Schützen von Azure Quantum-Ressourcen mit ARM-Sperrungen (Azure Resource Manager)
Microsoft empfiehlt, alle Ihre Azure Quantum-Arbeitsbereiche und verknüpften Speicherkonten mit einer ARM-Sperre (Azure Resource Manager) zu sperren, um das versehentliche oder böswillige Löschen zu verhindern. Professoren möchten beispielsweise die Kursteilnehmer daran hindern, Anbieter-SKUs zu ändern, aber dennoch die Verwendung von Notebooks und die Übermittlung von Aufträgen zu ermöglichen.
Es stehen zwei Typen von ARM-Ressourcensperren zur Verfügung:
- Die CannotDelete-Sperre hindert Benutzer daran, eine Ressource zu löschen, lässt aber das Lesen und Ändern der Konfiguration zu.
- Die ReadOnly-Sperre hindert Benutzer daran, die Konfiguration einer Ressource zu ändern (einschließlich deren Löschung), ermöglicht jedoch das Lesen der Konfiguration. Weitere Informationen zu Ressourcensperren finden Sie unter Sperren von Ressourcen, um unerwartete Änderungen zu verhindern.
Hinweis
Wenn Sie bereits eine ARM- oder Bicep-Vorlage zum Verwalten Ihrer Azure Quantum-Arbeitsbereiche verwenden, können Sie die Prozeduren in diesem Artikel Ihren vorhandenen Vorlagen hinzufügen.
Empfohlene Sperrkonfigurationen
In der folgenden Tabelle sind die empfohlenen Ressourcensperrkonfigurationen aufgeführt, die für einen Azure Quantum-Arbeitsbereich bereitgestellt werden sollen.
Resource | Sperrtyp | Notizen |
---|---|---|
Arbeitsbereich | Löschen | Verhindert, dass der Arbeitsbereich gelöscht wird. |
Arbeitsbereich | Schreibgeschützt | Verhindert alle Änderungen am Arbeitsbereich, einschließlich der Hinzufügung oder Löschung von Anbietern, während die Benutzer weiterhin Notebooks erstellen und löschen und Aufträge übermitteln können. Um Anbieter zu ändern, wenn diese Sperre aktiviert ist, müssen Sie die Ressourcensperre aufheben, Ihre Änderungen vornehmen und die Sperre dann erneut aktivieren. |
Speicherkonto | Löschen | Verhindert, dass das Speicherkonto gelöscht wird. |
Die folgenden Konfigurationen sollten vermieden werden:
Wichtig
Das Festlegen der folgenden ARM-Sperren kann dazu führen, dass Ihr Arbeitsbereich nicht ordnungsgemäß funktioniert.
Resource | Sperrtyp | Notizen |
---|---|---|
Speicherkonto | Schreibgeschützt | Das Festlegen der ReadOnly-Ressourcensperre für das Speicherkonto kann zu Fehlern bei der Erstellung von Arbeitsbereichen, der Jupyter Notebook-Schnittstelle und beim Übermitteln und Abrufen von Aufträgen führen. |
Übergeordnetes Abonnement des Arbeitsbereichs oder die übergeordnete Ressourcengruppe des Arbeitsbereichs oder Speicherkontos | Schreibgeschützt | Wenn eine Ressourcensperre auf eine übergeordnete Ressource angewandt wird, erben alle Ressourcen unter dieser übergeordneten Ressource dieselbe Sperre, einschließlich der zu einem späteren Zeitpunkt erstellten Ressourcen. Für genauere Kontrolle sollten Ressourcensperren direkt auf Ressourcenebene angewendet werden. |
Voraussetzungen
Sie müssen ein Besitzer oder Benutzerzugriffsadministrator einer Ressource sein, um ARM-Ressourcensperren anzuwenden. Weitere Informationen finden Sie unter Integrierte Azure-Rollen.
Befehlszeilenbereitstellung
Zum Bereitstellen der Sperre benötigen Sie entweder Azure PowerShell oder die Azure CLI. Wenn Sie die Azure CLI verwenden, müssen Sie über die neueste Version verfügen. Die Installationsanweisungen finden Sie unter:
Wichtig
Wenn Sie Azure CLI mit Azure Quantum noch nicht verwendet haben, führen Sie die Schritte im Abschnitt Einrichten der Umgebung" aus, um die Erweiterung quantum
hinzuzufügen und den Azure Quantum-Namespace zu registrieren.
Anmelden bei Azure
Stellen Sie nach der Installation der Azure CLI oder Azure PowerShell sicher, dass Sie sich zum ersten Mal anmelden. Wählen Sie eine der folgenden Registerkarten aus, und führen Sie die entsprechenden Befehlszeilenbefehle aus, um sich bei Azure anzumelden:
az login
Wenn Sie über mehrere Azure-Abonnements verfügen, wählen Sie das Abonnement mit den Ressourcen aus, die Sie sperren möchten. Ersetzen Sie SubscriptionName
durch den Namen oder die ID Ihres Abonnements. Beispiel:
az account set --subscription "Azure subscription 1"
Erstellen einer ARM-Ressourcensperre
Wenn Sie eine Ressourcensperre bereitstellen, geben Sie einen Namen für die Sperre, den Sperrtyp und zusätzliche Informationen zur Ressource an. Diese Informationen können auf der Startseite der Ressource im Azure Quantum-Portal kopiert und eingefügt werden.
az lock create \
--name <lock> \
--resource-group <resource-group> \
--resource <workspace> \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
- name: ein aussagekräftiger Name für die Sperre
- resource-group: der Name der übergeordneten Ressourcengruppe
- resource: der Name der Ressource, auf die die Sperre angewendet werden soll
- lock-type: der Typ der anzuwendenden Sperre, entweder CanNotDelete oder ReadOnly
- resource-type: Der Typ der target Ressource.
Beispiel: Erstellen einer CanNotDelete-Sperre in einem Arbeitsbereich:
az lock create \
--name ArmLockWkspDelete \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
Bei erfolgreicher Erstellung gibt Azure die Sperrkonfiguration im JSON-Format zurück:
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDelete",
"level": "CanNotDelete",
"name": "ArmLockWkspDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Erstellen einer ReadOnly-Sperre in einem Arbeitsbereich:
az lock create \
--name ArmLockWkspRead \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type ReadOnly \
--resource-type Microsoft.Quantum/workspaces
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRead",
"level": "ReadOnly",
"name": "ArmLockWkspRead",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Erstellen einer CanNotDelete-Sperre in einem Speicherkonto:
az lock create \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource armlocksstorage \--lock-type CanNotDelete \
--resource-type Microsoft.Storage/storageAccounts
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLockStoreDelete",
"level": "CanNotDelete",
"name": "ArmLockStoreDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Anzeigen und Löschen von Sperren
So können Sie Sperren anzeigen oder löschen:
Weitere Informationen finden Sie in der az lock-Referenz.
Anzeigen aller Sperren in einem Abonnement
az lock list
Anzeigen aller Sperren in einem Arbeitsbereich
az lock list \
--resource-group armlocks-resgrp \
--resource-name armlocks-wksp \
--resource-type Microsoft.Quantum/workspaces
Anzeigen aller Sperren für alle Ressourcen in einer Ressourcengruppe
az lock list --resource-group armlocks-resgrp
Anzeigen der Eigenschaften einer einzelnen Sperre
az lock show \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Löschen einer Sperre
az lock delete \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Wenn das Löschen erfolgreich ist, gibt Azure keine Nachricht zurück. Zum Überprüfen des Löschvorgangs können Sie az lock list
ausführen.