Öğretici: Yeni kaynakları kaynak kilitleriyle Azure Blueprints koruma

  • Makale
  • Okumak için 6 dakika

Kaynak Azure Blueprints ile,sahip rolüne sahip bir hesap tarafından bile yeni dağıtılan kaynakların üzerinde oynanmasını koruyabilirsiniz. Bu korumayı, bir şablon (ARM şablonu) yapıt Azure Resource Manager kaynakların şema tanımlarına eklemek için kullanabilirsiniz. Şema kaynak kilidi, şema ataması sırasında ayarlanır.

Bu öğreticide şu adımları tamamlayabilirsiniz:

  • Şema tanımı oluşturma
  • Şema tanımınızı Yayımlandı olarak işaretleme
  • Şema tanımınızı mevcut bir aboneliğe atama (kaynak kilitlerini ayarlama)
  • Yeni kaynak grubunu inceleme
  • Kilitleri kaldırmak için şemanın atamasını kaldırma

Ön koşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Şema tanımı oluşturma

İlk olarak şema tanımını oluşturun.

  1. Sol bölmede Tüm hizmetler'i seçin. Şemalar’ı arayıp seçin.

  2. Sol tarafta Başlarken sayfasında Şema oluştur altında Oluştur'a tıklayın.

  3. Sayfanın üst kısmında Boş Şema şema örneğini bulun. Boş şemayla başlat'ı seçin.

  4. Temel Bilgiler sekmesine şu bilgileri girin:

    • Şema adı: Şema örneği kopyanız için bir ad girin. Bu öğreticide locked-storageaccount adını kullan kullanıruz.
    • Şema açıklaması: Şema tanımı için bir açıklama ekleyin. Dağıtılan kaynaklarda şema kaynağı kilitlemeyi test etmek için kullanın.
    • Tanım konumu: Üç nokta düğmesini (...) ve sonra şema tanımınızı kaydetmek için yönetim grubunu veya aboneliği seçin.

  5. Sayfanın Artifacts üst kısmında Bulunan Sekme sekmesini seçin veya sayfanın Artifacts Sonraki: Sayfa'ya tıklayın.

  6. Abonelik düzeyinde bir kaynak grubu ekleyin:

    1. Abonelik altında Yapıt ekle'yi seçin.
    2. Yapıt türü altında Kaynak Grubu'nda öğesini seçin.
    3. Yapıt görünen adını RGtoLock olarak ayarlayın.
    4. Kaynak Grubu Adı ve Konum kutularını boş bırakın, ancak dinamik parametreler yapmak için her özellikte onay kutusunun seçili olduğundan emin olun.
    5. Yapıtları şemaya eklemek için Ekle'yi seçin.

  7. Kaynak grubunun altına bir şablon ekleyin:

    1. RGtoLock girişinin altında Yapıt ekle satırı'ı seçin.

    2. Yapıt Azure Resource Manager şablonu seçin, Yapıt görünen adı'ı StorageAccount olarak ayarlayın ve Açıklama alanını boş bırakın.

    3. Şablon sekmesinde aşağıdaki ARM şablonunu düzenleyici kutusuna yapıştırın. Şablonu yapıştırarak yapıtları şemaya eklemek için Ekle'yi seçin.

      Not

      Bu adım, Şema kaynak kilidi tarafından kilitlenmiş olan, ancak Blueprint kaynak kilitlerini içermeden dağıtılacak kaynakları tanımlar. Şema kaynak kilitleri, şema ataması parametresi olarak ayarlanır.

    {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "storageAccountType": {
            "type": "string",
            "defaultValue": "Standard_LRS",
            "allowedValues": [
                "Standard_LRS",
                "Standard_GRS",
                "Standard_ZRS",
                "Premium_LRS"
            ],
            "metadata": {
                "description": "Storage Account type"
            }
        }
    },
    "variables": {
        "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
    },
    "resources": [{
        "type": "Microsoft.Storage/storageAccounts",
        "name": "[variables('storageAccountName')]",
        "location": "[resourceGroup().location]",
        "apiVersion": "2018-07-01",
        "sku": {
            "name": "[parameters('storageAccountType')]"
        },
        "kind": "StorageV2",
        "properties": {}
    }],
    "outputs": {
        "storageAccountName": {
            "type": "string",
            "value": "[variables('storageAccountName')]"
        }
    }
}

  8. Sayfanın alt kısmından Taslağı Kaydet'i seçin.

Bu adım, seçilen yönetim grubunda veya abonelikte şema tanımını oluşturur.

Şema tanımını kaydetme başarılı portal bildirimi görüntülendiğinde, sonraki adıma gidin.

Şema tanımını yayımlama

Şema tanımınız artık ortamınız içinde oluşturulmuş. Taslak modunda oluşturulur ve atanmadan ve dağıtılamadan önce yayımlanır.

