Oktatóanyag: új erőforrások biztosítása az Azure BluePrints erőforrás-zárolásokkalTutorial: Protect new resources with Azure Blueprints resource locks

Az Azure-tervrajzok erőforrás-zárolásairévén az újonnan telepített erőforrásokat védetté teheti, akár a tulajdonos szerepkörrel rendelkező fiókkal.With Azure Blueprints resource locks, you can protect newly deployed resources from being tampered with, even by an account with the Owner role. Ezt a védelmet a Azure Resource Manager-sablon (ARM-sablon) által létrehozott erőforrások tervrajz-definíciójában adhatja hozzá.You can add this protection in the blueprint definitions of resources created by an Azure Resource Manager template (ARM template) artifact. A terv erőforrás-zárolása a terv hozzárendelése során van beállítva.The Blueprint resource lock is set during blueprint assignment.

Ebben az oktatóanyagban a következő lépéseket hajtja végre:In this tutorial, you'll complete these steps:

  • Terv definíciójának létrehozásaCreate a blueprint definition
  • A terv definíciójának megjelölése közzétettkéntMark your blueprint definition as Published
  • A terv definíciójának társítása meglévő előfizetéshez (erőforrás-zárolások beállítása)Assign your blueprint definition to an existing subscription (set resource locks)
  • Az új erőforráscsoport vizsgálataInspect the new resource group
  • A terv hozzárendelésének megszüntetése a zárolások eltávolításáhozUnassign the blueprint to remove the locks

ElőfeltételekPrerequisites

Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.If you don't have an Azure subscription, create a free account before you begin.

Terv definíciójának létrehozásaCreate a blueprint definition

Először hozza létre a terv definícióját.First, create the blueprint definition.

  1. A bal oldali panelen válassza a Minden szolgáltatás lehetőséget.Select All services in the left pane. Keresse meg és válassza ki a Tervek elemet.Search for and select Blueprints.

  2. Az első lépések oldalon, a bal oldalon válassza a Létrehozás a terv létrehozása alatt lehetőséget.On the Getting started page on the left, select Create under Create a blueprint.

  3. Keresse meg az oldal tetején található üres terv tervezetét.Find the Blank Blueprint blueprint sample at the top of the page. Válassza az indítás üres tervtel lehetőséget.Select Start with blank blueprint.

  4. Adja meg ezt az információt az alapok lapon:Enter this information on the Basics tab:

    • Terv neve: adjon meg egy nevet a tervezet mintájának másolatához.Blueprint name: Provide a name for your copy of the blueprint sample. Ebben az oktatóanyagban a zárolt storageaccount nevet fogjuk használni.For this tutorial, we'll use the name locked-storageaccount.
    • Terv leírása: adja meg a terv definíciójának leírását.Blueprint description: Add a description for the blueprint definition. Az üzembe helyezett erőforrásokra vonatkozó terv-erőforrás-zárolás tesztelésére használható.Use For testing blueprint resource locking on deployed resources.
    • Definíció helye: kattintson a három pontot ábrázoló gombra (...), majd válassza ki azt a felügyeleti csoportot vagy előfizetést, amelybe menteni szeretné a terv definícióját.Definition location: Select the ellipsis button (...) and then select the management group or subscription to save your blueprint definition to.
  5. Válassza ki az oldal tetején található összetevők fület , vagy válassza a Next (tovább) gombot : az oldal alján található összetevők.Select the Artifacts tab at the top of the page, or select Next: Artifacts at the bottom of the page.

