Udostępnij przez

Samouczek: ochrona nowych zasobów za pomocą blokad zasobów usługi Azure Blueprints

Ważne

11 lipca 2026 r. usługa Blueprints (wersja zapoznawcza) zostanie wycofana. Przeprowadź migrację istniejących definicji szablonów projektowych i przypisań do Template Specs i Deployment Stacks. Artefakty blueprintów należy konwertować na szablony JSON Azure Resource Manager lub pliki Bicep, które są używane do definiowania stosów wdrożeniowych. Aby dowiedzieć się, jak utworzyć artefakt jako zasób ARM, sprawdź:

Dzięki blokadom zasobów usługi Azure Blueprints można chronić nowo wdrożone zasoby przed naruszeniem, nawet przez konto z rolą Właściciel . Tę ochronę można dodać w definicjach zasobów utworzonych przez artefakt szablonu Azure Resource Manager (ARM template). Blokada zasobu na poziomie blueprintu jest ustawiana podczas jego przypisywania.

W tym samouczku wykonasz następujące kroki:

  • Tworzenie definicji strategii
  • Oznacz definicję strategii jako opublikowaną
  • Przypisywanie definicji strategii do istniejącej subskrypcji (ustawianie blokad zasobów)
  • Sprawdzanie nowej grupy zasobów
  • Cofnij przypisanie szablonu, aby usunąć blokady

Wymagania wstępne

Jeśli nie masz subskrypcji Azure, przed rozpoczęciem utwórz darmowe konto.

Tworzenie definicji strategii

Najpierw utwórz definicję strategii.

  1. Wybierz pozycję Wszystkie usługi w okienku po lewej stronie. Wyszukaj i wybierz pozycję Strategie.

  2. Na stronie Wprowadzenie po lewej stronie wybierz pozycję Utwórz w obszarze Tworzenie strategii.

  3. Znajdź przykład szablonu Blank Blueprint w górnej części strony. Wybierz pozycję Rozpocznij od pustej strategii.

  4. Wprowadź te informacje na karcie Podstawy :

    • Nazwa strategii: podaj nazwę kopii przykładu strategii. W tym samouczku użyjemy nazwy locked-storageaccount.
    • Opis strategii: Dodaj opis definicji strategii. Użyj do testowania blokowania zasobów szkicu na wdrożonych zasobach.
    • Lokalizacja definicji: wybierz przycisk wielokropka (...), a następnie wybierz grupę zarządzania lub subskrypcję, do której chcesz zapisać definicję strategii.

  5. Wybierz kartę Artefakty w górnej części strony lub wybierz pozycję Dalej: Artefakty w dolnej części strony.

  6. Dodaj grupę zasobów na poziomie subskrypcji:

    1. Wybierz wiersz Dodaj artefakt w obszarze Subskrypcja.
    2. Wybierz pozycję Grupa zasobów w obszarze Typ artefaktu.
    3. Ustaw nazwę wyświetlaną artefaktu na RGtoLock.
    4. Pozostaw puste pola Nazwa grupy zasobów i Lokalizacja , ale upewnij się, że pole wyboru jest zaznaczone dla każdej właściwości, aby ustawić je jako parametry dynamiczne.
    5. Wybierz pozycję Dodaj , aby dodać artefakt do strategii.

  7. Dodaj szablon w grupie zasobów:

    1. Wybierz wiersz Dodaj artefakt pod wpisem RGtoLock .

    2. Wybierz Szablon usługi Azure Resource Manager w obszarze Typ artefaktu, ustaw Nazwę wyświetlaną artefaktu na StorageAccount i pozostaw Opis puste.

    3. Na karcie Szablon wklej następujący szablon ARM do okna edytora. Po wklejeniu szablonu wybierz pozycję Dodaj , aby dodać artefakt do strategii.

      Uwaga / Notatka

      Ten krok definiuje zasoby do wdrożenia, które są blokowane przez blokadę zasobów Blueprint, ale nie obejmują blokad zasobów Blueprint. Blokady zasobów strategii są ustawiane jako parametr przypisania strategii.

