Självstudie: Skydda nya resurser Azure Blueprints resurslås

  • Artikel
  • 7 minuter för att läsa

Med Azure Blueprints resurslåskan du skydda nyligen distribuerade resurser från att manipuleras, även av ett konto med rollen Ägare. Du kan lägga till det här skyddet i skissdefinitionerna för resurser som skapats av en Azure Resource Manager(ARM-mall)-artefakt. Resurslåset för skissen ställs in under skisstilldelningen.

I den här självstudien utför du följande steg:

  • Skapa en skissdefinition
  • Markera skissdefinitionen som Publicerad
  • Tilldela skissdefinitionen till en befintlig prenumeration (ange resurslås)
  • Granska den nya resursgruppen
  • Ta bort tilldelning av skissen för att ta bort låsen

Krav

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Skapa en skissdefinition

Skapa först skissdefinitionen.

  1. Välj Alla tjänster i den vänstra rutan. Sök efter och välj Skisser.

  2. På sidan Komma igång till vänster väljer du Skapa under Skapa en skiss.

  3. Leta reda på skissexempel för tom skiss överst på sidan. Välj Börja med en tom skiss.

  4. Ange den här informationen på fliken Grundläggande inställningar:

    • Skissnamn: Ange ett namn på din kopia av skissexempel. I den här självstudien använder vi namnet locked-storageaccount.
    • Skissbeskrivning: Lägg till en beskrivning för skissdefinitionen. Använd för att testa skissresurslåsning på distribuerade resurser.
    • Definitionsplats: Välj ellipsknappen (...) och välj sedan den hanteringsgrupp eller prenumeration som skissdefinitionen ska sparas i.

  5. Välj fliken Artefakter överst på sidan eller välj Nästa: Artefakter längst ned på sidan.

  6. Lägg till en resursgrupp på prenumerationsnivå:

    1. Välj raden Lägg till artefakt under Prenumeration.
    2. Välj Resursgrupp under Artefakttyp.
    3. Ange Visningsnamn för artefakt till RGtoLock.
    4. Lämna rutorna Resursgruppsnamn och Plats tomma, men se till att kryssrutan är markerad för varje egenskap så att de blir dynamiska parametrar.
    5. Välj Lägg till för att lägga till artefakten i skissen.

  7. Lägg till en mall under resursgruppen:

    1. Välj raden Lägg till artefakt under posten RGtoLock.

    2. Välj Azure Resource Manager under Artefakttyp, ange Visningsnamn för artefakt till LagringKonto och lämna Beskrivning tomt.

    3. Klistra in följande ARM-mall i redigeringsrutan på fliken Mall. När du har klistrat in mallen väljer du Lägg till för att lägga till artefakten i skissen.

      Anteckning

      Det här steget definierar de resurser som ska distribueras som låses av skissresurslåset, men som inte innehåller resurslåsen för skissen. Resurslås för skisser anges som en parameter för skisstilldelningen.

    {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "storageAccountType": {
            "type": "string",
            "defaultValue": "Standard_LRS",
            "allowedValues": [
                "Standard_LRS",
                "Standard_GRS",
                "Standard_ZRS",
                "Premium_LRS"
            ],
            "metadata": {
                "description": "Storage Account type"
            }
        }
    },
    "variables": {
        "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
    },
    "resources": [{
        "type": "Microsoft.Storage/storageAccounts",
        "name": "[variables('storageAccountName')]",
        "location": "[resourceGroup().location]",
        "apiVersion": "2018-07-01",
        "sku": {
            "name": "[parameters('storageAccountType')]"
        },
        "kind": "StorageV2",
        "properties": {}
    }],
    "outputs": {
        "storageAccountName": {
            "type": "string",
            "value": "[variables('storageAccountName')]"
        }
    }
}

  8. Välj Spara utkast längst ned på sidan.

Det här steget skapar skissdefinitionen i den valda hanteringsgruppen eller prenumerationen.

När portalmeddelandet Saving blueprint definition succeeded (Spara skissdefinitionen lyckades) visas går du till nästa steg.

Publicera skissdefinitionen

Skissdefinitionen har nu skapats i din miljö. Den skapas i utkastläge och måste publiceras innan den kan tilldelas och distribueras.