  1. Sol bölmede Tüm hizmetler'i seçin. Şemalar’ı arayıp seçin.

  2. Sol taraftaki Blueprint tanımları sayfasını seçin. Kilitli depolama hesabı şema tanımını bulmak için filtreleri kullanın ve seçin.

  3. Sayfanın üst kısmında Şemayı yayımla’yı seçin. Sağ bölmede, Sürüm olarak 1.0 girin. Bu özellik daha sonra değişiklik yapmak için kullanışlıdır. Şema dağıtılan kaynakları kilitlemek için yayımlanan ilk sürüm gibi Değişiklik notları girin. Sayfanın alt kısmında Yayımla düğmesini seçin.

Bu adım, şemayı bir aboneliğe atamayı mümkün yapar. Şema tanımı yayımlandıktan sonra da değişiklik yapabilirsiniz. Değişiklik yaptıysanız, aynı şema tanımının sürümleri arasındaki farkları izlemek için tanımı yeni bir sürüm değeriyle yayımlamanız gerekir.

Şema tanımını yayımlama başarılı portal bildirimi görüntülendiğinde, sonraki adıma gidin.

Şema tanımını atama

Şema tanımı yayımlandıktan sonra, bunu yönetim grubu içindeki bir aboneliğe atayabilirsiniz. Bu adımda, şema tanımının her dağıtımını benzersiz yapmak için parametreler sağlarsiniz.

  1. Sol bölmede Tüm hizmetler'i seçin. Şemalar’ı arayıp seçin.

  2. Sol taraftaki Blueprint tanımları sayfasını seçin. Kilitli depolama hesabı şema tanımını bulmak için filtreleri kullanın ve seçin.

  3. Şema tanımı sayfasının en üstünde Şema ata’yı seçin.

  4. Şema ataması için parametre değerlerini sağlayın:

    • Temel Bilgiler

      • Abonelikler: Şema tanımınızı kaydeden yönetim grubunda yer alan aboneliklerden birini veya daha fazlasını seçin. Birden fazla abonelik seçersiniz, her abonelik için, girersiniz parametreleri kullanılarak bir atama oluşturulur.
      • Atama adı: Ad, şema tanımının adına göre önceden doldurulur. Bu atamanın yeni kaynak grubunun kilitlenmesini temsil etmelerini istediğiniz için atama adını assignment-locked-storageaccount-TestingBPLocks olarak değiştirebilirsiniz.
      • Konum: Yönetilen kimliğin oluşturulacak bölgeyi seçin. Azure Blueprints yönetilen kimliği, atanan şemada tüm yapıtları dağıtmak için kullanır. Daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler. Bu öğretici için, Doğu ABD 2.
      • Şema tanımı sürümü: Şema tanımının yayımlanan 1.0 sürümünü seçin.

    • Atamayı Kilitle

      Salt Okunur şema kilit modunu seçin. Daha fazla bilgi için bkz. şema kaynağı kilitleme.

      Not

      Bu adım, yeni dağıtılan kaynaklarda Blueprint kaynak kilidini yapılandırıyor.

    • Yönetilen Kimlik

      Varsayılan seçeneği kullanın: Sistem tarafından atanan. Daha fazla bilgi için bkz. yönetilen kimlikler.

    • Yapıt parametreleri

      Bu bölümde tanımlanan parametreler, tanımlandığı yapıt için geçerlidir. Bu parametreler, şemanın ataması sırasında tanımlandığı için dinamik parametrelerdir. Her yapıt için parametre değerini Değer sütununda gördüğünüz değere ayarlayın.

      Yapıt adı Yapıt türü Parametre adı Değer Açıklama
      RGtoLock kaynak grubu Kaynak grubu Name TestingBPLocks Şema kilitlerinin uygulanacak yeni kaynak grubunun adını tanımlar.
      RGtoLock kaynak grubu Kaynak grubu Konum Batı ABD 2 Şema kilitlerinin uygulanacak yeni kaynak grubunun konumunu tanımlar.
      StorageAccount Resource Manager şablonu storageAccountType (StorageAccount) Standard_GRS Depolama SKU'su. Varsayılan değer olarak Standard_LRS.

  5. Tüm parametreleri girdikten sonra sayfanın alt kısmından Ata'ya tıklayın.

Bu adım tanımlı kaynakları dağıtır ve seçilen Atamayı Kilitle'yi yapılandırr. Şema kilitlerinin uygulanarak 30 dakika kadar sürebilir.

Şema tanımı başarılı olarak atanıyor portal bildirimi görüntülendiğinde, sonraki adıma gidin.

Atama tarafından dağıtılan kaynakları inceleme

Atama, TestingBPLocks kaynak grubunu ve ARM şablonu yapıt tarafından dağıtılan depolama hesabını oluşturur. Yeni kaynak grubu ve seçilen kilit durumu atama ayrıntıları sayfasında gösterilir.

