Kurz: Ochrana nových prostředků pomocí zámků prostředků Azure Blueprints
Důležité
11. července 2026 budou plány Blueprints (Preview) zastaralé. Migrujte existující definice a přiřazení podrobných plánů do specifikací šablon a zásobníků nasazení. Artefakty podrobného plánu se mají převést na šablony ARM JSON nebo soubory Bicep používané k definování zásobníků nasazení. Informace o tom, jak vytvořit artefakt jako prostředek ARM, najdete tady:
Pomocí zámků prostředků Azure Blueprints můžete chránit nově nasazené prostředky před manipulací, a to i účet s rolí vlastníka . Tuto ochranu můžete přidat do definic prostředků vytvořených artefaktem šablony Azure Resource Manager (šablony ARM) podrobného plánu. Zámek prostředku podrobného plánu se nastavuje během přiřazení podrobného plánu.
V tomto kurzu provedete tyto kroky:
- Vytvoření definice podrobného plánu
- Označení definice podrobného plánu jako publikované
- Přiřazení definice podrobného plánu k existujícímu předplatnému (nastavení zámků prostředků)
- Kontrola nové skupiny prostředků
- Odebrání zámků zrušením přiřazení podrobného plánu
Požadavky
Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.
Vytvoření definice podrobného plánu
Nejprve vytvořte definici podrobného plánu.
V levém podokně vyberte Všechny služby. Vyhledejte a vyberte Podrobné plány.
Na stránce Začínáme na levé straně vyberte Vytvořit v části Vytvořit podrobný plán.
V horní části stránky najděte ukázku podrobného plánu Prázdný podrobný plán . Vyberte Začít s prázdným podrobným plánem.
Na kartě Základy zadejte tyto informace:
- Název podrobného plánu: Zadejte název kopie ukázky podrobného plánu. Pro účely tohoto kurzu použijeme název locked-storageaccount.
- Popis podrobného plánu: Přidejte popis definice podrobného plánu. Použijte pro testování uzamčení prostředků podrobného plánu u nasazených prostředků.
- Umístění definice: Vyberte tlačítko se třemi tečky (...) a pak vyberte skupinu pro správu nebo předplatné, do které chcete definici podrobného plánu uložit.
V horní části stránky vyberte kartu Artifacts (Artefakty ) nebo vyberte Next: Artifacts (Další: Artefakty ) v dolní části stránky.
Přidejte skupinu prostředků na úrovni předplatného:
- V části Předplatné vyberte řádek Přidat artefakt.
- V části Typ artefaktu vyberte Skupina prostředků.
- Zobrazovaný název artefaktu nastavte na RGtoLock.
- Pole Název skupiny prostředků a Umístění ponechte prázdná, ale ujistěte se, že je zaškrtnuté políčko u každé vlastnosti, aby se z nich udělaly dynamické parametry.
- Vyberte Přidat a přidejte artefakt do podrobného plánu.
Přidejte šablonu do skupiny prostředků:
Pod položkou RGtoLock vyberte řádek Přidat artefakt.
V části Typ artefaktu vyberte Šablonu Azure Resource Manager, nastavte Zobrazovaný název artefaktu na StorageAccount a nechte prázdný popis.
Na kartě Šablona vložte do pole editoru následující šablonu ARM. Po vložení šablony vyberte Přidat a přidejte artefakt do podrobného plánu.
Poznámka
Tento krok definuje prostředky, které se mají nasadit a které se uzamknou zámkem prostředků podrobného plánu, ale nezahrnují zámky prostředků podrobného plánu. Zámky prostředků podrobného plánu jsou nastavené jako parametr přiřazení podrobného plánu.
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "storageAccountType": { "type": "string", "defaultValue": "Standard_LRS", "allowedValues": [ "Standard_LRS", "Standard_GRS", "Standard_ZRS", "Premium_LRS" ], "metadata": { "description": "Storage Account type" } } }, "variables": { "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]" }, "resources": [{ "type": "Microsoft.Storage/storageAccounts", "name": "[variables('storageAccountName')]", "location": "[resourceGroup().location]", "apiVersion": "2018-07-01", "sku": { "name": "[parameters('storageAccountType')]" }, "kind": "StorageV2", "properties": {} }], "outputs": { "storageAccountName": { "type": "string", "value": "[variables('storageAccountName')]" } } }
V dolní části stránky vyberte Uložit koncept .
Tento krok vytvoří definici podrobného plánu ve vybrané skupině pro správu nebo předplatném.
Jakmile se na portálu zobrazí oznámení o úspěšném uložení definice podrobného plánu , přejděte k dalšímu kroku.
Publikování definice podrobného plánu
Definice podrobného plánu se teď vytvořila ve vašem prostředí. Vytvoří se v režimu konceptu a před přiřazením a nasazením se musí publikovat.
