Skydda Azure Quantum-resurser med ARM-lås (Azure Resource Manager)

Microsoft rekommenderar att du låser alla dina Azure Quantum-arbetsytor och länkade lagringskonton med ett Resurslås för Azure Resource Manager (ARM) för att förhindra oavsiktlig eller skadlig borttagning. Professorer kanske till exempel vill hindra studenter från att ändra provider-SKU:er, men ändå göra det möjligt för dem att använda notebook-filer och skicka jobb.

Det finns två typer av ARM-resurslås:

• Ett CannotDelete-lås hindrar användare från att ta bort en resurs, men tillåter läsning och ändring av dess konfiguration.
• Ett ReadOnly-lås hindrar användare från att ändra en resurs konfiguration (inklusive att ta bort den), men tillåter att de läser konfigurationen. Mer information om resurslås finns i Låsa resurser för att förhindra oväntade ändringar.

Anteckning

Om du redan använder en ARM- eller Bicep-mall för att hantera dina Azure Quantum-arbetsytor kan du lägga till procedurerna i den här artikeln i dina befintliga mallar.

Rekommenderade låskonfigurationer

I följande tabell visas de rekommenderade konfigurationerna för resurslås som ska distribueras för en Azure Quantum-arbetsyta.

Resurs	Låstyp	Kommentarer
Arbetsyta	Ta bort	Förhindrar att arbetsytan tas bort.
Arbetsyta	Skrivskyddad	Förhindrar ändringar av arbetsytan, inklusive tillägg eller borttagningar av providrar, samtidigt som användarna kan skapa och ta bort anteckningsböcker och skicka jobb. Om du vill ändra providers när det här låset har angetts måste du ta bort resurslåset, göra dina ändringar och sedan distribuera om låset.
Lagringskonto	Ta bort	Förhindrar att lagringskontot tas bort.

Följande konfigurationer bör undvikas:

Viktigt

Om du anger följande ARM-lås kan arbetsytan fungera felaktigt.

Resurs	Låstyp	Kommentarer
Lagringskonto	Skrivskyddad	Om du anger ett skrivskyddat resurslås på lagringskontot kan det orsaka fel när arbetsytan skapas, Jupyter Notebooks-gränssnittet och att jobb skickas och hämtas.
Överordnad prenumeration på arbetsytan eller den överordnade resursgruppen för arbetsytan eller lagringskontot	Skrivskyddad	När ett resurslås tillämpas på en överordnad resurs ärver alla resurser under den överordnade resursen samma lås, inklusive resurser som skapats vid ett senare tillfälle. För mer detaljerad kontroll bör resurslås tillämpas direkt på resursnivå.

Förutsättningar

Du måste vara ägare eller administratör för användaråtkomst för en resurs för att kunna använda ARM-resurslås. Mer information finns i Inbyggda roller i Azure.

Kommandoradsdistribution

Du behöver antingen Azure PowerShell eller Azure CLI för att distribuera låset. Om du använder Azure CLI måste du ha den senaste versionen. Installationsanvisningarna finns i:

• Installera Azure PowerShell
• Installera Azure CLI

Viktigt

Om du inte har använt Azure CLI med Azure Quantum tidigare följer du stegen i avsnittet Miljökonfiguration för att lägga quantum till tillägget och registrera Azure Quantum-namnområdet.

Logga in på Azure

När du har installerat antingen Azure CLI eller Azure PowerShell måste du logga in för första gången. Välj någon av följande flikar och kör motsvarande kommandoradskommandon för att logga in på Azure:

Azure CLI

az login

Om du har flera Azure-prenumerationer väljer du prenumerationen med de resurser som du vill låsa. Ersätt SubscriptionName med ditt prenumerationsnamn eller prenumerations-ID. Exempel:

az account set --subscription "Azure subscription 1"

Azure PowerShell

Connect-AzAccount

Om du har flera Azure-prenumerationer väljer du prenumerationen med de resurser som du vill låsa. Ersätt SubscriptionName med ditt prenumerationsnamn eller prenumerations-ID. Exempel:

Set-AzContext "Azure subscription 1"

Skapa ett ARM-resurslås

När du distribuerar ett resurslås anger du ett namn för låset, typen av lås och ytterligare information om resursen. Den här informationen kan kopieras och klistras in från resursens startsida i Azure Quantum-portalen.

