Compartilhar via

Tutorial: Proteger novos recursos com bloqueios de recursos do Azure Blueprints

Importante

Em 11 de julho de 2026, Blueprints (Versão Prévia) serão descontinuados. Migre suas definições e atribuições de blueprint existentes para Especificações de Modelo e Pilhas de Implantação. Os artefatos de blueprint devem ser convertidos em modelos JSON do ARM ou arquivos Bicep usados para definir pilhas de implantação. Para saber como criar um artefato como um recurso do ARM, confira:

Com os bloqueios de recursos do Azure Blueprints, você pode proteger os recursos recém-implantados contra modificações, até mesmo por uma conta com a função de Proprietário. É possível adicionar essa proteção nas definições de blueprint dos recursos criados por um artefato de modelo do ARM (modelo do Azure Resource Manager). O bloqueio de recursos do Blueprint é definido durante a atribuição de blueprint.

Neste tutorial, você concluirá estas etapas:

  • Criar uma definição de plano
  • Marcar a definição de blueprint como Publicada
  • Atribuir sua definição de blueprint a uma assinatura existente (definir bloqueios de recursos)
  • Inspecionar o novo grupo de recursos
  • Cancelar a atribuição do blueprint para remover os bloqueios

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar uma definição de projeto

Primeiro, crie a definição de blueprint.

  1. Selecione Todos os serviços no painel esquerdo. Pesquise e selecione Blueprints.

  2. Na página Introdução à esquerda, selecione Criar em Criar um blueprint.

  3. Localize o exemplo de blueprint Blueprint em Branco na parte superior da página. Selecione Iniciar com projeto vazio.

  4. Insira essas informações na guia Noções básicas :

    • Nome do blueprint: dê um nome para a cópia do exemplo de blueprint. Para este tutorial, usaremos o nome locked-storageaccount.
    • Descrição do blueprint: adicione uma descrição para a definição de blueprint. Use Para testar o bloqueio em recursos de blueprint implantados.
    • Localização da definição: selecione o botão de reticências (...) e, em seguida, selecione o grupo de gerenciamento ou a assinatura em que deseja salvar sua definição de blueprint.

  5. Selecione a guia Artefatos na parte superior da página ou selecione Avançar: Artefatos na parte inferior da página.

  6. Adicione um grupo de recursos no nível da assinatura:

    1. Selecione a linha Adicionar artefato na Assinatura.
    2. Selecione Grupo de Recursos sob tipo de artefato.
    3. Defina o nome de exibição do artefato como RGtoLock.
    4. Deixe as caixas Nome do Grupo de Recursos e Localização em branco, mas verifique se a caixa de seleção está selecionada em cada propriedade para torná-los parâmetros dinâmicos.
    5. Selecione Adicionar para adicionar o artefato ao blueprint.

  7. Adicione um modelo no grupo de recursos:

    1. Selecione a linha Adicionar Artefato sob a entrada RGtoLock.

    2. Selecione o modelo do Azure Resource Manager no tipo artefato, defina o nome de exibição do artefato como StorageAccount e deixe a Descrição em branco.

    3. Na guia Modelo , cole o seguinte modelo do ARM na caixa do editor. Depois de colar no modelo, selecione Adicionar para adicionar o artefato ao blueprint.

      Observação

      Esta etapa define os recursos a serem implantados que são bloqueados pelo bloqueio de recursos do Blueprint, mas não inclui os bloqueios de recursos do Blueprint. Os bloqueios de recursos do Blueprint são definidos como um parâmetro da atribuição do Blueprint.

    {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "storageAccountType": {
            "type": "string",
            "defaultValue": "Standard_LRS",
            "allowedValues": [
                "Standard_LRS",
                "Standard_GRS",
                "Standard_ZRS",
                "Premium_LRS"
            ],
            "metadata": {
                "description": "Storage Account type"
            }
        }
    },
    "variables": {
        "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
    },
    "resources": [{
        "type": "Microsoft.Storage/storageAccounts",
        "name": "[variables('storageAccountName')]",
        "location": "[resourceGroup().location]",
        "apiVersion": "2018-07-01",
        "sku": {
            "name": "[parameters('storageAccountType')]"
        },
        "kind": "StorageV2",
        "properties": {}
    }],
    "outputs": {
        "storageAccountName": {
            "type": "string",
            "value": "[variables('storageAccountName')]"
        }
    }
}

  8. Selecione Salvar Rascunho na parte inferior da página.

Esta etapa cria a definição de blueprint no grupo de gerenciamento ou na assinatura selecionada.

Depois que a notificação do portal Êxito ao salvar a definição de blueprint for exibida, passe para a próxima etapa.

