Samouczek: tworzenie środowiska na podstawie przykładu strategii
Ważne
11 lipca 2026 r. usługa Blueprints (wersja zapoznawcza) zostanie wycofana. Migrowanie istniejących definicji strategii i przypisań do specyfikacji szablonu i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:
Przykładowe strategie zawierają przykłady tego, co można zrobić przy użyciu usługi Azure Blueprints. Każdy z nich jest przykładem z określoną intencją lub celem, ale nie tworzy kompletnego środowiska samodzielnie. Każda z nich jest przeznaczona jako miejsce początkowe do eksplorowania przy użyciu usługi Azure Blueprints z różnymi kombinacjami uwzględnionych artefaktów, projektów i parametrów.
W poniższym samouczku przedstawiono różne aspekty usługi Azure Blueprints przy użyciu przykładu strategii RBAC z funkcją RBAC . Omówiono następujące kroki:
- Tworzenie nowej definicji strategii na podstawie przykładu
- Oznaczanie swojej kopii przykładu jako opublikowanej
- Przypisywanie kopii strategii do istniejącej subskrypcji
- Sprawdzanie wdrożonych zasobów dla przypisania
- Cofnij przypisanie strategii, aby usunąć blokady
Wymagania wstępne
Do ukończenia tego samouczka potrzebna jest subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Tworzenie definicji strategii na podstawie przykładu
Najpierw zaimplementuj przykład strategii. Importowanie tworzy nową strategię w środowisku na podstawie przykładu.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Na stronie Wprowadzenie z lewej strony wybierz przycisk Utwórz w obszarze Tworzenie strategii.
Znajdź przykład strategii RBAC grup zasobów w obszarze Inne przykłady i wybierz ją.
Wprowadź podstawowe informacje dotyczące tego przykładu strategii:
- Nazwa strategii: podaj nazwę kopii przykładu strategii. W tym samouczku użyjemy nazwy two-rgs-with-role-assignments.
- Lokalizacja definicji: użyj wielokropka i wybierz grupę zarządzania lub subskrypcję, aby zapisać kopię przykładu.
Wybierz kartę Artefakty w górnej części strony lub pozycję Dalej: Artefakty w dolnej części strony.
Zapoznaj się z listą artefaktów, które składają się na przykład strategii. Ten przykład definiuje dwie grupy zasobów z nazwami wyświetlanymi ProdRG i PreProdRG. Końcowa nazwa i lokalizacja każdej grupy zasobów są ustawiane podczas przypisywania strategii. Grupa zasobów ProdRG ma przypisaną rolę Współautor , a grupa zasobów PreProdRG ma przypisane role Właściciel i Czytelnicy . Role przypisane w definicji są statyczne, ale użytkownik, aplikacja lub grupa, do której przypisano rolę, jest ustawiana podczas przypisywania strategii.
Po zakończeniu przeglądania przykładu strategii wybierz pozycję Zapisz wersję roboczą.
Ten krok tworzy kopię przykładowej definicji strategii w wybranej grupie zarządzania lub subskrypcji. Zapisana definicja strategii jest zarządzana tak jak każda strategia utworzona od podstaw. Możesz zapisać przykład w grupie zarządzania lub subskrypcji tyle razy, ile to konieczne. Jednak każda kopia musi mieć unikatową nazwę.
Po pojawieniu się powiadomienia o pomyślnym zakończeniu zapisywania definicji strategii przejdź do następnego kroku.
Publikowanie kopii przykładu
Twoja kopia przykładu strategii została utworzona w środowisku. Została ona utworzona w trybie wersji roboczej i musi zostać opublikowana, zanim będzie można ją przypisać i wdrożyć. Kopię przykładu strategii można dostosować do środowiska i potrzeb. W tym samouczku nie wprowadzimy żadnych zmian.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Po lewej stronie wybierz stronę Definicje strategii. Użyj filtrów, aby znaleźć definicję strategii two-rgs-with-role-assignments , a następnie wybierz ją.
W górnej części strony wybierz pozycję Publikuj strategię. W nowym okienku po prawej stronie podaj wersjęjako 1.0 dla kopii przykładu strategii. Ta właściwość jest przydatna w przypadku dokonywania późniejszych modyfikacji. Podaj uwagi dotyczące zmian , takie jak "Pierwsza wersja opublikowana z grup zasobów przy użyciu przykładu strategii RBAC". Następnie wybierz pozycję Publikuj w dolnej części strony.
Ten krok umożliwia przypisanie strategii do subskrypcji. Po opublikowaniu można nadal wprowadzać zmiany. Dodatkowe zmiany wymagają publikowania z nową wartością Wersji , aby śledzić różnice między różnymi wersjami tej samej definicji strategii.
Po pojawieniu się powiadomienia o pomyślnym utworzeniu definicji strategii publikowania przejdź do następnego kroku.
