Ochrana prostředků Azure Quantum pomocí zámků Azure Resource Manager (ARM)
Microsoft doporučuje uzamknout všechny pracovní prostory Azure Quantum a propojené účty úložiště zámkem prostředků Azure Resource Manager (ARM), aby se zabránilo náhodnému nebo škodlivému odstranění. Profesoři například můžou chtít studentům zakázat úpravy SKU zprostředkovatele, ale přesto jim umožnit používat poznámkové bloky a odesílat úlohy.
Existují dva typy zámků prostředků ARM:
- Zámek Nelze odstranit brání uživatelům v odstranění prostředku, ale umožňuje čtení a úpravu jeho konfigurace.
- Zámek ReadOnly zabraňuje uživatelům upravovat konfiguraci prostředku (včetně jejího odstranění), ale umožňuje čtení jeho konfigurace. Další informace o zámcích prostředků najdete v tématu Zamknutí prostředků, aby se zabránilo neočekávaným změnám.
Poznámka
Pokud už ke správě pracovních prostorů Azure Quantum používáte šablonu ARM nebo Bicep, můžete do existujících šablon přidat postupy v tomto článku.
Doporučené konfigurace zámků
Následující tabulka uvádí doporučené konfigurace zámků prostředků pro nasazení pro pracovní prostor Azure Quantum.
| Prostředek | Typ zámku | Poznámky |
|---|---|---|
| Pracovní prostor | Odstranit | Zabrání odstranění pracovního prostoru. |
| Pracovní prostor | Jen pro čtení | Zabrání změnám pracovního prostoru, včetně přidání nebo odstranění poskytovatelů, a zároveň uživatelům umožní vytvářet a odstraňovat poznámkové bloky a odesílat úlohy. Pokud chcete změnit poskytovatele, když je tento zámek nastavený, musíte zámek prostředků odebrat, provést změny a pak zámek znovu nasadit. |
| Účet úložiště | Odstranit | Zabrání odstranění účtu úložiště. |
Měli byste se vyhnout následujícím konfiguracím:
Důležité
Nastavení následujících zámků ARM může způsobit nesprávné fungování pracovního prostoru.
| Prostředek | Typ zámku | Poznámky |
|---|---|---|
| Účet úložiště | Jen pro čtení | Nastavení zámku prostředků jen pro čtení u účtu úložiště může způsobit selhání při vytváření pracovního prostoru, rozhraní Jupyter Notebooks a odesílání a načítání úloh. |
| Nadřazené předplatné pracovního prostoru nebo nadřazená skupina prostředků pracovního prostoru nebo účtu úložiště | Jen pro čtení | Když se zámek prostředku použije na nadřazený prostředek, všechny prostředky v rámci tohoto nadřazeného prostředku dědí stejný zámek, včetně prostředků vytvořených později. Pro podrobnější kontrolu by se zámky prostředků měly použít přímo na úrovni prostředku. |
Požadavky
Abyste mohli použít zámky prostředků ARM, musíte být vlastníkem nebo správcem uživatelských přístupů k prostředku. Další informace najdete v tématu Předdefinované role v Azure.
Nasazení pomocí příkazového řádku
K nasazení zámku budete potřebovat buď Azure PowerShell, nebo Azure CLI. Pokud používáte Azure CLI, musíte mít nejnovější verzi. Pokyny k instalaci najdete tady:
Důležité
Pokud jste s Azure Quantum ještě nepoužívali Azure CLI, přidejte rozšíření a zaregistrujte obor názvů Azure Quantum podle kroků v části quantumNastavení prostředí.
Přihlášení k Azure
Po instalaci Azure CLI nebo Azure PowerShell se ujistěte, že se poprvé přihlašujete. Zvolte jednu z následujících karet a spusťte odpovídající příkazy příkazového řádku pro přihlášení k Azure:
az login
Pokud máte více předplatných Azure, vyberte předplatné s prostředky, které chcete uzamknout. Nahraďte SubscriptionName názvem předplatného nebo ID předplatného. Třeba
az account set --subscription "Azure subscription 1"
Vytvoření zámku prostředku ARM
Při nasazování zámku prostředku zadáte název zámku, typ zámku a další informace o prostředku. Tyto informace je možné zkopírovat a vložit z domovské stránky prostředku na portálu Azure Quantum.
az lock create \
--name <lock> \
--resource-group <resource-group> \
--resource <workspace> \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
- name: Popisný název zámku
- resource-group: Název nadřazené skupiny prostředků.
- resource: Název prostředku, na který se má zámek použít.
- lock-type: Typ zámku, který se má použít, buď CanNotDelete , nebo ReadOnly.
- resource-type: Typ target prostředku.
Pokud chcete například vytvořit zámek CanNotDelete v pracovním prostoru:
az lock create \
--name ArmLockWkspDelete \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
V případě úspěchu Azure vrátí konfiguraci zámku ve formátu JSON:
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDelete",
"level": "CanNotDelete",
"name": "ArmLockWkspDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Postup vytvoření zámku Jen pro čtení v pracovním prostoru:
az lock create \
--name ArmLockWkspRead \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type ReadOnly \
--resource-type Microsoft.Quantum/workspaces
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRead",
"level": "ReadOnly",
"name": "ArmLockWkspRead",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Postup vytvoření zámku CanNotDelete pro účet úložiště:
az lock create \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource armlocksstorage \--lock-type CanNotDelete \
--resource-type Microsoft.Storage/storageAccounts
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLockStoreDelete",
"level": "CanNotDelete",
"name": "ArmLockStoreDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Zobrazení a odstranění zámků
Zobrazení nebo odstranění zámků:
Další informace najdete v referenčních informacích k příkazu az lock.
Zobrazení všech zámků v předplatném
az lock list
Zobrazení všech zámků v pracovním prostoru
az lock list \
--resource-group armlocks-resgrp \
--resource-name armlocks-wksp \
--resource-type Microsoft.Quantum/workspaces
Zobrazení všech zámků pro všechny prostředky ve skupině prostředků
az lock list --resource-group armlocks-resgrp
Zobrazení vlastností jednoho zámku
az lock show \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Odstranění zámku
az lock delete \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Pokud je odstranění úspěšné, Azure zprávu nevrátí. Odstranění ověříte spuštěním příkazu az lock list.