La ressource de piles de déploiement

  • 7 minutes

Vous comprenez désormais les piles de déploiement et des avantages qu’elles offrent pour la gestion du cycle de vie. Avant de commencer le processus de création de piles de déploiement pour vos déploiements, vous souhaitez en savoir plus sur la ressource de piles de déploiement.

Dans cette unité, vous allez découvrir la ressource de piles de déploiement et certaines des opérations qu’elle peut effectuer.

La ressource de piles de déploiement

Azure Resource Manager (ARM) est le service qui déploie et gère les ressources dans Azure. Vous pouvez utiliser Resource Manager pour créer, mettre à jour et supprimer des ressources dans votre abonnement Azure.

Une pile de déploiement est une ressource Azure native, qui permet d’effectuer des opérations ARM typiques sur la pile dans son ensemble. Une pile de déploiement peut hériter d’une attribution de stratégie Azure et d’une attribution de contrôle d’accès en fonction du rôle (RBAC) Azure, ou même d’une recommandation de sécurité Microsoft Defender pour le cloud. Dans une pile de déploiement, il y a des pointeurs vers toutes les ressources, groupes de ressources et groupes d’administration gérés par la pile. Les ressources managées définies dans la pile peuvent facilement être créées, mises à jour ou supprimées avec une seule opération sur la ressource de pile de déploiement.

Diagramme représentant les ressources d’une application gérées par une pile de déploiement et déployées sur plusieurs groupes de ressources.

Opérations de piles de déploiement

Un fournisseur de ressources est une collection d’opérations REST qui activent des fonctionnalités pour un service Azure spécifique. Par exemple, le service Azure SQL Database se compose d’un fournisseur de ressources nommé Microsoft.Sql et son type de ressource complet est Microsoft.Sql/servers/databases.

Les piles de déploiement font partie du fournisseur de ressources Microsoft.Resources et son type de ressource complet est Microsoft.Resources/deploymentStacks. Ses opérations REST incluent la création d’une pile, le référencement d’une pile, la mise à jour d’une pile existante ou la suppression d’une pile. Pour ses ressources, vous pouvez afficher les ressources dans la pile, ajouter et supprimer des ressources et protéger les ressources contre la suppression.

Chacune de ces opérations a quelques propriétés clés qui contrôlent le comportement de la pile.

Options des paramètres de refus

Les paramètres de refus empêchent les modifications apportées aux ressources dans une pile. Il s’agit d’un type spécifique d’autorisation affecté à une pile de déploiement et à ses ressources managées. Ces paramètres de refus remplacent les autorisations de contrôle d’accès en fonction du rôle Azure (RBAC) qui peuvent être en place.

Lorsque vous utilisez des paramètres de refus, vous pouvez définir un paramètre qui définit les opérations autorisées sur les ressources gérées par la pile de déploiement. Ce paramètre, appelé mode paramètres de refus, détermine si les ressources de la pile peuvent être modifiées ou supprimées lorsqu’elles sont gérées par la pile. Le mode paramètres de refus a trois valeurs possibles pour le comportement : refuser la suppression, refuser l’écriture et la suppression, et aucun.

La valeur refuser la suppressionpermet aux ressources gérées par la pile d’être modifiées, mais pas supprimées. Concrètement, la valeur refuser l’écriture et la suppression fait que les ressources gérées par la pile ne sont qu’en lecture seule. La valeur aucune permet aux ressources gérées par la pile d’être modifiées et supprimées.

Les paramètres de refus vous permettent également d’appliquer les paramètres aux étendues enfants et aux ressources imbriquées. Par exemple, si une pile de déploiement, avec des paramètres de refus, est créée dans l’étendue de l’abonnement, ces paramètres de refus s’appliquent également à l’étendue du groupe de ressources. En outre, toutes les ressources imbriquées définies dans les fichiers Bicep, les modèles ARM JSON ou les spécifications de modèle héritent des valeurs définies dans les paramètres de refus.

Il est possible de remplacer les paramètres de refus pour des rôles de contrôle d’accès en fonction du rôle spécifiques. Supposons que vous créez une pile de déploiement avec le mode paramètres de refus défini pour refuser l’écriture et la suppression. L’une des ressources gérées dans la pile est une machine virtuelle. Vous ne souhaitez pas que les modifications soient apportées à la configuration de la machine virtuelle, mais que vos administrateurs puissent l’activer et le désactiver. Pour fournir l’accès approprié, vous excluez les actions « Microsoft.Compute/virtualMachines/start/action » et « Microsoft.Compute/virtualMachines/powerOff/action » à l’aide du paramètre Actions exclues du paramètre de refus.

Un autre scénario qui peut exister consiste à remplacer le paramètre de refus pour un utilisateur ou un principal de service spécifique. Par exemple, si vous utilisez une infrastructure en tant que pipeline de code pour créer vos piles de déploiement, le principal de service qui exécute le pipeline doit avoir l’autorisation d’apporter des modifications aux ressources gérées par la pile. Le paramètre des principaux exclus des paramètres de refus contrôle ce comportement.

Détachement et suppression des ressources

Une ressource qui n’est plus gérée ou suivie par une pile de déploiement est appelée ressource détachée. Une ressource détachée existe toujours dans Azure, mais la pile ne la suit plus. Vous pouvez contrôler comment Azure gère les ressources détachées, les groupes de ressources et les groupes d’administration avec une propriété appelée l’action sur le paramètre unmanage.

Lorsque vous utilisez ce paramètre, vous choisissez parmi trois options possibles qui déterminent la façon dont les ressources détachées sont gérées :

  • Supprimer des ressources : supprime les ressources et détache les groupes de ressources et les groupes d’administration.
  • Supprimer tout : supprime les ressources, les groupes de ressources et les groupes d’administration.
  • Détacher tout : détache les ressources, les groupes de ressources et les groupes d’administration.

L’action sur le paramètre unmanage peut être définie lors de la création, de la modification ou de la suppression d’une pile de déploiement. Les trois opérations ont la possibilité de définir le comportement de l’action sur le paramètre unmanage. Supposons que vous créez une pile de déploiement à l’aide d’Azure CLI et que vous définissez l’action sur le comportement unmanage pour détacher tout. Si vous supprimez la pile et spécifiez le comportement sur supprimer tout, cette valeur est donc prioritaire. Considérez ceci en tant que remplacement de la valeur d’origine.