Przypisywanie kopii przykładu
Po pomyślnym opublikowaniu kopii przykładu strategii można ją przypisać do subskrypcji w grupie zarządzania, w której została zapisana. W tym kroku udostępniane są parametry, dzięki którym każde wdrożenie kopii przykładowej strategii będzie unikatowe.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Po lewej stronie wybierz stronę Definicje strategii. Użyj filtrów, aby znaleźć definicję strategii two-rgs-with-role-assignments , a następnie wybierz ją.
Wybierz pozycję Przypisz strategię w górnej części strony definicji strategii.
Podaj wartości parametrów dla przypisania strategii:
Podstawy
- Subskrypcje: wybierz co najmniej jedną subskrypcję, która znajduje się w grupie zarządzania, do której zapisano kopię przykładu strategii. W przypadku wybrania więcej niż jednej subskrypcji dla każdej z nich zostanie utworzone przypisanie przy użyciu wprowadzonych parametrów.
- Nazwa przypisania: nazwa jest wstępnie wypełniona na podstawie nazwy definicji strategii.
- Lokalizacja: wybierz region, w którym ma zostać utworzona tożsamość zarządzana. Usługa Azure Blueprints używa tej tożsamości zarządzanej do wdrożenia wszystkich artefaktów w przypisanej strategii. Aby dowiedzieć się więcej, zobacz tożsamości zarządzane dla zasobów platformy Azure. Na potrzeby tego samouczka wybierz pozycję Wschodnie stany USA 2.
- Wersja definicji strategii: wybierz opublikowaną wersję 1.0 kopii przykładowej definicji strategii.
Zablokuj przypisanie
Wybierz tryb blokady strategii Tylko do odczytu . Aby uzyskać więcej informacji, zobacz blokowanie zasobów strategii.
Tożsamość zarządzana
Pozostaw domyślną opcję Przypisana przez system . Aby uzyskać więcej informacji, zobacz tożsamości zarządzane.
Parametry artefaktu
Parametry zdefiniowane w tej sekcji mają zastosowanie do artefaktu w ramach którego zostały zdefiniowane. Te parametry są parametrami dynamicznymi , ponieważ są definiowane podczas przypisywania strategii. Dla każdego artefaktu ustaw wartość parametru na wartość zdefiniowaną w kolumnie Wartość . W polu
{Your ID}
wybierz konto użytkownika platformy Azure.Nazwa artefaktu Typ artefaktu Nazwa parametru Wartość Opis Grupa zasobów ProdRG Grupa zasobów Nazwa ProductionRG Definiuje nazwę pierwszej grupy zasobów. Grupa zasobów ProdRG Grupa zasobów Lokalizacja Zachodnie stany USA 2 Ustawia lokalizację pierwszej grupy zasobów. Współautor Przypisanie roli Użytkownik lub grupa {Twój identyfikator} Określa, który użytkownik lub grupa ma przyznać przypisanie roli Współautor w pierwszej grupie zasobów. Grupa zasobów PreProdRG Grupa zasobów Nazwa PreProductionRG Definiuje nazwę drugiej grupy zasobów. Grupa zasobów PreProdRG Grupa zasobów Lokalizacja Zachodnie stany USA Ustawia lokalizację drugiej grupy zasobów. Właściciel Przypisanie roli Użytkownik lub grupa {Twój identyfikator} Definiuje użytkownika lub grupę, która ma przyznać przypisanie roli Właściciel w drugiej grupie zasobów. Czytelnicy Przypisanie roli Użytkownik lub grupa {Twój identyfikator} Określa, który użytkownik lub grupa ma przyznać przypisanie roli Czytelnicy w drugiej grupie zasobów.
Po wprowadzeniu wszystkich parametrów wybierz pozycję Przypisz w dolnej części strony.
Ten krok służy do wdrażania zdefiniowanych zasobów i konfigurowania wybranego przypisania blokady. Zastosowanie blokad strategii może potrwać do 30 minut.
Po pojawieniu się powiadomienia o pomyślnym zakończeniu przypisywania definicji strategii przejdź do następnego kroku.
Sprawdzanie zasobów wdrożonych przez przypisanie
Przypisanie strategii tworzy i śledzi artefakty zdefiniowane w definicji strategii. Stan zasobów można zobaczyć na stronie przypisania strategii i przeglądając zasoby bezpośrednio.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Wybierz stronę Przypisane strategie po lewej stronie. Użyj filtrów, aby znaleźć przypisanie strategii Dwa-rgs-with-role-assignments , a następnie wybierz je.
Na tej stronie można zobaczyć przypisanie powiodło się i listę utworzonych zasobów wraz ze stanem blokady strategii. Jeśli przypisanie zostanie zaktualizowane, lista rozwijana Operacja przypisania zawiera szczegółowe informacje o wdrażaniu każdej wersji definicji. Każdy utworzony zasób można wybrać i otwierać stronę właściwości zasobów.
Wybierz grupę zasobów ProductionRG .