    {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "storageAccountType": {
            "type": "string",
            "defaultValue": "Standard_LRS",
            "allowedValues": [
                "Standard_LRS",
                "Standard_GRS",
                "Standard_ZRS",
                "Premium_LRS"
            ],
            "metadata": {
                "description": "Storage Account type"
            }
        }
    },
    "variables": {
        "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
    },
    "resources": [{
        "type": "Microsoft.Storage/storageAccounts",
        "name": "[variables('storageAccountName')]",
        "location": "[resourceGroup().location]",
        "apiVersion": "2018-07-01",
        "sku": {
            "name": "[parameters('storageAccountType')]"
        },
        "kind": "StorageV2",
        "properties": {}
    }],
    "outputs": {
        "storageAccountName": {
            "type": "string",
            "value": "[variables('storageAccountName')]"
        }
    }
}

  8. Wybierz pozycję Zapisz wersję roboczą w dolnej części strony.

Ten krok tworzy definicję strategii w wybranej grupie zarządzania lub subskrypcji.

Po pojawieniu się powiadomienia o pomyślnym zakończeniu zapisywania definicji strategii przejdź do następnego kroku.

Publikowanie definicji strategii

Twoja definicja schematu została utworzona w Twoim środowisku. Jest on tworzony w trybie roboczym i musi zostać opublikowany, zanim będzie można go przypisać i wdrożyć.

  1. Wybierz pozycję Wszystkie usługi w okienku po lewej stronie. Wyszukaj i wybierz pozycję Strategie.

  2. Wybierz stronę Definicje strategii po lewej stronie. Użyj filtrów, aby znaleźć definicję strategii locked-storageaccount , a następnie wybierz ją.

  3. Wybierz pozycję Opublikuj strategię w górnej części strony. W nowym okienku po prawej stronie wprowadź 1.0 jako wersję. Ta właściwość jest przydatna, jeśli wprowadzisz zmianę później. Wprowadź uwagi dotyczące zmian, takie jak Pierwsza wersja opublikowana w celu zablokowania zasobów wdrożonych zgodnie ze strategią. Następnie wybierz pozycję Publikuj w dolnej części strony.

Ten krok umożliwia przypisanie strategii do subskrypcji. Po opublikowaniu definicji strategii nadal można wprowadzać zmiany. Jeśli wprowadzisz zmiany, musisz opublikować definicję z nową wartością wersji, aby śledzić różnice między wersjami tej samej definicji strategii.

Po pojawieniu się powiadomienia o pomyślnym zakończeniu definicji planu publikowania przejdź do następnego kroku.

Przypisz definicję szablonu

Po opublikowaniu definicji strategii można przypisać ją do subskrypcji w grupie zarządzania, w której została zapisana. W tym kroku podasz parametry, aby każde wdrożenie definicji strategii było unikatowe.

  1. Wybierz pozycję Wszystkie usługi w okienku po lewej stronie. Wyszukaj i wybierz pozycję Strategie.

  2. Wybierz stronę Definicje strategii po lewej stronie. Użyj filtrów, aby znaleźć definicję strategii locked-storageaccount , a następnie wybierz ją.

  3. Wybierz pozycję Przypisz plan w górnej części strony definicji planu.

  4. Podaj wartości parametrów dla przypisania strategii:

    • Podstawy

      • Subskrypcje: wybierz co najmniej jedną subskrypcję, która znajduje się w grupie zarządzania, w której zapisano definicję strategii. Jeśli wybierzesz więcej niż jedną subskrypcję, zostanie utworzone przypisanie dla każdej subskrypcji przy użyciu wprowadzonych parametrów.
      • Nazwa przypisania: Nazwa jest wstępnie wypełniana na podstawie nazwy definicji szablonu. Chcemy, aby to przypisanie reprezentowało blokowanie nowej grupy zasobów, więc zmień nazwę przypisania na assignment-locked-storageaccount-TestingBPLocks.
      • Lokalizacja: wybierz region, w którym chcesz utworzyć tożsamość zarządzaną. Azure Blueprints używa tej tożsamości zarządzanej do wdrożenia wszystkich artefaktów w przypisanym szablonie. Aby dowiedzieć się więcej, zobacz Tożsamości zarządzane dla zasobów platformy Azure. Na potrzeby tego samouczka wybierz pozycję Wschodnie stany USA 2.
      • Wersja definicji strategii: wybierz opublikowaną wersję 1.0 definicji strategii.

