Självstudie: skydda nya resurser med resurs lås för Azure-ritningarTutorial: Protect new resources with Azure Blueprints resource locks

Med resurs låsför Azure-ritningar kan du skydda nyligen distribuerade resurser från att manipuleras, även genom ett konto med ägar rollen.With Azure Blueprints resource locks, you can protect newly deployed resources from being tampered with, even by an account with the Owner role. Du kan lägga till det här skyddet i skiss definitionerna för resurser som skapats av en Azure Resource Manager mall (ARM-mall) artefakt.You can add this protection in the blueprint definitions of resources created by an Azure Resource Manager template (ARM template) artifact.

I den här självstudien utför du följande steg:In this tutorial, you'll complete these steps:

  • Skapa en skiss definitionCreate a blueprint definition
  • Markera skiss definitionen som publiceradMark your blueprint definition as Published
  • Tilldela din skiss definition till en befintlig prenumerationAssign your blueprint definition to an existing subscription
  • Granska den nya resurs gruppenInspect the new resource group
  • Ta bort tilldelningen för att ta bort låsenUnassign the blueprint to remove the locks

KravPrerequisites

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.If you don't have an Azure subscription, create a free account before you begin.

Skapa en skiss definitionCreate a blueprint definition

Börja med att skapa skiss definitionen.First, create the blueprint definition.

  1. Välj Alla tjänster i den vänstra rutan.Select All services in the left pane. Sök efter och välj Skisser.Search for and select Blueprints.

  2. På sidan komma igång till vänster väljer du skapa under skapa en skiss.On the Getting started page on the left, select Create under Create a blueprint.

  3. Leta upp det tomma skiss exemplet överst på sidan.Find the Blank Blueprint blueprint sample at the top of the page. Välj börja med en tom skiss.Select Start with blank blueprint.

  4. Ange den här informationen på fliken grundläggande :Enter this information on the Basics tab:

    • Skiss namn: Ange ett namn för din kopia av skiss exemplet.Blueprint name: Provide a name for your copy of the blueprint sample. I den här självstudien använder vi namnet Locked-storageaccount.For this tutorial, we'll use the name locked-storageaccount.
    • Skiss Beskrivning: Lägg till en beskrivning för skiss definitionen.Blueprint description: Add a description for the blueprint definition. Används för att testa skiss resurs låsning på distribuerade resurser.Use For testing blueprint resource locking on deployed resources.
    • Definitions plats: Välj knappen med tre punkter (...) och välj sedan den hanterings grupp eller prenumeration som du vill spara din skiss definition till.Definition location: Select the ellipsis button (...) and then select the management group or subscription to save your blueprint definition to.
  5. Välj fliken artefakter överst på sidan eller Välj Nästa: artefakter längst ned på sidan.Select the Artifacts tab at the top of the page, or select Next: Artifacts at the bottom of the page.

  6. Lägg till en resurs grupp på prenumerations nivån:Add a resource group at the subscription level:

    1. Välj raden Lägg till artefakt under prenumeration.Select the Add artifact row under Subscription.
    2. Välj resurs grupp under artefakt typ.Select Resource Group under Artifact type.
    3. Ange visnings namnet för artefakten till RGtoLock.Set the Artifact display name to RGtoLock.
    4. Lämna rutorna för resurs grupp namn och plats tomma, men kontrol lera att kryss rutan är markerad för varje egenskap för att göra dem till dynamiska parametrar.Leave the Resource Group Name and Location boxes blank, but make sure the check box is selected on each property to make them dynamic parameters.
    5. Välj Lägg till för att lägga till artefakten i skissen.Select Add to add the artifact to the blueprint.
  7. Lägg till en mall under resurs gruppen:Add a template under the resource group:

