Tutorial: Creación de un entorno a partir de un ejemplo de plano técnico

Los planos técnicos de ejemplo proporcionan ejemplos de lo que se puede hacer mediante Azure Blueprints. Cada es un ejemplo con una intención o un propósito específicos, pero no crea un entorno completo por sí mismos. Cada uno está pensado como punto de partida para explorar el uso de Azure Blueprints con varias combinaciones de artefactos, diseños y parámetros incluidos.

En el siguiente tutorial se usa el ejemplo de plano técnico grupos de recursos con RBAC para mostrar distintos aspectos del servicio Azure Blueprints. Se cubren los siguientes pasos:

Prerrequisitos

Para completar este tutorial, se necesita una suscripción de Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Creación de una definición de plano técnico a partir del ejemplo

En primer lugar, implemente el ejemplo de plano técnico. La importación crea un nuevo plano en su entorno basado en el ejemplo.

1. Seleccione Todos los servicios en el panel izquierdo. Busque y seleccione Planos técnicos.

2. En la página Introducción de la izquierda, seleccione el botón Crear en Crear plano técnico.

3. Busque el ejemplo de plano técnico grupos de recursos con RBAC en Otros ejemplos y selecciónelo.

4. Escriba los aspectos básicos del ejemplo de plano técnico:

   • Nombre del plano técnico: proporcione un nombre para la copia del ejemplo de plano técnico. En este tutorial, usaremos el nombre two-rgs-with-role-assignments.
   • Ubicación de definición: utilice el menú de elipsis y seleccione el grupo de administración o la suscripción para guardar su copia de la muestra.

5. Seleccione la pestaña Artefactos en la parte superior de la página o Siguiente: Artefactos en la parte inferior de la página.

6. Revise la lista de artefactos que componen el ejemplo de plano técnico. En este ejemplo se definen dos grupos de recursos, con nombres para mostrar de ProdRG y PreProdRG. El nombre final y la ubicación de cada grupo de recursos se establecen durante la asignación del plano técnico. Al grupo de recursos de ProdRG se le asigna el rol Colaborador y al grupo de recursos PreProdRG se le asignan los roles Propietario y Lector. Los roles asignados en la definición son estáticos, pero el usuario, la aplicación o el grupo asignados al rol se establecen durante la asignación del plano técnico.

7. Seleccione Guardar borrador cuando haya terminado de revisar el ejemplo de plano técnico.

Este paso crea una copia de la definición del plano técnico de ejemplo en el grupo de administración o la suscripción seleccionados. La definición de plano técnico guardada se administra como cualquier plano técnico creado desde cero. Puede guardar el ejemplo en el grupo de administración o la suscripción tantas veces como sea necesario. Sin embargo, cada copia debe tener un nombre único.

Una vez que aparezca la notificación del portal La definición del plano técnico se guardó correctamente, vaya al paso siguiente.

Publicación de la copia de ejemplo

La copia del ejemplo de plano técnico ahora se ha creado en el entorno. Se crea en modo borradory debe publicarse antes de que se pueda asignar e implementar. La copia del ejemplo de plano técnico se puede personalizar en su entorno y sus necesidades. En este tutorial, no realizaremos ningún cambio.

1. Seleccione Todos los servicios en el panel izquierdo. Busque y seleccione Planos técnicos.

2. Seleccione la página Definiciones del plano técnico de la izquierda. Utiliza los filtros para buscar la definición de plantilla two-rgs-with-role-assignments y, a continuación, selecciónala.

3. Seleccione Publicar plano técnico en la parte superior de la página. En el nuevo panel de la derecha, proporcione la versión1.0 para la copia del ejemplo de plano técnico. Esta propiedad es útil si realiza una modificación en el futuro. Proporcione notas de cambio como "Primera versión publicada desde los grupos de recursos con el ejemplo de plano técnico de RBAC". A continuación, seleccione Publicar en la parte inferior de la página.

Este paso permite asignar el plano técnico a una suscripción. Una vez publicados, todavía se pueden realizar cambios. Los cambios adicionales requieren la publicación con un nuevo valor de versión para realizar un seguimiento de las diferencias entre las distintas versiones de la misma definición de plano técnico.

Una vez que aparezca la notificación del portal de que la definición del plano maestro se ha publicado con éxito, vaya al paso siguiente.

Asignar la copia de ejemplo

Una vez que la copia del plano de muestra se haya publicado correctamente, se puede asignar a una suscripción dentro del grupo de administración en el que se guardó. Este paso es donde se proporcionan parámetros para que cada implementación de la copia del ejemplo de plano técnico sea única.

