Utilizar bloqueios de recursos para proteger recursos

  • 7 minutos

Numa reunião recente, o seu gestor mencionou que existiam instâncias em que recursos fundamentais do Azure foram eliminados acidentalmente. Como houve desorganização em todo o ambiente do Azure, boas intenções de limpar recursos desnecessários resultaram em exclusões acidentais de recursos críticos para outros sistemas. Já ouviu falar de bloqueios de recursos no Azure. Mencionou ao seu gestor que acredita que pode ajudar a impedir este tipo de incidentes no futuro. Vejamos como pode utilizar os bloqueios de recursos para resolver este problema.

O que são bloqueios de recursos?

Os bloqueios de recursos são uma configuração que você pode aplicar a qualquer recurso para bloquear modificações ou exclusões. Você pode definir bloqueios de recursos como Excluir ou Somente leitura. Excluir permitirá todas as operações contra o recurso, mas bloqueará a capacidade de excluí-lo. Só de leitura permitirá apenas atividades de leitura no recurso e bloqueará a modificação ou eliminação do mesmo. Você pode aplicar bloqueios de recursos a assinaturas, grupos de recursos e a recursos individuais. Os bloqueios de recursos são herdados quando aplicados em níveis mais altos.

Nota

A aplicação do Somente Leitura pode levar a resultados inesperados, porque algumas operações que parecem operações de leitura realmente exigem ações adicionais. Por exemplo, colocar um bloqueio Só de leitura numa conta de armazenamento impede todos os utilizadores de listarem as chaves. A operação de listar chaves é processada através de um pedido POST porque as chaves devolvidas estão disponíveis para operações de escrita.

Quando um bloqueio de recurso tiver sido aplicado, você deve primeiro removê-lo para executar essa atividade. Ao colocar uma etapa adicional antes de permitir que a ação seja executada no recurso, ele ajuda a proteger os recursos de ações inadvertidas e ajuda a proteger seus administradores de fazer algo que talvez não pretendam fazer. Os bloqueios de recursos são aplicados independentemente das permissões de RBAC. Mesmo que você seja proprietário de um recurso, ainda deve remover o bloqueio antes de realmente poder executar a atividade bloqueada.

Vejamos como funciona um bloqueio de recurso.

Criar um bloqueio de recurso

Vamos utilizar o nosso grupo de recursos msftlearn-core-infrastructure-rg. Agora você tem duas redes virtuais e uma conta de armazenamento. Você considera esses recursos como partes críticas do seu ambiente do Azure e deseja garantir que eles não sejam excluídos por engano. Para impedir que o grupo de recursos e os recursos incluídos sejam eliminados, aplique um bloqueio de recurso ao grupo de recursos.

  1. Num browser, navegue até ao portal do Azure, caso ainda não o tenha feito. Na caixa de pesquisa na barra de navegação superior, procure msftlearn-core-infrastructure-rg e selecione o grupo de recursos.

  2. No menu esquerdo, na secção Definições, selecione Bloqueios. Deverá ver que o recurso não tem atualmente bloqueios aplicados. Irá adicionar um.

  3. Selecione + Adicionar. Atribua o nome BloquearEliminação e, em Tipo de bloqueio, selecione Eliminar. Selecione OK.

    Captura de ecrã do portal do Azure a mostrar a configuração de um novo bloqueio de recurso.

    Agora você tem um bloqueio aplicado ao grupo de recursos que impede a exclusão do grupo. Este bloqueio é herdado por todos os recursos dentro do grupo de recursos. Irá tentar eliminar uma das redes virtuais para ver o que acontece.

  4. Volte para Visão geral e selecione msftlearn-vnet1.

  5. Na parte superior do painel Visão geral do msftlearn-vnet1, selecione Excluir. Você receberá um erro informando que há um bloqueio no recurso que impede sua exclusão.

  6. No menu esquerdo, na secção Definições, selecione Bloqueios. O msftlearn-vnet1 tem um bloqueio que é herdado do grupo de recursos.

  7. Retorne ao grupo de recursos msftlearn-core-infrastructure-rg e vá para Bloqueios. Você removerá o cadeado para poder limpar. Selecione Excluir no bloqueio BlockDeletion .

Utilizar bloqueios de recursos na prática

Você aprendeu como os bloqueios de recursos podem proteger contra exclusão acidental. Para eliminar uma rede virtual, precisava de remover o bloqueio. Esta ação combinada ajuda a garantir que pretende mesmo eliminar ou modificar um determinado recurso.

Utilize bloqueios de recursos para proteger os conteúdos essenciais do Azure cuja remoção ou modificação poderia ter um impacto significativo. Alguns exemplos são circuitos ExpressRoute, redes virtuais, bancos de dados críticos e controladores de domínio. Avalie seus recursos e aplique bloqueios onde você gostaria de ter uma camada extra de proteção contra ações acidentais.

Limpar os recursos

Vamos limpar os recursos que criámos. Terá de eliminar o grupo de recursos que criou, bem como a atribuição de políticas e definição de políticas.

  1. Vá para o portal do Azure em um navegador da Web.

  2. Na caixa de pesquisa na barra de menu superior, procure msftlearn-core-infrastructure-rg e selecione o grupo de recursos.

  3. No painel Descrição geral, selecione Eliminar grupo de recursos. Digite o nome do grupo de recursos msftlearn-core-infrastructure-rg para confirmar e selecione Excluir. Selecione Excluir novamente para confirmar a exclusão.

    Nota

    Como você excluiu os recursos atribuídos com o grupo de recursos que contém, não haverá mais atribuições nesta política. Normalmente, se atribuísse uma política a um recurso, poderia eliminar a atribuição sem eliminar o recurso subjacente aqui. Para fazer isso, selecione Atribuições, selecione as reticências (...) da sua atribuição e selecione Excluir atribuição.

  4. Na caixa de pesquisa, procure Política e selecione o serviço Política .

  5. Selecione Atribuições e exclua a atribuição que você criou.

  6. Selecione Definições e procure a política que você criou: Impor tag no recurso.

  7. Selecione o ... para sua definição e selecione Excluir definição. Selecione Sim para confirmar a exclusão.