Описание назначения блокировок ресурсов

  • 3 мин

Блокировки ресурсов предотвращают случайное удаление или изменение ресурсов.

Даже с политиками управления доступом на основе ролей Azure (Azure RBAC) существует риск того, что пользователи с нужным уровнем доступа могут удалить критически важные облачные ресурсы. Блокировки ресурсов препятствуют удалению или обновлению ресурсов (в зависимости от типа блокировки). Блокировки ресурсов могут применяться к отдельным ресурсам, группам ресурсов или даже ко всей подписке. Блокировки ресурсов могут наследоваться, то есть, если вы размещаете блокировку ресурса в группе ресурсов, то блокировка будет применена ко всем ресурсам в этой группе ресурсов.

Типы блокировок ресурсов

Существует два типа блокировок ресурсов: одна из них препятствует удалению пользователей, а другая не позволяет пользователям изменять или удалять ресурс.

  • "Удаление" означает, что авторизованные пользователи смогут читать и изменять ресурс, но не смогут его удалить.
  • ReadOnly означает, что авторизованные пользователи смогут читать ресурс, но не смогут его удалить или обновить. Применение этой блокировки подобно ограничению авторизованных пользователей с помощью разрешений, предоставляемых для роли Читатель.

Как управлять блокировками ресурсов?

Блокировками ресурсов можно управлять с помощью портала Azure, PowerShell, Azure CLI или из шаблона Azure Resource Manager.

Чтобы просмотреть, добавить или удалить блокировки на портале Azure, перейдите в раздел Параметры в области Параметры любого ресурса на портале Azure.

A screenshot showing the resource lock control, under settings, for a storage account.

Как удалить или изменить заблокированный ресурс?

Хотя блокировка помогает предотвратить случайные изменения, вы все же можете вносить изменения, выполнив двухэтапный процесс.

Чтобы изменить заблокированный ресурс, необходимо сначала снять блокировку. После удаления блокировки можно применить любое действие, для выполнения которого у вас есть разрешения. Блокировки ресурсов применяются независимо от разрешений RBAC. Даже если вы являетесь владельцем ресурса, все равно необходимо снять блокировку, чтобы выполнить заблокированное действие.