Delen via


Stappen in een blauwdrukimplementatie

Belangrijk

Op 11 juli 2026 worden blauwdrukken (preview) afgeschaft. Migreer uw bestaande blauwdrukdefinities en -toewijzingen naar sjabloonspecificaties en implementatiestacks. Blauwdrukartefacten moeten worden geconverteerd naar ARM JSON-sjablonen of Bicep-bestanden die worden gebruikt om implementatiestacks te definiëren. Zie voor meer informatie over het ontwerpen van een artefact als een ARM-resource:

Wanneer een blauwdruk wordt geïmplementeerd, wordt er een reeks acties uitgevoerd door de Azure Blueprints-service om de resources te implementeren die in de blauwdruk zijn gedefinieerd. In dit artikel vindt u meer informatie over wat elke stap inhoudt.

Blauwdrukimplementatie wordt geactiveerd door een blauwdruk toe te wijzen aan een abonnement of een bestaande toewijzing bij te werken. Tijdens de implementatie voert Azure Blueprints de volgende stappen op hoog niveau uit:

  • Aan Azure Blueprints verleende eigendomsrechten
  • Het blauwdruktoewijzingsobject wordt gemaakt
  • Optioneel: Azure Blueprints maakt door het systeem toegewezen beheerde identiteit
  • De beheerde identiteit implementeert blauwdrukartefacten
  • Azure Blueprints-service en door het systeem toegewezen beheerde identiteitsrechten worden ingetrokken

Aan Azure Blueprints verleende eigendomsrechten

De service-principal van Azure Blueprints krijgt eigenaarsrechten voor het toegewezen abonnement of abonnementen wanneer een door het systeem toegewezen beheerde identiteit beheerde identiteit wordt gebruikt. Met de verleende rol kan Azure Blueprints de door het systeem toegewezen beheerde identiteit maken en later intrekken. Als u een door de gebruiker toegewezen beheerde identiteit gebruikt, krijgt de Service-principal van Azure Blueprints geen eigendomsrechten voor het abonnement en heeft deze deze niet nodig.

De rechten worden automatisch verleend als de toewijzing via de portal wordt uitgevoerd. Als de toewijzing echter wordt uitgevoerd via de REST API, moet het verlenen van de rechten worden uitgevoerd met een afzonderlijke API-aanroep. De AppId van Azure Blueprints is f71766dc-90d9-4b7d-bd9d-4499c4331c3f, maar de service-principal verschilt per tenant. Gebruik Azure Active Directory Graph API- en REST-eindpuntserviceprincipals om de service-principal op te halen. Ververleent de Azure Blueprints vervolgens de rol Van eigenaar via de portal, Azure CLI, Azure PowerShell, REST API of een Azure Resource Manager-sjabloon.

De Azure Blueprints-service implementeert de resources niet rechtstreeks.

Het blauwdruktoewijzingsobject wordt gemaakt

Een gebruiker, groep of service-principal wijst een blauwdruk toe aan een abonnement. Het toewijzingsobject bestaat op het abonnementsniveau waaraan de blauwdruk is toegewezen. Resources die door de implementatie zijn gemaakt, worden niet uitgevoerd in de context van de implementatie-entiteit.

Tijdens het maken van de blauwdruktoewijzing wordt het type beheerde identiteit geselecteerd. De standaardinstelling is een door het systeem toegewezen beheerde identiteit. Een door de gebruiker toegewezen beheerde identiteit kan worden gekozen. Wanneer u een door de gebruiker toegewezen beheerde identiteit gebruikt, moet deze worden gedefinieerd en machtigingen worden verleend voordat de blauwdruktoewijzing wordt gemaakt. Zowel de ingebouwde rollen Eigenaar als Blauwdrukoperator beschikken over de benodigde blueprintAssignment/write machtigingen om een toewijzing te maken die gebruikmaakt van een door de gebruiker toegewezen beheerde identiteit.

Optioneel: Azure Blueprints maakt door het systeem toegewezen beheerde identiteit

Wanneer door het systeem toegewezen beheerde identiteit wordt geselecteerd tijdens de toewijzing, maakt Azure Blueprints de identiteit en verleent de beheerde identiteit de rol van eigenaar . Als een bestaande toewijzing wordt bijgewerkt, gebruikt Azure Blueprints de eerder gemaakte beheerde identiteit.

De beheerde identiteit met betrekking tot de blauwdruktoewijzing wordt gebruikt voor het implementeren of opnieuw implementeren van de resources die in de blauwdruk zijn gedefinieerd. Dit ontwerp voorkomt dat toewijzingen per ongeluk elkaar verstoren. Dit ontwerp ondersteunt ook de functie voor het vergrendelen van resources door de beveiliging van elke geïmplementeerde resource vanuit de blauwdruk te beheren.

De beheerde identiteit implementeert blauwdrukartefacten

De beheerde identiteit activeert vervolgens de Resource Manager implementaties van de artefacten in de blauwdruk in de gedefinieerde volgorde. De volgorde kan worden aangepast om ervoor te zorgen dat artefacten die afhankelijk zijn van andere artefacten in de juiste volgorde worden geïmplementeerd.

Een toegangsfout door een implementatie is vaak het gevolg van het toegangsniveau dat is verleend aan de beheerde identiteit. De Azure Blueprints-service beheert de beveiligingslevenscyclus van de door het systeem toegewezen beheerde identiteit. De gebruiker is echter verantwoordelijk voor het beheren van de rechten en levenscyclus van een door de gebruiker toegewezen beheerde identiteit.

Blauwdrukservice en door het systeem toegewezen beheerde identiteitsrechten worden ingetrokken

Zodra de implementaties zijn voltooid, trekt Azure Blueprints de rechten in van de door het systeem toegewezen beheerde identiteit uit het abonnement. Vervolgens trekt de Azure Blueprints-service de rechten van het abonnement in. Het verwijderen van rechten voorkomt dat Azure Blueprints een permanente eigenaar van een abonnement wordt.

Volgende stappen