Tutorial: Erstellen einer Umgebung anhand eines Blaupausenbeispiels

Beispielblaupausen enthalten Beispiele für die Aufgaben, die mit Azure Blueprints ausgeführt werden können. Jedes Blaupausenbeispiel dient einer bestimmten Absicht bzw. einem spezifischen Zweck, erstellt aber nicht selbst eine vollständige Umgebung. Jedes Blaupausenbeispiel ist als Ausgangspunkt für die Erkundung von Azure Blueprints vorgesehen und enthält verschiedene Kombinationen von Artefakten, Designs und Parametern.

Im folgenden Tutorial wird das Blaupausenbeispiel Ressourcengruppen mit RBAC verwendet, um verschiedene Aspekte des Diensts Azure Blueprints vorzustellen. Folgende Schritte werden erläutert:

  • Erstellen einer neuen Blaupausendefinition anhand des Beispiels
  • Markieren Ihrer Kopie des Beispiels als Veröffentlicht
  • Zuweisen Ihrer Kopie der Blaupause zu einem vorhandenen Abonnement
  • Überprüfen der bereitgestellten Ressourcen für die Zuweisung
  • Aufheben der Zuweisung der Blaupause zum Entfernen der Sperren

Voraussetzungen

Für dieses Tutorial benötigen Sie ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen einer Blaupausendefinition anhand des Beispiels

Implementieren Sie zuerst das Blaupausenbeispiel. Beim Importieren wird basierend auf dem Beispiel eine neue Blaupause in Ihrer Umgebung erstellt.

  1. Wählen Sie Alle Dienste im linken Bereich aus. Suchen Sie nach Blaupausen, und wählen Sie die Option aus.

  2. Klicken Sie links auf der Seite Erste Schritte unter Blaupause erstellen auf die Schaltfläche Erstellen.

  3. Suchen Sie unter Weitere Beispiele nach dem Blaupausenbeispiel Ressourcengruppen mit RBAC, und wählen Sie es aus.

  4. Geben Sie die Grundlagen des Blaupausenbeispiels ein:

    • Name der Blaupause: Geben Sie einen Namen für Ihre Kopie des Blaupausenbeispiels ein. In diesem Tutorial verwenden Sie den Namen two-rgs-with-role-assignments.
    • Definitionsspeicherort: Klicken Sie auf die Schaltfläche mit den Auslassungspunkten, und wählen Sie die Verwaltungsgruppe oder das Abonnement aus, in der bzw. dem Sie Ihre Kopie des Beispiels speichern möchten.
  5. Wählen Sie oben auf der Seite die Registerkarte Artefakte oder unten auf der Seite die Option Weiter: Artefakte aus.

  6. Überprüfen Sie die Liste der Artefakte, aus denen das Blaupausenbeispiel besteht. Dieses Beispiel definiert zwei Ressourcengruppen mit den Anzeigenamen ProdRG und PreProdRG. Der endgültige Name und der Speicherort jeder Ressourcengruppe werden während der Blaupausenzuweisung festgelegt. Der Ressourcengruppe ProdRG ist die Rolle Mitwirkender zugewiesen, und der Ressourcengruppe PreProdRG sind die Rollen Besitzer und Leser zugewiesen. Die in der Definition zugewiesenen Rollen sind statisch. Der Benutzer, die App oder die Gruppe, dem bzw. der die Rolle zugewiesen wird, wird jedoch während der Blaupausenzuweisung festgelegt.

  7. Wählen Sie Entwurf speichern aus, nachdem Sie das Blaupausenbeispiel überprüft haben.

In diesem Schritt wird eine Kopie der Blaupausendefinition in der ausgewählten Verwaltungsgruppe bzw. dem ausgewählten Abonnement erstellt. Die gespeicherte Blaupausendefinition wird wie alle neu erstellten Blaupausen verwaltet. Sie können das Beispiel beliebig oft in Ihrer Verwaltungsgruppe bzw. Ihrem Abonnement speichern. Für jede Kopie muss jedoch ein eindeutiger Name angegeben werden.

Sobald die Portalbenachrichtigung Blaupausendefinition erfolgreich gespeichert angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Veröffentlichen der Kopie des Beispiels

Ihre Kopie des Blaupausenbeispiels wurde jetzt in Ihrer Umgebung erstellt. Sie wird im Modus Entwurf erstellt und muss veröffentlicht werden, bevor sie zugewiesen und bereitgestellt werden kann. Die Kopie des Blaupausenbeispiels kann entsprechend Ihrer Umgebung und Ihren Anforderungen angepasst werden. In diesem Tutorial nehmen Sie keine Änderungen vor.

