Verwenden von Ressourcensperren zum Schützen von Ressourcen

  • 7 Minuten

In einem vor Kurzem geführten Gespräch hat Ihr Vorgesetzter erwähnt, dass es Fälle gegeben habe, in denen kritische Azure-Ressourcen versehentlich gelöscht worden seien. Da in ihrer gesamten Azure-Umgebung Unordnung herrschte, führte die gute Absicht, unnötige Ressourcen zu bereinigen, zum versehentlichen Löschen von Ressourcen, die für andere Systeme wichtig waren. Sie haben von Ressourcensperren in Azure gehört. Sie erwähnen Ihrem Vorgesetzten gegenüber, dass Sie dazu beitragen können, diese Art von Vorfällen in Zukunft zu verhindern. Lassen Sie uns einen Blick darauf werfen, wie Sie Ressourcensperren zur Lösung dieses Problems einsetzen können.

Was sind Ressourcensperren?

Ressourcensperren sind eine Einstellung, die Sie auf alle Ressourcen anwenden können, um Änderungen oder Löschvorgänge zu blockieren. Sie können Ressourcensperren entweder auf Löschen oder Schreibgeschützt festlegen. Löschen erlaubt alle Vorgänge mit der Ressource, verhindert aber, dass sie gelöscht wird. Schreibgeschützt erlaubt nur Lesevorgänge für die Ressource und blockiert jedwede Änderung oder Löschung der Ressource. Sie können Ressourcensperren auf Abonnements, Ressourcengruppen und einzelne Ressourcen anwenden. Ressourcensperren werden geerbt, wenn sie auf höhere Ebenen angewendet werden.

Hinweis

Die Anwendung von Schreibgeschützt kann zu unerwarteten Ergebnissen führen, da einige Vorgänge, bei denen es sich scheinbar um Lesevorgänge handelt, zusätzliche Aktionen erfordern. Das Festlegen der Sperre Schreibgeschützt für ein Speicherkonto hindert beispielsweise alle Benutzer am Auflisten der Schlüssel. Der Vorgang zum Auflisten von Schlüsseln wird über eine POST-Anforderung verarbeitet, da die zurückgegebenen Schlüssel für Schreibvorgänge zur Verfügung stehen.

Wenn eine Ressourcensperre angewendet wurde, müssen Sie zuerst die Sperre aufheben, um diese Aktivität durchzuführen. Indem ein zusätzlicher Schritt eingefügt wird, bevor die Aktion für die Ressource zugelassen wird, werden die Ressourcen vor ungewollten Aktionen geschützt und Ihre Administratoren davor bewahrt, etwas zu tun, was sie vielleicht nicht beabsichtigen. Ressourcensperren gelten unabhängig von RBAC-Berechtigungen. Selbst wenn Sie ein Ressourcenbesitzer sind, müssen Sie die Sperre aufheben, bevor Sie die blockierte Aktivität tatsächlich durchführen können.

Sehen wir uns an, wie eine Ressourcensperre in der Praxis funktioniert.

Erstellen einer Ressourcensperre

Greifen Sie auf Ihre Ressourcengruppe msftlearn-core-infrastructure-rg zurück. Sie verfügen jetzt über zwei virtuelle Netzwerke und ein Speicherkonto darin. Sie betrachten diese Ressourcen als kritische Bestandteile Ihrer Azure-Umgebung und möchten sicherstellen, dass sie nicht versehentlich gelöscht werden. Wenden Sie nun eine Ressourcensperre auf die Ressourcengruppe an, um zu verhindern, dass diese und die darin enthaltenen Ressourcen gelöscht werden.

  1. Navigieren Sie in einem Webbrowser zum Azure-Portal, falls noch nicht geschehen. Geben Sie im Suchfeld auf der oberen Navigationsleiste msftlearn-core-infrastructure-rg ein, und wählen Sie die Ressourcengruppe aus.

  2. Klicken Sie im Menü auf der linken Seite im Abschnitt Einstellungen auf Sperren. Sie sollten sehen, dass die Ressource derzeit keine Sperren aufweist. Fügen Sie nun eine Sperre hinzu.

  3. Wählen Sie + Hinzufügen. Geben Sie der Sperre den Namen BlockDeletion, und wählen Sie Löschen als Sperrentyp aus. Klicken Sie auf OK.

