Partilhar via

Tutorial: Proteger novos recursos com bloqueios de recursos Azure Blueprints

Importante

Em 11 de julho de 2026, os Blueprints (Preview) serão preteridos. Migre as suas definições e atribuições de blueprint existentes para Especificações de modelo e Pilhas de implementação. Os artefatos de Blueprint devem ser convertidos em templates JSON ARM ou ficheiros Bicep utilizados para definir stacks de implantação. Para saber como criar um artefato como um recurso ARM, consulte:

Com os bloqueios de recursos do Azure Blueprints, é possível proteger recursos recém-implementados contra adulterações, mesmo por uma conta com a função de Proprietário. Pode adicionar esta proteção nas definições de blueprint dos recursos criadas por um artefacto de modelo do Resource Manager do Azure (modelo ARM). O bloqueio de recursos do Blueprint é definido durante a atribuição do blueprint.

Neste tutorial, vais completar estes passos:

  • Criar uma definição de blueprint
  • Marque a definição do seu plano como Publicado
  • Atribui a definição do teu blueprint a uma subscrição existente (define bloqueios de recursos)
  • Inspecionar o novo grupo de recursos
  • Cancelar a atribuição do plano para remover os bloqueios

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar uma definição de plano

Primeiro, crie a definição do blueprint.

  1. Selecione Todos os serviços no painel esquerdo. Pesquise e selecione Planos.

  2. Na página Como começar à esquerda, selecione Criar em Criar um blueprint.

  3. Encontre a amostra de plano Blank Blueprint no topo da página. Selecionar Iniciar com plano em branco.

  4. Introduza esta informação no separador Básicos :

    • Nome do blueprint: forneça um nome para sua cópia do exemplo de blueprint. Para este tutorial, vamos usar o nome locked-storageaccount.
    • Descrição do projeto: Adicione uma descrição para a definição do projeto. Para testar o bloqueio de recursos do blueprint nos recursos implementados.
    • Localização da definição: Selecione o botão de reticência (...) e depois selecione o grupo de gestão ou subscrição para guardar a definição do seu blueprint.

  5. Selecione o separador Artefactos no topo da página, ou selecione Próximo: Artefactos no final da página.

  6. Adicione um grupo de recursos ao nível da subscrição:

    1. Selecione a linha Adicionar artefacto em Subscrição.
    2. Selecione Grupo de Recursos em Tipo de Artefacto.
    3. Defina o nome de exibição do Artefacto para RGtoLock.
    4. Deixe as caixas Nome do Grupo de Recursos e Localização em branco, mas certifique-se de que a caixa de seleção está selecionada em cada propriedade para os tornar parâmetros dinâmicos.
    5. Selecione Adicionar para adicionar o artefacto ao blueprint.

  7. Adicione um modelo no grupo de recursos:

    1. Selecione a linha Adicionar artefacto abaixo da entrada RGtoLock .

    2. Selecione o modelo Azure Resource Manager em Tipo de Artefacto, defina o nome de exibição do Artefacto para StorageAccount e deixe a Descrição em branco.

    3. No separador Template , cole o seguinte modelo ARM na caixa do editor. Depois de colar o modelo, selecione Adicionar para adicionar o artefacto ao blueprint.

      Observação

      Esta etapa define os recursos a implementar que são bloqueados pelo bloqueio de recursos do Blueprint, mas não inclui os bloqueios de recursos do Blueprint. Os bloqueios de recursos do blueprint são definidos como parâmetros da atribuição do blueprint.

    {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "storageAccountType": {
            "type": "string",
            "defaultValue": "Standard_LRS",
            "allowedValues": [
                "Standard_LRS",
                "Standard_GRS",
                "Standard_ZRS",
                "Premium_LRS"
            ],
            "metadata": {
                "description": "Storage Account type"
            }
        }
    },
    "variables": {
        "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
    },
    "resources": [{
        "type": "Microsoft.Storage/storageAccounts",
        "name": "[variables('storageAccountName')]",
        "location": "[resourceGroup().location]",
        "apiVersion": "2018-07-01",
        "sku": {
            "name": "[parameters('storageAccountType')]"
        },
        "kind": "StorageV2",
        "properties": {}
    }],
    "outputs": {
        "storageAccountName": {
            "type": "string",
            "value": "[variables('storageAccountName')]"
        }
    }
}

  8. Selecione Guardar Rascunho no final da página.

Este passo cria a definição do blueprint no grupo de gestão ou subscrição selecionado.

Depois de aparecer a notificação Guardar definição do blueprint com sucesso no portal, prossiga para o passo seguinte.