1. Seleccione Todos los servicios en el panel izquierdo. Busque y seleccione Planos técnicos.

2. Seleccione la página Definiciones del plano técnico de la izquierda. Utiliza los filtros para buscar la definición de plantilla two-rgs-with-role-assignments y, a continuación, selecciónala.

3. Seleccione Asignar plano técnico en la parte superior de la página de definición del plano técnico.

4. Proporcione los valores de parámetro para la asignación del plano técnico:

   • Aspectos básicos

     • Suscripciones: seleccione una o varias de las suscripciones que se encuentran en el grupo de administración en el que guardó la copia del modelo del ejemplo de plantilla. Si selecciona más de una suscripción, se creará una asignación para cada una con los parámetros especificados.
     • Nombre de asignación: el nombre se completa automáticamente según el nombre de la definición del proyecto.
     • Ubicación: seleccione una región para la identidad administrada en la que se va a crear. Azure Blueprints usa esta identidad administrada para implementar todos los artefactos en el plano técnico asignado. Para más información, consulte Identidades administradas para recursos de Azure. En este tutorial, seleccione Este de EE. UU. 2.
     • Versión de definición del plano técnico: elija la versión 1.0publicada de la copia de la definición del plano técnico de ejemplo.

   • Asignación de bloqueo

     Seleccione el modo de bloqueo de plano técnico Solo lectura. Para más información, consulte Bloqueo de recursos de planos técnicos.

   • Identidad administrada

     Deje la opción predeterminada Asignada por el sistema . Para más información, consulte Identidades administradas.

   • Parámetros de artefacto

     Los parámetros definidos en esta sección se aplican al artefacto en el que se define. Estos parámetros son parámetros dinámicos , ya que se definen durante la asignación del plano técnico. Para cada artefacto, establezca el valor del parámetro en lo que se define en la columna Valor . En {Your ID}, seleccione la cuenta de usuario de Azure.

     Nombre del artefacto	Tipo de artefacto	Nombre del parámetro	Importancia	Description
     Grupo de recursos de ProdRG	Grupo de recursos	Nombre	ProductionRG	Define el nombre del primer grupo de recursos.
     Grupo de recursos de ProdRG	Grupo de recursos	Ubicación	Oeste de EE. UU. 2	Establece la ubicación del primer grupo de recursos.
     Colaborador	Asignación de roles	Usuario o grupo	{Su identificador}	Define a qué usuario o grupo se le debe conceder la asignación de roles Colaborador en el primer grupo de recursos.
     Grupo de recursos PreProdRG	Grupo de recursos	Nombre	PreProductionRG	Define el nombre del segundo grupo de recursos.
     Grupo de recursos PreProdRG	Grupo de recursos	Ubicación	West US	Establece la ubicación del segundo grupo de recursos.
     Propietario	Asignación de roles	Usuario o grupo	{Su identificador}	Define qué usuario o grupo recibirá la asignación del rol Propietario dentro del segundo grupo de recursos.
     Lectores	Asignación de roles	Usuario o grupo	{Su identificador}	Define qué usuario o grupo recibirá la asignación de rol Lectores dentro del segundo grupo de recursos.

5. Una vez especificados todos los parámetros, seleccione Asignar en la parte inferior de la página.

Este paso implementa los recursos definidos y configura la asignación de bloqueo seleccionada. Los bloqueos de plano técnico pueden tardar hasta 30 minutos en aplicarse.

Una vez que aparezca la notificación del portal La definición del plano técnico se asignó correctamente, vaya al paso siguiente.

Inspección de los recursos desplegados por la asignación

La asignación del plano técnico crea los artefactos definidos en la definición del plano técnico y realiza un seguimiento de ellos. Podemos ver el estado de los recursos desde la página de asignación del plano técnico y examinando los recursos directamente.

1. Seleccione Todos los servicios en el panel izquierdo. Busque y seleccione Planos técnicos.

2. Seleccione la página Planos técnicos asignados a la izquierda. Use los filtros para buscar la asignación del plano técnico Assignment-two-rgs-with-role-assignments y, a continuación, selecciónela.

   En esta página, podemos ver que la asignación se realizó correctamente y la lista de los recursos creados junto con el estado de bloqueo de plano técnico. Si se actualiza la asignación, la lista desplegable Operación de asignación muestra detalles sobre la implementación de cada versión de definición. Cada recurso enumerado que se creó se puede seleccionar y abre la página de propiedades de ese recurso.

3. Seleccione el grupo de recursos ProductionRG .

   Vemos que el nombre del grupo de recursos es ProductionRG y no el nombre para mostrar del artefacto ProdRG. Este nombre coincide con el valor establecido durante la asignación del plano técnico.