  6. Erőforráscsoport hozzáadása az előfizetési szinten:Add a resource group at the subscription level:

    1. Válassza ki az összetevő hozzáadása sort az előfizetés alatt.Select the Add artifact row under Subscription.
    2. Válassza az erőforráscsoport elemet az összetevő típusa területen.Select Resource Group under Artifact type.
    3. Állítsa az összetevő megjelenítendő nevét RGtoLock értékre.Set the Artifact display name to RGtoLock.
    4. Hagyja üresen az erőforráscsoport neve és helye mezőket, de győződjön meg arról, hogy az egyes tulajdonságokon a jelölőnégyzet be van jelölve, hogy dinamikus paramétereket lehessen használni.Leave the Resource Group Name and Location boxes blank, but make sure the check box is selected on each property to make them dynamic parameters.
    5. A Hozzáadás gombra kattintva adja hozzá az összetevőt a tervhez.Select Add to add the artifact to the blueprint.
  7. Sablon hozzáadása az erőforráscsoport alatt:Add a template under the resource group:

    1. Válassza a RGtoLock bejegyzés alatt az összetevők hozzáadása sort.Select the Add artifact row under the RGtoLock entry.

    2. Válassza ki Azure Resource Manager sablont az összetevő típusa területen, állítsa a lelet megjelenítendő nevét StorageAccount értékre, és hagyja üresen a leírást .Select Azure Resource Manager template under Artifact type, set Artifact display name to StorageAccount, and leave Description blank.

    3. A sablon lapon illessze be a következő ARM-sablont a szerkesztő mezőbe.On the Template tab, paste the following ARM template into the editor box. A sablon beillesztése után a Hozzáadás gombra kattintva adja hozzá az összetevőt a tervhez.After you paste in the template, select Add to add the artifact to the blueprint.

      Megjegyzés

      Ez a lépés határozza meg azokat az erőforrásokat, amelyeket a terv erőforrás-zárolása zárol, de nem tartalmazza a terv-erőforrás zárolását.This step defines the resources to be deployed that get locked by the Blueprint resource lock, but doesn't include the Blueprint resource locks. A terv-erőforrások zárolása a terv-hozzárendelés paraméterének megfelelően van beállítva.Blueprint resource locks are set as a parameter of the blueprint assignment.

    {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
            "storageAccountType": {
                "type": "string",
                "defaultValue": "Standard_LRS",
                "allowedValues": [
                    "Standard_LRS",
                    "Standard_GRS",
                    "Standard_ZRS",
                    "Premium_LRS"
                ],
                "metadata": {
                    "description": "Storage Account type"
                }
            }
        },
        "variables": {
            "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
        },
        "resources": [{
            "type": "Microsoft.Storage/storageAccounts",
            "name": "[variables('storageAccountName')]",
            "location": "[resourceGroup().location]",
            "apiVersion": "2018-07-01",
            "sku": {
                "name": "[parameters('storageAccountType')]"
            },
            "kind": "StorageV2",
            "properties": {}
        }],
        "outputs": {
            "storageAccountName": {
                "type": "string",
                "value": "[variables('storageAccountName')]"
            }
        }
    }
    
  8. Válassza a lap alján található Piszkozat mentése elemet.Select Save Draft at the bottom of the page.

Ez a lépés létrehozza a terv definícióját a kiválasztott felügyeleti csoportban vagy előfizetésben.This step creates the blueprint definition in the selected management group or subscription.

A terv mentése sikeres portál értesítése után lépjen a következő lépésre.After the Saving blueprint definition succeeded portal notification appears, go to the next step.

A terv definíciójának közzétételePublish the blueprint definition

A terv definíciója már létre lett hozva a környezetben.Your blueprint definition has now been created in your environment. A rendszer Piszkozat módban jön létre, és közzé kell tenni ahhoz, hogy hozzá lehessen rendelni és telepíteni lehessen.It's created in Draft mode and must be published before it can be assigned and deployed.

  1. A bal oldali panelen válassza a Minden szolgáltatás lehetőséget.Select All services in the left pane. Keresse meg és válassza ki a Tervek elemet.Search for and select Blueprints.

  2. Válassza a bal oldali Tervdefiníciók oldalt.Select the Blueprint definitions page on the left. A szűrők segítségével keresse meg a zárolt storageaccount terv definícióját, majd jelölje ki.Use the filters to find the locked-storageaccount blueprint definition, and then select it.