  1. Wählen Sie Alle Dienste im linken Bereich aus. Suchen Sie nach Blaupausen, und wählen Sie die Option aus.

  2. Wählen Sie links die Seite Blaupausendefinitionen aus. Suchen Sie mithilfe der Filter nach der Blaupausendefinition two-rgs-with-role-assignments, und wählen Sie sie aus.

  3. Wählen Sie oben auf der Seite die Option Blaupause veröffentlichen aus. Geben Sie im neuen Bereich auf der rechten Seite für Ihre Kopie des Blaupausenbeispiels 1.0 als Version an. Diese Eigenschaft ist hilfreich, wenn Sie später Änderungen vornehmen. Geben Sie Änderungshinweise an, z. B. „Erste mit dem Blaupausenbeispiel ‚Ressourcengruppen mit RBAC‘ veröffentlichte Version“. Wählen Sie dann unten auf der Seite Veröffentlichen aus.

In diesem Schritt kann die Blaupause einem Abonnement zugewiesen werden. Nach der Veröffentlichung können noch Änderungen vorgenommen werden. Zur Nachverfolgung der Unterschiede zwischen verschiedenen Versionen der gleichen Blaupausendefinition müssen weitere Änderungen mit einem neuen Wert für Version veröffentlicht werden.

Sobald die Portalbenachrichtigung Blaupausendefinition erfolgreich veröffentlicht angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Zuweisen der Kopie des Beispiels

Nachdem die Kopie des Blaupausenbeispiels erfolgreich veröffentlicht wurde, kann sie einem Abonnement innerhalb der Verwaltungsgruppe, in der sie gespeichert wurde, zugewiesen werden. In diesem Schritt werden Parameter angegeben, damit jede Bereitstellung der Kopie des Blaupausenbeispiels eindeutig ist.

  1. Wählen Sie Alle Dienste im linken Bereich aus. Suchen Sie nach Blaupausen, und wählen Sie die Option aus.

  2. Wählen Sie links die Seite Blaupausendefinitionen aus. Suchen Sie mithilfe der Filter nach der Blaupausendefinition two-rgs-with-role-assignments, und wählen Sie sie aus.

  3. Wählen Sie oben auf der Seite mit der Blaupausendefinition die Option Blaupause zuweisen aus.

  4. Geben Sie die Parameterwerte für die Blaupausenzuweisung an:

    • Grundlagen

      • Abonnements: Wählen Sie mindestens eines der Abonnements in der Verwaltungsgruppe aus, in der Sie die Kopie des Blaupausenbeispiels gespeichert haben. Wenn Sie mehrere Abonnements auswählen, wird für jedes Abonnement eine Zuweisung mit den eingegebenen Parametern erstellt.
      • Zuweisungsname: Der Name wird basierend auf dem Namen der Blaupausendefinition vorab aufgefüllt.
      • Standort: Wählen Sie eine Region aus, in der die verwaltete Identität erstellt werden soll. Azure Blueprints verwendet diese verwaltete Identität, um alle Artefakte in der zugewiesenen Blaupause bereitzustellen. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?. Wählen Sie für dieses Tutorial die Region USA, Osten 2 aus.
      • Version der Blaupausendefinition: Wählen Sie die Version 1.0 mit dem Status Veröffentlicht Ihrer Kopie der Beispielblaupausendefinition aus.
    • Zuweisung sperren

      Wählen Sie den Blaupausensperrmodus Schreibgeschützt aus. Weitere Informationen finden Sie unter Grundlegendes zur Ressourcensperre in Azure Blueprint.

    • Verwaltete Identität

      Übernehmen Sie die Standardoption Vom System zugewiesen. Weitere Informationen finden Sie unter Verwaltete Identitäten.

    • Artefaktparameter

      Die in diesem Abschnitt definierten Parameter gelten für das Artefakt, unter dem sie definiert werden. Diese Parameter sind dynamische Parameter, da sie während der Zuweisung der Blaupause definiert werden. Legen Sie den Parameterwert für jedes Artefakt auf den Wert fest, der in der Spalte Wert definiert ist. Wählen Sie für {Your ID} Ihr Azure-Benutzerkonto aus.