    Screenshot of Azure portal showing a new delete resource lock being configured.

    Sie haben jetzt eine Sperre auf die Ressourcengruppe angewendet, die verhindert, dass die Gruppe gelöscht werden kann. Diese Sperre wird von allen Ressourcen innerhalb der Ressourcengruppe geerbt. Versuchen Sie nun einmal, eines der virtuellen Netzwerke zu löschen, um zu sehen, was passiert.

  4. Wechseln Sie zurück zur Übersicht, und wählen Sie msftlearn-vnet1 aus.

  5. Wählen Sie zuoberst im Bereich Übersicht für msftlearn-vnet1 die Option Löschen aus. Eine Fehlermeldung informiert Sie darüber, dass für die Ressource eine Sperre aktiviert ist, die den Löschvorgang verhindert.

  6. Klicken Sie im Menü auf der linken Seite im Abschnitt Einstellungen auf Sperren. msftlearn-vnet1 weist eine Sperre auf, die von der Ressourcengruppe geerbt wurde.

  7. Kehren Sie zur Ressourcengruppe msftlearn-core-infrastructure-rg zurück, und wechseln Sie zu Sperren. Heben Sie die Sperre auf, um eine Bereinigung zu ermöglichen. Wählen Sie Löschen für die Sperre BlockDeletion aus.

Verwenden von Ressourcensperren in der Praxis

Sie haben erfahren, wie Ressourcensperren vor versehentlichem Löschen schützen können. Zum Löschen des virtuellen Netzwerks mussten Sie die Sperre aufheben. Diese abgestimmte Aktion hilft sicherzustellen, dass Sie wirklich beabsichtigen, die betreffende Ressource zu löschen oder zu ändern.

Verwenden Sie Ressourcensperren, um die Schlüsselelemente von Azure zu schützen, deren Entfernung oder Änderung weitreichende Auswirkungen haben könnte. Einige Beispiele sind ExpressRoute-Leitungen, virtuelle Netzwerke, kritische Datenbanken und Domänencontroller. Bewerten Sie Ihre Ressourcen, und wenden Sie Sperren an den Stellen an, an denen Sie eine zusätzliche Schutzebene gegen unbeabsichtigte Aktionen wünschen.

Bereinigen der Ressourcen

Lassen Sie uns die Ressourcen bereinigen, die wir erstellt haben. Sie müssen die Ressourcengruppe, die Sie erstellt haben, sowie die Richtlinienzuweisung und die Richtliniendefinition löschen.

  1. Öffnen Sie das Azure-Portal in einem Webbrowser.

  2. Geben Sie auf der oberen Navigationsleiste in das Suchfeld msftlearn-core-infrastructure-rg ein und klicken Sie auf die Ressourcengruppe.

  3. Wählen Sie im Bereich Übersicht die Option Ressourcengruppe löschen aus. Geben Sie den Namen der Ressourcengruppe (msftlearn-core-infrastructure-rg) ein, um den Vorgang zu bestätigen, und klicken Sie dann auf Löschen. Wählen Sie erneut Löschen aus, um den Löschvorgang zu bestätigen.

    Hinweis

    Da Sie die zugewiesenen Ressourcen zusammen mit der Ressourcengruppe gelöscht haben, in der sie enthalten waren, sind in der Richtlinie keine Zuweisungen mehr verfügbar. Wenn Sie eine Richtlinie einer Ressource zuweisen, könnten Sie die Zuweisung normalerweise löschen, ohne dass hier auch die zugrunde liegende Ressource entfernt wird. Wählen Sie dazu Zuweisungen aus, klicken Sie auf die Auslassungspunkte ... für Ihre Zuweisung, und klicken Sie auf Zuweisung löschen.

  4. Geben Sie im Suchfeld Richtlinie ein, und wählen Sie den Dienst Richtlinie.

  5. Wählen Sie Definitionen aus, und suchen Sie nach der von Ihnen erstellten Richtlinie: Tag für Ressource erzwingen.

  6. Wählen Sie ... für Ihre Definition aus, und wählen Sie Definition löschen aus. Wählen Sie Ja aus, um den Löschvorgang zu bestätigen.