Konfigurera säkerhetsinställningar med hjälp av Azure Blueprint
På samma sätt som en skiss hjälper en ingenjör eller arkitekt att skissa designparametrarna för ett projekt hjälper Azure Blueprints molnarkitekter och centrala IT-grupper att definiera en repeterbar uppsättning Azure-resurser som implementerar och tillämpar en organisations standarder, mönster och krav. Azure Blueprints gör det möjligt för utvecklingsteam att snabbt bygga och starta nya miljöer med förtroende för att de bygger upp organisationens efterlevnad med en uppsättning inbyggda komponenter, till exempel nätverk, för att påskynda utvecklingen och leveransen.
Skisser är en deklarativ metod för att dirigera distribution av flera resursmallar och andra artefakter som:
- Rolltilldelningar
- Principtilldelningar
- Azure Resource Manager-mallar
- Resursgrupper
Azure Blueprints-tjänsten backas av det globalt distribuerade Azure Cosmos DB. Skissobjekt replikeras till flera Azure-regioner. Den här replikeringen ger låg svarstid, hög tillgänglighet och konsekvent åtkomst till dina skissobjekt, oavsett vilken region Azure Blueprints distribuerar dina resurser till.
Hur det skiljer sig från Azure Resource Manager-mallar
Tjänsten är utformad för att hjälpa till med att konfigurera miljön. Den här konfigurationen består ofta av en uppsättning resursgrupper, principer, rolltilldelningar och distributioner av Azure Resource Manager-mallar. En skiss är ett paket för att sammanföra var och en av dessa artefakttyper och gör att du kan skapa och version det paketet, inklusive via en CI/CD-pipeline (kontinuerlig integrering och kontinuerlig leverans). Slutligen tilldelas varje skiss till en prenumeration i en enda åtgärd som kan granskas och spåras.
Nästan allt som du vill inkludera för distribution i Azure Blueprints kan utföras med en Azure Resource Manager-mall. En Azure Resource Manager-mall är dock ett dokument som inte finns internt i Azure – var och en lagras antingen lokalt eller i källkontroll eller i mallar (förhandsversion). Mallen används för distribution av en eller flera Azure-resurser, men när resurserna har distribuerats finns det ingen aktiv anslutning eller relation till mallen.
Med Azure Blueprints bevaras relationen mellan skissdefinitionen (vad som ska distribueras) och skisstilldelningen (vad som har distribuerats). Den här anslutningen har stöd för förbättrad spårning och granskning av distributioner. Azure Blueprints kan också uppgradera flera prenumerationer samtidigt som styrs av samma skiss.
Du behöver inte välja mellan en Azure Resource Manager-mall och en skiss. Varje skiss kan bestå av noll eller fler Azure Resource Manager-mallartefakter. Det här stödet innebär att tidigare ansträngningar för att utveckla och underhålla ett bibliotek med Azure Resource Manager-mallar kan återanvändas i Azure Blueprints.
Skillnaden mot Azure Policy
En skiss är ett paket eller en container där du kan skapa fokusspecifika uppsättningar standarder, mönster och krav relaterade till implementeringen av Azure-molntjänster, säkerhet och design som kan återanvändas för att säkerställa konsekvens och efterlevnad.
En princip är en standard för att tillåta och explicit neka system som fokuserar på resursegenskaper under distributionen och på dem för redan befintliga resurser. Den stöder molnstyrning genom att bekräfta att resurser i en prenumeration uppfyller krav och standarder.
Om du tar med en princip i en skiss kan du skapa rätt mönster eller design när du utvärderar skissen. Principinkludering ser till att endast godkända eller förväntade ändringar kan göras i miljön för att skydda kontinuerlig efterlevnad med avsikten med skissen.
En princip kan ingå som en av flera artefakter i en definition av skisser. Med skisser kan du även använda parametrar med principer och initiativ.
Definition av skisser
En skiss består av artefakter. Azure Blueprints stöder för närvarande följande resurser som artefakter:
| Resurs | Hierarkialternativ | Beskrivning |
|---|---|---|
| Resursgrupper | Prenumeration | Skapa en ny resursgrupp för användning av andra artefakter i skissen. Med de här platshållarresursgrupperna kan du ordna resurser exakt som du vill att de ska struktureras och tillhandahåller en omfångsbegränsare för inkluderade princip- och rolltilldelningsartefakter och ARM-mallar. |
| Azure Resource Manager-mall | Prenumeration, resursgrupp | Mallar, inklusive kapslade och länkade mallar, används för att skapa komplexa miljöer. Exempelmiljöer: en SharePoint-servergrupp, Azure Automation State Configuration eller en Log Analytics-arbetsyta. |
| Principtilldelning | Prenumeration, resursgrupp | Tillåter tilldelning av en princip eller ett initiativ till den prenumeration som skissen är tilldelad till. Principen eller initiativet måste vara inom omfånget för skissdefinitionens plats. Om principen eller initiativet har parametrar kan de parametrarna tilldelas vid skapandet av skissen eller under skisstilldelningen. |
| Rolltilldelning | Prenumeration, resursgrupp | Lägg till en befintlig användare eller grupp till en inbyggd roll för att se till att rätt personer alltid har rätt åtkomst till dina resurser. Rolltilldelningar kan definieras för hela prenumerationen eller kapslade till en specifik resursgrupp som ingår i skissen. |
Skissdefinitionsplatser
När du skapar en skissdefinition ska du definiera var skissen har sparats. Skisser kan sparas till en hanteringsgrupp som eller en prenumeration som du har deltagaråtkomst till. Om platsen är en hanteringsgrupp kan skissen tilldelas till valfri underordnad prenumeration för den hanteringsgruppen.