  3. Válassza ki az oldal tetején található Terv közzététele lehetőséget.Select Publish blueprint at the top of the page. A jobb oldali új ablaktáblán adja meg a 1,0 -as verziót.In the new pane on the right, enter 1.0 as the Version. Ez a tulajdonság akkor hasznos, ha később módosítja a módosításokat.This property is useful if you make a change later. Adja meg a módosítási megjegyzéseket, például az első verziót, amelyet a tervbe helyezett erőforrások zárolásához kell közzétenni.Enter Change notes, such as First version published for locking blueprint deployed resources. Ezután válassza a lap alján található Közzététel lehetőséget.Then select Publish at the bottom of the page.

Ez a lépés lehetővé teszi a terv hozzárendelését egy előfizetéshez.This step makes it possible to assign the blueprint to a subscription. A terv definíciójának közzététele után továbbra is végezhet módosításokat.After the blueprint definition is published, you can still make changes. Ha módosítja a módosításokat, közzé kell tennie a definíciót egy új verzió értékkel, hogy nyomon követhesse az azonos terv definíciójának verziói közötti különbségeket.If you make changes, you need to publish the definition with a new version value to track differences between versions of the same blueprint definition.

Ha megjelenik a közzétételi terv definíciója sikeres portál értesítése, lépjen a következő lépésre.After the Publishing blueprint definition succeeded portal notification appears, go to the next step.

A terv definíciójának kiosztásaAssign the blueprint definition

A terv definíciójának közzététele után hozzárendelheti azt egy előfizetéshez a felügyeleti csoporton belül, ahol mentette.After the blueprint definition is published, you can assign it to a subscription within the management group where you saved it. Ebben a lépésben paramétereket biztosít a tervrajz-definíció egyedi telepítésének elvégzéséhez.In this step, you provide parameters to make each deployment of the blueprint definition unique.

  1. A bal oldali panelen válassza a Minden szolgáltatás lehetőséget.Select All services in the left pane. Keresse meg és válassza ki a Tervek elemet.Search for and select Blueprints.

  2. Válassza a bal oldali Tervdefiníciók oldalt.Select the Blueprint definitions page on the left. A szűrők segítségével keresse meg a zárolt storageaccount terv definícióját, majd jelölje ki.Use the filters to find the locked-storageaccount blueprint definition, and then select it.

  3. Válassza ki a Tervdefiníció oldal tetején található Terv hozzárendelése lehetőséget.Select Assign blueprint at the top of the blueprint definition page.

  4. Adja meg a tervhozzárendelés paraméterértékeit:Provide the parameter values for the blueprint assignment:

    • Alapvető beállításokBasics

      • Előfizetések: válasszon ki egy vagy több olyan előfizetést, amely abban a felügyeleti csoportban található, ahol a terv definícióját mentette.Subscriptions: Select one or more of the subscriptions that are in the management group where you saved your blueprint definition. Ha egynél több előfizetést választ ki, az egyes előfizetésekhez hozzárendelés jön létre a beírt paraméterek használatával.If you select more than one subscription, an assignment will be created for each subscription, using the parameters you enter.
      • Hozzárendelés neve: a név előre fel van töltve a terv definíciójának neve alapján.Assignment name: The name is pre-populated based on the name of the blueprint definition. Azt szeretnénk, hogy ez a hozzárendelés az új erőforráscsoport zárolását képviseljék, ezért módosítsa a hozzárendelés nevét a hozzárendelés-zárolt-storageaccount-TestingBPLocks értékre.We want this assignment to represent locking the new resource group, so change the assignment name to assignment-locked-storageaccount-TestingBPLocks.
      • Hely: válassza ki azt a régiót, amelyben létre kívánja hozni a felügyelt identitást.Location: Select a region in which to create the managed identity. Az Azure Blueprint a hozzárendelt tervben lévő összes összetevő üzembe helyezéséhez ezt a felügyelt identitást használja.Azure Blueprint uses this managed identity to deploy all artifacts in the assigned blueprint. További információ: felügyelt identitások az Azure-erőforrásokhoz.To learn more, see managed identities for Azure resources. Ebben az oktatóanyagban válassza az USA 2. keleti régióját.For this tutorial, select East US 2.
      • Terv definíciójának verziója: válassza ki a közzétett 1,0 -es verziót a terv definíciójában.Blueprint definition version: Select the published version 1.0 of the blueprint definition.
    • Hozzárendelés zárolásaLock Assignment

      Válassza a csak olvasható terv zárolási módot.Select the Read Only blueprint lock mode. További információkat talál a terv-erőforrások zárolásáról szóló cikkben.For more information, see blueprints resource locking.

