Tutorial: Protección de los nuevos recursos con bloqueos de recursos de Azure BlueprintsTutorial: Protect new resources with Azure Blueprints resource locks

Con los bloqueos de recursos de Azure Blueprints puede proteger los recursos recién implementados para que no sea puedan alterar, ni siquiera por parte de una cuenta con el rol de propietario.With Azure Blueprints resource locks, you can protect newly deployed resources from being tampered with, even by an account with the Owner role. Esta protección se puede agregar a las definiciones de recursos del plano técnico creados por un artefacto de la plantilla de Resource Manager.You can add this protection in the blueprint definitions of resources created by a Resource Manager template artifact.

En este tutorial va a completar estos pasos:In this tutorial, you'll complete these steps:

  • Creación de una definición de plano técnicoCreate a blueprint definition
  • Marcado de la definición del plano técnico como PublicadoMark your blueprint definition as Published
  • Asignación de la definición del plano técnico a una suscripción existenteAssign your blueprint definition to an existing subscription
  • Inspección del nuevo grupo de recursosInspect the new resource group
  • Anulación de la asignación del plano técnico para quitar los bloqueosUnassign the blueprint to remove the locks

Requisitos previosPrerequisites

Para completar este tutorial, necesitará una suscripción de Azure.To complete this tutorial, you need an Azure subscription. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.If you don't have an Azure subscription, create a free account before you begin.

Creación de una definición de plano técnicoCreate a blueprint definition

En primer lugar, cree la definición del plano técnico.First, create the blueprint definition.

  1. Seleccione Todos los servicios en el panel izquierdo.Select All services in the left pane. Busque y seleccione Planos técnicos.Search for and select Blueprints.

  2. En la página Introducción de la izquierda, seleccione Crear en Crear un plano técnico.On the Getting started page on the left, select Create under Create a blueprint.

  3. Busque la muestra de plano técnico Plano técnico en blanco en la parte superior de la página.Find the Blank Blueprint blueprint sample at the top of the page. Seleccione Empezar con un plano técnico en blanco.Select Start with blank blueprint.

  4. Especifique esta información en la pestaña Datos básicos:Enter this information on the Basics tab:

    • Nombre del plano técnico: proporcione un nombre para su copia de la muestra de plano técnico.Blueprint name: Provide a name for your copy of the blueprint sample. Para este tutorial, usaremos el nombre locked-storageaccount.For this tutorial, we'll use the name locked-storageaccount.
    • Descripción del plano técnico: Agregue una descripción para la definición del plano técnico.Blueprint description: Add a description for the blueprint definition. Use For testing blueprint resource locking on deployed resources (Para probar el bloqueo de recursos del plano técnico en los recursos implementados).Use For testing blueprint resource locking on deployed resources.
    • Ubicación de definición: seleccione el botón de puntos suspensivos (...) y luego seleccione la suscripción o grupo de administración donde se va a guardar la definición del plano técnico.Definition location: Select the ellipsis button (...) and then select the management group or subscription to save your blueprint definition to.
  5. Seleccione la pestaña Artefactos en la parte superior de la página o seleccione Siguiente: Artefactos en la parte inferior de la página.Select the Artifacts tab at the top of the page, or select Next: Artifacts at the bottom of the page.

  6. Agregue un grupo de recursos en el nivel de suscripción:Add a resource group at the subscription level:

    1. Seleccione la fila Agregar artefacto en Suscripción.Select the Add artifact row under Subscription.
    2. Seleccione Grupo de recursos en Tipo de artefacto.Select Resource Group under Artifact type.
    3. Establezca el nombre para mostrar el artefacto en RGtoLock.Set the Artifact display name to RGtoLock.
    4. Deje los cuadros Nombre del grupo de recursos y Ubicación en blanco, pero asegúrese de que la casilla esté activada en cada propiedad para hacerlos parámetros dinámicos.Leave the Resource Group Name and Location boxes blank, but make sure the check box is selected on each property to make them dynamic parameters.
    5. Seleccione Agregar para agregar el artefacto al plano técnico.Select Add to add the artifact to the blueprint.
  7. Agregue una plantilla en el grupo de recursos:Add a template under the resource group:

