Kaynakları korumak için kaynak kilitlerini kullanma

  • 7 dakika

Son konuşmalarınızdan birinde yöneticiniz kritik Azure kaynaklarının yanlışlıkla silinmesi durumlarıyla karşılaşıldığını söyledi. Azure ortamlarında düzensizlik olduğundan, gereksiz kaynakları temizlemeye yönelik iyi niyetler, diğer sistemler için kritik olan kaynakların yanlışlıkla silinmesine neden oldu. Azure’daki kaynak kilitlerini duymuştunuz. Yöneticinize, gelecekte bu tür olayların yaşanmasını önlemeye yardımcı olabileceğinizi söylediniz. Şimdi bu sorunu çözmek için kaynak kilitlerini nasıl kullanabileceğinize bakalım.

Kaynak kilitleri nedir?

Kaynak kilitleri, değişikliği veya silmeyi engellemek için herhangi bir kaynağa uygulayabileceğiniz bir ayardır. Kaynak kilitlerini Sil veya Salt okunur olarak ayarlayabilirsiniz. Delete , kaynağa karşı tüm işlemlere izin verir, ancak silme özelliğini engeller. Salt okuma kaynak üzerinde yalnızca okuma etkinliklerine izin verir; kaynağı değiştirme veya silmeye yönelik tüm işlemleri engeller. Aboneliklere, kaynak gruplarına ve tek tek kaynaklara kaynak kilitleri uygulayabilirsiniz. Kaynak kilitleri daha yüksek düzeylerde uygulandığında devralınır.

Dekont

Salt okunur uygulama beklenmeyen sonuçlara yol açabilir, çünkü okuma işlemleri gibi görünen bazı işlemler aslında ek eylemler gerektirir. Örneğin, depolama hesabına Salt okuma kilidi yerleştirildiğinde tüm kullanıcıların anahtarları listelemesi engellenir. Anahtarları listeleme işlemi bir POST isteği aracılığıyla işlenir çünkü döndürülen anahtarlar yazma işlemlerinde kullanılabilir.

Bir kaynak kilidi uygulandığında, bu etkinliği gerçekleştirmek için önce kilidi kaldırmanız gerekir. Kaynak üzerinde eylem gerçekleştirilmeye izin vermeden önce ek bir adım koyarak, kaynakların yanlışlıkla gerçekleştirilen eylemlerden korunmasına yardımcı olur ve yöneticilerinizin yapmak istemedikleri bir şeyi yapmalarına karşı korunmasına yardımcı olur. Kaynak kilitleri, RBAC izinlerine bakılmaksızın uygulanır. Kaynak sahibi olsanız bile engellenen etkinliği gerçekleştirebilmek için kilidi kaldırmanız gerekir.

Şimdi kaynak kilidinin nasıl çalıştığına bakalım.

Kaynak kilidi oluşturma

msftlearn-core-infrastructure-rg kaynak grubumuzu hatırlayın. Artık iki sanal ağınız ve içinde bir depolama hesabınız var. Bu kaynakları Azure ortamınızın kritik parçaları olarak kabul eder ve yanlışlıkla silinmediğinden emin olmak istersiniz. Kaynak grubunun ve içindeki kaynakların silinmesini engellemek için bu kaynak grubuna bir kaynak kilidi uygulayın.

  1. Henüz açmadıysanız bir web tarayıcısından Azure portala gidin. Üst gezinti çubuğundaki arama kutusunda msftlearn-core-infrastructure-rg araması yapın ve kaynak grubunu seçin.

  2. Sol menüdeki Ayarlar bölümünde Kilitler’i seçin. Şu anda kaynağın kilidi olmadığını görüyor olmalısınız. Bir tane ekleyeceksiniz.

  3. + Ekle'yi seçin. Kilidi BlockDeletion olarak adlandırın ve Kilit türü olarak Silme’yi seçin. Tamam seçeneğini işaretleyin.

    Screenshot of Azure portal showing a new delete resource lock being configured.

    Artık kaynak grubuna grubun silinmesini engelleyen bir kilidiniz var. Kaynak grubu içindeki tüm kaynaklar bu kilidi devraldı. Şimdi sanal ağlardan birini silmeye çalışın ve ne olduğuna bakın.

  4. Genel Bakış'ageri dönün ve msftlearn-vnet1'i seçin.

  5. msftlearn-vnet1 için Genel Bakış bölmesinin üst kısmında Sil'i seçin. Kaynakta silinmesini engelleyen bir kilit olduğunu belirten bir hata alırsınız.

  6. Sol menüdeki Ayarlar bölümünde Kilitler’i seçin. msftlearn-vnet1 kaynak grubundan devralınan bir kilit vardır.

  7. msftlearn-core-infrastructure-rg kaynak grubuna dönün ve Kilitler'e gidin. Temizleyebilmeniz için kilidi kaldıracaksınız. BlockDeletion kilidinde Sil'i seçin.

Uygulamada kaynak kilitlerini kullanma

Kaynak kilitlerinin yanlışlıkla silmeye karşı nasıl koruma sağlayabildiğini gördünüz. Sanal ağı silebilmek için kilidi kaldırmanız gerekti. Bu uyumlu eylem, söz konusu kaynağı gerçekten silmeyi veya değiştirmeyi amaçladığınızdan emin olmanıza yardımcı olur.

Kaynak kilitlerini kullanarak, Azure'ın kaldırılmaları veya değiştirilmeleri kapsamlı bir etkiye neden olabilecek önemli parçalarını koruyabilirsiniz. Bunlara örnek olarak ExpressRoute işlem hatları, sanal ağlar, kritik veritabanları ve etki alanı denetleyicileri verilebilir. Kaynaklarınızı değerlendirin ve yanlışlıkla yapılan eylemlere karşı ek bir koruma katmanına sahip olmak istediğiniz kilitleri uygulayın.

Kaynakları temizleme

Şimdi, oluşturduğumuz kaynakları temizleyelim. Oluşturduğunuz kaynak grubu ile ilke atamasını ve ilke tanımını silmeniz gerekir.

  1. Web tarayıcısında Azure portalına gidin.

  2. Üst menü çubuğundaki arama kutusunda msftlearn-core-infrastructure-rg araması yapın ve kaynak grubunu seçin.

  3. Genel bakış bölmesinde Kaynak grubunu sil'i seçin. Onaylamak için msftlearn-core-infrastructure-rg kaynak grubu adını girin, ardından Sil'i seçin. Silme işlemini onaylamak için Sil'i yeniden seçin.

    Dekont

    Atanan kaynakları içeren kaynak grubuyla sildiğiniz için, bu ilkede hiçbir atama kalmaz. Normalde kaynağa bir ilke atarsanız, burada temel kaynağı silmeden atamayı silebilirsiniz. Bunu yapmak için Atamalar'ı, ödeviniz için üç noktayı (...) ve ödevi sil'i seçersiniz.

  4. Arama kutusunda İlke'yi arayın ve İlke hizmetini seçin.

  5. Tanımlar'ı seçin ve oluşturduğunuz ilkeyi arayın: Kaynakta etiketi zorunlu kılma.

  6. Tanımınız için öğesini ... ve ardından Tanımı sil'i seçin. Silmeyi onaylamak için Evet'i seçin.