      Megjegyzés

      Ez a lépés konfigurálja a terv erőforrás-zárolását az újonnan telepített erőforrásokon.This step configures the Blueprint resource lock on the newly deployed resources.

    • Felügyelt identitásManaged Identity

      Használja az alapértelmezett beállítást: rendszer rendelve.Use the default option: System assigned. További információ: felügyelt identitások.For more information, see managed identities.

    • Összetevő paramétereiArtifact parameters

      Az ebben a szakaszban meghatározott paraméterek arra a tárgyra vonatkoznak, amelyben definiálva vannak.The parameters defined in this section apply to the artifact under which they're defined. Ezek a paraméterek dinamikus paraméterek , mert a terv hozzárendelése során vannak meghatározva.These parameters are dynamic parameters because they're defined during the assignment of the blueprint. Az egyes összetevőknél állítsa be a paraméter értékét az érték oszlopban látható értékre.For each artifact, set the parameter value to what you see in the Value column.

      Összetevő neveArtifact name Összetevő típusaArtifact type Paraméter neveParameter name ÉrtékValue LeírásDescription
      RGtoLock erőforráscsoportRGtoLock resource group ErőforráscsoportResource group NameName TestingBPLocksTestingBPLocks Meghatározza az új erőforráscsoport nevét, amelyre a terv zárolásait alkalmazni kell.Defines the name of the new resource group to apply blueprint locks to.
      RGtoLock erőforráscsoportRGtoLock resource group ErőforráscsoportResource group HelyLocation USA 2. nyugati régiójaWest US 2 Meghatározza az új erőforráscsoport helyét, amelyre a terv zárolásait alkalmazni kívánja.Defines the location of the new resource group to apply blueprint locks to.
      StorageAccountStorageAccount Resource Manager-sablonResource Manager template Tárfióktípus (StorageAccount)storageAccountType (StorageAccount) Standard_GRSStandard_GRS A Storage SKU.The storage SKU. Az alapértelmezett érték Standard_LRS.The default value is Standard_LRS.
  5. Miután megadta az összes paramétert, válassza az oldal alján található hozzárendelés elemet.After you've entered all parameters, select Assign at the bottom of the page.

Ez a lépés telepíti a definiált erőforrásokat, és konfigurálja a kiválasztott zárolási hozzárendelést.This step deploys the defined resources and configures the selected Lock Assignment. A tervbeli zárolások alkalmazása akár 30 percet is igénybe vehet.It can take up to 30 minutes to apply blueprint locks.

A terv kiosztásának meghatározása sikeres portál értesítése után lépjen a következő lépésre.After the Assigning blueprint definition succeeded portal notification appears, go to the next step.

A hozzárendelés által üzembe helyezett erőforrások vizsgálataInspect resources deployed by the assignment

A hozzárendelés létrehozza az erőforráscsoport TestingBPLocks és az ARM-sablon által üzembe helyezett Storage-fiókot.The assignment creates the resource group TestingBPLocks and the storage account deployed by the ARM template artifact. Az új erőforráscsoport és a kiválasztott zárolási állapot a hozzárendelés részletei lapon látható.The new resource group and the selected lock state are shown on the assignment details page.

  1. A bal oldali panelen válassza a Minden szolgáltatás lehetőséget.Select All services in the left pane. Keresse meg és válassza ki a Tervek elemet.Search for and select Blueprints.

  2. Válassza ki a kijelölt tervrajzok lapot a bal oldalon.Select the Assigned blueprints page on the left. A szűrők segítségével keresse meg a hozzárendelés-zárolt-storageaccount-TestingBPLocks terv-hozzárendelést, majd jelölje ki.Use the filters to find the assignment-locked-storageaccount-TestingBPLocks blueprint assignment, and then select it.