Publicar a definição de projeto

Sua definição de projeto agora foi criada em seu ambiente. Ele é criado no modo Rascunho e deve ser publicado antes de ser atribuído e implantado.

  1. Selecione Todos os serviços no painel esquerdo. Pesquise e selecione Blueprints.

  2. Selecione a página de definições do Blueprint à esquerda. Use os filtros para localizar a definição de blueprint locked-storageaccount e selecione-a.

  3. Selecione Publicar modelo no topo da página. No novo painel à direita, insira 1.0 como a Versão. Essa propriedade será útil se você fizer uma alteração mais tarde. Insira Notas de alteração, como Primeira versão publicada para bloquear recursos implantados de blueprint. Em seguida, selecione Publicar na parte inferior da página.

Esta etapa possibilita atribuir o blueprint a uma assinatura. Depois que a definição do blueprint for publicada, você ainda poderá fazer alterações. Se você fizer alterações, precisará publicar a definição com um novo valor de versão para controlar as diferenças entre as versões da mesma definição de blueprint.

Depois que a notificação do portal A publicação da definição do blueprint foi bem-sucedida for exibida, passe para a próxima etapa.

Atribuir a definição de blueprint

Depois que a definição do blueprint for publicada, você poderá atribuí-la a uma assinatura dentro do grupo de gerenciamento em que a salvou. Nesta etapa, você fornece parâmetros para tornar cada implantação da definição de blueprint exclusiva.

  1. Selecione Todos os serviços no painel esquerdo. Pesquise e selecione Blueprints.

  2. Selecione a página de definições do Blueprint à esquerda. Use os filtros para localizar a definição de blueprint locked-storageaccount e selecione-a.

  3. Selecione Atribuir blueprint na parte superior da página de definição de blueprint.

  4. Forneça os valores de parâmetro para a atribuição de diagrama:

    • Noções básicas

      • Assinaturas: selecione uma ou mais das assinaturas que estão no grupo de gerenciamento em que você salvou sua definição de blueprint. Se você selecionar mais de uma assinatura, uma atribuição será criada para cada assinatura, usando os parâmetros inseridos.
      • Nome da atribuição: o nome é preenchido previamente com base no nome da definição de blueprint. Queremos que essa atribuição represente o bloqueio do novo grupo de recursos, portanto, altere o nome da atribuição para assignment-locked-storageaccount-TestingBPLocks.
      • Local: selecione uma região na qual criar a identidade gerenciada. O Azure Blueprints usa essa identidade gerenciada para implantar todos os artefatos no blueprint atribuído. Para saber mais, confira as identidades gerenciadas para recursos do Azure. Para este tutorial, selecione Leste dos EUA 2.
      • Versão de definição do blueprint: selecione a versão 1.0 publicada da definição do blueprint.

    • Atribuição de Bloqueio

      Selecione o modo de bloqueio de blueprint Somente Leitura. Para obter mais informações, consulte bloqueio de recursos de projetos.

      Observação

      Esta etapa configura o bloqueio de recursos do Blueprint nos recursos recém-implantados.

    • Identidade Gerenciada

      Use a opção padrão: Sistema atribuído. Para obter mais informações, consulte identidades gerenciadas.

    • Parâmetros de artefato

      Os parâmetros definidos nesta seção se aplicam ao artefato no qual estão definidos. Esses parâmetros são parâmetros dinâmicos porque são definidos durante a atribuição do blueprint. Para cada artefato, defina o valor do parâmetro como o que você vê na coluna Valor .

      Nome do artefato Tipo de artefato Nome do parâmetro Value Description
      Grupo de recursos RGtoLock Grupo de recursos Nome TestingBPLocks Define o nome do novo grupo de recursos ao qual aplicar bloqueios de blueprint.
      Grupo de recursos RGtoLock Grupo de recursos Localização Oeste dos EUA 2 Define a localização do novo grupo de recursos ao qual os bloqueios de blueprint serão aplicados.
      StorageAccount modelo do Resource Manager storageAccountType (StorageAccount) Standard_GRS A SKU de armazenamento. O valor padrão é Standard_LRS.

  5. Depois de inserir todos os parâmetros, selecione Atribuir na parte inferior da página.

Esta etapa implanta os recursos definidos e configura a Atribuição de Bloqueio selecionada. Pode levar até 30 minutos para aplicar bloqueios de blueprint.

Depois que a notificação do portal A atribuição da definição do blueprint foi bem-sucedida for exibida, passe para a próxima etapa.