    1. Välj raden Lägg till artefakt under posten RGtoLock .Select the Add artifact row under the RGtoLock entry.
    2. Välj Azure Resource Manager mall under artefakt typ, ange artefakt visnings namnet till StorageAccountoch lämna beskrivningen tom.Select Azure Resource Manager template under Artifact type, set Artifact display name to StorageAccount, and leave Description blank.
    3. På fliken mall klistrar du in följande arm-mall i redigerings rutan.On the Template tab, paste the following ARM template into the editor box. När du har klistrat in mallen väljer du Lägg till för att lägga till artefakten i skissen.After you paste in the template, select Add to add the artifact to the blueprint.
    {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
            "storageAccountType": {
                "type": "string",
                "defaultValue": "Standard_LRS",
                "allowedValues": [
                    "Standard_LRS",
                    "Standard_GRS",
                    "Standard_ZRS",
                    "Premium_LRS"
                ],
                "metadata": {
                    "description": "Storage Account type"
                }
            }
        },
        "variables": {
            "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
        },
        "resources": [{
            "type": "Microsoft.Storage/storageAccounts",
            "name": "[variables('storageAccountName')]",
            "location": "[resourceGroup().location]",
            "apiVersion": "2018-07-01",
            "sku": {
                "name": "[parameters('storageAccountType')]"
            },
            "kind": "StorageV2",
            "properties": {}
        }],
        "outputs": {
            "storageAccountName": {
                "type": "string",
                "value": "[variables('storageAccountName')]"
            }
        }
    }
    
  8. Välj Spara utkast längst ned på sidan.Select Save Draft at the bottom of the page.

Det här steget skapar skiss definitionen i den valda hanterings gruppen eller prenumerationen.This step creates the blueprint definition in the selected management group or subscription.

När du har skickat ett meddelande om att skiss definitionen lyckades visas går du till nästa steg.After the Saving blueprint definition succeeded portal notification appears, go to the next step.

Publicera skiss definitionenPublish the blueprint definition

Skiss definitionen har nu skapats i din miljö.Your blueprint definition has now been created in your environment. Den skapas i utkast läge och måste publiceras innan den kan tilldelas och distribueras.It's created in Draft mode and must be published before it can be assigned and deployed.

  1. Välj Alla tjänster i den vänstra rutan.Select All services in the left pane. Sök efter och välj Skisser.Search for and select Blueprints.

  2. Välj sidan Skissdefinitioner till vänster.Select the Blueprint definitions page on the left. Använd filtren för att hitta ritnings definitionen Locked-storageaccount och markera den.Use the filters to find the locked-storageaccount blueprint definition, and then select it.

  3. Välj Publicera skiss överst på sidan.Select Publish blueprint at the top of the page. I det nya fönstret till höger anger du 1,0 som version.In the new pane on the right, enter 1.0 as the Version. Den här egenskapen är användbar om du gör en ändring senare.This property is useful if you make a change later. Ange ändrings anteckningar, till exempel den första versionen som publiceras för att låsa skissbaserade resurser.Enter Change notes, such as First version published for locking blueprint deployed resources. Välj därefter Publicera längst ned på sidan.Then select Publish at the bottom of the page.

Det här steget gör det möjligt att tilldela skissen till en prenumeration.This step makes it possible to assign the blueprint to a subscription. När skiss definitionen har publicerats kan du fortfarande göra ändringar.After the blueprint definition is published, you can still make changes. Om du gör ändringar måste du publicera definitionen med ett nytt versions värde för att spåra skillnader mellan versioner av samma skiss definition.If you make changes, you need to publish the definition with a new version value to track differences between versions of the same blueprint definition.

När du har slutfört ett Portal meddelande om publicerings skissen visas går du till nästa steg.After the Publishing blueprint definition succeeded portal notification appears, go to the next step.

Tilldela skiss definitionenAssign the blueprint definition

När skiss definitionen har publicerats kan du tilldela den till en prenumeration i hanterings gruppen där du sparade den.After the blueprint definition is published, you can assign it to a subscription within the management group where you saved it. I det här steget anger du parametrar för att göra varje distribution av skiss definitionen unik.In this step, you provide parameters to make each deployment of the blueprint definition unique.

  1. Välj Alla tjänster i den vänstra rutan.Select All services in the left pane. Sök efter och välj Skisser.Search for and select Blueprints.