Widzimy, że nazwa grupy zasobów to ProductionRG , a nie nazwa wyświetlana artefaktu ProdRG. Ta nazwa jest zgodna z wartością ustawioną podczas przypisywania strategii.
Wybierz stronę Kontrola dostępu (IAM) po lewej stronie, a następnie kartę Przypisania ról .
W tym miejscu widzimy, że Twoje konto otrzymało rolę Współautor w zakresie tego zasobu. Przypisanie strategii Przypisanie dwa-rgs-with-role-assignments ma rolę Właściciel, ponieważ została użyta do utworzenia grupy zasobów. Te uprawnienia są również używane do zarządzania zasobami ze skonfigurowanymi blokadami strategii.
W Azure Portal linki do stron nadrzędnych wybierz pozycję Przypisania-dwa-rgs-with-role-assignments, aby wrócić do jednej strony, a następnie wybierz grupę zasobów PreProductionRG.
Wybierz stronę Kontrola dostępu (IAM) po lewej stronie, a następnie kartę Przypisania ról .
W tym miejscu widzimy, że Twoje konto ma przyznane zarówno role Właściciel , jak i Czytelnik , zarówno w zakresie tego zasobu. Przypisanie strategii ma również rolę Właściciel , podobnie jak pierwsza grupa zasobów.
Wybierz kartę Odmów przypisań .
Przypisanie strategii spowodowało utworzenie przypisania odmowy we wdrożonej grupie zasobów w celu wymuszenia trybu blokady strategii tylko do odczytu . Przypisanie odmowy uniemożliwia komuś z odpowiednimi uprawnieniami na karcie Przypisania ról wykonywanie określonych akcji. Przypisanie odmowy ma wpływ na wszystkie podmioty zabezpieczeń.
Wybierz przypisanie odmowy, a następnie wybierz stronę Odmowa uprawnień po lewej stronie.
Przypisanie odmowy uniemożliwia wykonywanie wszystkich operacji z konfiguracją *akcji i , ale zezwala na dostęp do odczytu z wyłączeniem */odczytu za pośrednictwem notActions.
W Azure Portal linki do stron nadrzędnych wybierz pozycję PreProductionRG — Kontrola dostępu (IAM). Następnie wybierz stronę Przegląd po lewej stronie, a następnie przycisk Usuń grupę zasobów . Wprowadź nazwę PreProductionRG , aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń w dolnej części okienka.
Zostanie wyświetlone powiadomienie portalu Usuwanie grupy zasobów PreProductionRG . Błąd wskazuje, że gdy Twoje konto ma uprawnienia do usuwania grupy zasobów, dostęp zostanie odrzucony przez przypisanie strategii. Pamiętaj, że podczas przypisywania strategii wybrano tryb blokady strategii tylko do odczytu . Blokada strategii uniemożliwia konto z uprawnieniami, nawet właścicielem, usunięcie zasobu. Aby uzyskać więcej informacji, zobacz blokowanie zasobów strategii.
Te kroki pokazują, że nasze zasoby zostały utworzone zgodnie z definicją, a blokady strategii uniemożliwiły niepożądane usunięcie, nawet z konta z uprawnieniami.
Cofnij przypisanie strategii
Ostatnim krokiem jest usunięcie przypisania strategii i wdrożonych zasobów. Usunięcie przypisania nie powoduje usunięcia wdrożonych artefaktów.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Wybierz stronę Przypisane strategie po lewej stronie. Użyj filtrów, aby znaleźć przypisanie strategii Dwa-rgs-with-role-assignments , a następnie wybierz je.
Wybierz przycisk Cofnij przypisanie strategii w górnej części strony. Przeczytaj ostrzeżenie w oknie dialogowym potwierdzenia, a następnie wybierz przycisk OK.
Po usunięciu przypisania strategii blokady strategii są również usuwane. Utworzone zasoby można ponownie usunąć za pomocą konta z uprawnieniami.
Wybierz pozycję Grupy zasobów z menu platformy Azure, a następnie wybierz pozycję ProductionRG.
Wybierz stronę Kontrola dostępu (IAM) po lewej stronie, a następnie kartę Przypisania ról .
Zabezpieczenia dla każdej grupy zasobów nadal mają wdrożone przypisania ról, ale przypisanie strategii nie ma już dostępu właściciela .
Po pojawieniu się powiadomienia o usuwaniu przypisania strategii powiodło się w portalu przejdź do następnego kroku.
Czyszczenie zasobów
Po zakończeniu pracy z tym samouczkiem usuń następujące zasoby:
- Grupa zasobów ProductionRG
- Grupa zasobów PreProductionRG
- Definicja strategii — dwie grupy z przypisaniami ról
Następne kroki
W tym samouczku przedstawiono sposób tworzenia nowej strategii na podstawie przykładowej definicji. Aby dowiedzieć się więcej na temat usługi Azure Blueprints, przejdź do artykułu dotyczącego cyklu życia strategii.