  1. Välj Alla tjänster i den vänstra rutan. Sök efter och välj Skisser.

  2. Välj sidan Skissdefinitioner till vänster. Använd filtren för att hitta skissdefinitionen locked-storageaccount och välj den sedan.

  3. Välj Publicera skiss överst på sidan. I det nya fönstret till höger anger du 1.0 som Version. Den här egenskapen är användbar om du gör en ändring senare. Ange Ändra anteckningar, till exempel Första versionen som publicerats för att låsa skiss distribuerade resurser. Välj därefter Publicera längst ned på sidan.

Det här steget gör det möjligt att tilldela skissen till en prenumeration. När skissdefinitionen har publicerats kan du fortfarande göra ändringar. Om du gör ändringar måste du publicera definitionen med ett nytt versionsvärde för att spåra skillnaderna mellan versioner av samma skissdefinition.

När portalmeddelandet Publiceringsskissdefinitionen lyckades visas går du till nästa steg.

Tilldela skissdefinitionen

När skissdefinitionen har publicerats kan du tilldela den till en prenumeration i hanteringsgruppen där du sparade den. I det här steget anger du parametrar för att göra varje distribution av skissdefinitionen unik.

  1. Välj Alla tjänster i den vänstra rutan. Sök efter och välj Skisser.

  2. Välj sidan Skissdefinitioner till vänster. Använd filtren för att hitta skissdefinitionen locked-storageaccount och välj den sedan.

  3. Välj Tilldela skiss överst på skissdefinitionssidan.

  4. Ange parametervärden för skisstilldelningen:

    • Grundläggande inställningar

      • Prenumerationer: Välj en eller flera av de prenumerationer som finns i hanteringsgruppen där du sparade skissdefinitionen. Om du väljer mer än en prenumeration skapas en tilldelning för varje prenumeration med hjälp av de parametrar som du anger.
      • Tilldelningsnamn: Namnet fylls i i förväg baserat på namnet på skissdefinitionen. Vi vill att den här tilldelningen ska representera låsning av den nya resursgruppen, så ändra tilldelningsnamnet till assignment-locked-storageaccount-TestingBPLocks.
      • Plats: Välj en region där du vill skapa den hanterade identiteten. Azure Blueprints använder den här hanterade identiteten för att distribuera alla artefakter i den tilldelade skissen. Mer information finns i Hanterade identiteter för Azure-resurser. För den här självstudien väljer du USA, östra 2.
      • Skissdefinitionsversion: Välj den publicerade versionen 1.0 av skissdefinitionen.

    • Lås tilldelning

      Välj skrivskyddade skisslåsläge. Mer information finns i Låsa skissresurser.

      Anteckning

      Det här steget konfigurerar skissresurslåset för de nyligen distribuerade resurserna.

    • Hanterad identitet

      Använd standardalternativet: System tilldelad. Mer information finns i Hanterade identiteter.

    • Artefaktparametrar

      Parametrarna som definieras i det här avsnittet gäller för artefakten som de definieras under. Dessa parametrar är dynamiska parametrar eftersom de definieras under tilldelningen av skissen. För varje artefakt anger du parametervärdet till det du ser i kolumnen Värde.

      Artefaktnamn Artefakttyp Parameternamn Värde Beskrivning
      RGtoLock-resursgrupp Resursgrupp Name TestaBPLocks Definierar namnet på den nya resursgruppen som skisslås ska tillämpas på.
      RGtoLock-resursgrupp Resursgrupp Plats USA, västra 2 Definierar platsen för den nya resursgruppen som skisslås ska tillämpas på.
      StorageAccount Resource Manager-mall storageAccountType (StorageAccount) Standard_GRS Lagrings-SKU:n. Standardvärdet är Standard_LRS.

  5. När du har angett alla parametrar väljer du Tilldela längst ned på sidan.

Det här steget distribuerar de definierade resurserna och konfigurerar den valda låstilldelningen. Det kan ta upp till 30 minuter att tillämpa skisslås.

När portalmeddelandet Assigning blueprint definition succeeded (Tilldela skissdefinitionen lyckades) visas går du till nästa steg.

Granska resurser som distribueras av tilldelningen

Tilldelningen skapar resursgruppen TestingBPLocks och lagringskontot som distribueras av ARM-mallartefakten. Den nya resursgruppen och det valda låstillståndet visas på sidan med tilldelningsinformation.

