共用方式為

教學課程:從藍圖範例建立環境

這很重要

2026 年 7 月 11 日,藍圖 (預覽版) 將被取代。 將現有的藍圖定義和指派移轉至 範本規格部署堆疊。 藍圖成品會轉換成用來定義部署堆疊的 ARM JSON 範本或 Bicep 檔案。 若要瞭解如何將工件撰寫成 ARM 資源,請參閱:

範例藍圖提供使用 Azure 藍圖可以執行的動作範例。 每個都是具有特定意圖或目的的範例,但不會自行建立完整的環境。 其目的是作為起點,以探索如何使用由所含成品、設計和參數所組合而成的各種 Azure 藍圖。

下列教學課程會使用具有 RBAC 藍圖範例的資源群組 來展示 Azure 藍圖服務的不同層面。 涵蓋下列步驟:

  • 從範例建立新的藍圖定義
  • 將範例副本標示為 已發佈
  • 將您的設計藍圖分配給現有的訂閱計劃
  • 檢查為指派部署的資源
  • 取消指派藍圖來移除鎖定

先決條件

若要完成本教學課程,需要 Azure 訂用帳戶。 如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

從範例建立藍圖定義

首先,實作藍圖範例。 匯入會根據您的範例在您的環境中建立新的藍圖。

  1. 選取左窗格中的 [ 所有服務 ]。 搜尋並選取藍圖。

  2. 從左側的 [開始使用] 頁面中,選取 [建立藍圖] 底下的 [建立] 按鈕。

  3. [其他範例] 底下尋找 [具有 RBAC 藍圖的資源群組] 範例,然後選取它。

  4. 輸入藍圖範例的基本 概念

    • 藍圖名稱:提供藍圖範例副本的名稱。 在本教學課程中,我們將使用名稱 two-rgs-with-role-assignments
    • 定義位置:使用省略符號,然後選取要儲存範例複本的管理群組或訂用帳戶。

  5. 選取頁面頂端的 [成品] 索引標籤,或選取頁面底部的 [下一步:成品]。

  6. 檢查構成藍圖範例的工件清單。 此範例會定義兩個資源群組,其顯示名稱為 ProdRGPreProdRG。 每個資源群組的最終名稱和位置是在藍圖指派期間設定的。 ProdRG群組被指派為參與者角色,而PreProdRG群組被指派為擁有者讀取者角色。 定義中指派的角色是靜態的,但指派角色的使用者、應用程式或群組是在藍圖指派期間設定的。

  7. 當您完成檢閱藍圖範例時,選取 [儲存草稿 ]。

此步驟會在選取的管理群組或訂用帳戶中建立範例藍圖定義的複本。 儲存的藍圖定義的管理方式與從頭開始建立的任何藍圖一樣。 您可以視需要多次將範例儲存至管理群組或訂用帳戶。 不過,每個副本都必須提供唯一的名稱。

一旦出現儲存 藍圖定義成功 入口網站通知,請移至下一個步驟。

發佈範例副本

您的環境中現已建立了藍圖範例複本。 它是在 草稿 模式下建立的,而且必須先 發佈, 才能指派和部署。 藍圖範例的副本可以根據您的環境和需求進行自訂。 在本教學課程中,我們不會進行任何變更。

  1. 選取左窗格中的 [ 所有服務 ]。 搜尋並選取藍圖。

  2. 選取左側的 [藍圖定義] 頁面。 使用篩選器來找到 two-rgs-with-role-assignments 藍圖定義,然後選擇它。

  3. 選取頁面頂端的 [發佈藍圖 ]。 在右側的新窗格中,將您的藍圖範例副本的版本設為1.0。 如果您將來需要進行修改,此屬性會很有用。 提供變更附註,例如「從具有 RBAC 藍圖範例的資源群組發佈的第一個版本」。然後選取頁面底部的 [發佈]。

