教學課程:從藍圖範例建立環境

  • 發行項

重要

2026 年 7 月 11 日,藍圖 (Preview) 即將淘汰。 將現有的藍圖定義和指派遷移至 範本規格部署堆疊。 藍圖成品會轉換成 ARM JSON 範本或用來定義部署堆疊的 Bicep 檔案。 若要瞭解如何將成品撰寫為 ARM 資源,請參閱:

藍圖範例會舉例說明可使用 Azure 藍圖來完成的工作。 這些範例各自都有特定目的或用途,但其本身並無法建立完整的環境。 其目的是作為起點,以探索如何使用由所含成品、設計和參數所組合而成的各種 Azure 藍圖。

下列教學課程會使用具有 RBAC 的資源群組藍圖範例,來展示 Azure 藍圖服務的不同層面。 本文涵蓋下列步驟:

  • 從範例建立新的藍圖定義
  • 將您的範例複本標記為已發佈
  • 將您的藍圖複本指派給現有的訂用帳戶
  • 檢查為指派部署的資源
  • 取消指派藍圖來移除鎖定

Prerequisites

若要完成此教學課程,您需要 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

從範例建立藍圖定義

首先,請實作藍圖範例。 匯入作業會根據此範例在您的環境中建立新的藍圖。

  1. 在左側窗格中選取 [所有服務] 。 搜尋並選取 [藍圖]

  2. 在左側的 [快速入門] 頁面上,選取 [建立藍圖] 下方的 [建立] 按鈕。

  3. 在 [其他範例] 下方尋找 [具有 RBAC 的資源群組] 藍圖範例,然後將其選取。

  4. 輸入藍圖範例的 [基本資料] :

    • 藍圖名稱:為您的藍本範例複本提供名稱。 在本教學課程中,我們使用的名稱是「two-rgs-with-role-assignments」 。
    • 定義位置:使用省略符號,然後選取要作為範例複本儲存位置的管理群組或訂用帳戶。

  5. 在頁面頂端選取 [成品] 索引標籤,或在頁面底部選取 [下一步:成品]

  6. 檢閱構成此藍圖範例的成品清單。 這個範例會定義兩個資源群組,其顯示名稱分別為「ProdRG」 和「PreProdRG」 。 在指派藍圖期間會設定每個資源群組的最終名稱和位置。 「ProdRG」 資源群組會獲派「參與者」 角色,「PreProdRG」 資源群組則會獲派「擁有者」 和「讀取者」 角色。 定義中所指派的角色是靜態的,但獲派該角色的使用者、應用程式或群組則是在藍圖指派期間進行設定的。

  7. 當您檢閱完藍圖範例時,請選取 [儲存草稿] 。

此步驟會在選取的管理群組或訂用帳戶中建立藍圖範例定義的複本。 所儲存的藍圖定義若要進行管理,方法和從頭開始建立的藍圖一樣。 您可以視需要將範例儲存至管理群組或訂用帳戶,次數不限。 不過,您必須為每個複本提供唯一的名稱。

出現成功儲存藍圖定義的入口網站通知後,請移至下一個步驟。

發佈範例複本

您的環境中現已建立了藍圖範例複本。 該複本會以草稿模式建立,而且必須先發佈,才能進行指派和部署。 您可以根據環境和需求來自訂藍圖範例複本。 在本教學課程中,我們不會進行任何變更。

  1. 在左側窗格中選取 [所有服務] 。 搜尋並選取 [藍圖]

  2. 選取左側的 [藍圖定義] 頁面。 使用篩選來尋找「two-rgs-with-role-assignments」 藍圖定義,然後加以選取。

  3. 選取頁面頂端的 [發佈藍圖] 。 在右側的新窗格中,提供「1.0」 作為藍圖範例複本的 [版本] 。 如果您稍後會進行修改,此屬性十分實用。 提供變更附註 (例如「從 RBAC 藍圖範例的資源群組發佈的第一個版本」),然後,選取頁面底部的 [發佈]。