  2. Välj sidan Skissdefinitioner till vänster.Select the Blueprint definitions page on the left. Använd filtren för att hitta ritnings definitionen Locked-storageaccount och markera den.Use the filters to find the locked-storageaccount blueprint definition, and then select it.

  3. Välj Tilldela skiss överst på skissdefinitionssidan.Select Assign blueprint at the top of the blueprint definition page.

  4. Ange parametervärden för skisstilldelningen:Provide the parameter values for the blueprint assignment:

    • Grundläggande inställningarBasics

      • Prenumerationer: Välj en eller flera av de prenumerationer som finns i hanterings gruppen där du sparade skiss definitionen.Subscriptions: Select one or more of the subscriptions that are in the management group where you saved your blueprint definition. Om du väljer fler än en prenumeration skapas en tilldelning för varje prenumeration med hjälp av de parametrar som du anger.If you select more than one subscription, an assignment will be created for each subscription, using the parameters you enter.
      • Tilldelnings namn: namnet fylls i i förväg baserat på skiss definitionens namn.Assignment name: The name is pre-populated based on the name of the blueprint definition. Vi vill att den här tilldelningen ska representera låsning av den nya resurs gruppen, så ändra tilldelnings namnet till tilldelningen-Locked-storageaccount-TestingBPLocks.We want this assignment to represent locking the new resource group, so change the assignment name to assignment-locked-storageaccount-TestingBPLocks.
      • Plats: Välj en region där du vill skapa den hanterade identiteten.Location: Select a region in which to create the managed identity. Azure Blueprint använder den här hanterade identiteten för att distribuera alla artefakter i den tilldelade skissen.Azure Blueprint uses this managed identity to deploy all artifacts in the assigned blueprint. Mer information finns i hanterade identiteter för Azure-resurser.To learn more, see managed identities for Azure resources. I den här självstudien väljer du USA, östra 2.For this tutorial, select East US 2.
      • Ritnings definitions version: Välj den publicerade versionen 1,0 av skiss definitionen.Blueprint definition version: Select the published version 1.0 of the blueprint definition.
    • Lås tilldelningLock Assignment

      Välj Lås läget skrivskyddad skiss.Select the Read Only blueprint lock mode. Mer information finns i Låsa skissresurser.For more information, see blueprints resource locking.

    • Hanterad identitetManaged Identity

      Använd standard alternativet: systemtilldelad.Use the default option: System assigned. Mer information finns i hanterade identiteter.For more information, see managed identities.

    • ArtefaktparametrarArtifact parameters

      De parametrar som definieras i det här avsnittet gäller för den artefakt under vilken de har definierats.The parameters defined in this section apply to the artifact under which they're defined. Dessa parametrar är dynamiska parametrar eftersom de definieras när skissen tilldelas.These parameters are dynamic parameters because they're defined during the assignment of the blueprint. För varje artefakt anger du parametervärdet till det som visas i kolumnen värde .For each artifact, set the parameter value to what you see in the Value column.

      ArtefaktnamnArtifact name ArtefakttypArtifact type ParameternamnParameter name VärdeValue BeskrivningDescription
      Resurs grupp för RGtoLockRGtoLock resource group ResursgruppResource group NameName TestingBPLocksTestingBPLocks Definierar namnet på den nya resurs grupp som skissen ska användas på.Defines the name of the new resource group to apply blueprint locks to.
      Resurs grupp för RGtoLockRGtoLock resource group ResursgruppResource group LocationLocation USA, västra 2West US 2 Definierar platsen för den nya resurs gruppen som skissen ska användas i.Defines the location of the new resource group to apply blueprint locks to.
      StorageAccountStorageAccount Resource Manager-mallResource Manager template storageAccountType (StorageAccount)storageAccountType (StorageAccount) Standard_GRSStandard_GRS SKU för lagring.The storage SKU. Standardvärdet är Standard_LRS.The default value is Standard_LRS.
  5. När du har angett alla parametrar väljer du tilldela längst ned på sidan.After you've entered all parameters, select Assign at the bottom of the page.