    • Zablokuj przypisanie

      Wybierz tryb blokady szablonu Tylko do odczytu. Aby uzyskać więcej informacji, zobacz Blokowanie zasobów szablonów.

      Uwaga / Notatka

      Ten krok konfiguruje blokadę zasobów Blueprint dla nowo wdrożonych zasobów.

    • Tożsamość zarządzana

      Użyj opcji domyślnej: Przypisane przez system. Aby uzyskać więcej informacji, zobacz Tożsamości zarządzane.

    • Parametry artefaktu

      Parametry zdefiniowane w tej sekcji dotyczą artefaktu, w którym są zdefiniowane. Te parametry są parametrami dynamicznymi , ponieważ są definiowane podczas przypisywania strategii. Dla każdego artefaktu ustaw wartość parametru na wartość widoczną w kolumnie Wartość .

      Nazwa artefaktu Typ artefaktu Nazwa parametru Wartość Description
      Grupa zasobów RGtoLock Grupa zasobów Name TestowanieBPLocks Definiuje nazwę nowej grupy zasobów, do której mają zostać zastosowane blokady strategii.
      Grupa zasobów RGtoLock Grupa zasobów Lokalizacja Zachodnie stany USA 2 Definiuje lokalizację nowej grupy zasobów, do której mają zostać zastosowane blokady szablonu.
      StorageAccount szablon usługi Resource Manager typKontaMagazynowego (KontoMagazynowe) Standard_GRS Jednostka SKU magazynu. Wartość domyślna to Standard_LRS.

  5. Po wprowadzeniu wszystkich parametrów wybierz pozycję Przypisz w dolnej części strony.

Ten krok umożliwia wdrożenie zdefiniowanych zasobów i skonfigurowanie wybranego przypisania blokady. Zastosowanie blokad projektu może potrwać do 30 minut.

Po pojawieniu się powiadomienia o pomyślnym zakończeniu przypisywania definicji strategii przejdź do następnego kroku.

Sprawdź zasoby wdrożone przez przydział

To zadanie tworzy grupę zasobów TestingBPLocks i konto magazynu wdrożone przez artefakt szablonu ARM. Nowa grupa zasobów i wybrany stan blokady są wyświetlane na stronie szczegółów przypisania.

  1. Wybierz pozycję Wszystkie usługi w okienku po lewej stronie. Wyszukaj i wybierz pozycję Strategie.

  2. Wybierz stronę Przypisane strategie po lewej stronie. Użyj filtrów, aby znaleźć przypisanie strategii assignment-locked-storageaccount-TestingBPLocks, a następnie je wybierz.

    Na tej stronie widać, że przypisanie zakończyło się pomyślnie i że zasoby zostały wdrożone z nowym stanem zablokowania szablonu. Jeśli przypisanie zostanie zaktualizowane, na liście rozwijanej Operacja przypisania zostaną wyświetlone szczegółowe informacje o wdrożeniu każdej wersji definicji. Możesz wybrać grupę zasobów, aby otworzyć stronę właściwości.

  3. Wybierz grupę zasobów TestingBPLocks .

  4. Wybierz stronę Kontrola dostępu (IAM) po lewej stronie. Następnie wybierz kartę Przypisania ról .

    W tym miejscu widzimy, że przypisanie planu przypisane do magazynu z zablokowanym kontem assignment-TestingBPLocks ma rolę Właściciel. Ma tę rolę, ponieważ ta rola została użyta do wdrożenia i zablokowania grupy zasobów.

