Samouczek: ochrona nowych zasobów za pomocą blokad zasobów usługi Azure Blueprints
Ważne
11 lipca 2026 r. strategia (wersja zapoznawcza) zostanie wycofana. Przeprowadź migrację istniejących definicji strategii i przypisań do szablonów specyfikacji i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:
Za pomocą blokad zasobów usługi Azure Blueprints można chronić nowo wdrożone zasoby przed manipulowaniem, nawet przez konto z rolą Właściciel . Tę ochronę można dodać w definicjach strategii zasobów utworzonych przez artefakt szablonu usługi Azure Resource Manager (szablon usługi ARM). Blokada zasobu strategii jest ustawiana podczas przypisywania strategii.
W tym samouczku wykonasz następujące kroki:
- Tworzenie definicji strategii
- Oznacz definicję strategii jako Opublikowano
- Przypisywanie definicji strategii do istniejącej subskrypcji (ustawianie blokad zasobów)
- Sprawdzanie nowej grupy zasobów
- Cofnij przypisanie strategii, aby usunąć blokady
Wymagania wstępne
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Tworzenie definicji strategii
Najpierw utwórz definicję strategii.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Na stronie Wprowadzenie po lewej stronie wybierz pozycję Utwórz w obszarze Utwórz strategię.
Znajdź przykład strategii Blank Blueprint w górnej części strony. Wybierz pozycję Rozpocznij od pustej strategii.
Wprowadź te informacje na karcie Podstawy :
- Nazwa strategii: podaj nazwę kopii przykładu strategii. W tym samouczku użyjemy nazwy locked-storageaccount.
- Opis strategii: dodaj opis definicji strategii. Użyj funkcji Do testowania blokowania zasobów strategii we wdrożonych zasobach.
- Lokalizacja definicji: wybierz przycisk wielokropka (...), a następnie wybierz grupę zarządzania lub subskrypcję, aby zapisać definicję strategii.
Wybierz kartę Artefakty w górnej części strony lub wybierz pozycję Dalej: Artefakty w dolnej części strony.
Dodaj grupę zasobów na poziomie subskrypcji:
- Wybierz wiersz Dodaj artefakt w obszarze Subskrypcja.
- Wybierz pozycję Grupa zasobów w obszarze Typ artefaktu.
- Ustaw nazwę wyświetlaną artefaktu na wartość RGtoLock.
- Pozostaw puste pola Nazwa grupy zasobów i Lokalizacja , ale upewnij się, że pole wyboru jest zaznaczone dla każdej właściwości, aby ustawić je jako parametry dynamiczne.
- Wybierz pozycję Dodaj , aby dodać artefakt do strategii.
Dodaj szablon w grupie zasobów:
Wybierz wiersz Dodaj artefakt w pozycji RGtoLock .
Wybierz pozycję Szablon usługi Azure Resource Manager w obszarze Typ artefaktu, ustaw wartość Nazwa wyświetlana artefaktu na StorageAccount i pozostaw pole Opis puste.
Na karcie Szablon wklej następujący szablon usługi ARM w polu edytora. Po wklejeniu szablonu wybierz pozycję Dodaj , aby dodać artefakt do strategii.
Uwaga
Ten krok definiuje zasoby, które mają być wdrażane, które są blokowane przez blokadę zasobu strategii, ale nie obejmują blokad zasobów strategii. Blokady zasobów strategii są ustawiane jako parametr przypisania strategii.
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "storageAccountType": { "type": "string", "defaultValue": "Standard_LRS", "allowedValues": [ "Standard_LRS", "Standard_GRS", "Standard_ZRS", "Premium_LRS" ], "metadata": { "description": "Storage Account type" } } }, "variables": { "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]" }, "resources": [{ "type": "Microsoft.Storage/storageAccounts", "name": "[variables('storageAccountName')]", "location": "[resourceGroup().location]", "apiVersion": "2018-07-01", "sku": { "name": "[parameters('storageAccountType')]" }, "kind": "StorageV2", "properties": {} }], "outputs": { "storageAccountName": { "type": "string", "value": "[variables('storageAccountName')]" } } }
Wybierz pozycję Zapisz wersję roboczą w dolnej części strony.
Ten krok tworzy definicję strategii w wybranej grupie zarządzania lub subskrypcji.
Po pojawieniu się powiadomienia o pomyślnym zakończeniu zapisywania definicji strategii przejdź do następnego kroku.
Publikowanie definicji strategii
Definicja strategii została teraz utworzona w twoim środowisku. Jest on tworzony w trybie roboczym i musi zostać opublikowany, zanim będzie można go przypisać i wdrożyć.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Po lewej stronie wybierz stronę Definicje strategii. Użyj filtrów, aby znaleźć definicję strategii locked-storageaccount , a następnie wybierz ją.