Det här steget distribuerar de definierade resurserna och konfigurerar den valda Lås tilldelningen.This step deploys the defined resources and configures the selected Lock Assignment. Det kan ta upp till 30 minuter att använda skiss lås.It can take up to 30 minutes to apply blueprint locks.

När meddelandet tilldelning av skiss definition lyckades visas går du till nästa steg.After the Assigning blueprint definition succeeded portal notification appears, go to the next step.

Inspektera resurser som distribueras av tilldelningenInspect resources deployed by the assignment

Tilldelningen skapar resurs gruppen TestingBPLocks och det lagrings konto som distribueras av arm-mallens artefakt.The assignment creates the resource group TestingBPLocks and the storage account deployed by the ARM template artifact. Den nya resurs gruppen och det valda lås läget visas på sidan tilldelnings information.The new resource group and the selected lock state are shown on the assignment details page.

  1. Välj Alla tjänster i den vänstra rutan.Select All services in the left pane. Sök efter och välj Skisser.Search for and select Blueprints.

  2. Välj sidan tilldelade ritningar till vänster.Select the Assigned blueprints page on the left. Använd filtren för att hitta tilldelningen-låsta-storageaccount-TestingBPLocks skiss tilldelning och markera den.Use the filters to find the assignment-locked-storageaccount-TestingBPLocks blueprint assignment, and then select it.

    Från den här sidan kan vi se att tilldelningen lyckades och att resurserna har distribuerats med det nya ritnings lås läget.From this page, we can see that the assignment succeeded and that the resources were deployed with the new blueprint lock state. Om tilldelningen uppdateras visas information om distributionen av varje definitions version i list rutan tilldelnings åtgärd .If the assignment is updated, the Assignment operation drop-down shows details about the deployment of each definition version. Du kan välja resurs gruppen för att öppna egenskaps sidan.You can select the resource group to open the property page.

  3. Välj resurs gruppen TestingBPLocks .Select the TestingBPLocks resource group.

  4. Välj åtkomst kontroll sidan (IAM) till vänster.Select the Access control (IAM) page on the left. Välj sedan fliken roll tilldelningar .Then select the Role assignments tab.

    Här ser vi att roll tilldelningen Locked-storageaccount-TestingBPLocks har ägar rollen.Here we see that the assignment-locked-storageaccount-TestingBPLocks blueprint assignment has the Owner role. Den har rollen eftersom den här rollen användes för att distribuera och låsa resurs gruppen.It has this role because this role was used to deploy and lock the resource group.

  5. Välj fliken neka tilldelningar .Select the Deny assignments tab.

    Skiss tilldelningen skapade en neka-tilldelning på den distribuerade resurs gruppen för att tvinga det skrivskyddade utkast låset.The blueprint assignment created a deny assignment on the deployed resource group to enforce the Read Only blueprint lock mode. Neka-tilldelningen hindrar någon med lämpliga rättigheter på fliken roll tilldelningar från att vidta vissa åtgärder.The deny assignment prevents someone with appropriate rights on the Role assignments tab from taking specific actions. Neka-tilldelningen påverkar alla huvud konton.The deny assignment affects All principals.

    Information om hur du undantar ett huvud konto från en neka-tilldelning finns i resurs låsning.For information about excluding a principal from a deny assignment, see blueprints resource locking.

  6. Välj neka tilldelning och välj sedan sidan nekade behörigheter till vänster.Select the deny assignment, and then select the Denied Permissions page on the left.

    Neka-tilldelningen förhindrar alla åtgärder med * - Åtgärds konfigurationen, men den tillåter Läs åtkomst genom att exkludera ** * /Read** via NotActions.The deny assignment is preventing all operations with the * and Action configuration, but it allows read access by excluding */read via NotActions.

