Freigeben über

Lernprogramm: Schützen neuer Ressourcen mit Azure Blueprints-Ressourcensperren

Von Bedeutung

Am 11. Juli 2026 wird Blueprints (Vorschau) veraltet sein. Migrieren Sie Ihre vorhandenen Blueprintdefinitionen und -zuweisungen zu Vorlagenspezifikationen und Bereitstellungsstapeln. Blueprintartefakte werden in ARM-JSON-Vorlagen oder Bicep-Dateien konvertiert, die zum Definieren von Bereitstellungsstapeln verwendet werden. Informationen zum Erstellen eines Artefakts als ARM-Ressource finden Sie unter:

Mit Azure Blueprints-Ressourcensperren können Sie neu bereitgestellte Ressourcen vor Manipulationen schützen, auch durch ein Konto mit der Rolle "Besitzer ". Sie können diesen Schutz in den Blueprintdefinitionen von Ressourcen hinzufügen, die von einem Azure Resource Manager-Vorlagenartefakt (ARM-Vorlage) erstellt wurden. Die Blaupausenressourcensperre wird während der Blaupausenzuweisung festgelegt.

In diesem Tutorial führen Sie die folgenden Schritte aus:

  • Erstellen einer Blueprintdefinition
  • Markieren der Blaupausendefinition als veröffentlicht
  • Weisen Sie Ihre Blueprint-Definition einem vorhandenen Abonnement zu (Festlegen von Ressourcensperren)
  • Überprüfen Sie die neue Ressourcengruppe
  • Aufheben der Zuweisung der Blaupause zum Entfernen der Sperren

Voraussetzungen

Wenn Sie noch kein Azure-Abonnement haben, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

Erstellen einer Blueprintdefinition

Erstellen Sie zunächst die Blueprintdefinition.

  1. Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.

  2. Wählen Sie auf der linken Seite auf der Seite "Erste Schritte" unter "Eine Blaupause erstellen" die Option "Erstellen" aus.

  3. Navigieren Sie oben auf der Seite zum Blaupausenbeispiel Leere Blaupause. Wählen Sie "Mit leerem Blueprint beginnen" aus.

  4. Geben Sie diese Informationen auf der Registerkarte " Grundlagen" ein:

    • Blueprint-Name: Geben Sie einen Namen für Ihre Kopie des Blueprintbeispiels an. In diesem Lernprogramm verwenden wir den Namen locked-storageaccount.
    • Blueprint-Beschreibung: Fügen Sie eine Beschreibung für die Blueprintdefinition hinzu. Verwenden Sie um die Blaupausenressourcensperre für bereitgestellte Ressourcen zu testen.
    • Definitionsspeicherort: Wählen Sie die Schaltfläche mit den Auslassungspunkten (...) und dann die Verwaltungsgruppe oder das Abonnement aus, in der bzw. dem Sie Ihre Blaupausendefinition speichern möchten.

  5. Wählen Sie oben auf der Seite die Registerkarte " Artefakte " aus, oder wählen Sie "Weiter: Artefakte " am unteren Rand der Seite aus.

  6. Hinzufügen einer Ressourcengruppe auf Abonnementebene:

    1. Wählen Sie die Zeile "Artefakt hinzufügen" unter "Abonnement" aus.
    2. Wählen Sie "Ressourcengruppe " unter "Artefakttyp" aus.
    3. Legen Sie den Anzeigenamen des Artefakts auf RGtoLock fest.
    4. Lassen Sie die Felder "Ressourcengruppenname " und "Speicherort " leer, stellen Sie jedoch sicher, dass das Kontrollkästchen für jede Eigenschaft aktiviert ist, um sie dynamische Parameter zu machen.
    5. Wählen Sie "Hinzufügen" aus, um das Artefakt zum Blueprint hinzuzufügen.

  7. Fügen Sie eine Vorlage unter der Ressourcengruppe hinzu:

    1. Wählen Sie die Zeile „Artefakt hinzufügen“ unter dem Eintrag „RGtoLock“ aus.

    2. Wählen Sie die Vorlage "Azure Resource Manager " unter "Artefakttyp", legen Sie den Anzeigenamen "Artefakt" auf "StorageAccount" fest, und lassen Sie " Beschreibung " leer.

    3. Fügen Sie auf der Registerkarte "Vorlage " die folgende ARM-Vorlage in das Editorfeld ein. Nachdem Sie die Vorlage eingefügt haben, wählen Sie "Hinzufügen" aus, um das Artefakt zum Blueprint hinzuzufügen.