      Artefaktname Artefakttyp Parametername Wert BESCHREIBUNG
      Ressourcengruppe „ProdRG“ Resource group Name ProductionRG Definiert den Namen der ersten Ressourcengruppe.
      Ressourcengruppe „ProdRG“ Resource group Standort USA, Westen 2 Legt den Ort der ersten Ressourcengruppe fest.
      Mitwirkender Rollenzuweisung Benutzer oder Gruppe {Ihre ID} Definiert, welchem Benutzer oder welcher Gruppe die Rollenzuweisung Mitwirkender in der ersten Ressourcengruppe gewährt wird.
      Ressourcengruppe „PreProdRG“ Resource group Name PreProductionRG Definiert den Namen der zweiten Ressourcengruppe.
      Ressourcengruppe „PreProdRG“ Resource group Standort USA (Westen) Legt den Ort der zweiten Ressourcengruppe fest.
      Besitzer Rollenzuweisung Benutzer oder Gruppe {Ihre ID} Definiert, welchem Benutzer oder welcher Gruppe die Rollenzuweisung Besitzer in der zweiten Ressourcengruppe gewährt wird.
      Leser Rollenzuweisung Benutzer oder Gruppe {Ihre ID} Definiert, welchem Benutzer oder welcher Gruppe die Rollenzuweisung Leser in der zweiten Ressourcengruppe gewährt wird.
  5. Nachdem Sie alle Parameter eingegeben haben, wählen Sie unten auf der Seite die Option Zuweisen aus.

In diesem Schritt werden die definierten Ressourcen bereitgestellt und die ausgewählte Option für Zuweisung sperren konfiguriert. Das Anwenden von Blaupausensperren kann bis zu 30 Minuten dauern.

Sobald die Portalbenachrichtigung Blaupausendefinition erfolgreich zugewiesen angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Überprüfen der durch die Zuweisung bereitgestellten Ressourcen

Durch die Blaupausenzuweisung werden die in der Blaupausendefinition definierten Artefakte erstellt und nachverfolgt. Der Status der Ressourcen wird auf der Seite mit der Blaupausenzuweisung angezeigt. Sie können den Status auch überprüfen, indem Sie sich die Ressourcen direkt ansehen.

  1. Wählen Sie Alle Dienste im linken Bereich aus. Suchen Sie nach Blaupausen, und wählen Sie die Option aus.

  2. Wählen Sie links die Seite Zugewiesene Blaupausen aus. Suchen Sie mithilfe der Filter nach der Blaupausenzuweisung Assignment-two-rgs-with-role-assignments, und wählen Sie sie aus.

    Auf dieser Seite sehen Sie, dass die Zuweisung erfolgreich war. Zudem wird eine Liste der erstellten Ressourcen mit ihrem Blaupausensperrzustand angezeigt. Wenn die Zuweisung aktualisiert wird, werden in der Dropdownliste Zuweisungsvorgang Details zur Bereitstellung der einzelnen Definitionsversionen angezeigt. Sie können in der Liste jede erstellte Ressource auswählen, um die Eigenschaftenseite der jeweiligen Ressource zu öffnen.

  3. Wählen Sie die Ressourcengruppe ProductionRG aus.

    Wie Sie sehen, wird für den Namen der Ressourcengruppe ProductionRG angezeigt und nicht der Artefaktanzeigename ProdRG. Dieser Name entspricht dem Wert, der während der Blaupausenzuweisung festgelegt wurde.

  4. Wählen Sie links die Seite Zugriffssteuerung (IAM) und dann die Registerkarte Rollenzuweisungen aus.

    Hier sehen Sie, dass Ihrem Konto die Rolle Mitwirkender für den Bereich Diese Ressource gewährt wurde. Die Blaupausenzuweisung Assignment-two-rgs-with-role-assignments verfügt über die Rolle Besitzer, da sie zum Erstellen der Ressourcengruppe verwendet wurde. Diese Berechtigungen werden auch zum Verwalten von Ressourcen mit konfigurierten Blaupausensperren verwendet.

  5. Wählen Sie in der Breadcrumb-Leiste im Azure-Portal Assignment-two-rgs-with-role-assignments aus, um zur vorherigen Seite zurückzukehren, und wählen Sie dann die Ressourcengruppe PreProductionRG aus.

  6. Wählen Sie links die Seite Zugriffssteuerung (IAM) und dann die Registerkarte Rollenzuweisungen aus.

    Hier sehen Sie, dass Ihrem Konto die Rollen Besitzer und Leser für den Bereich Diese Ressource gewährt wurden. Die Blaupausenzuweisung verfügt wie die erste Ressourcengruppe auch über die Rolle Besitzer.

