Recurso de pilas de implementación
Ha desarrollado una comprensión de las pilas de implementación y las ventajas que proporciona para la administración del ciclo de vida. Antes de comenzar el proceso de creación de pilas de implementación para las implementaciones, quiere obtener más información sobre el recurso de pila de implementación.
En esta unidad, obtendrá información sobre el recurso de pilas de implementación y algunas de las operaciones que puede realizar.
Recurso de pilas de implementación
Azure Resource Manager (ARM) es el servicio que implementa y administra recursos en Azure. Puede usar Resource Manager para crear, actualizar y eliminar recursos en la suscripción de Azure.
Una pila de implementación es un recurso nativo de Azure, que permite realizar operaciones típicas de ARM en la pila en su conjunto. Una pila de implementación puede heredar una asignación de directiva de Azure y una asignación de control de acceso basado en rol (RBAC) de Azure o incluso una recomendación de seguridad de Microsoft Defender for Cloud. Dentro de una pila de implementación hay punteros a todos los recursos, grupos de recursos y grupos de administración administrados por la pila. Los recursos administrados definidos en la pila se pueden crear, actualizar o eliminar fácilmente con una sola operación en el recurso de pila de implementación.
Operaciones de pilas de implementación
Un proveedor de recursos es una colección de operaciones REST que habilitan características para un servicio de Azure determinado. Por ejemplo, el servicio Azure SQL Database consta de un proveedor de recursos denominado Microsoft.Sql y su tipo de recurso completo es Microsoft.Sql/servers/databases.
Las pilas de implementación forman parte del proveedor de recursos Microsoft.Resources y su tipo de recurso completo es Microsoft.Resources/deploymentStacks. Sus operaciones REST incluyen crear una nueva pila, enumerar una pila, actualizar una pila existente o eliminar una pila. Para sus recursos, puede ver los recursos de la pila, agregar y quitar recursos y proteger los recursos de la eliminación.
Cada una de estas operaciones tiene algunas propiedades clave que controlan el comportamiento de la pila.
Opciones de configuración de denegación
La configuración de denegación impide los cambios en los recursos de una pila. Son un tipo específico de permiso que se asigna a una pila de implementación y a sus recursos administrados. Esta configuración de denegación sustituye a cualquier permiso de control de acceso basado en rol (RBAC) de Azure que pueda estar en vigor.
Al usar la configuración de denegación, puede establecer un parámetro que defina qué operaciones se permiten en los recursos administrados por la pila de implementación. Este parámetro, conocido como el modo de configuración de denegación, determina si los recursos de la pila se pueden modificar o eliminar cuando la pila los administra. El modo de configuración de denegación tiene tres valores posibles de comportamiento: denegar eliminación, denegar escritura y eliminación, y ninguno.
El valor denegar la eliminación permite modificar los recursos administrados por la pila, pero no eliminarlos. El valor denegar escritura y eliminación hace eficazmente que los recursos administrados por la pila sean de solo lectura. El valor ninguno permite modificar los recursos administrados por la pila y eliminarlos.
La configuración de denegación también permite aplicar la configuración a ámbitos secundarios y recursos anidados. Por ejemplo, si una pila de implementación, con la configuración de denegación, se crea en el ámbito de la suscripción, esas opciones de denegación también se aplicarían al ámbito del grupo de recursos. Además, los recursos anidados definidos en archivos Bicep, plantillas JSON de ARM o especificaciones de plantilla heredarían los valores definidos en la configuración de denegación.
Es posible invalidar la configuración de denegación para roles específicos basados en roles de control de acceso. Supongamos que crea una pila de implementación con el modo de configuración de denegación establecido en denegar escritura y eliminación. Uno de los recursos administrados de la pila es una máquina virtual. No quiere que se realicen cambios en la configuración de la máquina virtual, pero sí quiere que los administradores puedan encenderla y desactivarla. Para proporcionar el acceso adecuado, excluya las acciones "Microsoft.Compute/virtualMachines/start/action" y "Microsoft.Compute/virtualMachines/powerOff/action" mediante el parámetro acciones excluidas de la configuración de denegación.
Otro escenario que puede existir es invalidar la configuración de denegación para un usuario o entidad de servicio específicos. Por ejemplo, si usa una infraestructura como canalización de código para crear las pilas de implementación, la entidad de servicio que ejecuta la canalización debe tener permiso para realizar cambios en los recursos administrados por la pila. El parámetro entidades de seguridad excluidas de la configuración de denegación controla este comportamiento.
Desasignación y eliminación de recursos
Cuando una pila de implementación ya no administra ni realiza el seguimiento de un recurso, se denomina recurso desasociado. Un recurso desasociado sigue existiendo en Azure, pero la pila ya no realiza su seguimiento. Puede controlar cómo Azure controla los recursos desasociados, los grupos de recursos y los grupos de administración con una propiedad conocida como el parámetro de acción que deja de administrar.
Al utilizar este parámetro, puede elegir entre tres opciones posibles que determinan cómo se controlan los recursos desasociados:
- Eliminar recursos: elimina los recursos y desasocia los grupos de recursos y los grupos de administración.
- Eliminar todo: elimina recursos, grupos de recursos y grupos de administración.
- Desasociar todo: desasocia los recursos, los grupos de recursos y los grupos de administración.
El parámetro de acción que deja de administrar se puede establecer al crear, modificar o eliminar una pila de implementación. Las tres operaciones tienen la capacidad de establecer el comportamiento del parámetro de acción que deja de administrar. Supongamos que crea una pila de implementación mediante la CLI de Azure y establece el comportamiento de acción que deja de administrar en desasociar todo. Si elimina la pila y especifica el comportamiento como eliminar todo, ese valor tiene prioridad. Considérelo una sobreescritura del valor original.