Uso de bloqueos de recursos para proteger los recursos
En una conversación reciente, el administrador ha mencionado que ha habido casos en los que se han eliminado recursos críticos de Azure por error. Debido a la desorganización en el entorno de Azure, las buenas intenciones de limpiar los recursos innecesarios provocaron la eliminación accidental de recursos críticos para otros sistemas. Ha oído hablar de los bloqueos de recursos en Azure. Le menciona al administrador que cree que puede ayudar a evitar este tipo de incidente en el futuro. Veamos cómo se podrían usar los bloqueos de recursos para solucionar este problema.
¿Qué son los bloqueos de recursos?
Los bloqueos de recursos son una configuración que puede aplicar a cualquier recurso para bloquear la modificación o eliminación. Puede establecer bloqueos de recursos en Eliminar o en Solo lectura. Eliminar permite todas las operaciones en el recurso, pero bloquea la posibilidad de eliminarlo. Solo lectura únicamente permite actividades de lectura en él y bloquea cualquier modificación o eliminación del recurso. Puede aplicar bloqueos de recursos a suscripciones, grupos de recursos y recursos individuales. Los bloqueos de recursos se heredan cuando se aplican en niveles superiores.
Nota:
La aplicación de Solo lectura puede dar lugar a resultados inesperados, ya que algunas operaciones que parecen operaciones de lectura en realidad requieren acciones adicionales. Por ejemplo, al colocar un bloqueo de Solo lectura en una cuenta de almacenamiento, se evita que todos los usuarios muestren las claves. La operación de lista de claves se controla mediante una solicitud POST, ya que las claves devueltas están disponibles para las operaciones de escritura.
Cuando se ha aplicado un bloqueo de recursos, primero se debe quitar el bloqueo para realizar esa actividad. Al agregar un paso adicional antes de permitir que la acción se realice en el recurso, los recursos se protegen de acciones involuntarias y ayuda a impedir que los administradores hagan algo que probablemente no tienen pensado hacer. Los bloqueos de recursos se aplican con independencia de los permisos RBAC. Incluso si es el propietario del recurso, tendrá que quitar el bloqueo antes de poder realizar la actividad bloqueada.
Veamos cómo funciona un bloqueo de recurso en acción.
Creación de un bloqueo de recursos
Recordará el grupo de recursos msftlearn-core-infrastructure-rg. Ahora tiene dos redes virtuales y una cuenta de almacenamiento. Considera que estos recursos son elementos esenciales del entorno de Azure y quiere asegurarse de que no se eliminen por error. Para impedir que se elimine el grupo y los recursos que contiene, aplique un bloqueo de recursos al grupo de recursos.
En un explorador web, vaya a Azure Portal, si todavía no lo ha hecho. En el cuadro de búsqueda de la barra de navegación superior, busque msftlearn-core-infrastructure-rg y seleccione el grupo de recursos.
En el menú de la izquierda, en la sección Configuración, haga clic en Bloqueos. Debería ver que actualmente el recurso no tiene ningún bloqueo. Agregará uno.
Seleccione +Agregar. Asigne el nombre
BlockDeletional bloqueo y seleccione un Tipo de bloqueo de Eliminar. Seleccione Aceptar.
Ahora tiene un bloqueo aplicado al grupo de recursos que impedirá que se elimine. Este bloqueo lo heredarán todos los recursos del grupo de recursos. Intentará eliminar una de las redes virtuales para ver lo que sucede.
Vuelva a Introducción y seleccione msftlearn-vnet1.
En la parte superior del panel Introducción de msftlearn-vnet1, seleccione Eliminar. Recibirá un error en el que se indica que hay un bloqueo en el recurso que impide su eliminación.
En el menú de la izquierda, en la sección Configuración, haga clic en Bloqueos. msftlearn-vnet1 tiene un bloqueo que se ha heredado del grupo de recursos.
Vuelva al grupo de recursos msftlearn-core-infrastructure-rg y vaya a Bloqueos. Quitará el bloqueo para poder realizar la limpieza. Seleccione Eliminar en el bloqueo BlockDeletion.
Uso de bloqueos de recursos en la práctica
Ha visto cómo los bloqueos de recursos pueden proteger contra la eliminación accidental. Para poder eliminar la red virtual, ha sido necesario quitar el bloqueo. Esta acción concertada ayuda a garantizar que realmente quiere eliminar o modificar el recurso en cuestión.
Use los bloqueos de recursos para proteger esos elementos clave de Azure cuya eliminación o modificación podría tener un gran impacto. Algunos ejemplos son los circuitos ExpressRoute y las redes virtuales, bases de datos críticas y controladores de dominio. Evalúe los recursos y aplique los bloqueos donde le gustaría tener un nivel adicional de protección frente a acciones accidentales.
Limpiar los recursos
A continuación se limpiarán los recursos que se han creado. Tendrá que eliminar el grupo de recursos que ha creado, así como la asignación de directiva y la definición de directiva.
Vaya a Azure Portal en un explorador web.
En el cuadro de búsqueda de la barra de menús superior, busque msftlearn-core-infrastructure-rg y seleccione el grupo de recursos.
En el panel Información general, seleccione Eliminar grupo de recursos. Escriba el nombre del grupo de recursos msftlearn-core-infrastructure-rg para confirmar y luego seleccione Eliminar. Vuelva a seleccionar Eliminar para confirmar la eliminación.
Nota:
Como ha eliminado los recursos asignados con el grupo de recursos contenedor, ya no quedará ninguna asignación en esta directiva. Normalmente, si asigna una directiva a un recurso, aquí podría eliminar la asignación sin eliminar el recurso subyacente. Para ello, seleccione Asignaciones, después los puntos suspensivos (
...) en la asignación y elija Eliminar asignación.En el cuadro de búsqueda, busque Directiva y seleccione el servicio Directiva.
Seleccione Definiciones y busque la directiva que ha creado: Aplicar etiqueta en el recurso.
Seleccione
...en la definición y luego Eliminar definición. Seleccione Sí para confirmar la eliminación.