W górnej części strony wybierz pozycję Publikuj strategię. W nowym okienku po prawej stronie wprowadź wartość 1.0 jako wersję. Ta właściwość jest przydatna, jeśli wprowadzisz zmianę później. Wprowadź uwagi dotyczące zmian, takie jak Pierwsza wersja opublikowana na potrzeby blokowania wdrożonych zasobów. Następnie wybierz pozycję Publikuj w dolnej części strony.
Ten krok umożliwia przypisanie strategii do subskrypcji. Po opublikowaniu definicji strategii można nadal wprowadzać zmiany. Jeśli wprowadzisz zmiany, musisz opublikować definicję z nową wartością wersji, aby śledzić różnice między wersjami tej samej definicji strategii.
Po pojawieniu się powiadomienia o pomyślnym zakończeniu tworzenia strategii publikowania przejdź do następnego kroku.
Przypisywanie definicji strategii
Po opublikowaniu definicji strategii można przypisać ją do subskrypcji w grupie zarządzania, w której została zapisana. W tym kroku podajesz parametry, aby każde wdrożenie definicji strategii było unikatowe.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Po lewej stronie wybierz stronę Definicje strategii. Użyj filtrów, aby znaleźć definicję strategii locked-storageaccount , a następnie wybierz ją.
Wybierz pozycję Przypisz strategię w górnej części strony definicji strategii.
Podaj wartości parametrów dla przypisania strategii:
Podstawy
- Subskrypcje: wybierz co najmniej jedną subskrypcję, która znajduje się w grupie zarządzania, w której zapisano definicję strategii. Jeśli wybierzesz więcej niż jedną subskrypcję, zostanie utworzone przypisanie dla każdej subskrypcji przy użyciu wprowadzonych parametrów.
- Nazwa przypisania: nazwa jest wstępnie wypełniana na podstawie nazwy definicji strategii. Chcemy, aby to przypisanie reprezentowało blokowanie nowej grupy zasobów, dlatego zmień nazwę przypisania na assignment-locked-storageaccount-TestingBPLocks.
- Lokalizacja: wybierz region, w którym ma zostać utworzona tożsamość zarządzana. Usługa Azure Blueprints używa tej tożsamości zarządzanej do wdrożenia wszystkich artefaktów w przypisanej strategii. Aby dowiedzieć się więcej, zobacz tożsamości zarządzane dla zasobów platformy Azure. Na potrzeby tego samouczka wybierz pozycję Wschodnie stany USA 2.
- Wersja definicji strategii: wybierz opublikowaną wersję 1.0 definicji strategii.
Blokowanie przypisania
Wybierz tryb blokady strategii Tylko do odczytu . Aby uzyskać więcej informacji, zobacz blokowanie zasobów strategii.
Uwaga
Ten krok umożliwia skonfigurowanie blokady zasobów strategii w nowo wdrożonych zasobach.
Tożsamość zarządzana
Użyj opcji domyślnej: Przypisano system. Aby uzyskać więcej informacji, zobacz tożsamości zarządzane.
Parametry artefaktu
Parametry zdefiniowane w tej sekcji dotyczą artefaktu, w którym są zdefiniowane. Te parametry są parametrami dynamicznymi , ponieważ są definiowane podczas przypisywania strategii. Dla każdego artefaktu ustaw wartość parametru na wartość widoczną w kolumnie Wartość .
Nazwa artefaktu Typ artefaktu Nazwa parametru Wartość Opis Grupa zasobów RGtoLock Grupa zasobów Nazwa TestowanieBPLocks Definiuje nazwę nowej grupy zasobów, do której mają zostać zastosowane blokady strategii. Grupa zasobów RGtoLock Grupa zasobów Lokalizacja Zachodnie stany USA 2 Definiuje lokalizację nowej grupy zasobów, do której mają zostać zastosowane blokady strategii. Konto magazynu Szablon usługi Resource Manager storageAccountType (StorageAccount) Standard_GRS Jednostka SKU magazynu. Wartość domyślna to Standard_LRS.
Po wprowadzeniu wszystkich parametrów wybierz pozycję Przypisz w dolnej części strony.
Ten krok służy do wdrażania zdefiniowanych zasobów i konfigurowania wybranego przypisania blokady. Zastosowanie blokad strategii może potrwać do 30 minut.
Po pojawieniu się powiadomienia o pomyślnym zakończeniu przypisywania definicji strategii przejdź do następnego kroku.
Sprawdzanie zasobów wdrożonych przez przypisanie
Przypisanie tworzy grupę zasobów TestingBPLocks i konto magazynu wdrożone przez artefakt szablonu usługi ARM. Nowa grupa zasobów i wybrany stan blokady są wyświetlane na stronie szczegółów przypisania.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Wybierz stronę Przypisane strategie po lewej stronie. Użyj filtrów, aby znaleźć przypisanie locked-storageaccount-TestingBPLocks przypisania strategii, a następnie wybierz je.