  7. I Azure Portal dynamiska länkar väljer du TestingBPLocks-Access Control (IAM).In the Azure portal breadcrumb, select TestingBPLocks - Access control (IAM). Välj sedan sidan Översikt till vänster och sedan knappen ta bort resurs grupp .Then select the Overview page on the left and then the Delete resource group button. Ange namnet TestingBPLocks för att bekräfta borttagningen och välj sedan ta bort längst ned i fönstret.Enter the name TestingBPLocks to confirm the delete and then select Delete at the bottom of the pane.

    Det gick inte att ta bort resurs gruppen TestingBPLocks .The portal notification Delete resource group TestingBPLocks failed appears. Felet anger att även om ditt konto har behörighet att ta bort resurs gruppen nekas åtkomst av skiss tilldelningen.The error states that although your account has permission to delete the resource group, access is denied by the blueprint assignment. Kom ihåg att vi valde lås läget skrivskyddad skiss under skiss tilldelningen.Remember that we selected the Read Only blueprint lock mode during blueprint assignment. Skiss låset förhindrar ett konto med behörighet, till och med ägare, från att ta bort resursen.The blueprint lock prevents an account with permission, even Owner, from deleting the resource. Mer information finns i Låsa skissresurser.For more information, see blueprints resource locking.

De här stegen visar att våra distribuerade resurser nu skyddas med skiss lås som förhindrar oönskad borttagning, även från ett konto som har behörighet att ta bort resurserna.These steps show that our deployed resources are now protected with blueprint locks that prevent unwanted deletion, even from an account that has permission to delete the resources.

Ta bort tilldelningen av skissenUnassign the blueprint

Det sista steget är att ta bort skiss definitionens tilldelning.The last step is to remove the assignment of the blueprint definition. Om du tar bort tilldelningen tas inte de associerade artefakterna bort.Removing the assignment doesn't remove the associated artifacts.

  1. Välj Alla tjänster i den vänstra rutan.Select All services in the left pane. Sök efter och välj Skisser.Search for and select Blueprints.

  2. Välj sidan tilldelade ritningar till vänster.Select the Assigned blueprints page on the left. Använd filtren för att hitta tilldelningen-låsta-storageaccount-TestingBPLocks skiss tilldelning och markera den.Use the filters to find the assignment-locked-storageaccount-TestingBPLocks blueprint assignment, and then select it.

  3. Välj ta bort tilldelning av skiss högst upp på sidan.Select Unassign blueprint at the top of the page. Läs varningen i bekräftelse dialog rutan och välj sedan OK.Read the warning in the confirmation dialog box, and then select OK.

    När skiss tilldelningen tas bort, tas även Skissernas lås bort.When the blueprint assignment is removed, the blueprint locks are also removed. Resurserna kan återigen tas bort av ett konto med rätt behörighet.The resources can once again be deleted by an account with appropriate permissions.

  4. Välj resurs grupper på Azure-menyn och välj sedan TestingBPLocks.Select Resource groups from the Azure menu, and then select TestingBPLocks.

  5. Välj sidan åtkomst kontroll (IAM) till vänster och välj sedan fliken roll tilldelningar .Select the Access control (IAM) page on the left and then select the Role assignments tab.

Säkerheten för resurs gruppen visar att skiss tilldelningen inte längre har ägar åtkomst.The security for the resource group shows that the blueprint assignment no longer has Owner access.

När du har tagit bort skiss tilldelningen visas ett Portal meddelande i nästa steg.After the Removing blueprint assignment succeeded portal notification appears, go to the next step.

Rensa resurserClean up resources

Ta bort följande resurser när du är klar med den här självstudien:When you're finished with this tutorial, delete these resources:

  • TestingBPLocks för resurs gruppResource group TestingBPLocks
  • Skiss definitionen är låst – storageaccountBlueprint definition locked-storageaccount

Nästa stegNext steps

I den här självstudien har du lärt dig hur du skyddar nya resurser som distribueras med Azure-ritningar.In this tutorial, you've learned how to protect new resources deployed with Azure Blueprints. Om du vill veta mer om Azure-ritningar kan du fortsätta till ritnings livs cykel artikeln.To learn more about Azure Blueprints, continue to the blueprint lifecycle article.