Décrire la finalité des verrous de ressources

  • 3 minutes

Un verrou de ressource empêche la suppression ou modification accidentelle des ressources.

Même avec des stratégies de contrôle d’accès en fonction du rôle Azure (RBAC Azure) en place, il y a toujours un risque que des personnes ayant le bon niveau d’accès puissent supprimer des ressources cloud critiques. Les verrous de ressources empêchent la suppression ou la mise à jour des ressources, selon le type de verrou. Les verrous de ressources peuvent être appliqués à des ressources individuelles, à des groupes de ressources ou même à un abonnement entier. Les verrous de ressources sont hérités, ce qui signifie que si vous placez un verrou de ressource sur un groupe de ressources, il sera également appliqué à toutes les ressources du groupe de ressources.

Types de verrou de ressource

Il existe deux types de verrou de ressource : l’un empêche les utilisateurs de supprimer une ressource alors que l’autre empêche les utilisateurs de changer ou de supprimer une ressource.

  • Suppression signifie que les utilisateurs autorisés peuvent lire et modifier une ressource, mais qu’ils ne peuvent pas la supprimer.
  • ReadOnly signifie que les utilisateurs autorisés peuvent lire une ressource, mais pas la supprimer ni la mettre à jour. L’application de ce verrou est similaire à la restriction de tous les utilisateurs autorisés aux autorisations accordées par le rôle Lecteur (Reader).

Comment faire pour gérer des verrous de ressource ?

Vous pouvez gérer les verrous de ressource à partir du portail Azure, de PowerShell, d’Azure CLI ou d’un modèle Azure Resource Manager.

Pour voir, ajouter ou supprimer des verrous dans le portail Azure, accédez à la section Paramètres du volet Paramètres de n’importe quelle ressource du portail Azure.

A screenshot showing the resource lock control, under settings, for a storage account.

Comment faire pour supprimer ou modifier une ressource verrouillée ?

Bien que le verrouillage permette d’éviter des modifications accidentelles, vous pouvez quand même apporter des modifications en suivant un processus en deux étapes.

Pour modifier une ressource verrouillée, vous devez d’abord retirer le verrou. Après avoir retiré le verrou, vous pouvez appliquer toutes les actions que vous êtes autorisé à effectuer. Les verrous de ressource s’appliquent indépendamment des autorisations RBAC définies. Même si vous êtes le propriétaire de la ressource, vous devez toujours retirer le verrou avant de pouvoir effectuer l’activité bloquée.