      Hinweis

      In diesem Schritt werden die bereitzustellenden Ressourcen definiert, die von der Blaupausenressourcensperre gesperrt werden, die Blaupausenressourcensperren sind jedoch nicht enthalten. Blueprint-Ressourcensperren werden als Parameter der Blueprint-Zuordnung festgelegt.

    {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "storageAccountType": {
            "type": "string",
            "defaultValue": "Standard_LRS",
            "allowedValues": [
                "Standard_LRS",
                "Standard_GRS",
                "Standard_ZRS",
                "Premium_LRS"
            ],
            "metadata": {
                "description": "Storage Account type"
            }
        }
    },
    "variables": {
        "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
    },
    "resources": [{
        "type": "Microsoft.Storage/storageAccounts",
        "name": "[variables('storageAccountName')]",
        "location": "[resourceGroup().location]",
        "apiVersion": "2018-07-01",
        "sku": {
            "name": "[parameters('storageAccountType')]"
        },
        "kind": "StorageV2",
        "properties": {}
    }],
    "outputs": {
        "storageAccountName": {
            "type": "string",
            "value": "[variables('storageAccountName')]"
        }
    }
}

  8. Wählen Sie unten auf der Seite " Entwurf speichern " aus.

In diesem Schritt wird die Blueprintdefinition in der ausgewählten Verwaltungsgruppe oder dem ausgewählten Abonnement erstellt.

Gehen Sie zum nächsten Schritt über, nachdem die Statusmeldung „Speichern der Blueprint-Definition erfolgreich“ angezeigt wurde.

Veröffentlichen der Blueprintdefinition

Ihre Blueprintdefinition wurde jetzt in Ihrer Umgebung erstellt. Er wird im Entwurfsmodus erstellt und muss veröffentlicht werden, bevor es zugewiesen und bereitgestellt werden kann.

  1. Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.

  2. Wählen Sie die Seite "Blueprintdefinitionen " auf der linken Seite aus. Verwenden Sie die Filter, um die Blueprintdefinition für gesperrte Speicherkonten zu finden, und wählen Sie sie aus.

  3. Wählen Sie " Blueprint veröffentlichen" oben auf der Seite aus. Geben Sie im neuen Bereich rechts 1.0 als Version ein. Diese Eigenschaft ist nützlich, wenn Sie später eine Änderung vornehmen. Geben Sie Änderungsnotizen ein, z. B. die erste Version, die für das Sperren der bereitgestellten Blueprint-Ressourcen veröffentlicht wurde. Wählen Sie dann unten auf der Seite "Veröffentlichen" aus.

Dieser Schritt ermöglicht es, den Blueprint einem Abonnement zuzuweisen. Nachdem die Blueprintdefinition veröffentlicht wurde, können Sie weiterhin Änderungen vornehmen. Wenn Sie Änderungen vornehmen, müssen Sie die Definition mit einem neuen Versionswert veröffentlichen, um Unterschiede zwischen Versionen derselben Blueprintdefinition nachzuverfolgen.

Sobald die Portalbenachrichtigung Blaupausendefinition erfolgreich veröffentlicht angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Zuweisen der Blueprint-Definition

Nachdem die Blueprintdefinition veröffentlicht wurde, können Sie sie einem Abonnement innerhalb der Verwaltungsgruppe zuweisen, in der Sie sie gespeichert haben. In diesem Schritt stellen Sie Parameter bereit, um jede Bereitstellung der Blueprintdefinition eindeutig zu machen.

  1. Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.

  2. Wählen Sie die Seite "Blueprintdefinitionen " auf der linken Seite aus. Verwenden Sie die Filter, um die Blueprintdefinition für gesperrte Speicherkonten zu finden, und wählen Sie sie aus.

