Quickstart: Een Azure-blauwdruk definiëren en toewijzen met PowerShell
Belangrijk
Op 11 juli 2026 worden blauwdrukken (preview) afgeschaft. Migreer uw bestaande blauwdrukdefinities en -toewijzingen naar sjabloonspecificaties en implementatiestacks. Blauwdrukartefacten moeten worden geconverteerd naar ARM JSON-sjablonen of Bicep-bestanden die worden gebruikt om implementatiestacks te definiëren. Zie voor meer informatie over het ontwerpen van een artefact als een ARM-resource:
In deze zelfstudie leert u hoe u Azure Blueprints gebruikt om algemene taken uit te voeren met betrekking tot het maken, publiceren en toewijzen van een blauwdruk binnen uw organisatie. Deze vaardigheid helpt u bij het definiëren van algemene patronen voor het ontwikkelen van herbruikbare en snel implementeerbare configuraties, op basis van ARM-sjablonen (Azure Resource Manager), beleid en beveiliging.
Vereisten
- Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
- Als deze nog niet is geïnstalleerd, volgt u de instructies in De module Az.Blueprint toevoegen om de module Az.Blueprint van de PowerShell Gallery te installeren en te valideren.
- Als u Azure Blueprints nog niet eerder hebt gebruikt, registreert u de resourceprovider via Azure PowerShell bij
Register-AzResourceProvider -ProviderNamespace Microsoft.Blueprint
.
Azure Cloud Shell
Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.
Om Azure Cloud Shell op te starten:
Optie | Voorbeeld/koppeling |
---|---|
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell. | |
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen. | |
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal. |
Azure Cloud Shell gebruiken:
Start Cloud Shell.
Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.
Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.
Selecteer Enter om de code of opdracht uit te voeren.
Een blauwdruk maken
De eerste stap bij het definiëren van een standaardpatroon voor naleving is om een blauwdruk samen te stellen uit de beschikbare resources. We gaan een blauwdruk maken met de naam MyBlueprint om rol- en beleidstoewijzingen voor het abonnement te configureren. Vervolgens voegt u een resourcegroep, een ARM-sjabloon en een roltoewijzing toe aan de resourcegroep.
Notitie
Wanneer u PowerShell gebruikt, wordt het blauwdrukobject eerst gemaakt. Voor elk artefact dat moet worden toegevoegd met parameters, definieert u de parameters vooraf op de eerste blauwdruk.
Maak het eerste blauwdrukobject. De
BlueprintFile
parameter gebruikt een JSON-bestand met eigenschappen over de blauwdruk, resourcegroepen die moeten worden gemaakt en alle parameters op blauwdrukniveau. U stelt de parameters in tijdens de toewijzing en ze worden gebruikt door de artefacten die u in latere stappen toevoegt.JSON-bestand - blueprint.json
{ "properties": { "description": "This blueprint sets tag policy and role assignment on the subscription, creates a ResourceGroup, and deploys a resource template and role assignment to that ResourceGroup.", "targetScope": "subscription", "parameters": { "storageAccountType": { "type": "string", "defaultValue": "Standard_LRS", "allowedValues": [ "Standard_LRS", "Standard_GRS", "Standard_ZRS", "Premium_LRS" ], "metadata": { "displayName": "storage account type.", "description": null } }, "tagName": { "type": "string", "metadata": { "displayName": "The name of the tag to provide the policy assignment.", "description": null } }, "tagValue": { "type": "string", "metadata": { "displayName": "The value of the tag to provide the policy assignment.", "description": null } }, "contributors": { "type": "array", "metadata": { "description": "List of AAD object IDs that is assigned Contributor role at the subscription", "strongType": "PrincipalId" } }, "owners": { "type": "array", "metadata": { "description": "List of AAD object IDs that is assigned Owner role at the resource group", "strongType": "PrincipalId" } } }, "resourceGroups": { "storageRG": { "description": "Contains the resource template deployment and a role assignment." } } } }
PowerShell-opdracht
# Login first with Connect-AzAccount if not using Cloud Shell # Get a reference to the new blueprint object, we'll use it in subsequent steps $blueprint = New-AzBlueprint -Name 'MyBlueprint' -BlueprintFile .\blueprint.json
Notitie
Gebruik de bestandsnaam blueprint.json wanneer u programmatisch uw blauwdrukdefinities maakt. Deze bestandsnaam wordt gebruikt wanneer u belt
Import-AzBlueprintWithArtifact
.Het blauwdrukobject wordt standaard gemaakt in het standaardabonnement. Als u de beheergroep wilt opgeven, gebruikt u de parameter
ManagementGroupId
. Als u het abonnement wilt opgeven, gebruikt u de parameterSubscriptionId
.