Skissparametrar
Skisser kan skicka parametrar till antingen en princip/ett initiativ eller en Azure Resource Manager-mall. När en artefakt läggs till i en skiss kan författaren besluta sig för att tillhandahålla ett angivet värde för varje skisstilldelning eller tillåta att varje skisstilldelning anger ett värde för tilldelningstiden. Tack vare den här flexibiliteten får du möjlighet att definiera ett förinställt värde för alla användare av skissen eller göra det möjligt för beslutet att göras vid tidpunkten för tilldelningen.
Publicering av skiss
När en skiss först skapas betraktas den som att den är i utkastläge. När den är redo att tilldelas måste den vara publicerad. Publicering kräver att du definierar en versionssträng (bokstäver, siffror och bindestreck med en maximal längd på 20 tecken) tillsammans med valfria Ändra anteckningar. Versionen särskiljer den från framtida ändringar i samma skiss och gör att varje version ska tilldelas. Den här versionshanteringen innebär också att olika versioner i samma skiss kan tilldelas till samma prenumeration. När ytterligare ändringar görs i skissen finns den publicerade versionen fortfarande, liksom de opublicerade ändringarna. När ändringarna har slutförts är den uppdaterade skissen publicerad med en ny och unik version och kan nu också tilldelas.
Skisstilldelning
Varje publicerad version av en skiss kan tilldelas (med en maximal namnlängd på 90 tecken) till en befintlig hanteringsgrupp eller prenumeration. I portalen får skissen som standard den version som publicerades senast. Om det finns artefaktparametrar eller skissparametrar definieras parametrarna under tilldelningsprocessen.
Kommentar
Att tilldela en skissdefinition till en hanteringsgrupp innebär att tilldelningsobjektet finns i hanteringsgruppen. Distributionen av artefakter riktar sig fortfarande mot en prenumeration. Om du vill utföra en hanteringsgrupptilldelning måste REST-API:et Skapa eller uppdatera användas och begärandetexten måste innehålla ett värde för properties.scope för att definiera målprenumerationen.
Behörigheter i Azure Blueprint
Om du vill använda skisser måste du beviljas behörigheter via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Om du vill läsa eller visa en skiss i Azure Portal måste ditt konto ha läsbehörighet till omfånget där skissdefinitionen finns.
Om du vill skapa skisser måste ditt konto ha följande behörigheter:
Microsoft.Blueprint/blueprints/write– Skapa en skissdefinitionMicrosoft.Blueprint/blueprints/artifacts/write– Skapa artefakter på en skissdefinitionMicrosoft.Blueprint/blueprints/versions/write - Publish a blueprint
Om du vill ta bort skisser måste ditt konto ha följande behörigheter:
Microsoft.Blueprint/blueprints/deleteMicrosoft.Blueprint/blueprints/artifacts/deleteMicrosoft.Blueprint/blueprints/versions/delete
Kommentar
Behörigheterna för skissdefinitionen måste beviljas eller ärvas i hanteringsgruppen eller prenumerationsomfånget där den sparas.
Kommentar
När skisstilldelningar skapas i en prenumeration måste behörigheterna för att tilldela och ta bort tilldelning beviljas för ett prenumerationsomfång eller ärvas till ett prenumerationsomfång.
Om du vill tilldela eller ta bort tilldelningar av skisser måste ditt konto ha följande behörigheter:
Microsoft.Blueprint/blueprintAssignments/write– Tilldela en skissMicrosoft.Blueprint/blueprintAssignments/delete– Ta bort tilldelning av en skiss
Följande inbyggda roller är tillgängliga:
| Azure-roll | Beskrivning |
|---|---|
| Ägare | Förutom andra behörigheter omfattar alla Azure Blueprints-relaterade behörigheter. |
| Deltagare | Förutom andra behörigheter kan du skapa och ta bort skissdefinitioner, men har inte behörighet för skisstilldelning. |
| Skissdeltagare | Kan hantera skissdefinitioner, men inte tilldela dem. |
| Skissoperator | Kan tilldela befintliga publicerade skisser, men det går inte att skapa nya skissdefinitioner. Skisstilldelning fungerar bara om tilldelningen görs med en användartilldelad hanterad identitet. |
Om dessa inbyggda roller inte motsvarar dina behov kan du skapa en anpassad roll.
Kommentar
Om du använder en systemtilldelad hanterad identitet kräver tjänstens huvudnamn för Azure Blueprints rollen Ägare för den tilldelade prenumerationen för att kunna aktivera distributionen. Om du använder portalen är den här rollen automatiskt beviljad och återkallad för distributionen. Om du använder REST API måste den här rollen måste beviljas manuellt, men återkallas fortfarande automatiskt när distributionen är klar. Om du använder en användartilldelad hanterad identitet behöver endast den användare som skapar skisstilldelningenMicrosoft.Blueprint/blueprintAssignments/write behörighet, som ingår i både de inbyggda rollerna Ägare och Skissoperator.