  3. Wählen Sie oben auf der Seite mit der Blaupausendefinition die Option Blaupause zuweisen aus.

  4. Geben Sie die Parameterwerte für die Blaupausenzuweisung an:

    • Grundlagen

      • Abonnements: Wählen Sie ein oder mehrere Abonnements aus, die sich in der Verwaltungsgruppe befinden, in der Sie Ihre Blueprintdefinition gespeichert haben. Wenn Sie mehr als ein Abonnement auswählen, wird für jedes Abonnement eine Zuordnung mit den von Ihnen eingegebenen Parametern erstellt.
      • Zuordnungsname: Der Name wird basierend auf dem Namen der Blueprintdefinition vorab aufgefüllt. Wir möchten, dass diese Zuordnung das Sperren der neuen Ressourcengruppe darstellt, ändern Sie daher den Zuordnungsnamen in "assignment-locked-storageaccount-TestingBPLocks".
      • Region: Wählen Sie eine Region aus, in der die verwaltete Identität erstellt werden soll. Azure Blueprints verwendet diese verwaltete Identität, um alle Artefakte im zugewiesenen Blueprint bereitzustellen. Weitere Informationen finden Sie unter verwaltete Identitäten für Azure-Ressourcen. Wählen Sie für dieses Lernprogramm "Ost-USA 2" aus.
      • Blueprint-Definitionsversion: Wählen Sie die veröffentlichte Version 1.0 der Blueprintdefinition aus.

    • Sperrzuteilung

      Wählen Sie den Blaupausensperrmodus Schreibgeschützt aus. Weitere Informationen finden Sie unter "Blueprints-Ressourcensperre".

      Hinweis

      In diesem Schritt wird die Blueprint-Ressourcensperre für die neu bereitgestellten Ressourcen konfiguriert.

    • Verwaltete Identität

      Verwenden Sie die Standardoption: System zugewiesen. Weitere Informationen finden Sie unter verwaltete Identitäten.

    • Artefaktparameter

      Die in diesem Abschnitt definierten Parameter gelten für das Artefakt, unter dem sie definiert sind. Diese Parameter sind dynamische Parameter , da sie während der Zuweisung des Blueprints definiert werden. Legen Sie für jedes Artefakt den Parameterwert auf den Wert fest, der in der Spalte "Wert " angezeigt wird.

      Artefaktname Artefakttyp Parametername Wert Description
      RGtoLock-Ressourcengruppe Ressourcengruppe Name TestingBPLocks Definiert den Namen der neuen Ressourcengruppe, auf die Blueprintsperren angewendet werden sollen.
      RGtoLock-Ressourcengruppe Ressourcengruppe Standort Westliches USA 2 Definiert den Standort der neuen Ressourcengruppe, auf die Blaupausensperren angewendet werden sollen.
      StorageAccount Resource Manager-Vorlage storageAccountType (StorageAccount) Standard_GRS Die Speicher-SKU. Der Standardwert ist Standard_LRS.

  5. Nachdem Sie alle Parameter eingegeben haben, wählen Sie unten auf der Seite " Zuweisen" aus.

In diesem Schritt werden die definierten Ressourcen bereitgestellt und die ausgewählte Sperrzuweisung konfiguriert. Das Anwenden von Blaupausensperren kann bis zu 30 Minuten dauern.

Sobald die Portalbenachrichtigung Blaupausendefinition erfolgreich zugewiesen angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Überprüfen Sie die Ressourcen, die durch den Auftrag bereitgestellt werden

Die Zuweisung erstellt die Ressourcengruppe TestingBPLocks und das vom ARM-Vorlagenartefakt bereitgestellte Speicherkonto. Die neue Ressourcengruppe und der ausgewählte Sperrzustand werden auf der Seite mit den Zuordnungsdetails angezeigt.

  1. Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.

  2. Wählen Sie links die Seite Zugewiesene Blaupausen aus. Suchen Sie mithilfe der Filter nach der Blaupausenzuweisung assignment-locked-storageaccount-TestingBPLocks, und wählen Sie sie aus.

    Auf dieser Seite sehen Sie, dass die Zuweisung erfolgreich war und die Ressourcen mit dem neuen Blaupausensperrzustand bereitgestellt wurden. Wenn die Zuordnung aktualisiert wird, werden in der Dropdownliste " Zuordnungsvorgang " Details zur Bereitstellung jeder Definitionsversion angezeigt. Sie können die Ressourcengruppe auswählen, um die Eigenschaftenseite zu öffnen.

  3. Wählen Sie die TestBPLocks-Ressourcengruppe aus.

  4. Wählen Sie auf der linken Seite die Seite Zugriffssteuerung (IAM) aus. Wählen Sie dann die Registerkarte "Rollenzuweisungen" aus .

    Hier sehen Sie, dass der Blaupausenzuweisung assignment-locked-storageaccount-TestingBPLocks die Rolle Besitzer zugewiesen ist. Dies ist der Fall, weil die Zuweisung zum Bereitstellen und Sperren der Ressourcengruppe verwendet wurde.