Voeg een roltoewijzing toe aan het abonnement. Hiermee
ArtifactFile
definieert u het soort artefact, worden de eigenschappen uitgelijnd met de roldefinitie-id en worden de principal-identiteiten doorgegeven als een matrix met waarden. In het volgende voorbeeld worden de principal-identiteiten aan de opgegeven rol geconfigureerd voor een parameter die is ingesteld tijdens de blauwdruktoewijzing. In dit voorbeeld wordt deContributor
ingebouwde rol gebruikt, met een GUID vanb24988ac-6180-42a0-ab88-20f7382dd24c
.JSON-bestand - \artifacts\roleContributor.json
{ "kind": "roleAssignment", "properties": { "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c", "principalIds": "[parameters('contributors')]" } }
PowerShell-opdracht
# Use the reference to the new blueprint object from the previous steps New-AzBlueprintArtifact -Blueprint $blueprint -Name 'roleContributor' -ArtifactFile .\artifacts\roleContributor.json
Voeg een beleidstoewijzing toe aan het abonnement. Hiermee
ArtifactFile
definieert u het soort artefact, worden de eigenschappen afgestemd op een beleids- of initiatiefdefinitie en wordt de beleidstoewijzing geconfigureerd voor het gebruik van de gedefinieerde blauwdrukparameters tijdens de toewijzing van de blauwdruk. In dit voorbeeld wordt hetApply tag and its default value to resource groups
ingebouwde beleid gebruikt, met een GUID van49c88fc8-6fd1-46fd-a676-f12d1d3a4c71
.JSON-bestand - \artifacts\policyTags.json
{ "kind": "policyAssignment", "properties": { "displayName": "Apply tag and its default value to resource groups", "description": "Apply tag and its default value to resource groups", "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/49c88fc8-6fd1-46fd-a676-f12d1d3a4c71", "parameters": { "tagName": { "value": "[parameters('tagName')]" }, "tagValue": { "value": "[parameters('tagValue')]" } } } }
PowerShell-opdracht
# Use the reference to the new blueprint object from the previous steps New-AzBlueprintArtifact -Blueprint $blueprint -Name 'policyTags' -ArtifactFile .\artifacts\policyTags.json
Voeg nog een beleidstoewijzing toe voor de opslagtag (door opnieuw te gebruiken
storageAccountType_ parameter
) in het abonnement. Deze aanvullende beleidstoewijzingsartefact laat zien dat een in de blauwdruk gedefinieerde parameter door meer dan één artefact kan worden gebruikt. In het voorbeeld gebruikt u destorageAccountType
opdracht om een tag in te stellen voor de resourcegroep. Deze waarde bevat informatie over het opslagaccount dat u in de volgende stap maakt. In dit voorbeeld wordt hetApply tag and its default value to resource groups
ingebouwde beleid gebruikt, met een GUID van49c88fc8-6fd1-46fd-a676-f12d1d3a4c71
.JSON-bestand - \artifacts\policyStorageTags.json
{ "kind": "policyAssignment", "properties": { "displayName": "Apply storage tag to resource group", "description": "Apply storage tag and the parameter also used by the template to resource groups", "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/49c88fc8-6fd1-46fd-a676-f12d1d3a4c71", "parameters": { "tagName": { "value": "StorageType" }, "tagValue": { "value": "[parameters('storageAccountType')]" } } } }
PowerShell-opdracht
# Use the reference to the new blueprint object from the previous steps New-AzBlueprintArtifact -Blueprint $blueprint -Name 'policyStorageTags' -ArtifactFile .\artifacts\policyStorageTags.json
Voeg een sjabloon toe onder de resourcegroep. De
TemplateFile
