Partager via

Tutoriel : Protéger de nouvelles ressources avec des verrous de ressources Azure Blueprints

Important

Le 11 juillet 2026, Blueprints (version préliminaire) deviendront obsolètes. Migrez vos définitions et affectations de blueprint existantes vers Template Specs et Deployment Stacks. Les artéfacts de blueprint doivent être convertis en modèles JSON ARM ou en fichiers Bicep utilisés pour définir des ensembles de déploiement. Pour savoir comment créer un artefact en tant que ressource ARM, consultez :

Avec les verrous de ressources Azure Blueprints, vous pouvez protéger les ressources nouvellement déployées contre toute altération, même par un compte avec le rôle Propriétaire. Vous pouvez ajouter cette protection dans les définitions de blueprint des ressources qui ont été créées par un artefact de modèle Azure Resource Manager (modèle ARM). Le verrou de ressource du blueprint est défini pendant l’affectation du blueprint.

Dans ce tutoriel, vous allez effectuer les étapes suivantes :

  • Créer une définition de blueprint
  • Marquer votre définition de blueprint comme publiée
  • Affecter votre définition de blueprint à un abonnement existant (définir des verrous de ressources)
  • Inspecter le nouveau groupe de ressources
  • Annuler l’affectation du blueprint afin de retirer les verrous

Prerequisites

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer une définition de blueprint

Tout d’abord, créez la définition de blueprint.

  1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

  2. Dans la page Bien démarrer à gauche, sélectionnez Créer sous Créer un blueprint.

  3. Trouvez l’exemple de Blueprint vide en haut de la page. Sélectionnez Démarrer avec un blueprint vide.

  4. Entrez ces informations sous l’onglet Informations de base :

    • Nom du blueprint : indiquez un nom pour votre copie de l’exemple de blueprint. Pour ce tutoriel, nous allons utiliser le nom locked-storageaccount.
    • Description du blueprint : ajoutez une description pour la définition du blueprint. Utiliser pour tester le verrouillage des ressources blueprint sur les ressources déployées.
    • Emplacement de définition : sélectionnez le bouton de points de suspension (...) puis sélectionnez le groupe d'administration ou l'abonnement dans lequel enregistrer votre définition de plan.

  5. Sélectionnez l’onglet Artefacts en haut de la page, ou sélectionnez Suivant : Artefacts en bas de la page.

  6. Ajoutez un groupe de ressources au niveau de l’abonnement :

    1. Sélectionnez la ligne Ajouter un artefact sous Abonnement.
    2. Sélectionnez Groupe de ressources sous Type d’artefact.
    3. Définissez le Nom complet de l'artefact sur RGtoLock.
    4. Laissez les zones Nom et Emplacement du groupe de ressources vides, mais vérifiez que la case à cocher est cochée sur chaque propriété pour les rendre dynamiques.
    5. Sélectionnez Ajouter pour ajouter l’artefact au blueprint.

  7. Ajoutez un modèle sous le groupe de ressources :

    1. Sélectionnez la ligne Ajouter un artefact sous l’entrée RGtoLock .

    2. Sélectionnez le modèle Azure Resource Manager sous Type d’artefact, définissez le nom d’affichage De l’artefact sur StorageAccount et laissez la description vide.

    3. Sous l’onglet Modèle , collez le modèle ARM suivant dans la zone d’éditeur. Après avoir collé le modèle, sélectionnez Ajouter pour ajouter l’artefact au blueprint.

      Note

      Cette étape définit les ressources à déployer qui sont verrouillées par le verrou de ressource Blueprint, mais n’incluent pas les verrous de ressources Blueprint. Les verrous de ressources blueprint sont définis sous forme de paramètre de l’affectation du blueprint.

    {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "storageAccountType": {
            "type": "string",
            "defaultValue": "Standard_LRS",
            "allowedValues": [
                "Standard_LRS",
                "Standard_GRS",
                "Standard_ZRS",
                "Premium_LRS"
            ],
            "metadata": {
                "description": "Storage Account type"
            }
        }
    },
    "variables": {
        "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
    },
    "resources": [{
        "type": "Microsoft.Storage/storageAccounts",
        "name": "[variables('storageAccountName')]",
        "location": "[resourceGroup().location]",
        "apiVersion": "2018-07-01",
        "sku": {
            "name": "[parameters('storageAccountType')]"
        },
        "kind": "StorageV2",
        "properties": {}
    }],
    "outputs": {
        "storageAccountName": {
            "type": "string",
            "value": "[variables('storageAccountName')]"
        }
    }
}

  8. Sélectionnez Enregistrer le brouillon en bas de la page.

Cette étape crée la définition de blueprint dans le groupe d’administration ou l’abonnement sélectionné.

Après l'apparition de la notification du portail indiquant que la définition du blueprint a été enregistrée avec succès, passez à l’étape suivante.