  1. Välj Alla tjänster i den vänstra rutan. Sök efter och välj Skisser.

  2. Välj sidan Tilldelade skisser till vänster. Använd filtren för att hitta skisstilldelningen assignment-locked-storageaccount-TestingBPLocks och välj den sedan.

    På den här sidan kan vi se att tilldelningen lyckades och att resurserna har distribuerats med det nya skisslåstillståndet. Om tilldelningen uppdateras visar listrutan Tilldelningsåtgärd information om distributionen av varje definitionsversion. Du kan välja resursgruppen för att öppna egenskapssidan.

  3. Välj resursgruppen TestingBPLocks.

  4. Välj sidan Åtkomstkontroll (IAM) till vänster. Välj sedan fliken Rolltilldelningar.

    Här ser vi att skisstilldelningen assignment-locked-storageaccount-TestingBPLocks har rollen Ägare. Den har den här rollen eftersom den här rollen användes för att distribuera och låsa resursgruppen.

  5. Välj fliken Neka tilldelningar.

    Skisstilldelningen skapade en tilldelningsnekande för den distribuerade resursgruppen för att framtvinga låsläget skrivskyddad skiss. Neka-tilldelningen förhindrar att någon med lämpliga rättigheter på fliken Rolltilldelningar vidtar specifika åtgärder. Tilldelningsnekanden påverkar Alla huvudnamn.

    Information om hur du exkluderar ett huvudnamn från en tilldelningsnekande finns i Resurslåsning för skisser.

  6. Välj tilldelningsnekanden och välj sedan sidan Nekade behörigheter till vänster.

    Tilldelningsnekanden förhindrar alla åtgärder med åtgärdskonfigurationen _ och * _ men tillåter läsåtkomst genom att * exkludera /read via NotActions.

  7. I Azure Portal du TestingBPLocks - Access control (IAM). Välj sedan sidan Översikt till vänster och sedan knappen Ta bort resursgrupp. Ange namnet TestingBPLocks för att bekräfta borttagningen och välj sedan Ta bort längst ned i fönstret.

    Portalmeddelandet Ta bort resursgrupp TestingBPLocks misslyckades visas. Felet säger att även om ditt konto har behörighet att ta bort resursgruppen nekas åtkomst av skisstilldelningen. Kom ihåg att vi valde låsläget Skrivskyddade skisser under skisstilldelningen. Skisslåset förhindrar att ett konto med behörighet, även ägare, tar bort resursen. Mer information finns i Låsa skissresurser.

De här stegen visar att våra distribuerade resurser nu skyddas med skisslås som förhindrar oönskad borttagning, även från ett konto som har behörighet att ta bort resurserna.

Ta bort tilldelning av skissen

Det sista steget är att ta bort tilldelningen av skissdefinitionen. När du tar bort tilldelningen tas inte de associerade artefakterna bort.

  1. Välj Alla tjänster i den vänstra rutan. Sök efter och välj Skisser.

  2. Välj sidan Tilldelade skisser till vänster. Använd filtren för att hitta skisstilldelningen assignment-locked-storageaccount-TestingBPLocks och välj den sedan.

  3. Välj Ta bort tilldelning av skiss överst på sidan. Läs varningen i bekräftelsedialogrutan och välj sedan OK.

    När skisstilldelningen tas bort tas även skisslåsen bort. Resurserna kan återigen tas bort av ett konto med rätt behörigheter.

  4. Välj Resursgrupper på Azure-menyn och välj sedan TestingBPLocks.

  5. Välj sidan Åtkomstkontroll (IAM) till vänster och välj sedan fliken Rolltilldelningar.

Säkerheten för resursgruppen visar att skisstilldelningen inte längre har ägaråtkomst.

När portalmeddelandet Ta bort skisstilldelningen lyckades visas går du till nästa steg.

Rensa resurser

När du är klar med den här självstudien tar du bort följande resurser:

  • ResursgruppstestningBPLocks
  • Skissdefinition med låst lagringskonto

Nästa steg

I den här självstudien har du lärt dig hur du skyddar nya resurser som distribueras med Azure Blueprints. Om du vill veta mer Azure Blueprints kan du fortsätta till artikeln om livscykeln för en skiss.

Lär dig mer om livscykeln för en skiss