此步驟可讓您將藍圖指派給訂用帳戶。 發布後,仍然可以進行更改。 其他變更需要使用新的 版本 值發佈,以追蹤相同藍圖定義的不同版本之間的差異。

一旦出現發佈 藍圖定義成功 入口網站通知,請移至下一個步驟。

指派範例複本

成功發佈藍圖範例複本後,可以將藍圖定義指派給其所在管理群組中的訂用帳戶。 此步驟會提供參數,讓藍圖範例副本的每個部署都是唯一的。

  1. 選取左窗格中的 [ 所有服務 ]。 搜尋並選取藍圖。

  2. 選取左側的 [藍圖定義] 頁面。 使用篩選器來找到 two-rgs-with-role-assignments 藍圖定義,然後選擇它。

  3. 選取藍圖定義頁面頂端的 指派藍圖

  4. 提供藍圖指派的參數值:

    • Basics

      • 訂用帳戶:選取您儲存藍圖範例複本之管理群組中的一或多個訂用帳戶。 如果您選取多個訂用帳戶,則會使用輸入的參數為每個訂用帳戶建立指派。
      • 指派名稱:名稱會根據藍圖定義名稱預先填入。
      • 位置:選取要在其中建立受控識別的區域。 Azure Blueprints 會使用此受控識別來部署指派的藍圖(Blueprint)中的所有工件。 若要深入瞭解,請參閱 Azure 資源的受控識別。 在本教學課程中,請選取 [ 美國東部 2]。
      • 藍圖定義版本:挑選範例藍圖定義副本的 已發佈 版本 1.0

    • 鎖定指派

      選取 唯讀 藍圖鎖定模式。 如需詳細資訊,請參閱 藍圖資源鎖定

    • 管理式識別

      保留預設的 系統指派 選項。 如需詳細資訊,請參閱 受控識別

    • 成品參數

      本節中定義的參數會套用至定義其的構件。 這些參數是 動態參數 ,因為它們是在指派藍圖期間定義的。 對於每一個構件,將參數值設為 直欄中定義的參數值。 針對 {Your ID},選取您的 Azure 使用者帳戶。

      成品名稱 構件類型 參數名稱 價值觀 Description
      ProdRG 資源群組 資源群組 名稱 生產RG 定義第一個資源群組的名稱。
      ProdRG 資源群組 資源群組 地點 美國西部 2 設定第一個資源群組的位置。
      Contributor 角色指派 使用者或群組 {您的身分證件} 定義要在第一個資源群組內授與 貢獻者角色 的使用者或群組。
      PreProdRG 資源群組 資源群組 名稱 預備製作RG 定義第二個資源群組的名稱。
      PreProdRG 資源群組 資源群組 地點 美國西部 設定第二個資源群組的位置。
      所有者 角色指派 使用者或群組 {您的身分證件} 定義要授與第二個資源群組內 Owner 角色指派的使用者或群組。
      讀者 角色指派 使用者或群組 {您的身分證件} 定義在第二個資源群組中,要將 [讀者] 角色指派授與哪個使用者或群組。

  5. 輸入所有參數後,選取頁面底部的 指派

此步驟會部署定義的資源,並設定選取的 鎖定指派。 套用藍圖鎖定可能需要 30 分鐘的時間。

出現成功指派藍圖定義的入口網站通知後,請移至下一個步驟。

檢查指派所部署的資源

藍圖指派會建立並追蹤藍圖定義中定義的構件。 從 [藍圖指派] 頁面和直接查看資源皆可查看資源的狀態。

  1. 選取左窗格中的 [ 所有服務 ]。 搜尋並選取藍圖。

  2. 選取左側的 [已指派的藍圖 ] 頁面。 使用篩選來尋找「Assignment-two-rgs-with-role-assignments」藍圖指派,然後加以選取。

    在這個頁面中,我們可以看到指派已成功建立,並可看到所建立資源的清單及其藍圖鎖定狀態。 如果指派已更新,則指派 作業 下拉式清單會顯示每個定義版本部署的詳細資料。 您可以選取已建立的每個列出的資源,並開啟該資源內容頁面。