Inspecionar recursos implantados pela atribuição

A atribuição cria o grupo de recursos TestingBPLocks e a conta de armazenamento implantados pelo artefato de modelo do ARM. O novo grupo de recursos e o estado de bloqueio selecionado são mostrados na página de detalhes da atribuição.

  1. Selecione Todos os serviços no painel esquerdo. Pesquise e selecione Blueprints.

  2. Selecione a página Blueprints atribuídos à esquerda. Use os filtros para localizar a atribuição de blueprint assignment-locked-storageaccount-TestingBPLocks e, em seguida, selecione-a.

    Nessa página, podemos ver que a atribuição foi bem-sucedida e que os recursos foram implantados com o respectivo estado de bloqueio do blueprint. Se a atribuição for atualizada, a lista suspensa Operação de atribuição mostrará detalhes sobre a implantação de cada versão de definição. Você pode selecionar o grupo de recursos para abrir a página de propriedades.

  3. Selecione o grupo de recursos TestingBPLocks .

  4. Selecione a página controle de acesso (IAM) à esquerda. Em seguida, selecione a guia Atribuições de função .

    Aqui, podemos ver que a atribuição de blueprint assignment-locked-storageaccount-TestingBPLocks tem a função Proprietário. Ele tem essa função porque essa função foi usada para implantar e bloquear o grupo de recursos.

  5. Selecione a guia Negar atribuições .

    A atribuição de blueprint criou uma atribuição de negação no grupo de recursos implantado para impor o modo de bloqueio Somente Leitura do blueprint. A atribuição de negação impede que alguém com os direitos adequados execute ações específicas na guia Atribuições de função. A atribuição de negação afeta Todas as entidades.

    Para obter informações sobre a exclusão de uma entidade de segurança de uma atribuição de negação, veja bloqueio de recursos de blueprint.

  6. Selecione a atribuição de negação e, em seguida, selecione a página Permissões Negadas à esquerda.

    A atribuição de negação está impedindo todas as operações com a configuração * e Ação, mas permite o acesso de leitura excluindo */read por meio de NotActions.

  7. Na trilha do portal do Azure, selecione TestingBPLocks – Controle de acesso (IAM). Em seguida, selecione a página Visão geral à esquerda e, em seguida, o botão Excluir grupo de recursos . Insira o nome TestingBPLocks para confirmar a exclusão e selecione Excluir na parte inferior do painel.

    A notificação do portal Falha ao excluir o grupo de recursos TestingBPLocks aparece. O erro informa que, embora sua conta tenha permissão para excluir o grupo de recursos, o acesso é negado pela atribuição de blueprint. Lembre-se de que selecionamos o modo de bloqueio de blueprint Somente Leitura durante a atribuição de blueprint. O bloqueio de blueprint impede que uma conta com permissão, até mesmo Proprietário, exclua o recurso. Para obter mais informações, consulte bloqueio de recursos de projetos.

Essas etapas mostram que nossos recursos implantados agora estão protegidos com bloqueios de blueprint que impedem a exclusão indesejada, mesmo de uma conta que tem permissão para excluir os recursos.

Cancelar a atribuição do blueprint

A última etapa é remover a atribuição da definição de plano. Remover a atribuição não remove os artefatos associados.

  1. Selecione Todos os serviços no painel esquerdo. Pesquise e selecione Blueprints.

  2. Selecione a página Blueprints atribuídos à esquerda. Use os filtros para localizar a atribuição de blueprint assignment-locked-storageaccount-TestingBPLocks e, em seguida, selecione-a.

  3. Selecione Cancelar atribuição do blueprint na parte superior da página. Leia o aviso na caixa de diálogo de confirmação e selecione OK.

    Quando a atribuição do blueprint é removida, os bloqueios de blueprint também são removidos. Os recursos podem ser excluídos novamente por uma conta com permissões apropriadas.

  4. Selecione grupos de recursos no menu do Azure e selecione TestingBPLocks.

  5. Selecione a página controle de acesso (IAM) à esquerda e, em seguida, selecione a guia Atribuições de função .

A segurança do grupo de recursos mostra que a atribuição de blueprint não tem mais acesso de Proprietário.

Depois que a notificação do portal A remoção da atribuição do blueprint foi bem-sucedida for exibida, passe para a próxima etapa.

Limpar os recursos

Quando terminar este tutorial, exclua estes recursos:

  • Grupo de recursos TestingBPLocks
  • Definição de blueprint conta de armazenamento bloqueada

Próximas etapas

Neste tutorial, você aprendeu a proteger novos recursos implantados com o Azure Blueprints. Para saber mais sobre o Azure Blueprints, prossiga para o artigo sobre o ciclo de vida do blueprint.

Saiba mais sobre o ciclo de vida do blueprint

  • Last updated on