Publicar a definição do blueprint

A sua definição de blueprint foi agora criada no seu ambiente. É criado em modo Rascunho e tem de ser publicado antes de poder ser atribuído e implementado.

  1. Selecione Todos os serviços no painel esquerdo. Pesquise e selecione Planos.

  2. Selecione a página Definições do Blueprint à esquerda. Use os filtros para encontrar a definição do blueprint locked-storageaccount e depois selecione-a.

  3. Selecione Publicar esquema na parte superior da página. No novo painel à direita, introduza 1.0 como Versão. Esta propriedade é útil se fizer uma alteração mais tarde. Insira notas de alteração, como Primeira versão publicada para proteger os recursos implementados do blueprint. Depois seleciona Publicar no final da página.

Esta etapa torna possível atribuir o plano a uma assinatura. Depois de publicada a definição do blueprint, ainda podes fazer alterações. Se fizer alterações, deve publicar a definição com um novo valor de versão para acompanhar as diferenças entre versões da definição de plano.

Depois de aparecer a notificação a definição do modelo de publicação foi concluída com sucesso do portal, avance para o passo seguinte.

Atribuir a definição do blueprint

Depois de a definição do blueprint ser publicada, pode atribuí-la a uma subscrição no grupo de gestão onde foi guardada. Neste passo, fornece parâmetros para tornar cada implementação da definição do blueprint única.

  1. Selecione Todos os serviços no painel esquerdo. Pesquise e selecione Planos.

  2. Selecione a página Definições do Blueprint à esquerda. Use os filtros para encontrar a definição do blueprint locked-storageaccount e depois selecione-a.

  3. Selecione Atribuir esquema na parte superior da página de definição do blueprint.

  4. Forneça os valores de parâmetro para atribuição do blueprint.

    • Noções básicas

      • Subscrições: Selecione uma ou mais das subscrições que estão no grupo de gestão onde guardou a definição do seu blueprint. Se selecionar mais do que uma subscrição, será criada uma atribuição para cada subscrição, usando os parâmetros que inserir.
      • Nome da atribuição: O nome é pré-preenchido com base no nome da definição do projeto. Queremos que esta atribuição represente o bloqueio do novo grupo de recursos, por isso muda o nome da atribuição para assignment-locked-storageaccount-TestingBPLocks.
      • Localização: Selecione uma região onde criar a identidade gerida. O Azure Blueprints usa essa identidade gerenciada para implantar todos os artefatos no blueprint atribuído. Para saber mais, consulte Identidades gerenciadas para recursos do Azure. Para este tutorial, selecione Leste dos EUA 2.
      • Versão da definição do blueprint: Selecione a versão publicada 1.0 da definição do blueprint.

    • Atribuição de Bloqueio

      Selecione o modo de bloqueio de blueprint Somente leitura . Para obter mais informações, consulte blueprints resource locking.

      Observação

      Esta etapa configura o bloqueio de recursos Blueprint nos recursos recém-implementados.

    • Identidade Gerenciada

      Use a opção padrão: Sistema atribuído. Para obter mais informações, consulte identidades gerenciadas.

    • Parâmetros do artefacto

      Os parâmetros definidos nesta secção aplicam-se ao artefacto sob o qual estão definidos. Estes parâmetros são parâmetros dinâmicos porque são definidos durante a atribuição do blueprint. Para cada artefacto, define o valor do parâmetro para o que vês na coluna Valor .

      Nome do artefato Tipo de artefato Nome do parâmetro Valor Description
      Grupo de recursos RGtoLock Grupo de recursos Nome TestingBPLocks Define o nome do novo grupo de recursos para aplicar bloqueios de blueprint ao grupo.
      Grupo de recursos RGtoLock Grupo de recursos Localização E.U.A. Oeste 2 Define a localização do novo grupo de recursos para aplicar os bloqueios de blueprint.
      StorageAccount modelo do Resource Manager tipoDeContaDeArmazenamento (StorageAccount) Padrão_GRS O SKU de armazenamento. O valor padrão é Standard_LRS.

  5. Depois de introduzir todos os parâmetros, selecione Atribuir no final da página.

Esta etapa implanta os recursos definidos e configura a Atribuição de Bloqueio selecionada. Pode demorar até 30 minutos a aplicar bloqueios de projeto.

Depois de a notificação Atribuir definição de blueprint bem-sucedido aparecer no portal, avance para o passo seguinte.