  3. 選取 ProductionRG 資源群組。

    我們看到資源群組的名稱是 ProductionRG ,而不是成品顯示名稱 ProdRG。 此名稱符合藍圖指派期間設定的值。

  4. 選取左側的 [存取控制 (IAM)] 頁面,然後選取 [角色指派] 索引標籤。

    在這裡,我們會看到您的帳戶已獲得「參與者」角色,且範圍為「此資源」。 我們使用「Assignment-two-rgs-with-role-assignments」藍圖指派來建立該資源群組,因此這個藍圖指派具有「擁有者」角色。 這些權限也用於管理具有已設定藍圖鎖定的資源。

  5. 從 Azure 入口網站的階層連結選取 [Assignment-two-rgs-with-role-assignments] 來返回上一頁,然後選取 [PreProductionRG] 資源群組。

  6. 選取左側的 [存取控制 (IAM)] 頁面,然後選取 [角色指派] 索引標籤。

    在這裡,我們看到您的帳戶已被授予 擁有者讀者 兩種角色,這兩者都在此 資源的範圍內。 藍圖指派也具有 擁有者 角色,就像第一個資源群組一樣。

  7. 選取 [ 拒絕指派 ] 索引標籤。

    藍圖指派會在已部署的資源群組上建立 拒絕指派 ,以強制執行 唯讀 藍圖鎖定模式。 拒絕指派會防止在 [角色指派 ] 索引標籤上具有適當權限的人員採取特定動作。 拒絕指派會影響 所有主體

  8. 選取拒絕指派,然後選取左側的 [ 拒絕許可權 ] 頁面。

    拒絕指派會阻止所有涉及 *動作設定的作業,但透過 NotActions 排除 */read 來允許讀取存取。

  9. 從 Azure 入口網站的階層連結中,選取 [PreProductionRG - 存取控制 (IAM)]。 然後選取左側的 [ 概觀 ] 頁面,然後選取 [刪除資源群組] 按鈕。 輸入名稱 PreProductionRG 以確認刪除,然後選取窗格底部的 刪除

    隨即顯示入口網站通知 刪除資源群組 PreProductionRG 失敗 。 該錯誤表示,雖然您的帳戶有權刪除資源群組,但藍圖指派拒絕了您的存取。 請記住,我們在藍圖指派期間選取了 唯讀 藍圖鎖定模式。 藍圖鎖定會阻止具有權限的帳戶 (甚至是「擁有者」權限) 刪除資源。 如需詳細資訊,請參閱 藍圖資源鎖定

這些步驟顯示我們的資源是依定義建立的,而且藍圖鎖定可防止不必要的刪除,即使是從具有許可權的帳戶中也是如此。

取消指派藍圖

最後一個步驟是要移除藍圖的指派和其所部署的資源。 移除指派並不會移除已部署的工件。

  1. 選取左窗格中的 [ 所有服務 ]。 搜尋並選取藍圖。

  2. 選取左側的 [已指派的藍圖 ] 頁面。 使用篩選來尋找「Assignment-two-rgs-with-role-assignments」藍圖指派,然後加以選取。

  3. 選取頁面頂端的 取消指派藍圖 按鈕。 閱讀確認對話方塊中的警告,然後選取 [ 確定]。

    移除藍圖指派後,藍圖鎖定也會一併移除。 建立的資源可以再次由具有權限的帳戶刪除。

  4. 從 Azure 功能表中選取 [資源群組] ,然後選取 [ProductionRG]。

  5. 選取左側的 [存取控制 (IAM)] 頁面,然後選取 [角色指派] 索引標籤。

每個資源群組的安全性仍具有已部署的角色指派,但藍圖指派不再具有 擁有者 存取權。

出現成功移除藍圖指派的入口網站通知後,請移至下一個步驟。

清理資源

完成本教學課程時,請刪除下列資源:

  • 資源群組 ProductionRG
  • 資源群組 PreProductionRG
  • 藍圖定義 two-rgs-with-role-assignments

後續步驟

在本教學課程中,您已瞭解如何從範例定義建立新的藍圖。 若要深入瞭解 Azure 藍圖,請繼續閱讀藍圖生命週期一文。

瞭解藍圖生命週期

  • Last updated on