Usare i blocchi delle risorse per proteggere le risorse
In una recente conversazione, il manager ha segnalato che si sono verificati casi di eliminazione accidentale di risorse di Azure critiche. A causa della disorganizzazione nell'ambiente di Azure, l'operazione di pulizia effettuata con l'intenzione di eliminare risorse non necessarie ha causato l'eliminazione accidentale di risorse critiche per altri sistemi. Si è sentito parlare dei blocchi delle risorse disponibili in Azure e si decide di informare il proprio responsabile che esiste la possibilità di prevenire in futuro questo tipo di incidenti. Vediamo come è possibile usare i blocchi risorse per risolvere questo problema.
Che cosa sono i blocchi risorse?
I blocchi delle risorse sono un'impostazione applicabile a qualsiasi risorsa per bloccarne la modifica o l'eliminazione. I blocchi delle risorse possono essere impostati su Eliminazione o su Sola lettura. Eliminazione consentirà tutte le operazioni in una risorsa, ma bloccherà la possibilità di eliminarla. Read-only consentirà solo le attività di lettura sulla risorsa, bloccandone qualsiasi modifica o l'eliminazione. È possibile applicare blocchi delle risorse a sottoscrizioni, gruppi di risorse o singole risorse. I blocchi delle risorse vengono ereditati quando vengono applicati ai livelli superiori.
Nota
L'applicazione del blocco di Sola lettura può causare risultati imprevisti, perché alcune operazioni che sembrano operazioni di lettura richiedono in effetti azioni aggiuntive. Ad esempio, l'inserimento di un blocco Read-only in un account di archiviazione impedisce a tutti gli utenti di ottenere un elenco delle chiavi. L'operazione di elenco delle chiavi viene gestita tramite una richiesta POST, perché le chiavi restituite sono disponibili per operazioni di scrittura.
Quando viene applicato un blocco risorse, è necessario innanzitutto rimuovere il blocco per eseguire tale attività. L'aggiunta di un ulteriore passaggio prima di consentire l'esecuzione dell'azione sulla risorsa contribuisce a proteggere le risorse da azioni eseguite inavvertitamente e a impedire agli amministratori di eseguire azioni involontarie. I blocchi risorse si applicano indipendentemente dalle autorizzazioni di controllo degli accessi in base al ruolo. Anche se si è proprietari della risorsa, è comunque necessario rimuovere il blocco prima di poter eseguire l'attività bloccata.
Esaminiamo il funzionamento di un blocco risorse.
Creare un blocco delle risorse
Richiamare il gruppo di risorse msftlearn-core-infrastructure-rg. Il gruppo include ora due reti virtuali e un account di archiviazione. Queste risorse sono considerate cruciali per l'ambiente di Azure e occorre assicurare che non vengano eliminate per errore. Per impedire l'eliminazione del gruppo di risorse e delle risorse che contiene, applicare un blocco delle risorse al gruppo di risorse.
In un Web browser passare al portale di Azure, se non è ancora stato fatto. Nella casella di ricerca nella barra di spostamento superiore, cercare msftlearn-core-infrastructure-rg e selezionare il gruppo di risorse.
Nel menu a sinistra selezionare Blocchi nella sezione Impostazioni. La risorsa attualmente non dispone di alcun blocco. Ne verrà aggiunto uno.
Selezionare + Aggiungi. Denominare il blocco
BlockDeletione selezionare un Tipo di bloccoEliminazione. Seleziona OK.
È stato applicato un blocco al gruppo di risorse che impedirà l'eliminazione del gruppo. Questo blocco viene ereditato da tutte le risorse all'interno del gruppo di risorse. Si tenterà di eliminare una delle reti virtuali per vedere cosa accade.
Tornare a Panoramica e selezionare msftlearn-vnet1.
Nella parte superiore del riquadro Panoramica per msftlearn-vnet1 selezionare Elimina. Verrà restituito un errore che indica che per la risorsa è presente un blocco che ne impedisce l'eliminazione.
Nel menu a sinistra selezionare Blocchi nella sezione Impostazioni. A msftlearn-vnet1 è applicato un blocco ereditato dal gruppo di risorse.
Tornare al gruppo di risorse msftlearn-core-infrastructure-rg e passare a Blocchi. Il blocco verrà rimosso in modo che sia possibile effettuare la pulizia. Selezionare Elimina nel blocco BlockDeletion.
Uso dei blocchi delle risorse in pratica
Si è visto come i blocchi delle risorse possono proteggere da eliminazioni accidentali. Per eliminare la rete virtuale, è stato necessario rimuovere il blocco. Questa azione congiunta garantisce che l'utente abbia davvero intenzione di eliminare o modificare la risorsa in questione.
Usare i blocchi risorse per proteggere gli elementi chiave di Azure che, se modificati o eliminati, possono avere un notevole impatto. Alcuni esempi sono i circuiti ExpressRoute e le reti virtuali, i database critici e i controller di dominio. Valutare le risorse e applicare i blocchi desiderati per avere un ulteriore livello di protezione da azioni accidentali.
Pulire le risorse
È possibile pulire le risorse create. È necessario eliminare il gruppo di risorse creato, nonché l'assegnazione dei criteri e la definizione dei criteri.
Passare al portale di Azure in un Web browser.
Nella casella di ricerca nella barra dei menu superiore, cercare msftlearn-core-infrastructure-rg e selezionare il gruppo di risorse.
Nel riquadro Panoramica selezionare Elimina gruppo di risorse. Immettere il nome del gruppo di risorse msftlearn-core-infrastructure-rg per confermare, quindi selezionare Elimina. Selezionare di nuovo Elimina per confermare l'eliminazione.
Nota
Poiché le risorse assegnate sono state eliminate con il gruppo di risorse che le conteneva, non risulteranno assegnazioni rimaste in questo criterio. In genere, se si assegna un criterio a una risorsa, è possibile eliminare l'assegnazione senza eliminare la risorsa sottostante. A tale scopo, si seleziona Assegnazioni, quindi i puntini di sospensione (
...) accanto all'assegnazione e infine Elimina assegnazione.Nella casella di ricerca cercare Criteri e selezionare il servizio Criteri.
Selezionare Definizioni e cercare il criterio creato: Imponi il tag sulla risorsa.
Selezionare
...per la definizione e quindi selezionare Elimina definizione. Selezionare Sì per confermare l'eliminazione.