  1. Sol bölmede Tüm hizmetler'i seçin. Şemalar’ı arayıp seçin.

  2. Sol tarafta Atanan şemalar sayfasını seçin. filtreleri kullanarak assignment-locked-storageaccount-TestingBPLocks şema ataması bulun ve seçin.

    Bu sayfada atamanın başarılı olduğunu ve kaynakların yeni şema kilidi durumuyla dağıtıldığından bunu görebiliriz. Atama güncelleştirilirse, Atama işlemi açılan listesinde her tanım sürümünün dağıtımıyla ilgili ayrıntılar görüntülenir. Kaynak grubunu seçerek özellik sayfasını açabilirsiniz.

  3. TestingBPLocks kaynak grubunu seçin.

  4. Sol tarafta Erişim denetimi (IAM) sayfasını seçin. Ardından Rol atamaları sekmesini seçin.

    Burada assignment-locked-storageaccount-TestingBPLocks şema atamasında Sahip rolü olduğunu görüyoruz. Bu rol, kaynak grubunu dağıtmak ve kilitlemek için kullanılan rol olduğundan bu role sahip.

  5. Atamaları reddet sekmesini seçin.

    Şema ataması, Salt Okunur şema kilit modunu zorlamak için dağıtılan kaynak grubunda bir reddetme ataması oluşturdu. Reddetme ataması, Rol atamaları sekmesinde uygun haklara sahip bir kişinin belirli eylemlerde yer almalarını önler. Reddetme ataması Tüm sorumluları etkiler.

    Sorumluları reddetme atamalarından dışlama hakkında bilgi için bkz. şema kaynak kilitleme.

  6. Reddetme ataması'nın ardından sol tarafta Reddedilen İzinler sayfasını seçin.

    Reddetme ataması _ ve * _ Eylem yapılandırmasıyla tüm işlemleri engellemektedir, ancak NotActions aracılığıyla * /read öğesini dışlayarak okuma erişimine izin verir.

  7. Uygulamanın Azure portal TestBPLocks - Erişim denetimi (IAM) öğesini seçin. Ardından sol tarafta Genel Bakış sayfasını ve ardından Kaynak grubunu sil düğmesini seçin. Silme işlemini onaylamak için TestingBPLocks adını girin ve bölmenin alt kısmında Sil'i seçin.

    Portal bildirimi TestBPLocks başarısız oldu kaynak grubunu silme görüntülenir. Hatada, hesabınız kaynak grubunu silme iznine sahip olsa da şema ataması tarafından erişim reddedilir. Şema ataması sırasında Salt Okunur şema kilidi modunu seçtiğinizi unutmayın. Şema kilidi, izni olan bir hesabın (Sahip) bile kaynağı silerek silinmesini önler. Daha fazla bilgi için bkz. şema kaynağı kilitleme.

Bu adımlar, dağıtılan kaynaklarımızın artık kaynakları silme izni olan bir hesaptan bile istenmeden silinmesini önleyen şema kilitleriyle korunmakta olduğunu gösterir.

Şemanın atamasını geri ala

Son adım, şema tanımının atamayı kaldırmak olacak. Atamanın kaldırılması ilişkili yapıtları kaldırmaz.

  1. Sol bölmede Tüm hizmetler'i seçin. Şemalar’ı arayıp seçin.

  2. Sol tarafta Atanan şemalar sayfasını seçin. filtreleri kullanarak assignment-locked-storageaccount-TestingBPLocks şema ataması bulun ve seçin.

  3. Sayfanın üst kısmında Şema atamasını geri at'ı seçin. Onay iletişim kutusundaki uyarıyı okuyun ve Tamam'ı seçin.

    Şema ataması kaldırıldığı zaman şema kilitleri de kaldırılır. Kaynaklar bir kez daha uygun izinlere sahip bir hesap tarafından silinebilir.

  4. Azure menüsünden Kaynak grupları'ı ve ardından TestingBPLocks'u seçin.

  5. Sol tarafta Erişim denetimi (IAM) sayfasını ve ardından Rol atamaları sekmesini seçin.

Kaynak grubunun güvenliği, şema ataması artık Sahip erişimine sahip olmadığını gösterir.

Şema ataması kaldırıldı başarılı portal bildirimi görüntülendiğinde, sonraki adıma gidin.

Kaynakları temizleme

Bu öğreticiyi bitirdikten sonra şu kaynakları silin:

  • Kaynak grubu TestingBPLocks
  • Şema tanımı kilitli depolama hesabı

Sonraki adımlar

Bu öğreticide, yeni dağıtılan kaynakları kaynak kaynaklarıyla korumayı Azure Blueprints. Daha fazla bilgi Azure Blueprints şema yaşam döngüsü makalesine devam edin.

Şema yaşam döngüsü hakkında bilgi