  5. Wybierz kartę Odmów przypisania.

    Przypisanie blueprinta spowodowało utworzenie przypisania odmowy w wdrożonej grupie zasobów w celu wymuszenia trybu blokady blueprinta tylko do odczytu. Przypisanie odmowy uniemożliwia komuś z odpowiednimi uprawnieniami na karcie Przypisania ról wykonywanie określonych akcji. Zadanie odmowy wpływa na wszystkich użytkowników.

    Informacje o wykluczaniu podmiotu z przypisania odmowy można znaleźć w Blokowanie zasobów Blueprintów.

  6. Wybierz przypisanie odmowy, a następnie wybierz stronę Odmowa uprawnień po lewej stronie.

    Przypisanie odmowy uniemożliwia wykonywanie wszystkich operacji z konfiguracją * i Action, ale zezwala na dostęp do odczytu przez wykluczenie */read za pośrednictwem NotActions.

  7. W witrynie Azure Portal wybierz pozycję TestingBPLocks — Kontrola dostępu (IAM). Następnie wybierz stronę Przegląd po lewej stronie, a następnie przycisk Usuń grupę zasobów . Wprowadź nazwę TestingBPLocks , aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń w dolnej części okienka.

    Zostanie wyświetlone powiadomienie portalu Usuwanie grupy zasobów TestingBPLocks nie powiodło się . Błąd wskazuje, że mimo iż Twoje konto ma uprawnienia do usunięcia grupy zasobów, dostęp jest odmówiony przez przypisanie szablonu. Pamiętaj, że podczas przypisywania blueprintu wybrano tryb blokady Read Only. Blokada schematu uniemożliwia kontu z uprawnieniami, nawet właścicielowi, usunięcie zasobu. Aby uzyskać więcej informacji, zobacz Blokowanie zasobów szablonów.

Te etapy pokazują, że wdrożone zasoby są teraz chronione za pomocą blokad planu działania, które uniemożliwiają niepożądane usunięcie, nawet z konta z umożliwieniami do usuwania zasobów.

Cofnij przypisanie szablonu

Ostatnim krokiem jest usunięcie przypisania definicji strategii. Usunięcie przypisania nie powoduje usunięcia skojarzonych artefaktów.

  1. Wybierz pozycję Wszystkie usługi w okienku po lewej stronie. Wyszukaj i wybierz pozycję Strategie.

  2. Wybierz stronę Przypisane strategie po lewej stronie. Użyj filtrów, aby znaleźć przypisanie do strategii assignment-locked-storageaccount-TestingBPLocks, a następnie wybierz je.

  3. Wybierz pozycję Cofnij przypisanie szablonu w górnej części strony. Przeczytaj ostrzeżenie w oknie dialogowym potwierdzenia, a następnie wybierz przycisk OK.

    Po usunięciu przypisania strategii blokady strategii zostaną również usunięte. Zasoby mogą zostać ponownie usunięte przez konto z odpowiednimi uprawnieniami.

  4. Wybierz pozycję Grupy zasobów z menu platformy Azure, a następnie wybierz pozycję TestowanieBPLocks.

  5. Wybierz stronę Kontrola dostępu (Zarządzanie dostępem i tożsamościami) po lewej stronie, a następnie wybierz kartę Przypisania ról .

Zabezpieczenia grupy zasobów pokazują, że przypisanie planu nie ma już dostępu Właściciela.

Po pojawieniu się powiadomienia w portalu Usunięcie przypisania schematu powiodło się, przejdź do następnego kroku.

Uprzątnij zasoby

Po zakończeniu pracy z tym samouczkiem usuń następujące zasoby:

  • Grupa zasobów TestingBPLocks
  • Definicja strategii locked-storageaccount

Dalsze kroki

W tym samouczku przedstawiono sposób ochrony nowych zasobów wdrożonych za pomocą usługi Azure Blueprints. Aby dowiedzieć się więcej o usłudze Azure Blueprints, przejdź do artykułu cyklu życia strategii.

Dowiedz się więcej o cyklu życia strategii

  • Last updated on