Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Am 11. Juli 2026 wird Blueprints (Vorschau) veraltet sein. Migrieren Sie Ihre vorhandenen Blueprintdefinitionen und -zuweisungen zu Vorlagenspezifikationen und Bereitstellungsstapeln. Blueprintartefakte werden in ARM-JSON-Vorlagen oder Bicep-Dateien konvertiert, die zum Definieren von Bereitstellungsstapeln verwendet werden. Informationen zum Erstellen eines Artefakts als ARM-Ressource finden Sie unter:
Beispiel-Blueprints enthalten Beispiele dafür, was mithilfe von Azure Blueprints getan werden kann. Jedes Blaupausenbeispiel dient einer bestimmten Absicht bzw. einem spezifischen Zweck, erstellt aber nicht selbst eine vollständige Umgebung. Jede ist als Ausgangspunkt für die Verwendung von Azure Blueprints mit verschiedenen Kombinationen von enthaltenen Artefakten, Designs und Parametern gedacht.
Das folgende Lernprogramm verwendet das Beispiel " Ressourcengruppen mit RBAC-Blueprint ", um verschiedene Aspekte des Azure Blueprints-Diensts zu präsentieren. Die folgenden Schritte werden behandelt:
- Erstellen einer neuen Blueprintdefinition aus dem Beispiel
- Markieren Sie Ihre Kopie des Beispiels als Veröffentlicht
- Weisen Sie Ihre Kopie des Bauplans einem bestehenden Abonnement zu
- Überprüfen Sie die bereitgestellten Ressourcen für den Auftrag
- Aufheben der Zuweisung der Blaupause zum Entfernen der Sperren
Voraussetzungen
Um dieses Lernprogramm abzuschließen, ist ein Azure-Abonnement erforderlich. Wenn Sie noch kein Azure-Abonnement haben, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
Erstellen einer Blueprint-Definition aus einem Beispiel
Implementieren Sie zuerst das Blueprint-Beispiel. Beim Importieren wird eine neue Vorlage basierend auf dem Beispiel in Ihrer Umgebung erstellt.
Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.
Wählen Sie auf der Seite " Erste Schritte " auf der linken Seite die Schaltfläche " Erstellen " unter "Entwurf erstellen" aus.
Suchen Sie das Beispiel "Ressourcengruppen mit RBAC-Blueprint " unter "Andere Beispiele ", und wählen Sie es aus.
Geben Sie die Grundlagen des Blueprint-Beispiels ein:
- Blueprint-Name: Geben Sie einen Namen für Ihre Kopie des Blueprintbeispiels an. In diesem Tutorial verwenden wir den Namen two-rgs-with-role-assignments.
- Definitionsspeicherort: Verwenden Sie die Auslassungspunkte, und wählen Sie die Verwaltungsgruppe oder das Abonnement aus, in der bzw. dem Sie Ihre Kopie des Beispiels speichern möchten.
Wählen Sie die Registerkarte " Artefakte " oben auf der Seite oder "Weiter" aus: Artefakte am unteren Rand der Seite.
Überprüfen Sie die Liste der Artefakte, aus denen das Blueprintbeispiel besteht. In diesem Beispiel werden zwei Ressourcengruppen mit Anzeigenamen von ProdRG und PreProdRG definiert. Der endgültige Name und die Position jeder Ressourcengruppe werden während der Blueprintzuordnung festgelegt. Der ProdRG-Ressourcengruppe wird die Rolle "Mitwirkender" zugewiesen, und die PreProdRG-Ressourcengruppe wird den Rollen "Besitzer" und "Leser" zugewiesen. Die in der Definition zugewiesenen Rollen sind statisch, aber der Benutzer, die App oder die Gruppe, denen die Rolle zugewiesen ist, werden während der Blueprint-Zuweisung festgelegt.
Wählen Sie " Entwurf speichern " aus, wenn Sie die Überprüfung des Blueprintbeispiels abgeschlossen haben.
In diesem Schritt wird eine Kopie der Beispielplandefinition in der ausgewählten Verwaltungsgruppe oder dem ausgewählten Abonnement erstellt. Die gespeicherte Blueprintdefinition wird wie jeder von Grund auf erstellte Blueprint verwaltet. Sie können das Beispiel so oft wie nötig in Ihrer Verwaltungsgruppe oder Ihrem Abonnement speichern. Jede Kopie muss jedoch einen eindeutigen Namen erhalten.