    1. Seleccione la fila Agregar artefacto en la entrada RGtoLock.Select the Add artifact row under the RGtoLock entry.
    2. Seleccione Plantilla de Azure Resource Manager en Tipo de artefacto y en Nombre para mostrar del artefacto seleccione StorageAccount y deje Descripción en blanco.Select Azure Resource Manager template under Artifact type, set Artifact display name to StorageAccount, and leave Description blank.
    3. En la pestaña Plantilla, pegue la siguiente plantilla de Resource Manager en el cuadro del editor.On the Template tab, paste the following Resource Manager template into the editor box. Tras pegar la plantilla, seleccione Agregar para agregar el artefacto al plano técnico.After you paste in the template, select Add to add the artifact to the blueprint.
    {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
            "storageAccountType": {
                "type": "string",
                "defaultValue": "Standard_LRS",
                "allowedValues": [
                    "Standard_LRS",
                    "Standard_GRS",
                    "Standard_ZRS",
                    "Premium_LRS"
                ],
                "metadata": {
                    "description": "Storage Account type"
                }
            }
        },
        "variables": {
            "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
        },
        "resources": [{
            "type": "Microsoft.Storage/storageAccounts",
            "name": "[variables('storageAccountName')]",
            "location": "[resourceGroup().location]",
            "apiVersion": "2018-07-01",
            "sku": {
                "name": "[parameters('storageAccountType')]"
            },
            "kind": "StorageV2",
            "properties": {}
        }],
        "outputs": {
            "storageAccountName": {
                "type": "string",
                "value": "[variables('storageAccountName')]"
            }
        }
    }
    
  8. Seleccione Guardar borrador en la parte inferior de la página.Select Save Draft at the bottom of the page.

En este paso se crea la definición del plano técnico en la suscripción o grupo de administración seleccionados.This step creates the blueprint definition in the selected management group or subscription.

Después de que aparezca la notificación del portal La definición del plano técnico se guardó correctamente, vaya al paso siguiente.After the Saving blueprint definition succeeded portal notification appears, go to the next step.

Publicación de la definición del plano técnicoPublish the blueprint definition

Ahora su definición del plano técnico se ha creado en su entorno.Your blueprint definition has now been created in your environment. Se crea en el modo Borrador y debe publicarse antes de que se pueda asignar e implementar.It's created in Draft mode and must be published before it can be assigned and deployed.

  1. Seleccione Todos los servicios en el panel izquierdo.Select All services in the left pane. Busque y seleccione Planos técnicos.Search for and select Blueprints.

  2. En la parte izquierda, seleccione la página Definiciones del plano técnico.Select the Blueprint definitions page on the left. Use los filtros para buscar la definición del plano técnico locked-storageaccount y, después, selecciónela.Use the filters to find the locked-storageaccount blueprint definition, and then select it.

  3. Seleccione Publicar plano técnico en la parte superior de la página.Select Publish blueprint at the top of the page. En el nuevo panel de la derecha, escriba 1.0 en Versión.In the new pane on the right, enter 1.0 as the Version. Esta propiedad es útil si se realiza algún cambio más adelante.This property is useful if you make a change later. Escriba Notas de cambios, como First version published for locking blueprint deployed resources (Primera versión publicada para bloquear los recursos implementados del plano técnico).Enter Change notes, such as First version published for locking blueprint deployed resources. A continuación, seleccione Publicar en la parte inferior de la página.Then select Publish at the bottom of the page.

Este paso permite la asignación del plano técnico a una suscripción.This step makes it possible to assign the blueprint to a subscription. Aunque se haya publicado la definición del plano técnico, se pueden hacer cambios.After the blueprint definition is published, you can still make changes. Si realiza cambios, es preciso publicar la definición con un valor de versión nuevo para hacer un seguimiento de las diferencias entre las distintas versiones de la misma definición del plano técnico.If you make changes, you need to publish the definition with a new version value to track differences between versions of the same blueprint definition.

Después de que aparezca la notificación del portal La definición del plano técnico se publicó correctamente, vaya al paso siguiente.After the Publishing blueprint definition succeeded portal notification appears, go to the next step.

Asignación de la definición del plano técnicoAssign the blueprint definition

Después de publicar la definición del plano técnico puede asignarla a una suscripción del grupo de administración donde la guardó.After the blueprint definition is published, you can assign it to a subscription within the management group where you saved it. En este paso se proporcionan los parámetros necesarios para hacer que cada implementación de la definición del plano técnico sea única.In this step, you provide parameters to make each deployment of the blueprint definition unique.