  5. Wählen Sie die Registerkarte " Zuordnungen verweigern " aus.

    Durch die Blaupausenzuweisung wurde eine Ablehnungszuweisung für die bereitgestellte Ressourcengruppe erstellt, um den Blaupausensperrmodus Schreibgeschützt zu erzwingen. Die Verweigerungszuweisung verhindert, dass eine Person mit entsprechenden Rechten auf der Registerkarte "Rollenzuweisungen " bestimmte Aktionen ausführen kann. Die Ablehnungszuweisung gilt für alle Prinzipale.

    Weitere Informationen zum Ausschließen eines Prinzipals aus einer Ablehnungszuweisung finden Sie unter Grundlegendes zur Ressourcensperre in Azure Blueprint.

  6. Wählen Sie die Ablehnungszuweisung und dann links die Seite Abgelehnte Berechtigungen aus.

    Die Ablehnungszuweisung verhindert alle Vorgänge mit der Konfiguration * und Aktion, erlaubt aber den Lesezugriff, indem */read über NotActions ausgeschlossen wird.

  7. Wählen Sie im Azure-Portal-Navigationspfad "TestingBPLocks - Zugriffssteuerung (IAM)" aus. Wählen Sie dann auf der linken Seite die Seite "Übersicht" und dann die Schaltfläche " Ressourcengruppe löschen " aus. Geben Sie den Namen TestingBPLocks ein, um das Löschen zu bestätigen, und wählen Sie dann " Löschen " am unteren Rand des Bereichs aus.

    In der Portalbenachrichtigung erscheint "Löschen der Ressourcengruppe TestingBPLocks fehlgeschlagen". Der Fehler besagt, dass Ihrem Konto zwar die Berechtigung zum Löschen der Ressourcengruppe erteilt wurde, der Zugriff jedoch durch die Blueprint-Zuweisung verweigert wird. Wie Sie sich erinnern, haben Sie während der Blaupausenzuweisung den Blaupausensperrmodus Schreibgeschützt ausgewählt. Aufgrund der Blaupausensperre kann die Ressource weder von einem Konto mit der entsprechenden Berechtigung noch vom Besitzer gelöscht werden. Weitere Informationen finden Sie unter "Blueprints-Ressourcensperre".

Diese Schritte zeigen, dass unsere bereitgestellten Ressourcen jetzt durch Blueprintsperren geschützt sind, die unerwünschte Löschungen verhindern, auch aus einem Konto, das über die Berechtigung zum Löschen der Ressourcen verfügt.

Aufheben der Zuweisung der Blaupause

Im letzten Schritt wird die Zuweisung der Blaupausendefinition aufgehoben. Durch das Entfernen der Zuordnung werden die zugehörigen Artefakte nicht entfernt.

  1. Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.

  2. Wählen Sie links die Seite Zugewiesene Blaupausen aus. Suchen Sie mithilfe der Filter nach der Blaupausenzuweisung assignment-locked-storageaccount-TestingBPLocks, und wählen Sie sie aus.

  3. Wählen Sie oben auf der Seite die Option Zuweisung der Blaupause aufheben aus. Lesen Sie die Warnung im Bestätigungsdialogfeld, und wählen Sie dann "OK" aus.

    Durch das Entfernen der Blaupausenzuweisung werden auch die Blaupausensperren aufgehoben. Die Ressourcen können erneut von einem Konto mit entsprechenden Berechtigungen gelöscht werden.

  4. Wählen Sie " Ressourcengruppen " im Azure-Menü und dann " TestingBPLocks" aus.

  5. Wählen Sie auf der linken Seite die Seite Zugriffssteuerung (IAM) aus und dann die Registerkarte Rollenzuweisungen.

In den Sicherheitseinstellungen für die Ressourcengruppe sehen Sie, dass die Blaupausenzuweisung nicht mehr über den Zugriff Besitzer verfügt.

Sobald die Portalbenachrichtigung Blaupausenzuweisung erfolgreich entfernt angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Bereinigen von Ressourcen

Wenn Sie mit diesem Lernprogramm fertig sind, löschen Sie diese Ressourcen:

  • Ressourcengruppe TestingBPLocks
  • Blueprintdefinition gesperrtes Speicherkonto

Nächste Schritte

In diesem Lernprogramm haben Sie erfahren, wie Sie neue Ressourcen schützen, die mit Azure Blueprints bereitgestellt werden. Wenn Sie mehr über Azure Blueprints erfahren möchten, fahren Sie mit dem Blueprint-Lebenszyklusartikel fort.

Informationen zum Blueprint-Lebenszyklus

  • Last updated on