Sobald die Portalbenachrichtigung Speichern der Blueprint-Definition erfolgreich angezeigt wird, wechseln Sie zum nächsten Schritt.
Veröffentlichen der Beispielkopie
Ihre Kopie des Blueprintbeispiels wurde jetzt in Ihrer Umgebung erstellt. Er wird im Entwurfsmodus erstellt und muss veröffentlicht werden, bevor es zugewiesen und bereitgestellt werden kann. Die Kopie des Blueprintbeispiels kann an Ihre Umgebung und Ihre Anforderungen angepasst werden. In diesem Lernprogramm nehmen wir keine Änderungen vor.
Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.
Wählen Sie die Seite "Blueprintdefinitionen " auf der linken Seite aus. Suchen Sie mithilfe der Filter nach der Blaupausendefinition two-rgs-with-role-assignments, und wählen Sie sie aus.
Wählen Sie " Blueprint veröffentlichen" oben auf der Seite aus. Geben Sie im neuen Bereich auf der rechten Seite Version als 1.0 für Ihre Kopie des Blueprint-Beispiels an. Diese Eigenschaft ist nützlich, wenn Sie später eine Änderung vornehmen. Stellen Sie Änderungsnotizen bereit, z. B. "Erste Version, die aus den Ressourcengruppen mit RBAC-Blueprint-Beispiel veröffentlicht wurde". Wählen Sie dann unten auf der Seite "Veröffentlichen" aus.
Dieser Schritt ermöglicht es, den Blueprint einem Abonnement zuzuweisen. Nach der Veröffentlichung können noch Änderungen vorgenommen werden. Zusätzliche Änderungen erfordern die Veröffentlichung mit einem neuen Versionswert , um Unterschiede zwischen verschiedenen Versionen derselben Blueprintdefinition nachzuverfolgen.
Sobald die Portalbenachrichtigung Blaupausendefinition erfolgreich veröffentlicht angezeigt wird, fahren Sie mit dem nächsten Schritt fort.
Weise die Beispielkopie zu
Nachdem die Kopie des Blueprint-Beispiels erfolgreich veröffentlicht wurde, kann sie einem Abonnement innerhalb der Verwaltungsgruppe zugewiesen werden, in der es gespeichert wurde. In diesem Schritt werden Parameter bereitgestellt, um jede Bereitstellung der Kopie des Blueprintbeispiels eindeutig zu machen.
Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.
Wählen Sie die Seite "Blueprintdefinitionen " auf der linken Seite aus. Suchen Sie mithilfe der Filter nach der Blaupausendefinition two-rgs-with-role-assignments, und wählen Sie sie aus.
Wählen Sie oben auf der Seite mit der Blaupausendefinition die Option Blaupause zuweisen aus.
Geben Sie die Parameterwerte für die Blaupausenzuweisung an:
Basics
- Abonnements: Wählen Sie ein oder mehrere Abonnements aus, die sich in der Verwaltungsgruppe befinden, in der Sie Ihre Kopie des Blueprintbeispiels gespeichert haben. Wenn Sie mehr als ein Abonnement auswählen, wird für jede mit den eingegebenen Parametern eine Zuordnung erstellt.
- Zuordnungsname: Der Name wird basierend auf dem Namen der Blaupausendefinition vorab aufgefüllt.
- Region: Wählen Sie eine Region für die verwaltete Identität aus, in der sie erstellt werden soll. Azure Blueprints verwendet diese verwaltete Identität, um alle Artefakte im zugewiesenen Blueprint bereitzustellen. Weitere Informationen finden Sie unter verwaltete Identitäten für Azure-Ressourcen. Wählen Sie für dieses Lernprogramm "Ost-USA 2" aus.
- Blueprintdefinitionsversion: Wählen Sie die veröffentlichte Version 1.0 Ihrer Kopie der Beispiel-Blueprintdefinition aus.
Zuweisung sperren
Wählen Sie den Blaupausensperrmodus Schreibgeschützt aus. Weitere Informationen finden Sie unter "Blueprints-Ressourcensperre".
Verwaltete Identität
Behalten Sie die Standardoption "System zugewiesen" bei . Weitere Informationen finden Sie unter verwaltete Identitäten.