V levém podokně vyberte Všechny služby. Vyhledejte a vyberte Podrobné plány.
Vyberte stránku Definice podrobných plánů vlevo. Pomocí filtrů vyhledejte definici podrobného plánu locked-storageaccount a pak ji vyberte.
Nahoře na stránce vyberte Publikovat podrobný plán. V novém podokně na pravé straně zadejte jako Verze1.0. Tato vlastnost je užitečná, pokud později provedete změnu. Zadejte Poznámky ke změnám, například První publikovaná verze pro uzamčení nasazených prostředků podrobného plánu. Na konci stránky pak vyberte Publikovat.
Tento krok umožňuje přiřadit podrobný plán k předplatnému. Po publikování definice podrobného plánu můžete stále provádět změny. Pokud provedete změny, budete muset publikovat definici s novou hodnotou verze, abyste mohli sledovat rozdíly mezi verzemi stejné definice podrobného plánu.
Jakmile se na portálu zobrazí oznámení o úspěšném publikování definice podrobného plánu , přejděte k dalšímu kroku.
Přiřazení definice podrobného plánu
Po publikování definice podrobného plánu ji můžete přiřadit k předplatnému v rámci skupiny pro správu, do které jste ji uložili. V tomto kroku zadáte parametry, které zajistí jedinečnost každého nasazení definice podrobného plánu.
V levém podokně vyberte Všechny služby. Vyhledejte a vyberte Podrobné plány.
Vyberte stránku Definice podrobných plánů vlevo. Pomocí filtrů vyhledejte definici podrobného plánu locked-storageaccount a pak ji vyberte.
V horní části stránky definice podrobného plánu vyberte Přiřadit podrobný plán.
Zadejte hodnoty parametrů pro přiřazení podrobného plánu:
Základy
- Předplatná: Vyberte jedno nebo více předplatných, která jsou ve skupině pro správu, do které jste uložili definici podrobného plánu. Pokud vyberete více než jedno předplatné, vytvoří se přiřazení pro každé předplatné pomocí zadaných parametrů.
- Název přiřazení: Název se předem vyplní na základě názvu definice podrobného plánu. Chceme, aby toto přiřazení představovalo uzamčení nové skupiny prostředků, proto změňte název přiřazení na assignment-locked-storageaccount-TestingBPLocks.
- Umístění: Vyberte oblast, ve které chcete vytvořit spravovanou identitu. Azure Blueprints používá tuto spravovanou identitu k nasazení všech artefaktů v přiřazeného podrobném plánu. Další informace najdete v tématu spravované identity pro prostředky Azure. Pro účely tohoto kurzu vyberte USA – východ 2.
- Verze definice podrobného plánu: Vyberte publikovanou verzi 1.0 definice podrobného plánu.
Zamknout přiřazení
Vyberte režim uzamčení podrobného plánu jen pro čtení . Další informace naleznete v tématu uzamčení zdrojů plánu.
Poznámka
Tento krok nakonfiguruje zámek prostředků podrobného plánu u nově nasazených prostředků.
Spravovaná identita
Použijte výchozí možnost: Přiřazeno systémem. Další informace najdete v tématu spravované identity.
Parametry artefaktů
Parametry definované v této části se vztahují na artefakt, pod kterým jsou definovány. Tyto parametry jsou dynamické, protože se definují při přiřazování podrobného plánu. Pro každý artefakt nastavte hodnotu parametru na to, co vidíte ve sloupci Hodnota .
Název artefaktu Typ artefaktu Název parametru Hodnota Popis Skupina prostředků RGtoLock Skupina prostředků Name Testování zámků BP Definuje název nové skupiny prostředků, na kterou se mají použít zámky podrobného plánu. Skupina prostředků RGtoLock Skupina prostředků Umístění Západní USA 2 Definuje umístění nové skupiny prostředků, na kterou se mají použít zámky podrobného plánu. StorageAccount Šablona Resource Manageru storageAccountType (StorageAccount) Standard_GRS Skladová položka úložiště. Výchozí hodnota je Standard_LRS.
Po zadání všech parametrů vyberte Přiřadit v dolní části stránky.
Tento krok nasadí definované prostředky a nakonfiguruje vybrané přiřazení zámku. Použití zámků podrobného plánu může trvat až 30 minut.
Jakmile se zobrazí oznámení portálu o úspěšném přiřazení definice podrobného plánu , přejděte k dalšímu kroku.
Kontrola prostředků nasazených přiřazením
Přiřazení vytvoří skupinu prostředků TestingBPLocks a účet úložiště nasazený artefaktem šablony ARM. Nová skupina prostředků a vybraný stav zámku se zobrazí na stránce s podrobnostmi o přiřazení.