4. Seleccione la página Control de acceso (IAM) de la izquierda y, a continuación, la pestaña Asignaciones de roles.

   Aquí vemos que a su cuenta se le ha concedido el rol Colaborador en el ámbito de Este recurso. La asignación del plano técnico Assignment-two-rgs-with-role-assignments tiene el rol Propietario como se usó para crear el grupo de recursos. Estos permisos también se utilizan para gestionar recursos con bloqueos de modelo configurados.

5. En la ruta de navegación de Azure Portal, seleccione Assignment-two-rgs-with-role-assignments para retroceder una página y, a continuación, seleccione el grupo de recursos PreProductionRG.

6. Seleccione la página Control de acceso (IAM) de la izquierda y, a continuación, la pestaña Asignaciones de roles.

   Aquí vemos que a su cuenta se le han concedido los roles Propietario y Lector , ambos en el ámbito de Este recurso. La asignación de plano técnico también tiene el rol Propietario como el primer grupo de recursos.

7. Seleccione la pestaña Asignaciones de denegación.

   La asignación de plano técnico creó una asignación de denegación en el grupo de recursos implementados para forzar el modo de bloqueo de plano técnico Solo lectura. La asignación de denegación evita que alguien con los derechos adecuados en la pestaña Asignaciones de roles tome medidas específicas. La asignación de denegación afecta a Todas las entidades de seguridad.

8. Seleccione la asignación de denegación y, a continuación, seleccione la página Permisos denegados de la izquierda.

   La asignación de denegación evita todas las operaciones con la configuración * y , pero permite el acceso de lectura mediante la exclusión de */read a través de NotActions.

9. En la ruta de navegación de Azure Portal, seleccione PreProductionRG - Control de acceso (IAM). A continuación, seleccione la página Información general de la izquierda y, a continuación, el botón Eliminar grupo de recursos . Escriba el nombre PreProductionRG para confirmar la eliminación y seleccione Eliminar en la parte inferior del panel.

   Se muestra la notificación del portal Error al eliminar el grupo de recursos PreProductionRG. El error indica que, aunque su cuenta tiene permiso para eliminar el grupo de recursos, la asignación de plano técnico deniega el acceso. Recuerde que seleccionamos el modo de bloqueo de plano técnico Solo lectura durante la asignación de plano técnico. El bloqueo de plantilla impide que una cuenta con permiso, incluso Propietario, elimine el recurso. Para más información, consulte Bloqueo de recursos de planos técnicos.

Estos pasos muestran que nuestros recursos se crearon tal como se definen y los bloqueos de plano técnico evitaron la eliminación no deseada, incluso de una cuenta con permiso.

Cancelación de la asignación del plano técnico

El último paso consiste en quitar la asignación del plano técnico y los recursos que esta implementó. Eliminar la asignación no elimina los artefactos implementados.

1. Seleccione Todos los servicios en el panel izquierdo. Busque y seleccione Planos técnicos.

2. Seleccione la página Planos técnicos asignados a la izquierda. Use los filtros para buscar la asignación del plano técnico Assignment-two-rgs-with-role-assignments y, a continuación, selecciónela.

3. Seleccione el botón Cancelar la asignación de plano técnico en la parte superior de la página. Lea la advertencia en el cuadro de diálogo de confirmación y seleccione Aceptar.

   Con la asignación de plano técnico quitada, también se quitan los bloqueos de plano técnico. Los recursos creados pueden eliminarse una vez más por una cuenta con permisos.

4. Seleccione Grupos de recursos en el menú de Azure y, a continuación, seleccione ProductionRG.

5. Seleccione la página Control de acceso (IAM) de la izquierda y, a continuación, la pestaña Asignaciones de roles.

La seguridad de cada grupo de recursos todavía tiene las asignaciones de roles implementadas, pero la asignación de plano técnico ya no tiene acceso de Propietario.

Una vez que aparezca la notificación del portal La eliminación de la asignación del plano técnico se completó correctamente, vaya al paso siguiente.

Limpieza de recursos

Cuando termine con este tutorial, elimine los siguientes recursos:

• Grupo de recursos ProductionRG
• Grupo de recursos PreProductionRG
• Definición de plano técnico two-rgs-with-role-assignments

Pasos siguientes

En este tutorial, ha aprendido a crear un nuevo plano técnico a partir de una definición de ejemplo. Para obtener más información sobre Azure Blueprints, continúe con el artículo sobre el ciclo de vida de estas plantillas.