Azure CLI

az lock create \
    --name <lock> \
    --resource-group <resource-group> \
    --resource <workspace> \
    --lock-type CanNotDelete \
    --resource-type Microsoft.Quantum/workspaces

• name: Ett beskrivande namn för låset
• resource-group: Namnet på den överordnade resursgruppen.
• resurs: Namnet på resursen som låset ska tillämpas på.
• lock-type: Den typ av lås som ska tillämpas, antingen CanNotDelete eller ReadOnly.
• resource-type: Resurstypen target .

Om du till exempel vill skapa ett CanNotDelete-lås på en arbetsyta:

az lock create \
    --name ArmLockWkspDelete \
    --resource-group armlocks-resgrp \
    --resource armlocks-wksp \
    --lock-type CanNotDelete \
    --resource-type Microsoft.Quantum/workspaces

Om det lyckas returnerar Azure låskonfigurationen i JSON-format:

{
  "id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDelete",
  "level": "CanNotDelete",
  "name": "ArmLockWkspDelete",
  "notes": null,
  "owners": null,
  "resourceGroup": "armlocks-resgrp",
  "type": "Microsoft.Authorization/locks"
}

Så här skapar du ett ReadOnly-lås på en arbetsyta:

az lock create \
    --name ArmLockWkspRead \
    --resource-group armlocks-resgrp \
    --resource armlocks-wksp \
    --lock-type ReadOnly \
    --resource-type Microsoft.Quantum/workspaces

{
  "id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRead",
  "level": "ReadOnly",
  "name": "ArmLockWkspRead",
  "notes": null,
  "owners": null,
  "resourceGroup": "armlocks-resgrp",
  "type": "Microsoft.Authorization/locks"
}

Så här skapar du ett CanNotDelete-lås på ett lagringskonto:

az lock create \
    --name ArmLockStoreDelete \
    --resource-group armlocks-resgrp \
    --resource armlocksstorage \--lock-type CanNotDelete \
    --resource-type Microsoft.Storage/storageAccounts

{
  "id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLockStoreDelete",
  "level": "CanNotDelete",
  "name": "ArmLockStoreDelete",
  "notes": null,
  "owners": null,
  "resourceGroup": "armlocks-resgrp",
  "type": "Microsoft.Authorization/locks"
}

PowerShell

New-AzResourceLock -LockLevel CanNotDelete `
    -LockName <lock> `
    -ResourceName <workspace> `
    -ResourceType Microsoft.Quantum/workspaces `
    -ResourceGroupName <resource-group>

• LockLevel: Den typ av lås som ska tillämpas, antingen CanNotDelete eller ReadOnly.
• LockName: Ett beskrivande namn för låset
• ResourceName: Namnet på resursen som låset ska tillämpas på.
• ResourceType: Resurstypen target .
• ResourceGroupName: Namnet på den överordnade resursgruppen.

Om du till exempel vill skapa ett CanNotDelete-lås på en arbetsyta:

New-AzResourceLock `
    -LockLevel CanNotDelete `
    -LockName ArmLockWkspDelete `
    -ResourceName armlocks-wksp `
    -ResourceType Microsoft.Quantum/workspaces `
    -ResourceGroupName armlocks-resgrp

Om det lyckas returnerar Azure låskonfigurationsegenskaperna

Name                  : ArmLockWkspDelete
ResourceId            : /<ID>/resourceGroups/armlocks-resgrp/providers/Mi
                        crosoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDel
                        ete
ResourceName          : armlocks-wksp
ResourceType          : Microsoft.Quantum/workspaces
ExtensionResourceName : ArmLockWkspDelete
ExtensionResourceType : Microsoft.Authorization/locks
ResourceGroupName     : armlocks-resgrp
SubscriptionId        : <ID>
Properties            : @{level=CanNotDelete}
LockId                : /subscriptions/<ID>/resourceGroups/armlocks-resgrp/providers/Mi
                        crosoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDel
                        ete

Så här skapar du ett ReadOnly-lås på en arbetsyta:

New-AzResourceLock -LockLevel ReadOnly `
    -LockName ArmLockWkspRead `
    -ResourceName armlocks-wksp `
    -ResourceType Microsoft.Quantum/workspaces `
    -ResourceGroupName armlocks-resgrp