Artefaktparameter
Die in diesem Abschnitt definierten Parameter gelten für das Artefakt, unter dem es definiert ist. Diese Parameter sind dynamische Parameter , da sie während der Zuweisung des Blueprints definiert werden. Legen Sie für jedes Artefakt den Parameterwert auf die in der Spalte "Wert " definierten Parameter fest. Wählen Sie für
{Your ID}Ihr Azure-Benutzerkonto aus.Artefaktname Artefakttyp Parametername Wert Description ProdRG-Ressourcengruppe Ressourcengruppe Name ProductionRG Definiert den Namen der ersten Ressourcengruppe. ProdRG-Ressourcengruppe Ressourcengruppe Standort Westliches USA 2 Legt den Speicherort der ersten Ressourcengruppe fest. Beitragender Rollenzuweisung Benutzer oder Gruppe {Ihre ID} Legt fest, welchem Benutzer oder welcher Gruppe die Rolle "Mitwirkender" innerhalb der ersten Ressourcengruppe zugewiesen wird. PreProdRG-Ressourcengruppe Ressourcengruppe Name PreProductionRG Definiert den Namen der zweiten Ressourcengruppe. PreProdRG-Ressourcengruppe Ressourcengruppe Standort West US Legt den Standort der zweiten Ressourcengruppe fest. Besitzer Rollenzuweisung Benutzer oder Gruppe {Ihre ID} Definiert, welchem Benutzer oder welcher Gruppe die Rolle des Eigentümers innerhalb der zweiten Ressourcengruppe zugewiesen werden soll. Leser Rollenzuweisung Benutzer oder Gruppe {Ihre ID} Definiert, welchem Benutzer oder welcher Gruppe die Reader-Rolle in der zweiten Ressourcengruppe zugewiesen werden soll.
Nachdem alle Parameter eingegeben wurden, wählen Sie unten auf der Seite " Zuweisen" aus.
In diesem Schritt werden die definierten Ressourcen bereitgestellt und die ausgewählte Sperrzuweisung konfiguriert. Das Anwenden von Blaupausensperren kann bis zu 30 Minuten dauern.
Sobald die Portalbenachrichtigung Zuweisung der Blueprint-Definition erfolgreich erscheint, wechseln Sie zum nächsten Schritt.
Überprüfen Sie die Ressourcen, die durch den Auftrag bereitgestellt werden
Durch die Blaupausenzuweisung werden die in der Blaupausendefinition definierten Artefakte erstellt und nachverfolgt. Wir können den Status der Ressourcen auf der Blueprint-Zuordnungsseite sehen und indem wir die Ressourcen direkt anschauen.
Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.
Wählen Sie links die Seite Zugewiesene Blaupausen aus. Suchen Sie mithilfe der Filter nach der Blaupausenzuweisung Assignment-two-rgs-with-role-assignments, und wählen Sie sie aus.
Auf dieser Seite sehen Sie, dass die Zuweisung erfolgreich war. Zudem wird eine Liste der erstellten Ressourcen mit ihrem Blaupausensperrzustand angezeigt. Wenn die Zuordnung aktualisiert wird, werden in der Dropdownliste " Zuordnungsvorgang " Details zur Bereitstellung jeder Definitionsversion angezeigt. Jede aufgelistete Ressource, die erstellt wurde, kann ausgewählt werden und öffnet diese Ressourceneigenschaftsseite.
Wählen Sie die ProductionRG-Ressourcengruppe aus.
Wir sehen, dass der Name der Ressourcengruppe ProductionRG und nicht der Artefaktanzeigename ProdRG ist. Dieser Name entspricht dem Wert, der während der Blaupausenzuweisung festgelegt wurde.
Wählen Sie auf der linken Seite die Zugriffssteuerung (IAM)-Seite und dann die Registerkarte Rollenzuweisungen aus.
Hier sehen wir, dass Ihrem Konto die Rolle "Mitwirkender " im Bereich dieser Ressource gewährt wurde. Die Blaupausenzuweisung Assignment-two-rgs-with-role-assignments verfügt über die Rolle Besitzer, da sie zum Erstellen der Ressourcengruppe verwendet wurde. Diese Berechtigungen werden auch zum Verwalten von Ressourcen mit konfigurierten Blueprintsperren verwendet.
Wählen Sie in der Breadcrumb-Leiste im Azure-Portal Assignment-two-rgs-with-role-assignments aus, um zur vorherigen Seite zurückzukehren, und wählen Sie dann die Ressourcengruppe PreProductionRG aus.
Wählen Sie auf der linken Seite die Zugriffssteuerung (IAM)-Seite und dann die Registerkarte Rollenzuweisungen aus.
Hier sehen wir, dass Ihrem Konto sowohl die Rollen "Besitzer " als auch " Leser " gewährt wurde, sowohl im Bereich dieser Ressource. Die Blaupausenzuweisung verfügt wie die erste Ressourcengruppe auch über die Rolle Besitzer.