  1. Seleccione Todos los servicios en el panel izquierdo.Select All services in the left pane. Busque y seleccione Planos técnicos.Search for and select Blueprints.

  2. En la parte izquierda, seleccione la página Definiciones del plano técnico.Select the Blueprint definitions page on the left. Use los filtros para buscar la definición del plano técnico locked-storageaccount y, después, selecciónela.Use the filters to find the locked-storageaccount blueprint definition, and then select it.

  3. Seleccione Asignar plano técnico en la parte superior de la página de definición del plano técnico.Select Assign blueprint at the top of the blueprint definition page.

  4. Proporcione los valores de parámetro para la asignación de plano técnico:Provide the parameter values for the blueprint assignment:

    • Aspectos básicosBasics

      • Suscripciones: seleccione una o varias de las suscripciones que estén en el grupo de administración en el que se guardó la definición del plano técnico.Subscriptions: Select one or more of the subscriptions that are in the management group where you saved your blueprint definition. Si selecciona varias suscripciones, se creará una asignación para cada una de ellas mediante los parámetros que especifique.If you select more than one subscription, an assignment will be created for each subscription, using the parameters you enter.
      • Nombre de asignación: el nombre se rellena previamente en función del nombre de la definición del plano técnico.Assignment name: The name is pre-populated based on the name of the blueprint definition. Queremos esta asignación para representar el bloqueo del nuevo grupo de recursos, de modo que cambie el nombre de asignación por assignment-locked-storageaccount-TestingBPLocks.We want this assignment to represent locking the new resource group, so change the assignment name to assignment-locked-storageaccount-TestingBPLocks.
      • Ubicación: seleccione la región en la que se crea la identidad administrada.Location: Select a region in which to create the managed identity. Azure Blueprint usa esta identidad administrada para implementar todos los artefactos del plano técnico asignado.Azure Blueprint uses this managed identity to deploy all artifacts in the assigned blueprint. Para más información, consulte Identidades administradas para recursos de Azure.To learn more, see managed identities for Azure resources. Para este tutorial, seleccione Este de EE. UU. 2.For this tutorial, select East US 2.
      • Versión de definición de Blueprint: seleccione la versión publicada, 1.0, de la definición del plano técnico.Blueprint definition version: Select the published version 1.0 of the blueprint definition.
    • Asignación de bloqueoLock Assignment

      Seleccione el modo de bloqueo de plano técnico Solo lectura.Select the Read Only blueprint lock mode. Para más información, consulte Bloqueo de recursos en planos técnicos.For more information, see blueprints resource locking.

    • Identidad administradaManaged Identity

      Use la opción predeterminada: Asignado por el sistema.Use the default option: System assigned. Para más información, vea Identidades administradas.For more information, see managed identities.

    • Parámetros de artefactoArtifact parameters

      Los parámetros definidos en esta sección se aplican al artefacto en que se definen.The parameters defined in this section apply to the artifact under which they're defined. Estos son parámetros dinámicos, ya que se definen durante la asignación del plano técnico.These parameters are dynamic parameters because they're defined during the assignment of the blueprint. En cada artefacto, establezca el valor del parámetro en lo que se ve en la columna Valor.For each artifact, set the parameter value to what you see in the Value column.

      Nombre del artefactoArtifact name Tipo de artefactoArtifact type Nombre de parámetroParameter name ValorValue DESCRIPCIÓNDescription
      Grupo de recursos de RGtoLockRGtoLock resource group Resource groupResource group NOMBREName TestingBPLocksTestingBPLocks Define el nombre del nuevo grupo de recursos al que se aplican los bloqueos de plano técnico.Defines the name of the new resource group to apply blueprint locks to.
      Grupo de recursos de RGtoLockRGtoLock resource group Resource groupResource group LocationLocation Oeste de EE. UU. 2West US 2 Define la ubicación del nuevo grupo de recursos al que se aplican los bloqueos de plano técnico.Defines the location of the new resource group to apply blueprint locks to.
      StorageAccountStorageAccount Plantilla de Resource ManagerResource Manager template storageAccountType (StorageAccount)storageAccountType (StorageAccount) Standard_GRSStandard_GRS La SKU de almacenamiento.The storage SKU. El valor predeterminado es Standard_LRS.The default value is Standard_LRS.
  5. Después de que haya especificado todos los parámetros, seleccione Asignar en la parte inferior de la página.After you've entered all parameters, select Assign at the bottom of the page.