Name                  : ArmLockWkspRead
ResourceId            : /subscriptions/<ID>/resourceGroups/armlocks-resgrp/providers/Mi
                        crosoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRea
                        d
ResourceName          : armlocks-wksp
ResourceType          : Microsoft.Quantum/workspaces
ExtensionResourceName : ArmLockWkspRead
ExtensionResourceType : Microsoft.Authorization/locks
ResourceGroupName     : armlocks-resgrp
SubscriptionId        : <ID>
Properties            : @{level=ReadOnly}
LockId                : /subscriptions/<ID>/resourceGroups/armlocks-resgrp/providers/Mi
                        crosoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRea
                        d

Så här skapar du ett CanNotDelete-lås på ett lagringskonto:

New-AzResourceLock -LockLevel CanNotDelete `
    -LockName ArmLockStoreDelete `
    -ResourceName armlocksstorage `
    -ResourceType Microsoft.Storage/storageAccounts `
    -ResourceGroupName armlocks-resgrp 

Name                  : ArmLockStoreDelete
ResourceId            : /subscriptions/<ID>/resourceGroups/armlocks-resgrp/providers/Mi
                        crosoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLock
                        StoreDelete
ResourceName          : armlocksstorage
ResourceType          : Microsoft.Storage/storageAccounts
ExtensionResourceName : ArmLockStoreDelete
ExtensionResourceType : Microsoft.Authorization/locks
ResourceGroupName     : armlocks-resgrp
SubscriptionId        : <ID>
Properties            : @{level=CanNotDelete}
LockId                : /subscriptions/<ID>/resourceGroups/armlocks-resgrp/providers/Mi
                        crosoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLock
                        StoreDelete

Visa och ta bort lås

Så här visar eller tar du bort lås:

Azure CLI

Mer information finns i az lock-referensen.

Visa alla lås i en prenumeration

az lock list

Visa alla lås på en arbetsyta

az lock list \
    --resource-group armlocks-resgrp \
    --resource-name armlocks-wksp  \
    --resource-type Microsoft.Quantum/workspaces

Visa alla lås för alla resurser i en resursgrupp

az lock list --resource-group armlocks-resgrp

Visa egenskaperna för ett enskilt lås

az lock show \
    --name ArmLockStoreDelete \
    --resource-group armlocks-resgrp \
    --resource-name armlocksstorage \
    --resource-type  Microsoft.Storage/storageAccounts

Ta bort ett lås

az lock delete \
    --name ArmLockStoreDelete \
    --resource-group armlocks-resgrp \
    --resource-name armlocksstorage \
    --resource-type  Microsoft.Storage/storageAccounts

Om borttagningen lyckas returnerar Inte Azure något meddelande. Du kan kontrollera borttagningen genom att köra az lock list.

PowerShell

Mer information finns i Referens för Get-AzResourceLock.

Visa alla lås i en prenumeration

Get-AzResourceLock

Visa alla lås på en arbetsyta

Get-AzResourceLock `
    -ResourceName armlocks-wksp `
    -ResourceType Microsoft.Quantum/workspaces `
    -ResourceGroupName armlocks-resgrp

Visa alla lås för alla resurser i en resursgrupp

Get-AzResourceLock -ResourceGroupName armlocks-resgrp

Visa egenskaperna för ett enda lås

Get-AzResourceLock `
    -ResourceName armlocksstorage `
    -ResourceGroupName armlocks-resgrp `
    -ResourceType Microsoft.Storage/storageAccounts `
    -LockName ArmLockStoreDelete

Ta bort ett lås

Om du vill ta bort ett lås använder du Remove-AzResourceLock kommandot . Mer information finns i referensen Remove-AzResourceLock .

Remove-AzResourceLock `
    -LockName ArmLockStoreDelete `
    -ResourceGroupName armlocks-resgrp `
    -ResourceName armlocksstorage `
    -ResourceType Microsoft.Storage/storageAccounts

Om borttagningen lyckas visar TruePowerShell . Om du vill verifiera borttagningen kan du köra Get-AzResourceLock.

Nästa steg

• Hantera kvantarbetsytor med Azure CLI
• Hantera kvantarbetsytor med Azure Resource Manager