Publier la définition du blueprint

Votre définition de blueprint a maintenant été créée dans votre environnement. Il est créé en mode Brouillon et doit être publié avant de pouvoir être affecté et déployé.

  1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

  2. Sélectionnez la page des définitions de blueprint sur la gauche. Utilisez les filtres pour rechercher la définition de blueprint locked-storageaccount, puis sélectionnez-la .

  3. Sélectionnez Publier le blueprint en haut de la page. Dans le nouveau volet à droite, entrez 1.0 en tant que Version. Cette propriété est utile si vous devez faire une modification ultérieurement. Sous Change notes, entrez des remarques sur les modifications, par exemple, Première version publiée pour le verrouillage des ressources déployées du blueprint. Sélectionnez Ensuite Publier en bas de la page.

Cette étape permet d’affecter le blueprint à un abonnement. Une fois la définition de blueprint publiée, vous pouvez toujours apporter des modifications. Si vous apportez des modifications, vous devez publier la définition avec une nouvelle valeur de version pour suivre les différences entre les versions de la même définition de blueprint.

Une fois que la notification du portail indiquant la réussite de la définition du plan directeur de publication apparaît, passez à l’étape suivante.

Affecter la définition de blueprint

Une fois la définition de blueprint publiée, vous pouvez l’affecter à un abonnement au sein du groupe d’administration où vous l’avez enregistrée. Dans cette étape, vous fournissez des paramètres pour rendre chaque déploiement de la définition de blueprint unique.

  1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

  2. Sélectionnez la page des définitions de blueprint sur la gauche. Utilisez les filtres pour rechercher la définition de blueprint locked-storageaccount, puis sélectionnez-la .

  3. Sélectionnez Assigner un modèle en haut de la page de définition du modèle.

  4. Fournissez les valeurs de paramètre pour l'affectation de modèle :

    • Notions de base

      • Abonnements : sélectionnez un ou plusieurs abonnements qui se trouvent dans le groupe d’administration où vous avez enregistré votre définition de blueprint. Si vous sélectionnez plusieurs abonnements, une affectation sera créée pour chaque abonnement, à l’aide des paramètres que vous entrez.
      • Nom de l’affectation : Le nom est prérempli automatiquement en fonction du nom de la définition du blueprint. Nous voulons que cette affectation représente le verrouillage du nouveau groupe de ressources, donc remplacez le nom de l’affectation par assignment-locked-storageaccount-TestingBPLocks.
      • Emplacement : sélectionnez une région dans laquelle créer l’identité managée. Azure Blueprints utilise cette identité managée pour déployer tous les artefacts dans le blueprint affecté. Pour en savoir plus, consultez les identités managées pour les ressources Azure. Pour ce tutoriel, sélectionnez USA Est 2.
      • Version de la définition de blueprint : sélectionnez la version publiée 1.0 de la définition de blueprint.

    • Verrouiller l'affectation

      Sélectionnez le mode de verrouillage Read Only du blueprint. Pour plus d’informations, consultez le verrouillage des ressources de blueprints.

      Note

      Cette étape configure le verrou de ressource Blueprint sur les ressources nouvellement déployées.

    • Identité gérée

      Utilisez l’option par défaut : affectée par le système. Pour plus d’informations, consultez identités managées.

    • Paramètres d’artefact

      Les paramètres définis dans cette section s’appliquent à l’artefact sous lequel ils sont définis. Ces paramètres sont des paramètres dynamiques , car ils sont définis pendant l’affectation du blueprint. Pour chaque artefact, définissez la valeur du paramètre sur ce que vous voyez dans la colonne Valeur .

      Nom de l’artefact Type d’artefact Nom du paramètre Valeur Descriptif
      Groupe de ressources RGtoLock groupe de ressources Nom TestingBPLocks Définit le nom du premier groupe de ressources auquel appliquer les verrous de blueprint.
      Groupe de ressources RGtoLock groupe de ressources Emplacement Ouest des États-Unis 2 Définit l’emplacement du nouveau groupe de ressources auquel appliquer les verrous de blueprint.
      CompteDeStockage modèle de gestion des ressources storageAccountType (StorageAccount) Standard_GRS SKU de stockage. La valeur par défaut est Standard_LRS.

  5. Une fois que vous avez entré tous les paramètres, sélectionnez Affecter en bas de la page.

Cette étape déploie les ressources définies et configure l’affectation de verrou sélectionnée. L’application des verrous de blueprint peut prendre jusqu’à 30 minutes.

Dès que la notification Définition de blueprint affectée s’affiche dans le portail, passez à l’étape suivante.

Inspecter les ressources déployées par l’affectation

L’affectation crée le groupe de ressources TestingBPLocks et le compte de stockage déployé par l’artefact de modèle ARM. Le nouveau groupe de ressources et l’état de verrouillage sélectionné sont affichés dans la page détails de l’affectation.

