描述資源鎖定的用途
資源鎖定可防止意外刪除或變更資源。
即使 Azure 角色型存取控制 (Azure RBAC) 原則已就位,具有適當存取層級的人員仍然可能會刪除重要的雲端資源。 資源鎖定會根據鎖定的類型,防止資源遭到刪除或更新。 資源鎖定可以套用至個別資源、資源群組,甚至是整個訂用帳戶。 資源鎖定是繼承的,表示如果您在資源群組上設置了資源鎖定,資源群組中所有的資源也都會套用資源鎖定。
資源鎖定的類型
資源鎖定有兩種,一種可防止使用者刪除資源,另一種可防止使用者變更或刪除資源。
- Delete 表示經過授權的使用者仍然可以讀取和修改資源,但無法刪除資源。
- ReadOnly 表示經過授權的使用者可以讀取資源,但無法刪除或更新資源。 套用這個鎖定類似於限制所有經過授權使用者的權限是由「讀取者」角色所授與。
如何管理資源鎖定?
您可以從 Azure 入口網站、PowerShell、Azure CLI 或 Azure Resource Manager 範本管理資源鎖定。
若要在 Azure 入口網站中檢視、新增或刪除鎖定,請前往 Azure 入口網站中任何資源 [設定] 窗格的 [設定] 區段。
如何刪除或變更已鎖定的資源?
雖然鎖定有助於防止意外變更,但您仍然可以遵循兩個步驟的程序來進行變更。
若要修改已鎖定的資源,您必須先移除鎖定。 移除鎖定之後,您可以套用有權執行的任何動作。 無論 RBAC 權限為何,都會套用資源鎖定。 即使您是某項資源的擁有者,您仍然必須先移除鎖定,才能執行封鎖的活動。