V levém podokně vyberte Všechny služby. Vyhledejte a vyberte Podrobné plány.
Na levé straně vyberte stránku Přiřazené podrobné plány . Pomocí filtrů vyhledejte přiřazení podrobného plánu assignment-locked-storageaccount-TestingBPLocks a pak ho vyberte.
Na této stránce vidíme, že přiřazení bylo úspěšné a že prostředky byly nasazeny se stavem uzamčení nového podrobného plánu. Pokud je přiřazení aktualizované, zobrazí se v rozevíracím seznamu Operace přiřazení podrobnosti o nasazení jednotlivých verzí definic. Výběrem skupiny prostředků otevřete stránku vlastností.
Vyberte skupinu prostředků TestingBPLocks .
Na levé straně vyberte stránku Řízení přístupu (IAM). Pak vyberte kartu Přiřazení rolí .
Tady vidíme, že přiřazení podrobného plánu přiřazení-locked-storageaccount-TestingBPLocks má roli Vlastník . Má tuto roli, protože se použila k nasazení a uzamčení skupiny prostředků.
Vyberte kartu Odepřít přiřazení .
Přiřazení podrobného plánu vytvořilo pro nasazenou skupinu prostředků přiřazení zamítnutí, které vynucuje režim uzamčení podrobného plánu jen pro čtení . Přiřazení odepřít zabrání uživateli s odpovídajícími právy na kartě Přiřazení rolí v provádění konkrétních akcí. Přiřazení zamítnutí ovlivní všechny objekty zabezpečení.
Informace o vyloučení objektu zabezpečení z přiřazení zamítnutí najdete v tématu Uzamčení prostředků podrobného plánu.
Vyberte přiřazení zamítnutí a pak na levé straně vyberte stránku Odepřená oprávnění .
Přiřazení zamítnutí brání všem operacím s * konfigurací akce a , ale umožňuje přístup pro čtení vyloučením */čtení prostřednictvím NotActions.
V Azure Portal s popisem cesty vyberte TestingBPLocks – Řízení přístupu (IAM). Pak na levé straně vyberte stránku Přehled a pak tlačítko Odstranit skupinu prostředků . Zadáním názvu TestingBPLocks potvrďte odstranění a pak v dolní části podokna vyberte Odstranit .
Zobrazí se oznámení na portálu Odstranění skupiny prostředků TestingBPLocks selhalo . Tato chyba uvádí, že i když má váš účet oprávnění k odstranění skupiny prostředků, přiřazení podrobného plánu přístup zamítlo. Nezapomeňte, že jsme při přiřazení podrobného plánu vybrali režim uzamčení podrobného plánu jen pro čtení . Zámek podrobného plánu zabrání účtu s oprávněním, dokonce i vlastníku, v odstranění prostředku. Další informace naleznete v tématu uzamčení zdrojů plánu.
Tyto kroky ukazují, že naše nasazené prostředky jsou teď chráněné zámky podrobného plánu, které brání nežádoucímu odstranění, a to i z účtu, který má oprávnění k odstranění prostředků.
Zrušení přiřazení podrobného plánu
Posledním krokem je odebrání přiřazení definice podrobného plánu. Odebráním přiřazení se neodeberou přidružené artefakty.
V levém podokně vyberte Všechny služby. Vyhledejte a vyberte Podrobné plány.
Na levé straně vyberte stránku Přiřazené podrobné plány . Pomocí filtrů vyhledejte přiřazení podrobného plánu assignment-locked-storageaccount-TestingBPLocks a pak ho vyberte.
V horní části stránky vyberte Zrušit přiřazení podrobného plánu . Přečtěte si upozornění v potvrzovacím dialogovém okně a pak vyberte OK.
Při odebrání přiřazení podrobného plánu se odeberou také zámky podrobného plánu. Prostředky může znovu odstranit účet s odpovídajícími oprávněními.
V nabídce Azure vyberte Skupiny prostředků a pak vyberte TestingBPLocks.
Na levé straně vyberte stránku Řízení přístupu (IAM) a pak vyberte kartu Přiřazení rolí .
Zabezpečení skupiny prostředků ukazuje, že přiřazení podrobného plánu už nemá přístup vlastníka .
Jakmile se zobrazí oznámení o úspěšném přiřazení podrobného plánu odebrání , přejděte k dalšímu kroku.
Vyčištění prostředků
Až tento kurz dokončíte, odstraňte tyto prostředky:
- Testování skupin prostředkůBPLocks
- Definice podrobného plánu locked-storageaccount
Další kroky
V tomto kurzu jste se dozvěděli, jak chránit nové prostředky nasazené pomocí Azure Blueprints. Další informace o azure Blueprints najdete v článku o životním cyklu podrobného plánu.