  7. Wählen Sie die Registerkarte Ablehnungszuweisungen aus.

    Durch die Blaupausenzuweisung wurde eine Ablehnungszuweisung für die bereitgestellte Ressourcengruppe erstellt, um den Blaupausensperrmodus Schreibgeschützt zu erzwingen. Die Ablehnungszuweisung verhindert, dass ein Benutzer mit entsprechenden Berechtigungen auf der Registerkarte Rollenzuweisungen bestimmte Aktionen durchführt. Die Ablehnungszuweisung gilt für alle Prinzipale.

  8. Wählen Sie die Ablehnungszuweisung und dann links die Seite Abgelehnte Berechtigungen aus.

    Die Ablehnungszuweisung verhindert alle Vorgänge mit der Konfiguration * und Aktion, erlaubt aber den Lesezugriff, indem */read über NotActions ausgeschlossen wird.

  9. Wählen Sie in der Breadcrumb-Leiste im Azure-Portal PreProductionRG – Zugriffssteuerung (IAM) aus. Wählen Sie dann links die Seite Übersicht aus, und klicken Sie anschließend auf die Schaltfläche Ressourcengruppe löschen. Geben Sie den Namen PreProductionRG ein, um den Löschvorgang zu bestätigen, und wählen Sie am unteren Rand des Bereichs die Option Löschen aus.

    Die Portalbenachrichtigung Fehler beim Löschen der Ressourcengruppe „PreProductionRG“ wird angezeigt. Dieser Fehler weist darauf hin, dass Ihr Konto zwar über die Berechtigung zum Löschen der Ressourcengruppe verfügt, der Zugriff aber durch die Blaupausenzuweisung verweigert wird. Wie Sie sich erinnern, haben Sie während der Blaupausenzuweisung den Blaupausensperrmodus Schreibgeschützt ausgewählt. Aufgrund der Blaupausensperre kann die Ressource weder von einem Konto mit der entsprechenden Berechtigung noch vom Besitzer gelöscht werden. Weitere Informationen finden Sie unter Grundlegendes zur Ressourcensperre in Azure Blueprint.

Diese Schritte zeigen, dass die Ressourcen gemäß der Definition erstellt wurden und die Blaupausensperren ungewollte Löschungen verhindern (auch durch ein Konto mit der entsprechenden Berechtigung).

Aufheben der Zuweisung der Blaupause

Im letzten Schritt wird die Zuweisung der Blaupause und der von ihr bereitgestellten Ressourcen aufgehoben. Durch das Aufheben der Zuweisung werden die bereitgestellten Artefakte nicht entfernt.

  1. Wählen Sie Alle Dienste im linken Bereich aus. Suchen Sie nach Blaupausen, und wählen Sie die Option aus.

  2. Wählen Sie links die Seite Zugewiesene Blaupausen aus. Suchen Sie mithilfe der Filter nach der Blaupausenzuweisung Assignment-two-rgs-with-role-assignments, und wählen Sie sie aus.

  3. Klicken Sie oben auf der Seite auf die Schaltfläche Zuweisung der Blaupause aufheben. Lesen Sie die Warnung im Bestätigungsdialogfeld, und klicken Sie dann auf OK.

    Durch das Entfernen der Blaupausenzuweisung werden auch die Blaupausensperren aufgehoben. Die erstellten Ressourcen können nun wieder von einem Konto mit entsprechenden Berechtigungen gelöscht werden.

  4. Wählen Sie im Azure-Menü die Option Ressourcengruppen und dann ProductionRG aus.

  5. Wählen Sie links die Seite Zugriffssteuerung (IAM) und dann die Registerkarte Rollenzuweisungen aus.

Für die Sicherheit der einzelnen Ressourcengruppen gelten nach wie vor die bereitgestellten Rollenzuweisungen, die Blaupausenzuweisung verfügt jedoch nicht mehr über die Zugriffsrolle Besitzer.

Sobald die Portalbenachrichtigung Blaupausenzuweisung erfolgreich entfernt angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Bereinigen von Ressourcen

Löschen Sie nach Abschluss dieses Tutorials die folgenden Ressourcen:

  • Ressourcengruppe ProductionRG
  • Ressourcengruppe PreProductionRG
  • Blaupausendefinition two-rgs-with-role-assignments

Nächste Schritte

In diesem Tutorial wurde beschrieben, wie Sie eine neue Blaupause aus einer Beispieldefinition erstellen. Weitere Informationen zu Azure Blueprints finden Sie im Artikel zum Lebenszyklus von Blaupausen.