此步驟可讓您將藍圖指派給訂用帳戶。 發佈之後,仍可進行變更。 進行其他變更時,需要以新的 [版本] 值來發佈,如此才能追蹤相同藍圖定義的各版本差異。

出現成功發佈藍圖定義的入口網站通知後,請移至下一個步驟。

指派範例複本

成功發佈藍圖範例複本後,可以將藍圖定義指派給其所在管理群組中的訂用帳戶。 此步驟用於提供參數,以建立每個專屬的藍圖範例複本部署。

  1. 在左側窗格中選取 [所有服務]。 搜尋並選取 [藍圖]

  2. 選取左側的 [藍圖定義] 頁面。 使用篩選來尋找「two-rgs-with-role-assignments」 藍圖定義,然後加以選取。

  3. 選取藍圖定義頁面頂端的 [指派藍圖] 。

  4. 提供用於指派藍圖的參數值:

    • 基本概念

      • 訂用帳戶:在用來儲存藍圖範例複本的管理群組中,選取一或多個訂用帳戶。 如果您選取多個訂用帳戶,輸入的參數就會用來為每個訂用帳戶建立指派。
      • 指派名稱:名稱會根據藍圖定義名稱預先填入。
      • 位置:選取要在其中建立受控識別的區域。 Azure 藍圖會使用此受控識別,在指派的藍圖中部署所有成品。 若要深入了解,請參閱適用於 Azure 資源的受控識別。 在本教學課程中,我們選取 [美國東部 2] 。
      • 藍圖定義版本:選取 [1.0] 作為藍圖範例定義複本的 [已發佈] 版本。

    • 鎖定指派

      選取 [唯讀] 藍圖鎖定模式。 如需詳細資訊,請參閱藍圖資源鎖定

    • 受控識別

      保留預設的 [系統指派] 選項。 如需詳細資訊,請參閱受控識別

    • 構件參數

      本節中定義的參數會套用至其定義所屬的成品。 這些參數是動態參數,因為定義於藍圖指派期間。 針對 [值] 資料行中定義的內容,為每個成品設定參數值。 針對 {Your ID},請選取 Azure 使用者帳戶。

      成品名稱 成品類型 參數名稱 描述
      ProdRG 資源群組 資源群組 名稱 ProductionRG 定義第一個資源群組的名稱。
      ProdRG 資源群組 資源群組 Location 美國西部 2 設定第一個資源群組的位置。
      參與者 角色指派 使用者或群組 {您的識別碼} 定義要對第一個資源群組內的哪些使用者或群組授與「參與者」 角色指派。
      PreProdRG 資源群組 資源群組 名稱 PreProductionRG 定義第二個資源群組的名稱。
      PreProdRG 資源群組 資源群組 Location 美國西部 設定第二個資源群組的位置。
      擁有者 角色指派 使用者或群組 {您的識別碼} 定義要對第二個資源群組內的哪些使用者或群組授與「擁有者」 角色指派。
      讀取者 角色指派 使用者或群組 {您的識別碼} 定義要對第二個資源群組內的哪些使用者或群組授與「讀取者」 角色指派。

  5. 輸入所有參數後,選取頁面底部的 [指派] 。

此步驟會部署已定義的資源,並設定所選的 [鎖定指派] 。 套用藍圖鎖定可能需要 30 分鐘的時間。

出現成功指派藍圖定義的入口網站通知後,請移至下一個步驟。

檢查指派所部署的資源

藍圖指派會建立藍圖定義中所定義的成品,並加以追蹤。 從 [藍圖指派] 頁面和直接查看資源皆可查看資源的狀態。

  1. 在左側窗格中選取 [所有服務] 。 搜尋並選取 [藍圖]。

  2. 選取左側的 [指派的藍圖] 頁面。 使用篩選來尋找「Assignment-two-rgs-with-role-assignments」 藍圖指派,然後加以選取。

    在這個頁面中,我們可以看到指派已成功建立,並可看到所建立資源的清單及其藍圖鎖定狀態。 如果更新指派,則 [指派作業] 下拉式清單會顯示每個定義版本的部署詳細資料。 所列出的每個已建立資源均可點按,並於選取後開啟該資源屬性頁面。