  1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

  2. Sélectionnez la page Plans assignés à gauche. Utilisez les filtres pour rechercher l'affectation du blueprint assignment-locked-storageaccount-TestingBPLocks, puis sélectionnez-la.

    Dans cette page, nous voyons que l’affectation a réussi et que les ressources ont été déployées avec le nouvel état de verrouillage de blueprint. Si l’affectation est mise à jour, la liste déroulante des opérations d’affectation affiche des détails sur le déploiement de chaque version de définition. Vous pouvez sélectionner le groupe de ressources pour ouvrir la page de propriétés.

  3. Sélectionnez le groupe de ressources TestingBPLocks .

  4. Sélectionnez la page Contrôle d’accès (IAM) sur la gauche. Sélectionnez ensuite l’onglet Attributions de rôles .

    Nous pouvons constater que l’affectation de blueprint assignment-locked-storageaccount-TestingBPLocks dispose du rôle Propriétaire. Il a ce rôle, car ce rôle a été utilisé pour déployer et verrouiller le groupe de ressources.

  5. Sélectionnez l’onglet Refuser les affectations .

    L’affectation du blueprint a créé une instance Refuser l’affectation sur le groupe de ressources déployé pour appliquer le mode Lecture seule de verrouillage du blueprint. Cette affectation de refus empêche un utilisateur disposant de droits appropriés dans l’onglet Attributions de rôle d’effectuer des actions particulières. L’affectation de refus concerne Tous les principaux.

    Pour plus d’informations sur l’exclusion d’un principal à partir d’une affectation de refus, consultez Verrouillage des ressources des blueprints.

  6. Sélectionnez l’affectation Refuser, puis sélectionnez la page Autorisations refusées située sur la gauche.

    L’affectation Refuser empêche toutes les opérations ayant une configuration * et Action, mais autorise l’accès en lecture, en excluant */read via NotActions.

  7. Dans la barre de navigation du portail Azure, sélectionnez TestingBPLocks - Contrôle d’accès (IAM). Sélectionnez ensuite la page Vue d’ensemble à gauche, puis le bouton Supprimer le groupe de ressources . Entrez le nom TestingBPLocks pour confirmer la suppression, puis sélectionnez Supprimer en bas du volet.

    La notification du portail Supprimer le groupe de ressources TestingBPLocks a échoué. L’erreur indique que, même si votre compte est autorisé à supprimer le groupe de ressources, l’accès est refusé par l’affectation du blueprint. N’oubliez pas que nous avons sélectionné le mode Lecture seule de verrouillage du blueprint pendant l’affectation du blueprint. Le verrou de blueprint empêche un compte disposant d’autorisations, même propriétaire, de supprimer la ressource. Pour plus d’informations, consultez le verrouillage des ressources de blueprints.

Ces étapes montrent que nos ressources déployées sont désormais protégées avec des verrous de blueprint qui empêchent la suppression indésirable, même à partir d’un compte autorisé à supprimer les ressources.

Annuler l’affectation du blueprint

La dernière étape consiste à supprimer l’attribution de la définition du plan. La suppression de l’affectation ne supprime pas les artefacts associés.

  1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

  2. Sélectionnez la page Plans assignés à gauche. Utilisez les filtres pour trouver l’affectation de blueprint assignment-locked-storageaccount-TestingBPLocks, puis sélectionnez celle-ci.

  3. Sélectionnez Annuler l’affectation du blueprint en haut de la page. Lisez l’avertissement dans la boîte de dialogue de confirmation, puis sélectionnez OK.

    La suppression du blueprint entraîne la suppression de ses verrous. Les ressources peuvent à nouveau être supprimées par un compte disposant d’autorisations appropriées.

  4. Sélectionnez Groupes de ressources dans le menu Azure, puis sélectionnez TestingBPLocks.

  5. Sélectionnez la page Contrôle d’accès (IAM) sur la gauche, puis sélectionnez l’onglet Attributions de rôles .

Du point de vue de la sécurité du groupe de ressources, l’affectation du blueprint n’a plus d’accès Propriétaire.

Dès que la notification Affectation de blueprint supprimée s’affiche dans le portail, passez à l’étape suivante.

Nettoyer les ressources

Une fois ce didacticiel terminé, supprimez ces ressources :

  • Groupe de ressources TestingBPLocks
  • Blueprint definition locked-storageaccount

Étapes suivantes

Dans ce tutoriel, vous avez appris à protéger les nouvelles ressources déployées avec Azure Blueprints. Pour en savoir plus sur Azure Blueprints, passez à l’article sur le cycle de vie du blueprint.

En savoir plus sur le cycle de vie du blueprint

  • Last updated on