sjabloon voor een ARM-sjabloon bevat het normale JSON-onderdeel van de sjabloon. De sjabloon hergebruikt ook destorageAccountType
parameters entagName
tagValue
blauwdrukparameters door elk door te geven aan de sjabloon. De blauwdrukparameters zijn beschikbaar voor de sjabloon met behulp van de parameterTemplateParameterFile
en in de sjabloon-JSON die sleutel-waardepaar wordt gebruikt om de waarde in te voeren. De namen van de blauwdruk- en sjabloonparameter kunnen hetzelfde zijn.JSON ARM-sjabloonbestand - \artifacts\templateStorage.json
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "storageAccountTypeFromBP": { "type": "string", "metadata": { "description": "Storage Account type" } }, "tagNameFromBP": { "type": "string", "defaultValue": "NotSet", "metadata": { "description": "Tag name from blueprint" } }, "tagValueFromBP": { "type": "string", "defaultValue": "NotSet", "metadata": { "description": "Tag value from blueprint" } } }, "variables": { "storageAccountName": "[concat(uniquestring(resourceGroup().id), 'standardsa')]" }, "resources": [{ "type": "Microsoft.Storage/storageAccounts", "name": "[variables('storageAccountName')]", "apiVersion": "2016-01-01", "tags": { "[parameters('tagNameFromBP')]": "[parameters('tagValueFromBP')]" }, "location": "[resourceGroup().location]", "sku": { "name": "[parameters('storageAccountTypeFromBP')]" }, "kind": "Storage", "properties": {} }], "outputs": { "storageAccountSku": { "type": "string", "value": "[variables('storageAccountName')]" } } }
JSON ARM-sjabloonparameterbestand - \artifacts\templateStorageParams.json
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#", "contentVersion": "1.0.0.0", "parameters": { "storageAccountTypeFromBP": { "value": "[parameters('storageAccountType')]" }, "tagNameFromBP": { "value": "[parameters('tagName')]" }, "tagValueFromBP": { "value": "[parameters('tagValue')]" } } }
PowerShell-opdracht
# Use the reference to the new blueprint object from the previous steps New-AzBlueprintArtifact -Blueprint $blueprint -Type TemplateArtifact -Name 'templateStorage' -TemplateFile .\artifacts\templateStorage.json -TemplateParameterFile .\artifacts\templateStorageParams.json -ResourceGroupName storageRG
Voeg een roltoewijzing toe onder de resourcegroep. Net als bij de vorige roltoewijzingsvermelding gebruikt het volgende voorbeeld de definitie-id voor de
Owner
rol en biedt het een andere parameter dan de blauwdruk. In dit voorbeeld wordt deOwner
ingebouwde rol gebruikt, met een GUID van8e3af657-a8ff-443c-a75c-2fe8c4bcb635
.JSON-bestand - \artifacts\roleOwner.json
{ "kind": "roleAssignment", "properties": { "resourceGroup": "storageRG", "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635", "principalIds": "[parameters('owners')]" } }
PowerShell-opdracht
# Use the reference to the new blueprint object from the previous steps New-AzBlueprintArtifact -Blueprint $blueprint -Name 'roleOwner' -ArtifactFile .\artifacts\roleOwner.json
Een blauwdruk publiceren
Nu u de artefacten aan de blauwdruk hebt toegevoegd, is het tijd om deze te publiceren. Publiceren maakt de blauwdruk beschikbaar om toe te wijzen aan een abonnement.
# Use the reference to the new blueprint object from the previous steps
Publish-AzBlueprint -Blueprint $blueprint -Version '{BlueprintVersion}'
De waarde voor {BlueprintVersion}
is een tekenreeks met letters, cijfers en afbreekstreepjes (zonder spaties of andere speciale tekens). De maximumlengte is 20 tekens. Gebruik iets unieks en informatief, zoals v20180622-135541
.