Wählen Sie die Registerkarte " Zuordnungen verweigern " aus.
Durch die Blaupausenzuweisung wurde eine Ablehnungszuweisung für die bereitgestellte Ressourcengruppe erstellt, um den Blaupausensperrmodus Schreibgeschützt zu erzwingen. Die Verweigerungszuweisung verhindert, dass eine Person mit entsprechenden Rechten auf der Registerkarte "Rollenzuweisungen " bestimmte Aktionen ausführen kann. Die Ablehnungszuweisung gilt für alle Prinzipale.
Wählen Sie die Verweigerungszuweisung aus, und wählen Sie dann die Seite "Verweigerte Berechtigungen" links aus.
Die Ablehnungszuweisung verhindert alle Vorgänge mit der Konfiguration * und Aktion, erlaubt aber den Lesezugriff, indem */read über NotActions ausgeschlossen wird.
Wählen Sie in der Navigationsleiste des Azure-Portals PreProductionRG - Zugriffsteuerung (IAM) aus. Wählen Sie dann auf der linken Seite die Seite "Übersicht" und dann die Schaltfläche " Ressourcengruppe löschen " aus. Geben Sie den Namen PreProductionRG ein, um das Löschen zu bestätigen, und wählen Sie " Löschen" unten im Bereich aus.
Die Portalmeldung Löschen der Ressourcengruppe PreProductionRG ist fehlgeschlagen wird angezeigt. Der Fehler zeigt an, dass obwohl Ihr Konto über die Berechtigung zum Löschen der Ressourcengruppe verfügt, der Zugriff aufgrund der Blueprint-Zuordnung verweigert wird. Wie Sie sich erinnern, haben Sie während der Blaupausenzuweisung den Blaupausensperrmodus Schreibgeschützt ausgewählt. Aufgrund der Blaupausensperre kann die Ressource weder von einem Konto mit der entsprechenden Berechtigung noch vom Besitzer gelöscht werden. Weitere Informationen finden Sie unter "Blueprints-Ressourcensperre".
Diese Schritte zeigen, dass unsere Ressourcen wie definiert erstellt wurden und die Blueprintsperren unerwünschte Löschungen verhinderten, auch von einem Konto mit Berechtigung.
Aufheben der Zuweisung der Blaupause
Im letzten Schritt wird die Zuweisung der Blaupause und der von ihr bereitgestellten Ressourcen aufgehoben. Durch das Aufheben der Zuweisung werden die bereitgestellten Artefakte nicht entfernt.
Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.
Wählen Sie links die Seite Zugewiesene Blaupausen aus. Suchen Sie mithilfe der Filter nach der Blaupausenzuweisung Assignment-two-rgs-with-role-assignments, und wählen Sie sie aus.
Wählen Sie oben auf der Seite die Schaltfläche "Entwurf aufheben" aus. Lesen Sie die Warnung im Bestätigungsdialogfeld, und wählen Sie dann "OK" aus.
Durch das Entfernen der Blaupausenzuweisung werden auch die Blaupausensperren aufgehoben. Die erstellten Ressourcen können erneut von einem Konto mit Berechtigungen gelöscht werden.
Wählen Sie " Ressourcengruppen " im Azure-Menü und dann "ProductionRG" aus.
Wählen Sie auf der linken Seite die Zugriffssteuerung (IAM)-Seite und dann die Registerkarte Rollenzuweisungen aus.
Für die Sicherheit der einzelnen Ressourcengruppen gelten nach wie vor die bereitgestellten Rollenzuweisungen, die Blaupausenzuweisung verfügt jedoch nicht mehr über die Zugriffsrolle Besitzer.
Sobald die Portalbenachrichtigung Blaupausenzuweisung erfolgreich entfernt angezeigt wird, fahren Sie mit dem nächsten Schritt fort.
Bereinigen von Ressourcen
Wenn Sie mit diesem Lernprogramm fertig sind, löschen Sie die folgenden Ressourcen:
- Ressourcengruppe ProductionRG
- Ressourcengruppe PreProductionRG
- Blaupausendefinition two-rgs-with-role-assignments
Nächste Schritte
In diesem Lernprogramm haben Sie gelernt, wie Sie aus einer Beispieldefinition einen neuen Blueprint erstellen. Wenn Sie mehr über Azure Blueprints erfahren möchten, fahren Sie mit dem Blueprint-Lebenszyklusartikel fort.