Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft raadt u aan al uw Azure Quantum-werkruimten en gekoppelde opslagaccounts te vergrendelen met een ARM-resourcevergrendeling (Azure Resource Manager) om onbedoelde of schadelijke verwijdering te voorkomen. Professoren willen bijvoorbeeld beperken dat studenten provider-SKU's wijzigen, maar ze nog steeds taken kunnen indienen.
Er zijn twee typen ARM-resourcevergrendelingen:
- Een CannotDelete-vergrendeling voorkomt dat gebruikers een resource verwijderen, maar staat het lezen en wijzigen van de configuratie toe.
- Een ReadOnly-vergrendeling voorkomt dat gebruikers de configuratie van een resource wijzigen (inclusief verwijderen), maar staat het lezen van de configuratie toe. Zie Resources vergrendelen om onverwachte wijzigingente voorkomen voor meer informatie over resourcevergrendelingen.
Notitie
Als u al een ARM- of Bicep-sjabloon gebruikt om uw Azure Quantum-werkruimtente beheren, kunt u de procedures in dit artikel toevoegen aan uw bestaande sjablonen.
Aanbevolen vergrendelingsconfiguraties
In de volgende tabel ziet u de aanbevolen configuraties voor resourcevergrendeling die moeten worden geïmplementeerd voor een Azure Quantum-werkruimte.
| Hulpbron | Vergrendelingstype | Opmerkingen |
|---|---|---|
| Werkruimte | Verwijderen | Hiermee voorkomt u dat de werkruimte wordt verwijderd. |
| Werkruimte | alleen lezen | Voorkomt eventuele wijzigingen in de werkruimte, inclusief toevoegingen of verwijderingen van providers, terwijl gebruikers nog steeds taken kunnen indienen. Als u providers wilt wijzigen wanneer deze vergrendeling is ingesteld, moet u de resourcevergrendeling verwijderen, uw wijzigingen aanbrengen en vervolgens de vergrendeling opnieuw implementeren. |
| Opslagaccount | Verwijderen | Hiermee voorkomt u dat het opslagaccount wordt verwijderd. |
De volgende configuraties moeten worden vermeden:
Belangrijk
Het instellen van de volgende ARM-vergrendelingen kan ertoe leiden dat uw werkruimte onjuist werkt.
| Hulpbron | Vergrendelingstype | Opmerkingen |
|---|---|---|
| Opslagaccount | alleen lezen | Het instellen van een alleen-lezen resourcevergrendeling voor het opslagaccount kan leiden tot fouten bij het maken van werkruimten, het indienen van opdrachten en het ophalen van opdrachten. |
| Bovenliggend abonnement van de werkruimte of de bovenliggende resourcegroep van de werkruimte of het opslagaccount | alleen lezen | Wanneer een resourcevergrendeling wordt toegepast op een bovenliggende resource, nemen alle resources onder die bovenliggende resource dezelfde vergrendeling over, inclusief resources die op een latere datum zijn gemaakt. Voor gedetailleerdere controle moeten resourcevergrendelingen rechtstreeks op resourceniveau worden toegepast. |
Benodigdheden
U moet een eigenaar zijn of beheerder van gebruikerstoegang van een resource om ARM-resourcevergrendelingen toe te passen. Zie Ingebouwde rollen in Azure voor meer informatie.
Implementatie via de opdrachtregel
U hebt Azure PowerShell of Azure CLI nodig om de vergrendeling te implementeren. Als u Azure CLI gebruikt, moet u de nieuwste versie hebben. Zie voor installatie-instructies:
- Azure PowerShell- installeren
- Azure-CLI installeren
Belangrijk
Als u Azure CLI nog niet eerder hebt gebruikt met Azure Quantum, volgt u de stappen in de sectie Omgevingsinstellingen om de quantum-extensie toe te voegen en de Azure Quantum-naamruimte te registreren.
Aanmelden bij Azure
Nadat u Azure CLI of Azure PowerShell hebt geïnstalleerd, moet u zich de eerste keer aanmelden. Kies een van de volgende tabbladen en voer de bijbehorende opdrachtregelopdrachten uit om u aan te melden bij Azure:
az login
Als u meerdere Azure-abonnementen hebt, selecteert u het abonnement met de resources die u wilt vergrendelen. Vervang SubscriptionName door uw abonnementsnaam of abonnements-id. Bijvoorbeeld
az account set --subscription "Azure subscription 1"
Een ARM-resourcevergrendeling maken
Wanneer u een resourcevergrendeling implementeert, geeft u een naam op voor de vergrendeling, het type vergrendeling en aanvullende informatie over de resource. Deze informatie kan worden gekopieerd en geplakt vanaf de startpagina van de resource in de Azure Quantum-portal.
az lock create \
--name <lock> \
--resource-group <resource-group> \
--resource <workspace> \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
- name: Een beschrijvende naam voor de vergrendeling
- resourcegroep: de naam van de hoofdresourcegroep.
- resource: de naam van de resource om de vergrendeling toe te passen.
- vergrendelingstype: het type vergrendeling dat moet worden toegepast, namelijk CanNotDelete of ReadOnly.
- resource-type: Het type van de target resource.
Als u bijvoorbeeld een CanNotDelete- vergrendeling voor een werkruimte wilt maken:
az lock create \
--name ArmLockWkspDelete \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
Als dit lukt, retourneert Azure de vergrendelingsconfiguratie in JSON-indeling:
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDelete",
"level": "CanNotDelete",
"name": "ArmLockWkspDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Een ReadOnly- vergrendeling voor een werkruimte maken:
az lock create \
--name ArmLockWkspRead \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type ReadOnly \
--resource-type Microsoft.Quantum/workspaces
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRead",
"level": "ReadOnly",
"name": "ArmLockWkspRead",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Een CanNotDelete--vergrendeling voor een opslagaccount maken:
az lock create \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource armlocksstorage \--lock-type CanNotDelete \
--resource-type Microsoft.Storage/storageAccounts
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLockStoreDelete",
"level": "CanNotDelete",
"name": "ArmLockStoreDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Vergrendelingen weergeven en verwijderen
Vergrendelingen weergeven of verwijderen:
Zie de az lock referencevoor meer informatie.
Alle vergrendelingen in een abonnement weergeven
az lock list
Alle vergrendelingen in een werkruimte weergeven
az lock list \
--resource-group armlocks-resgrp \
--resource-name armlocks-wksp \
--resource-type Microsoft.Quantum/workspaces
Alle vergrendelingen voor alle resources in een resourcegroep weergeven
az lock list --resource-group armlocks-resgrp
De eigenschappen van één vergrendeling weergeven
az lock show \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Een vergrendeling verwijderen
az lock delete \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Als het verwijderen is geslaagd, retourneert Azure geen bericht. Als u de verwijdering wilt controleren, kunt u az lock listuitvoeren.