    Ebből a lapról láthatjuk, hogy a hozzárendelés sikeres volt, és az erőforrások az új terv zárolási állapotával lettek telepítve.From this page, we can see that the assignment succeeded and that the resources were deployed with the new blueprint lock state. Ha a hozzárendelés frissül, a hozzárendelési művelet legördülő lista az egyes definíciós verziók telepítésének részleteit jeleníti meg.If the assignment is updated, the Assignment operation drop-down shows details about the deployment of each definition version. A tulajdonságlap megnyitásához kiválaszthatja az erőforráscsoportot.You can select the resource group to open the property page.

  3. Válassza ki a TestingBPLocks erőforráscsoportot.Select the TestingBPLocks resource group.

  4. Válassza a bal oldali hozzáférés-vezérlés (iam) lapot.Select the Access control (IAM) page on the left. Ezután válassza ki a szerepkör-hozzárendelések lapot.Then select the Role assignments tab.

    Itt láthatjuk, hogy a hozzárendelés-zárolt-storageaccount-TestingBPLocks terv-hozzárendelés tulajdonosi szerepkörrel rendelkezik.Here we see that the assignment-locked-storageaccount-TestingBPLocks blueprint assignment has the Owner role. Ez a szerepkör azért van, mert ez a szerepkör az erőforráscsoport üzembe helyezésére és zárolására szolgál.It has this role because this role was used to deploy and lock the resource group.

  5. Jelölje be a megtagadási hozzárendelések lapot.Select the Deny assignments tab.

    A terv-hozzárendelés megtagadási hozzárendelést hozott létre a központilag telepített erőforráscsoporthoz, hogy kikényszerítse az írásvédett terv zárolási módját.The blueprint assignment created a deny assignment on the deployed resource group to enforce the Read Only blueprint lock mode. A megtagadási hozzárendelés megakadályozza, hogy valaki megfelelő jogokkal rendelkezik a szerepkör-hozzárendelések lapon bizonyos műveletek elvégzéséhez.The deny assignment prevents someone with appropriate rights on the Role assignments tab from taking specific actions. A Megtagadás hozzárendelés az összes rendszerbiztonsági tagra hatással van.The deny assignment affects All principals.

    További információ a megtagadási hozzárendelésből származó rendszerbiztonsági tag kizárásáról: tervrajzok erőforrás-zárolás.For information about excluding a principal from a deny assignment, see blueprints resource locking.

  6. Jelölje ki a megtagadási hozzárendelést, majd a bal oldalon válassza ki a megtagadott engedélyek lapot.Select the deny assignment, and then select the Denied Permissions page on the left.

    A megtagadási hozzárendelés megakadályozza az összes műveletet a * _ és az _ művelet konfigurációjában, de az olvasási hozzáférést a * /READ kizárásával teszi lehetővé.The deny assignment is preventing all operations with the ***_ and _* Action* configuration, but it allows read access by excluding */read via NotActions.

  7. A Azure Portal navigációs menüben válassza a TestingBPLocks-hozzáférés-vezérlés (iam) lehetőséget.In the Azure portal breadcrumb, select TestingBPLocks - Access control (IAM). Ezután válassza ki az Áttekintés lapot a bal oldalon, majd az erőforráscsoport törlése gombot.Then select the Overview page on the left and then the Delete resource group button. Írja be a TestingBPLocks nevet a törlés megerősítéséhez, majd kattintson a Törlés gombra a panel alján.Enter the name TestingBPLocks to confirm the delete and then select Delete at the bottom of the pane.