Een blauwdruk toewijzen
Nadat u een blauwdruk hebt gepubliceerd met behulp van PowerShell, kan deze worden toegewezen aan een abonnement. Wijs de blauwdruk die u hebt gemaakt toe aan een van de abonnementen in uw beheergroephiërarchie. Als de blauwdruk is opgeslagen in een abonnement, kan deze alleen aan dat abonnement worden toegewezen. De Blueprint
parameter geeft de blauwdruk op die moet worden toegewezen. Als u de name
parameters , location
en lock
identity
blueprint
parameters wilt opgeven, gebruikt u de overeenkomende PowerShell-parameters in de New-AzBlueprintAssignment
cmdlet of geeft u deze op in het AssignmentFile
parameter-JSON-bestand.
Voer de blauwdrukimplementatie uit door deze toe te wijzen aan een abonnement. Omdat aan de
contributors
enowners
parameters een matrix vanobjectIds
de principals is vereist om de roltoewijzing te krijgen, gebruikt u Azure Active Directory Graph API om hetobjectIds
te verzamelen voor gebruik in deAssignmentFile
voor uw eigen gebruikers, groepen of service-principals.JSON-bestand - blueprintAssignment.json
{ "properties": { "blueprintId": "/providers/Microsoft.Management/managementGroups/{YourMG}/providers/Microsoft.Blueprint/blueprints/MyBlueprint", "resourceGroups": { "storageRG": { "name": "StorageAccount", "location": "eastus2" } }, "parameters": { "storageAccountType": { "value": "Standard_GRS" }, "tagName": { "value": "CostCenter" }, "tagValue": { "value": "ContosoIT" }, "contributors": { "value": [ "7be2f100-3af5-4c15-bcb7-27ee43784a1f", "38833b56-194d-420b-90ce-cff578296714" ] }, "owners": { "value": [ "44254d2b-a0c7-405f-959c-f829ee31c2e7", "316deb5f-7187-4512-9dd4-21e7798b0ef9" ] } } }, "identity": { "type": "systemAssigned" }, "location": "westus" }
PowerShell-opdracht
# Use the reference to the new blueprint object from the previous steps New-AzBlueprintAssignment -Blueprint $blueprint -Name 'assignMyBlueprint' -AssignmentFile .\blueprintAssignment.json
Door de gebruiker toegewezen beheerde identiteit
Een blauwdruktoewijzing kan ook gebruikmaken van een door een gebruiker toegewezen beheerde identiteit. In dit geval wordt het
identity
gedeelte van het JSON-toewijzingsbestand als volgt gewijzigd. Vervang ,{subscriptionId}
,{yourRG}
, en{userIdentity}
door{tenantId}
uw tenant-id, abonnements-id, resourcegroepnaam en de naam van respectievelijk uw door de gebruiker toegewezen beheerde identiteit."identity": { "type": "userAssigned", "tenantId": "{tenantId}", "userAssignedIdentities": { "/subscriptions/{subscriptionId}/resourceGroups/{yourRG}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{userIdentity}": {} } },
De door de gebruiker toegewezen beheerde identiteit kan zich in elk abonnement en elke resourcegroep bevinden waaraan de gebruiker die de blauwdruk toewijst, machtigingen heeft.
Belangrijk
De door een gebruiker toegewezen beheerde identiteit wordt niet beheerd door Azure Blueprints. Gebruikers zijn verantwoordelijk voor het toewijzen van voldoende rollen en machtigingen, of de blauwdruktoewijzing mislukt.
Resources opschonen
U kunt een blauwdruk uit een abonnement verwijderen. Het verwijderen wordt vaak uitgevoerd als de artefactresources niet langer nodig zijn. Wanneer een blauwdruk wordt verwijderd, blijven de artefacten die als onderdeel van die blauwdruk zijn toegewezen, achter. Als u een blauwdruktoewijzing wilt verwijderen, gebruikt u de Remove-AzBlueprintAssignment
-cmdlet:
assignMyBlueprint
Remove-AzBlueprintAssignment -Name 'assignMyBlueprint'
Volgende stappen
In deze quickstart hebt u een blauwdruk gemaakt, toegewezen en verwijderd met PowerShell. Ga verder met het artikel over de levenscyclus van blauwdrukken voor meer informatie over Azure Blueprints.