Este paso implementa los recursos definidos y configura la asignación de bloqueo seleccionada.This step deploys the defined resources and configures the selected Lock Assignment. Pueden tardar un máximo de 30 minutos en aplicar los bloqueos del plano técnico.It can take up to 30 minutes to apply blueprint locks.

Después de que aparezca la notificación del portal La definición del plano técnico se asignó correctamente, vaya al paso siguiente.After the Assigning blueprint definition succeeded portal notification appears, go to the next step.

Inspección de los recursos implementados por la asignaciónInspect resources deployed by the assignment

La asignación crea el grupo de recursos TestingBPLocks y la cuenta de almacenamiento que ha implementado la plantilla de Resource Manager.The assignment creates the resource group TestingBPLocks and the storage account deployed by the Resource Manager template artifact. El nuevo grupo de recursos y el estado de bloqueo seleccionado se muestran en la página de detalles de asignación.The new resource group and the selected lock state are shown on the assignment details page.

  1. Seleccione Todos los servicios en el panel izquierdo.Select All services in the left pane. Busque y seleccione Planos técnicos.Search for and select Blueprints.

  2. Seleccione la página Planos técnicos asignados de la izquierda.Select the Assigned blueprints page on the left. Use los filtros para buscar la asignación de plano técnico assignment-locked-storageaccount-TestingBPLocks y, después, selecciónela.Use the filters to find the assignment-locked-storageaccount-TestingBPLocks blueprint assignment, and then select it.

    En esta página, se puede ver que la asignación se realizó correctamente y que los recursos se implementaron con el nuevo estado de bloqueo de plano técnico.From this page, we can see that the assignment succeeded and that the resources were deployed with the new blueprint lock state. Si se actualiza la asignación, el menú desplegable Operación de asignación muestra detalles sobre la implementación de cada versión de definición.If the assignment is updated, the Assignment operation drop-down shows details about the deployment of each definition version. Puede seleccionar el grupo de recursos para abrir la página de propiedades.You can select the resource group to open the property page.

  3. Seleccione el grupo de recursos TestingBPLocks.Select the TestingBPLocks resource group.

  4. Seleccione la página Control de acceso (IAM) de la izquierda.Select the Access control (IAM) page on the left. Luego, seleccione la pestaña Asignaciones de roles.Then select the Role assignments tab.

    Aquí vemos que la asignación de plano técnico assignment-locked-storageaccount-TestingBPLocks tiene el rol de propietario.Here we see that the assignment-locked-storageaccount-TestingBPLocks blueprint assignment has the Owner role. Tiene este rol porque este rol se usó para implementar y bloquear el grupo de recursos.It has this role because this role was used to deploy and lock the resource group.

  5. Seleccione la pestaña Asignaciones de denegación.Select the Deny assignments tab.

    La asignación de plano técnico creó una asignación de denegación en el grupo de recursos implementados para forzar el modo de bloqueo de plano técnico Solo lectura.The blueprint assignment created a deny assignment on the deployed resource group to enforce the Read Only blueprint lock mode. La asignación de denegación evita que alguien con los derechos adecuados en la pestaña Asignaciones de roles tome medidas específicas.The deny assignment prevents someone with appropriate rights on the Role assignments tab from taking specific actions. La asignación de denegación afecta a Todas las entidades de seguridad.The deny assignment affects All principals.

    Para información acerca de cómo excluir una entidad de seguridad de una asignación de denegación, consulte cómo bloquear los recursos de planos técnicos.For information about excluding a principal from a deny assignment, see blueprints resource locking.

  6. Seleccione la asignación de denegación y, después, seleccione la página Permisos denegados de la izquierda.Select the deny assignment, and then select the Denied Permissions page on the left.

    La asignación de denegación evita todas las operaciones con la configuración de * y acción, pero permite el acceso de lectura, para lo que excluye */read mediante NotActions.The deny assignment is preventing all operations with the * and Action configuration, but it allows read access by excluding */read via NotActions.

