důležité prostředky Azure. Vzhledem k tomu, že v prostředí Azure došlo k neorganizaci, dobrými úmysly čištění nepotřebných prostředků způsobily náhodné odstranění prostředků, které jsou důležité pro jiné systémy. Vy jste zaslechli něco o tom, že v Azure existují zámky prostředků. Řeknete nadřízenému, že ty by podle vás mohly podobným incidentům do budoucna pomoct zabránit. Pojďme se podívat, jak se zámky prostředků k vyřešení takového problému používají.

Co jsou zámky prostředků?

Zámky prostředků jsou nastavení, které můžete použít u jakéhokoli prostředku, který zablokuje úpravy nebo odstranění. Zámky prostředků můžete nastavit buď na Odstranit , nebo Jen pro čtení. Odstranění umožní všechny operace s prostředkem, ale zablokuje jeho odstranění. Zámek Jen pro čtení umožní provádět s prostředkem jen aktivity čtení a zablokuje veškeré jeho úpravy nebo odstranění. Zámky prostředků můžete použít na předplatná, skupiny prostředků a na jednotlivé prostředky. Zámky prostředků se dědí při použití na vyšších úrovních.

Poznámka:

Použití jen pro čtení může vést k neočekávaným výsledkům, protože některé operace, které vypadají jako operace čtení, skutečně vyžadují další akce. Například umístění zámku Jen pro čtení na účet úložiště zabrání uživatelům v pořizování výpisů klíčů. Operace výpisu klíčů se zpracovává prostřednictvím požadavku POST, protože vrácené klíče jsou k dispozici pro operace zápisu.

Po použití zámku prostředku je nutné nejprve odebrat zámek, aby bylo možné tuto aktivitu provést. Vložením dalšího kroku před povolením provedení akce u prostředku pomáhá chránit prostředky před neúmyslnými akcemi a pomáhá chránit správce před tím, aby udělali něco, co nemusí dělat. Zámky prostředků platí bez ohledu na přístupová oprávnění na základě rolí. I když jste vlastníkem prostředku, musíte zámek před tím, než skutečně budete moct provádět blokovanou aktivitu, odebrat zámek.

Pojďme se podívat, jak zámek prostředku funguje v akci.

Vytvoření zámku prostředku

Vraťme se k naší skupině prostředků msftvyuka-zakladni-infrastruktura-sp. Teď máte dvě virtuální sítě a účet úložiště. Tyto prostředky považujete za kritické části prostředí Azure a chcete zajistit, aby se omylem neodstranily. Abyste zabránili odstranění skupiny prostředků i v ní obsažených prostředků, použijte ve skupině zámek prostředků.

  1. Ve webovém prohlížeči přejděte na Azure Portal, pokud jste to ještě neudělali. Do vyhledávacího pole v horním navigačním panelu vyhledejte msftvyuka-core-infrastructure-rg a vyberte skupinu prostředků.

  2. Z nabídky vlevo v části Nastavení vyberte Zámky. Měli byste vidět, že prostředek aktuálně nemá žádný zámek. Jeden tedy přidáme.

  3. Vyberte + Přidat. Zámek pojmenujte BlockDeletion a jako Typ zámku vyberte Odstranění. Vyberte OK.

    Screenshot of Azure portal showing a new delete resource lock being configured.

    Teď máte u skupiny prostředků použitý zámek, který skupině brání v odstranění. Tento zámek zdědí také všechny prostředky ve skupině. Zkuste teď odstranit jednu z virtuálních sítí a uvidíte, co se stane.

  4. Vraťte se k přehledu a vyberte msftvyuka-vnet1.

  5. V horní části podokna Přehled pro msftvyuka-vnet1 vyberte Odstranit. Zobrazí se chyba oznamující, že prostředek obsahuje zámek, který brání jeho odstranění.

  6. Z nabídky vlevo v části Nastavení vyberte Zámky. Msftvyuka-vnet1 má zámek zděděný ze skupiny prostředků.

  7. Vraťte se do skupiny prostředků msftlearn-core-infrastructure-rg a přejděte na Zámky. Zámek odeberete, abyste ho mohli vyčistit. Vyberte Odstranit u zámku BlockDeletion .

Praktické použití zámků prostředků

Probrali jsme, jak může zámek ochránit prostředky před nechtěným odstraněním. Pokud chcete odstranit virtuální síť, potřebujete odebrat zámek. Takto strukturovaná akce pomáhá zajistit, že uživatel opravdu zamýšlí daný prostředek odstranit nebo změnit.

Zámky prostředků využijte k ochraně klíčových součástí Azure, jejichž odebrání nebo změna by mohla mít rozsáhlý dopad. K příkladům patří okruhy ExpressRoute a virtuální sítě, důležité databáze a řadiče domény. Vyhodnoťte prostředky a použijte zámky, u kterých chcete mít další vrstvu ochrany před náhodnými akcemi.

Vyčištění prostředků

Prostředky, které jsme vytvořili, je vhodné zase vyčistit. Bude nutné odstranit skupinu prostředků, kterou jste vytvořili, a také definici přiřazení a zásad.

  1. Ve webovém prohlížeči přejděte na web Azure Portal .

  2. Do vyhledávacího pole v horním řádku nabídek vyhledejte msftvyuka-core-infrastructure-rg a vyberte skupinu prostředků.

  3. V podokně Přehled vyberte Odstranit skupinu prostředků. Zadejte název skupiny prostředků msftlearn-core-infrastructure-rg a potvrďte akci a pak vyberte Odstranit. Odstranění potvrďte opětovně výběrem možnosti Odstranit .

    Poznámka:

    Vzhledem k tomu, že jste odstranili přiřazené prostředky obsahující skupinu prostředků, nebudou v této zásadě ponechána žádná přiřazení. Pokud byste přiřadili zásady prostředku, mohli byste tady obvykle přiřazení odstranit, aniž byste odstranili související prostředek. Uděláte to tak, že vyberete Zadání, vyberete tři tečky (...) pro zadání a vyberete Odstranit zadání.

  4. Do vyhledávacího pole vyhledejte Zásady a vyberte službu Policy .

  5. Vyberte Definice a vyhledejte zásadu, kterou jste vytvořili: Vynutit značku pro prostředek.

  6. Vyberte definici ... a vyberte Odstranit definici. Vyberte Ano pro potvrzení odstranění.