Inspecionar recursos implantados pela atribuição

A atribuição cria o grupo de recursos TestingBPLocks e a conta de armazenamento implementada pelo artefacto do modelo ARM. O novo grupo de recursos e o estado selecionado do bloqueio são mostrados na página de detalhes da atribuição.

  1. Selecione Todos os serviços no painel esquerdo. Pesquise e selecione Planos.

  2. Selecione à esquerda a página Planos atribuídos. Utilize os filtros para encontrar a atribuição da blueprint assignment-locked-storageaccount-TestingBPLocks e, em seguida, selecione-a.

    Nesta página, podemos ver que a atribuição foi bem-sucedida e que os recursos foram implementados com o novo estado de bloqueio do blueprint. Se a atribuição for atualizada, a lista suspensa Operação de atribuição apresentará detalhes sobre a implementação de cada versão da definição. Pode selecionar o grupo de recursos para abrir a página de propriedades.

  3. Selecione o grupo de recursos TestingBPLocks .

  4. Selecione a página de controlo de acesso (IAM) à esquerda. Depois seleciona o separador de atribuições de funções .

    Aqui vemos que a atribuição de blueprint assignment-locked-storageaccount-TestingBPLocks tem o papel de Proprietário. Tem este papel porque foi usado para implementar e bloquear o grupo de recursos.

  5. Selecione a guia Negar atribuições .

    A atribuição de blueprint criou uma atribuição de negação para impor o modo de bloqueio de blueprint somente leitura no grupo de recursos que foi implantado. A atribuição de negação impede que alguém com direitos apropriados na guia Atribuições de função execute ações específicas. A negativa de atribuição afeta Todos os princípios.

    Para informações sobre a exclusão de um principal de uma atribuição de negação, veja Blueprints Resource Locking.

  6. Selecione a atribuição de negação e depois selecione a página de Permissões Negadas à esquerda.

    A atribuição de negação impede todas as operações com a configuração * e Action, mas permite o acesso de leitura ao excluir */read via NotActions.

  7. No breadcrumb do portal Azure, selecione TestingBPLocks - Controlo de acesso (IAM). Em seguida, selecione a página Visão geral à esquerda e, em seguida, o botão Excluir grupo de recursos . Introduza o nome TestingBPLocks para confirmar a eliminação e depois selecione Eliminar no fundo do painel.

    A notificação no portal falhou ao eliminar o grupo de recursos TestingBPLocks aparece. O erro indica que, embora a sua conta tenha permissão para eliminar o grupo de recursos, o acesso é negado pela atribuição do plano. Lembre-se de que selecionámos o modo de bloqueio só de leitura para o blueprint durante a atribuição do mesmo. O bloqueio do blueprint impede que uma conta com permissão, mesmo Proprietário, exclua o recurso. Para obter mais informações, consulte blueprints resource locking.

Estes passos mostram que os nossos recursos implementados estão agora protegidos com bloqueios de blueprint que impedem eliminações indesejadas, mesmo de uma conta que tem permissão para eliminar os recursos.

Cancelar a atribuição do plano

O último passo é remover a atribuição da definição do blueprint. Remover a atribuição não remove os artefactos associados.

  1. Selecione Todos os serviços no painel esquerdo. Pesquise e selecione Planos.

  2. Selecione à esquerda a página Planos atribuídos. Use os filtros para encontrar a atribuição de blueprint assignment-locked-storageaccount-TestingBPLocks e depois selecione-a.

  3. Selecione Desativar plano no topo da página. Leia o aviso na caixa de diálogo de confirmação e depois selecione OK.

    Quando a atribuição do projeto é removida, os bloqueios do projeto também são removidos. Os recursos podem novamente ser eliminados por uma conta com as permissões apropriadas.

  4. Selecione Grupos de Recursos no menu Azure e depois selecione TestingBPLocks.

  5. Selecione a página de controlo de acesso (IAM) à esquerda e depois selecione o separador Atribuições de Funções.

A segurança do grupo de recursos mostra que a atribuição do blueprint já não tem acesso ao Proprietário .

Depois de aparecer a notificação do portal Remover atribuição de projeto bem-sucedida , avance para o passo seguinte.

Limpeza de recursos

Quando terminares este tutorial, apaga estes recursos:

  • Grupo de recursos TestingBPLocks
  • Definição de blueprint conta de armazenamento bloqueada

Próximos passos

Neste tutorial, aprendeste a proteger novos recursos implementados com o Azure Blueprints. Para saber mais sobre os Blueprints do Azure, continue para o artigo sobre o ciclo de vida dos blueprints.

Saiba mais sobre o ciclo de vida do blueprint

  • Last updated on