  7. En la ruta de navegación de Azure Portal, seleccione TestingBPLocks - Control de acceso (IAM) .In the Azure portal breadcrumb, select TestingBPLocks - Access control (IAM). A continuación, seleccione la página Información general de la izquierda y, después, el botón Eliminación de un grupo de recursos.Then select the Overview page on the left and then the Delete resource group button. Escriba el nombre TestingBPLocks para confirmar la eliminación y seleccione Eliminar en la parte inferior del panel.Enter the name TestingBPLocks to confirm the delete and then select Delete at the bottom of the pane.

    Aparece la notificación del portal Delete resource group TestingBPLocks failed (Error al eliminar el grupo de recursos TestingBPLocks).The portal notification Delete resource group TestingBPLocks failed appears. El error indica que, aunque la cuenta tiene permiso para eliminar el grupo de recursos, la asignación de plano técnico deniega el acceso.The error states that although your account has permission to delete the resource group, access is denied by the blueprint assignment. Recuerde que seleccionamos el modo de bloqueo de plano técnico Solo lectura durante la asignación de plano técnico.Remember that we selected the Read Only blueprint lock mode during blueprint assignment. El bloqueo de plano técnico impide que una cuenta con permiso, incluso el propietario, elimine el recurso.The blueprint lock prevents an account with permission, even Owner, from deleting the resource. Para más información, consulte Bloqueo de recursos en planos técnicos.For more information, see blueprints resource locking.

En estos pasos se muestra que los recursos implementados ahora están protegidos con bloqueos de plano técnico que evitan la eliminación no deseada, incluso desde una cuenta con permiso para hacerlo.These steps show that our deployed resources are now protected with blueprint locks that prevent unwanted deletion, even from an account that has permission to delete the resources.

Cancelación de la asignación del plano técnicoUnassign the blueprint

El último paso consiste en quitar la asignación de la definición del plano técnico.The last step is to remove the assignment of the blueprint definition. La eliminación de la asignación no quita los artefactos asociados.Removing the assignment doesn't remove the associated artifacts.

  1. Seleccione Todos los servicios en el panel izquierdo.Select All services in the left pane. Busque y seleccione Planos técnicos.Search for and select Blueprints.

  2. Seleccione la página Planos técnicos asignados de la izquierda.Select the Assigned blueprints page on the left. Use los filtros para buscar la asignación de plano técnico assignment-locked-storageaccount-TestingBPLocks y, después, selecciónela.Use the filters to find the assignment-locked-storageaccount-TestingBPLocks blueprint assignment, and then select it.

  3. Seleccione Cancelar la asignación de plano técnico en la parte superior de la página.Select Unassign blueprint at the top of the page. Lea la advertencia en el cuadro de diálogo de confirmación y, después, seleccione Aceptar.Read the warning in the confirmation dialog box, and then select OK.

    Cuando la asignación de plano técnico se quita, también se quitan los bloqueos de plano técnico.When the blueprint assignment is removed, the blueprint locks are also removed. Los recursos pueden eliminarse una vez más por medio de una cuenta con los permisos apropiados.The resources can once again be deleted by an account with appropriate permissions.

  4. Seleccione Grupos de recursos en el menú de Azure y, después, seleccione TestingBPLocks.Select Resource groups from the Azure menu, and then select TestingBPLocks.

  5. Seleccione la página Control de acceso (IAM) de la izquierda y, después, seleccione la pestaña Asignaciones de roles.Select the Access control (IAM) page on the left and then select the Role assignments tab.

La seguridad para el grupo de recursos muestra que la asignación de plano técnico ya no tiene acceso de propietario.The security for the resource group shows that the blueprint assignment no longer has Owner access.

Después de que aparezca la notificación del portal La eliminación de la asignación del plano técnico se realizó correctamente, vaya al paso siguiente.After the Removing blueprint assignment succeeded portal notification appears, go to the next step.

Limpieza de recursosClean up resources

Cuando finalice el tutorial, elimine estos recursos:When you're finished with this tutorial, delete these resources:

  • Grupo de recursos TestingBPLocksResource group TestingBPLocks
  • Definición del plano técnico locked-storageaccountBlueprint definition locked-storageaccount

Pasos siguientesNext steps