    A portál értesítésének törlési erőforráscsoport-TestingBPLocks sikertelen .The portal notification Delete resource group TestingBPLocks failed appears. A hiba azt jelzi, hogy a fióknak van engedélye az erőforráscsoport törlésére, a hozzáférés megtagadva a terv-hozzárendeléssel.The error states that although your account has permission to delete the resource group, access is denied by the blueprint assignment. Ne feledje, hogy a terv hozzárendelése során a csak olvasható terv zárolási módot jelöltük ki.Remember that we selected the Read Only blueprint lock mode during blueprint assignment. A terv zárolása megakadályozza, hogy egy olyan fiók, amely nem rendelkezik engedéllyel, akár tulajdonossal is, törölheti az erőforrást.The blueprint lock prevents an account with permission, even Owner, from deleting the resource. További információkat talál a terv-erőforrások zárolásáról szóló cikkben.For more information, see blueprints resource locking.

Ezek a lépések bemutatják, hogy a telepített erőforrások mostantól a nem kívánt törlést megakadályozó, olyan fiókkal is védve vannak, amelyik jogosult az erőforrások törlésére.These steps show that our deployed resources are now protected with blueprint locks that prevent unwanted deletion, even from an account that has permission to delete the resources.

A terv hozzárendelésének megszüntetéseUnassign the blueprint

Az utolsó lépés a terv definíciójának hozzárendelésének eltávolítása.The last step is to remove the assignment of the blueprint definition. A hozzárendelés eltávolítása nem távolítja el a társított összetevőket.Removing the assignment doesn't remove the associated artifacts.

  1. A bal oldali panelen válassza a Minden szolgáltatás lehetőséget.Select All services in the left pane. Keresse meg és válassza ki a Tervek elemet.Search for and select Blueprints.

  2. Válassza ki a kijelölt tervrajzok lapot a bal oldalon.Select the Assigned blueprints page on the left. A szűrők segítségével keresse meg a hozzárendelés-zárolt-storageaccount-TestingBPLocks terv-hozzárendelést, majd jelölje ki.Use the filters to find the assignment-locked-storageaccount-TestingBPLocks blueprint assignment, and then select it.

  3. Válassza az oldal tetején található terv megszüntetése elemet.Select Unassign blueprint at the top of the page. Olvassa el a figyelmeztetést a megerősítő párbeszédpanelen, majd kattintson az OK gombra.Read the warning in the confirmation dialog box, and then select OK.

    A terv-hozzárendelés eltávolításakor a terv zárolásait is eltávolítja a rendszer.When the blueprint assignment is removed, the blueprint locks are also removed. Az erőforrásokat újra törölheti egy megfelelő engedélyekkel rendelkező fiókkal.The resources can once again be deleted by an account with appropriate permissions.

  4. Az Azure menüben válassza az erőforráscsoportok lehetőséget, majd válassza a TestingBPLocks lehetőséget.Select Resource groups from the Azure menu, and then select TestingBPLocks.

  5. Válassza a bal oldali hozzáférés-vezérlés (iam) lapot, majd válassza ki a szerepkör-hozzárendelések lapot.Select the Access control (IAM) page on the left and then select the Role assignments tab.

Az erőforráscsoport biztonsága azt mutatja, hogy a terv hozzárendelése már nem rendelkezik tulajdonosi hozzáféréssel.The security for the resource group shows that the blueprint assignment no longer has Owner access.

Ha a terv-hozzárendelés eltávolítása sikeres portál értesítés jelenik meg, lépjen a következő lépésre.After the Removing blueprint assignment succeeded portal notification appears, go to the next step.

Az erőforrások eltávolításaClean up resources

Ha elkészült ezzel az Oktatóanyaggal, törölje ezeket az erőforrásokat:When you're finished with this tutorial, delete these resources:

  • Erőforráscsoport TestingBPLocksResource group TestingBPLocks
  • Terv definíciója zárolva – storageaccountBlueprint definition locked-storageaccount

Következő lépésekNext steps

Ebben az oktatóanyagban megtanulta, hogyan teheti elérhetővé az Azure-tervezetekkel üzembe helyezett új erőforrásokat.In this tutorial, you've learned how to protect new resources deployed with Azure Blueprints. Ha többet szeretne megtudni az Azure-tervezetekről, folytassa a terv életciklusával foglalkozó cikkel.To learn more about Azure Blueprints, continue to the blueprint lifecycle article.