  3. 選取 [ProductionRG] 資源群組。

    我們會看到資源群組的名稱是 ProductionRG,而不是成品的顯示名稱「ProdRG」 。 此名稱會符合藍圖指派期間所設定的值。

  4. 選取左側的 [存取控制 (IAM)] 頁面,然後選取 [角色指派] 索引標籤。

    在這裡,我們會看到您的帳戶已獲得「參與者」 角色,且範圍為「此資源」 。 我們使用「Assignment-two-rgs-with-role-assignments」 藍圖指派來建立該資源群組,因此這個藍圖指派具有「擁有者」 角色。 這些權限也會用來管理具有所設定藍圖鎖定的資源。

  5. 從 Azure 入口網站的階層連結選取 [Assignment-two-rgs-with-role-assignments] 來返回上一頁,然後選取 [PreProductionRG] 資源群組。

  6. 選取左側的 [存取控制 (IAM)] 頁面,然後選取 [角色指派] 索引標籤。

    在這裡,我們會看到您的帳戶已同時獲得「擁有者」 和「讀取者」 角色,且這兩個角色的範圍皆為「此資源」 。 和第一個資源群組一樣,此藍圖指派也有「擁有者」 角色。

  7. 選取 [拒絕指派] 索引標籤。

    藍圖指派已在部署的資源群組上建立拒絕指派,進而強制執行「唯讀」 鎖定模式。 針對在 [角色指派] 索引標籤上具有適當權限的人員,拒絕指派可阻止他們採取特定動作。 拒絕指派會影響「所有主體」 。

  8. 選取 [拒絕指派],然後選取左側的 [拒絕的權限] 頁面。

    拒絕指派會阻止所有使用 * 的作業和動作設定,但允許透過 NotActions 排除 /read 來允許讀取存取。

  9. 從 Azure 入口網站的階層連結中,選取 [PreProductionRG - 存取控制 (IAM)] 。 然後選取左側的 [概觀] 頁面,然後選取 [刪除資源群組] 按鈕。 輸入「PreProductionRG」 名稱以確認刪除,然後選取窗格底部的 [刪除] 。

    無法刪除 PreProductionRG 資源群組的入口網站通知會隨即出現。 該錯誤表示,雖然您的帳戶有權刪除資源群組,但藍圖指派拒絕了您的存取。 別忘了,我們已在藍圖指派期間選取「唯讀」 藍圖鎖定模式。 藍圖鎖定會阻止具有權限的帳戶 (甚至是「擁有者」 權限) 刪除資源。 如需詳細資訊,請參閱藍圖資源鎖定

這些步驟說明我們的資源已依照定義加以建立,且該藍圖可防止意外的刪除動作,甚至是具有權限的帳戶也無法刪除資源。

取消指派藍圖

最後一個步驟是要移除藍圖的指派和其所部署的資源。 移除指派並不會移除所部署的成品。

  1. 在左側窗格中選取 [所有服務] 。 搜尋並選取 [藍圖]。

  2. 選取左側的 [指派的藍圖] 頁面。 使用篩選來尋找「Assignment-two-rgs-with-role-assignments」 藍圖指派,然後加以選取。

  3. 選取頁面頂端的 [取消指派藍圖] 按鈕。 閱讀確認對話方塊中的警告,然後選取 [確定] 。

    移除藍圖指派後,藍圖鎖定也會一併移除。 具有權限的帳戶可再次刪除已建立的資源。

  4. 從 Azure 功能表選取 [資源群組] ,然後選取 [ProductionRG] 。

  5. 選取左側的 [存取控制 (IAM)] 頁面,然後選取 [角色指派] 索引標籤。

每個資源群組的安全性仍會具有所部署的角色指派,但藍圖指派則不再具有「擁有者」存取權。

出現成功移除藍圖指派的入口網站通知後,請移至下一個步驟。

清除資源

完成本教學課程後,請刪除下列資源:

  • ProductionRG 資源群組
  • PreProductionRG 資源群組
  • two-rgs-with-role-assignments 藍圖定義

後續步驟

在本教學課程中,您已了解如何從範例定義建立新的藍圖。 若要深入了解 Azure 藍圖,請繼續閱讀藍圖生命週期文章。

了解藍圖生命週期