Partilhar via


Tutorial: Criar um ambiente a partir de um exemplo de esquema

Importante

A 11 de julho de 2026, o Blueprints (Pré-visualização) será preterido. Migre as definições e atribuições de esquemas existentes para As Especificações de Modelo e As Pilhas de Implementação. Os artefactos de esquema devem ser convertidos em modelos JSON do ARM ou ficheiros Bicep utilizados para definir pilhas de implementação. Para saber como criar um artefacto como um recurso do ARM, consulte:

Os esquemas de exemplo fornecem exemplos do que pode ser feito com o Azure Blueprints. Cada um é um exemplo com uma intenção ou propósito específico, mas não cria um ambiente completo por si só. Cada um deles destina-se a ser um local de partida para explorar com o Azure Blueprints com várias combinações de artefactos, designs e parâmetros incluídos.

O tutorial seguinte utiliza o exemplo de esquema Grupos de Recursos com RBAC para mostrar diferentes aspetos do serviço Azure Blueprints. Os seguintes passos são abordados:

  • Criar uma nova definição de esquema a partir do exemplo
  • Marcar a cópia do exemplo como Publicada
  • Atribuir a cópia do esquema a uma subscrição já existente
  • Inspecionar os recursos implementados para a atribuição
  • Anular a atribuição do esquema para remover os bloqueios

Pré-requisitos

Para concluir este tutorial, é necessária uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar definição de esquema a partir de exemplo

Em primeiro lugar, implemente o exemplo de esquema. A importação cria um novo esquema no seu ambiente com base no exemplo.

  1. Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.

  2. Na página Começar à esquerda, selecione o botão Criar em Criar um esquema.

  3. Localize o exemplo de esquema Grupos de Recursos com RBAC em Outros Exemplos e selecione-o.

  4. Introduza as Informações Básicas do esquema de exemplo:

    • Nome do esquema: forneça um nome para a sua cópia do exemplo de esquema. Neste tutorial, vamos utilizar o nome two-rgs-with-role-assignments.
    • Localização da definição: utilize as reticências e selecione o grupo de gestão ou a subscrição para guardar a cópia do exemplo.
  5. Selecione o separador Artefactos, na parte superior da página, ou Seguinte: Artefactos, na parte inferior.

  6. Reveja a lista de artefactos que compõem o esquema de exemplo. Este exemplo define dois grupos de recursos, com nomes a apresentar de ProdRG e PreProdRG. O nome final e a localização de cada grupo de recursos são definidos durante a atribuição do esquema. É atribuída ao grupo de recursos ProdRG a função Contribuidor e é atribuída ao grupo de recursos PreProdRG as funções Proprietário e Leitor. As funções atribuídas na definição são estáticas, mas o utilizador, a aplicação ou o grupo atribuído à função é definido durante a atribuição do esquema.

  7. Quando terminar de rever o esquema de exemplo, selecione Guardar Rascunho.

Este passo cria uma cópia da definição de esquema de exemplo no grupo de gestão ou subscrição selecionado. A definição do esquema guardado é gerida como qualquer esquema criado de raiz. Pode guardar o exemplo no seu grupo de gestão ou subscrição quantas vezes for necessário. No entanto, tem de ser fornecido um nome exclusivo a cada cópia.

Assim que for apresentada a notificação do portal Guardar definição de esquema com êxito , avance para o passo seguinte.

Publicar a cópia do exemplo

A cópia do esquema de exemplo está agora criada no seu ambiente. Está criada no modo Rascunho e tem de ser Publicada antes de poder ser atribuída e implementada. A cópia do exemplo de esquema pode ser personalizada para o seu ambiente e necessidades. Neste tutorial, não faremos alterações.

  1. Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.

  2. Selecione a página Definições de esquema à esquerda. Utilize os filtros para localizar a definição de esquema de duas rgs-with-role-assignments e, em seguida, selecione-a.

  3. Selecione Publicar esquema, na parte superior da página. No novo painel à direita, forneça a Versão como 1.0 para a sua cópia do exemplo de esquema. Esta propriedade é útil se fizer modificações mais tarde. Indique Notas de alteração como "Primeira versão publicada a partir dos grupos de recursos com exemplo de esquema RBAC". Em seguida, selecione Publicar na parte inferior da página.

Este passo permite atribuir o esquema a uma subscrição. Depois de publicadas, as alterações ainda podem ser efetuadas. As alterações adicionais requerem a publicação com um novo valor de Versão para controlar as diferenças entre diferentes versões da mesma definição de esquema.