Na tej stronie widać, że przypisanie powiodło się i że zasoby zostały wdrożone z nowym stanem blokady strategii. Jeśli przypisanie zostanie zaktualizowane, lista rozwijana Operacja przypisania zawiera szczegółowe informacje o wdrażaniu każdej wersji definicji. Możesz wybrać grupę zasobów, aby otworzyć stronę właściwości.
Wybierz grupę zasobów TestingBPLocks .
Wybierz stronę Kontrola dostępu (IAM) po lewej stronie. Następnie wybierz kartę Przypisania ról .
W tym miejscu widzimy, że przypisanie locked-storageaccount-TestingBPLocks przypisanie strategii ma rolę Właściciela . Ma tę rolę, ponieważ ta rola została użyta do wdrożenia i zablokowania grupy zasobów.
Wybierz kartę Odmów przypisań .
Przypisanie strategii spowodowało utworzenie przypisania odmowy we wdrożonej grupie zasobów w celu wymuszenia trybu blokady strategii tylko do odczytu . Przypisanie odmowy uniemożliwia komuś z odpowiednimi uprawnieniami na karcie Przypisania ról wykonywanie określonych akcji. Przypisanie odmowy ma wpływ na wszystkie podmioty zabezpieczeń.
Informacje o wykluczaniu podmiotu zabezpieczeń z przypisania odmowy można znaleźć w temacie Blueprints resource locking (Blokowanie zasobów strategii).
Wybierz przypisanie odmowy, a następnie wybierz stronę Odmowa uprawnień po lewej stronie.
Przypisanie odmowy uniemożliwia wszystkie operacje z konfiguracją *akcji i , ale umożliwia dostęp do odczytu przez wykluczenie */odczytu za pośrednictwem notActions.
W Azure Portal linki do stron nadrzędnych wybierz pozycję TestingBPLocks — Kontrola dostępu (IAM). Następnie wybierz stronę Przegląd po lewej stronie, a następnie przycisk Usuń grupę zasobów . Wprowadź nazwę TestingBPLocks , aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń w dolnej części okienka.
Zostanie wyświetlone powiadomienie portalu Usuwanie grupy zasobów TestingBPLocks nie powiodło się. Błąd wskazuje, że mimo że Twoje konto ma uprawnienia do usuwania grupy zasobów, dostęp jest odrzucany przez przypisanie strategii. Pamiętaj, że podczas przypisywania strategii wybrano tryb blokady strategii tylko do odczytu . Blokada strategii uniemożliwia konto z uprawnieniami, nawet właścicielem, usunięcie zasobu. Aby uzyskać więcej informacji, zobacz blokowanie zasobów strategii.
Te kroki pokazują, że wdrożone zasoby są teraz chronione za pomocą blokad strategii, które uniemożliwiają niepożądane usunięcie, nawet z konta z uprawnieniami do usuwania zasobów.
Cofnij przypisanie strategii
Ostatnim krokiem jest usunięcie przypisania definicji strategii. Usunięcie przypisania nie powoduje usunięcia skojarzonych artefaktów.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Wybierz stronę Przypisane strategie po lewej stronie. Użyj filtrów, aby znaleźć przypisanie locked-storageaccount-TestingBPLocks przypisania strategii, a następnie wybierz je.
Wybierz pozycję Cofnij przypisanie strategii w górnej części strony. Przeczytaj ostrzeżenie w oknie dialogowym potwierdzenia, a następnie wybierz przycisk OK.
Po usunięciu przypisania strategii blokady strategii również zostaną usunięte. Zasoby mogą zostać ponownie usunięte przez konto z odpowiednimi uprawnieniami.
Wybierz pozycję Grupy zasobów z menu platformy Azure, a następnie wybierz pozycję TestingBPLocks.
Wybierz stronę Kontrola dostępu (IAM) po lewej stronie, a następnie wybierz kartę Przypisania ról .
Zabezpieczenia grupy zasobów pokazują, że przypisanie strategii nie ma już dostępu właściciela .
Po pojawieniu się powiadomienia o usuwaniu przypisania strategii powiodło się w portalu przejdź do następnego kroku.
Czyszczenie zasobów
Po zakończeniu pracy z tym samouczkiem usuń następujące zasoby:
- Testowanie grupy zasobówBPLocks
- Definicja strategii locked-storageaccount
Następne kroki
W tym samouczku przedstawiono sposób ochrony nowych zasobów wdrożonych za pomocą usługi Azure Blueprints. Aby dowiedzieć się więcej na temat usługi Azure Blueprints, przejdź do artykułu dotyczącego cyklu życia strategii.