Assim que a notificação do portal Publicar definição de esquema com êxito for apresentada, avance para o passo seguinte.

Atribuir a cópia de exemplo

Depois de a cópia do exemplo de esquema ter sido publicada com êxito, pode ser atribuída a uma subscrição no grupo de gestão para a qual foi guardada. É neste passo que são fornecidos os parâmetros que fazem com que cada implementação da cópia do esquema de exemplo seja única.

  1. Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.

  2. Selecione a página Definições de esquema à esquerda. Utilize os filtros para localizar a definição de esquema de duas rgs-with-role-assignments e, em seguida, selecione-a.

  3. Selecione Atribuir esquema, na parte superior da página de definição do esquema.

  4. Indique os valores dos parâmetros para a atribuição do esquema:

    • Noções básicas

      • Subscrições: selecione uma ou mais das subscrições que estão no grupo de gestão para o qual guardou a sua cópia do exemplo de esquema. Se selecionar mais de uma subscrição, é criada uma atribuição para cada uma mediante a utilização dos parâmetros introduzidos.
      • Nome da atribuição: o nome é pré-preenchido para si com base no nome da definição do esquema.
      • Localização: selecione uma região na qual a identidade gerida deve ser criada. O Azure Blueprints utiliza esta identidade gerida para implementar todos os artefactos no esquema atribuído. Para saber mais, veja Identidades geridas para recursos do Azure. Para este tutorial, selecione E.U.A. Leste 2.
      • Versão da definição do esquema: selecione a versão 1.0publicada da sua cópia da definição do esquema de exemplo.
    • Bloquear Atribuição

      Selecione o modo de bloqueio de esquema Só de Leitura . Para obter mais informações, veja bloqueio de recurso em esquemas.

    • Identidade Gerida

      Deixe a opção Predefinida Atribuída pelo Sistema . Para obter mais informações, veja Identidades geridas.

    • Parâmetros dos artefactos

      Os parâmetros definidos nesta secção aplicam-se ao artefacto no qual são definidos. Estes parâmetros são parâmetros dinâmicos , uma vez que são definidos durante a atribuição do esquema. Para cada artefacto, defina o valor do parâmetro para o que é definido na coluna Valor . Em {Your ID}, selecione a sua conta de utilizador do Azure.

      Nome do artefacto Tipo de artefacto Nome do parâmetro Valor Descrição
      Grupo de recursos ProdRG Grupo de recursos Name ProductionRG Define o nome do primeiro grupo de recursos.
      Grupo de recursos ProdRG O grupo de recursos A localização E.U.A. Oeste 2 Define a localização do primeiro grupo de recursos.
      Contribuinte Atribuição de função Utilizador ou Grupo {O seu ID} Define o utilizador ou grupo a conceder a atribuição de função Contribuidor no primeiro grupo de recursos.
      Grupo de recursos PreProdRG Grupo de recursos Name PreProductionRG Define o nome do segundo grupo de recursos.
      Grupo de recursos PreProdRG O grupo de recursos A localização E.U.A. Oeste Define a localização do segundo grupo de recursos.
      Proprietário Atribuição de função Utilizador ou Grupo {O seu ID} Define que utilizador ou grupo conceder a atribuição de função proprietário no segundo grupo de recursos.
      Leitores Atribuição de função Utilizador ou Grupo {O seu ID} Define o utilizador ou grupo a conceder a atribuição de função Leitores no segundo grupo de recursos.
  5. Depois de introduzidos todos os parâmetros, selecione Atribuir, na parte inferior da página.

Este passo implementa os recursos definidos e configura a Atribuição de Bloqueio selecionada. Os bloqueios de esquema podem demorar até 30 minutos a serem aplicados.

Assim que for apresentada a notificação Atribuir definição de esquema com êxito ao portal, avance para o passo seguinte.

Inspecionar recursos implementados pela atribuição

A atribuição de esquema cria e controla os artefactos definidos na definição do esquema. Podemos ver o estado dos recursos na página de atribuição de esquemas e ao analisar os recursos diretamente.

  1. Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.

  2. Selecione a página Esquemas atribuídos à esquerda. Utilize os filtros para localizar a atribuição de esquema Atribuição-dois-rgs-with-role-assignments e, em seguida, selecione-a.

    A partir desta página, podemos ver a atribuição com êxito e a lista de recursos criados juntamente com o respetivo estado de bloqueio de esquema. Se a atribuição for atualizada, a lista pendente Operação de atribuição mostra detalhes sobre a implementação de cada versão de definição. Cada recurso listado que foi criado pode ser selecionado e abre essa página de propriedades de recursos.

  3. Selecione o grupo de recursos ProductionRG .

    Vemos que o nome do grupo de recursos é ProductionRG e não o nome a apresentar do artefacto ProdRG. Este nome corresponde ao valor definido durante a atribuição do esquema.

  4. Selecione a página Controlo de acesso (IAM) à esquerda e, em seguida, o separador Atribuições de funções .

    Aqui, vemos que foi concedida à sua conta a função contribuidor no âmbito deste recurso. A atribuição do esquema Atribuição-dois-rgs-with-role-assignments tem a função Proprietário , uma vez que foi utilizada para criar o grupo de recursos. Estas permissões também são utilizadas para gerir recursos com bloqueios de esquema configurados.

  5. Na portal do Azure trilho, selecione Atribuição-dois-rgs-with-role-assignments para retroceder uma página e, em seguida, selecione o grupo de recursos PreProductionRG.

  6. Selecione a página Controlo de acesso (IAM) à esquerda e, em seguida, o separador Atribuições de funções .

    Aqui, vemos que a sua conta recebeu as funções Proprietário e Leitor , ambas no âmbito deste recurso. A atribuição de esquema também tem a função Proprietário , como o primeiro grupo de recursos.

  7. Selecione o separador Negar atribuições .

    A atribuição de esquema criou uma atribuição de negação no grupo de recursos implementado para impor o modo de bloqueio de esquema Só de Leitura . A atribuição de negação impede que alguém com direitos adequados no separador Atribuições de funções efetue ações específicas. A atribuição de negação afeta Todos os principais.

  8. Selecione a atribuição de negação e, em seguida, selecione a página Permissões Negadas à esquerda.

    A atribuição de negação está a impedir todas as operações com a * configuração e Ação , mas permite o acesso de leitura ao excluir */leratravés de NotActions.

  9. Na portal do Azure trilho, selecione PreProductionRG – Controlo de acesso (IAM). Em seguida, selecione a página Descrição geral à esquerda e, em seguida, o botão Eliminar grupo de recursos . Introduza o nome PreProductionRG para confirmar a eliminação e selecione Eliminar na parte inferior do painel.

    A notificação do portal Eliminar grupo de recursos PreProductionRG falhou é apresentada. O erro indica que, embora a sua conta tenha permissão para eliminar o grupo de recursos, o acesso é negado pela atribuição do esquema. Lembre-se de que selecionámos o modo de bloqueio de esquema Só de Leitura durante a atribuição do esquema. O bloqueio do esquema impede que uma conta com permissão, mesmo Proprietário, elimine o recurso. Para obter mais informações, veja bloqueio de recurso em esquemas.

Estes passos mostram que os nossos recursos foram criados conforme definidos e que os bloqueios de esquema impediram a eliminação indesejada, mesmo a partir de uma conta com permissão.

Anular a atribuição do esquema

O último passo é remover a atribuição do esquema e os recursos que implementou. Remover a atribuição não remove os artefactos implementados.

  1. Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.

  2. Selecione a página Esquemas atribuídos à esquerda. Utilize os filtros para localizar a atribuição de esquema Atribuição-dois-rgs-with-role-assignments e, em seguida, selecione-a.

  3. Selecione o botão Anular atribuição de esquema na parte superior da página. Leia o aviso na caixa de diálogo de confirmação e, em seguida, selecione OK.

    Com a atribuição do esquema removida, os bloqueios de esquema também são removidos. Os recursos criados podem ser novamente eliminados por uma conta com permissões.

  4. Selecione Grupos de recursos no menu do Azure e, em seguida, selecione ProductionRG.

  5. Selecione a página Controlo de acesso (IAM) à esquerda e, em seguida, o separador Atribuições de funções .

A segurança de cada grupo de recursos ainda tem as atribuições de funções implementadas, mas a atribuição do esquema já não tem acesso de Proprietário .

Assim que for apresentada a notificação Remover atribuição de esquema com êxito no portal, avance para o passo seguinte.

Limpar os recursos

Quando terminar este tutorial, elimine os seguintes recursos:

  • Grupo de recursos ProductionRG
  • Grupo de recursos PreProductionRG
  • Definição do esquema two-rgs-with-role-assignments

Passos seguintes

Neste tutorial, aprendeu a criar um novo esquema a partir de uma definição de exemplo. Para saber mais sobre o Azure Blueprints, avance para o artigo sobre o ciclo de vida do esquema.