Tutorial: Schützen neuer Ressourcen mit Azure Blueprints-Ressourcensperren

Mit Azure Blueprints-Ressourcensperren können Sie neu bereitgestellte Ressourcen schützen, sodass sie nicht einmal von einem Konto mit der Rolle Besitzer manipuliert werden können. Sie können diesen Schutz in den Blaupausendefinitionen von Ressourcen hinzufügen, die mit einem Artefakt einer Azure Resource Manager-Vorlage (ARM-Vorlage) erstellt wurden. Die Blaupausenressourcensperre wird während der Blaupausenzuweisung festgelegt.

Dieses Tutorial umfasst folgende Schritte:

  • Erstellen einer Blaupausendefinition
  • Markieren der Blaupausendefinition als veröffentlicht
  • Zuweisen Ihrer Blaupausendefinition zu einem vorhandenen Abonnement (Festlegen von Ressourcensperren)
  • Überprüfen der neuen Ressourcengruppe
  • Aufheben der Zuweisung der Blaupause zum Entfernen der Sperren

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen einer Blaupausendefinition

Erstellen Sie zunächst die Blaupausendefinition.

  1. Wählen Sie Alle Dienste im linken Bereich aus. Suchen Sie nach Blaupausen, und wählen Sie die Option aus.

  2. Wählen Sie links auf der Seite Erste Schritte unter Blaupause erstellen die Option Erstellen aus.

  3. Navigieren Sie oben auf der Seite zum Blaupausenbeispiel Leere Blaupause. Wählen Sie Mit leerer Blaupause beginnen aus.

  4. Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen ein:

    • Name der Blaupause: Geben Sie einen Namen für Ihre Kopie des Blaupausenbeispiels ein. In diesem Tutorial wird der Name locked-storageaccount verwendet.
    • Blaupausenbeschreibung: Fügen Sie eine Beschreibung für die Blaupausendefinition hinzu. Verwenden Sie beispielsweise Zum Testen der Blaupausen-Ressourcensperre für bereitgestellte Ressourcen.
    • Definitionsspeicherort: Wählen Sie die Schaltfläche mit den Auslassungspunkten (...) und dann die Verwaltungsgruppe oder das Abonnement aus, in der bzw. dem Sie Ihre Blaupausendefinition speichern möchten.
  5. Wählen Sie oben auf der Seite die Registerkarte Artefakte oder unten auf der Seite die Option Weiter: Artefakte aus.

  6. Fügen Sie eine Ressourcengruppe auf der Abonnementebene hinzu:

    1. Wählen Sie unter Abonnement die Zeile Artefakt hinzufügen aus.
    2. Wählen Sie unter Artefakttyp die Option Ressourcengruppe aus.
    3. Legen Sie für Anzeigename für Artefakt den Namen RGtoLock fest.
    4. Lassen Sie die Felder Ressourcengruppenname und Speicherort leer, aber stellen Sie sicher, dass die Kontrollkästchen aller Eigenschaften aktiviert sind, um sie zu dynamischen Parametern zu machen.
    5. Wählen Sie Hinzufügen aus, um der Blaupause das Artefakt hinzuzufügen.
  7. Fügen Sie unter der Ressourcengruppe eine Vorlage hinzu:

    1. Wählen Sie unter dem Eintrag RGtoLock die Zeile Artefakt hinzufügen aus.

    2. Wählen Sie unter Artefakttyp die Option Azure Resource Manager-Vorlage aus, legen Sie für Anzeigename für Artefakt die Option StorageAccount fest, und lassen Sie Beschreibung leer.

    3. Fügen Sie auf der Registerkarte Vorlage im Editorfeld die folgende ARM-Vorlage ein. Wählen Sie nach dem Einfügen der Vorlage Hinzufügen aus, um das Artefakt zur Blaupause hinzuzufügen.

      Hinweis

      In diesem Schritt werden die bereitzustellenden Ressourcen definiert, die von der Blaupausenressourcensperre gesperrt werden, die Blaupausenressourcensperren sind jedoch nicht enthalten. Blaupausenressourcensperren werden als Parameter der Blaupausenzuweisung festgelegt.

    {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
            "storageAccountType": {
                "type": "string",
                "defaultValue": "Standard_LRS",
                "allowedValues": [
                    "Standard_LRS",
                    "Standard_GRS",
                    "Standard_ZRS",
                    "Premium_LRS"
                ],
                "metadata": {
                    "description": "Storage Account type"
                }
            }
        },
        "variables": {
            "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
        },
        "resources": [{
            "type": "Microsoft.Storage/storageAccounts",
            "name": "[variables('storageAccountName')]",
            "location": "[resourceGroup().location]",
            "apiVersion": "2018-07-01",
            "sku": {
                "name": "[parameters('storageAccountType')]"
            },
            "kind": "StorageV2",
            "properties": {}
        }],
        "outputs": {
            "storageAccountName": {
                "type": "string",
                "value": "[variables('storageAccountName')]"
            }
        }
    }
    
  8. Klicken Sie unten auf der Seite auf Entwurf speichern.

In diesem Schritt wird die Blaupausendefinition in der ausgewählten Verwaltungsgruppe bzw. dem ausgewählten Abonnement erstellt.

Sobald die Portalbenachrichtigung Blaupausendefinition erfolgreich gespeichert angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Veröffentlichen der Blaupausendefinition

Ihre Blaupausendefinition wurde jetzt in Ihrer Umgebung erstellt. Sie wird im Modus Entwurf erstellt und muss veröffentlicht werden, bevor sie zugewiesen und bereitgestellt werden kann.

  1. Wählen Sie Alle Dienste im linken Bereich aus. Suchen Sie nach Blaupausen, und wählen Sie die Option aus.

  2. Wählen Sie links die Seite Blaupausendefinitionen aus. Suchen Sie mithilfe der Filter nach der Blaupausendefinition locked-storageaccount, und wählen Sie sie aus.

  3. Wählen Sie oben auf der Seite die Option Blaupause veröffentlichen aus. Geben Sie im neuen Bereich auf der rechten Seite 1.0 für Version an. Diese Eigenschaft ist nützlich, wenn Sie später Änderungen vornehmen. Geben Sie Änderungshinweise an, etwa Erste Version veröffentlicht, um per Blaupause bereitgestellte Ressourcen zu sperren. Wählen Sie dann unten auf der Seite Veröffentlichen aus.

In diesem Schritt kann die Blaupause einem Abonnement zugewiesen werden. Nach dem Veröffentlichen der Blaupausendefinition können Sie weiterhin Änderungen vornehmen. Zur Nachverfolgung der Unterschiede zwischen Versionen der gleichen Blaupausendefinition müssen Sie nach Änderungen die Definition mit einem neuen Versionswert veröffentlichen.

Sobald die Portalbenachrichtigung Blaupausendefinition erfolgreich veröffentlicht angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Zuweisen der Blaupausendefinition

Nach der Veröffentlichung der Blaupausendefinition können Sie sie einem Abonnement innerhalb der Verwaltungsgruppe zuweisen, in der die Definition gespeichert wurde. In diesem Schritt geben Sie Parameter an, damit jede Bereitstellung der Blaupausendefinition eindeutig ist.

  1. Wählen Sie Alle Dienste im linken Bereich aus. Suchen Sie nach Blaupausen, und wählen Sie die Option aus.

  2. Wählen Sie links die Seite Blaupausendefinitionen aus. Suchen Sie mithilfe der Filter nach der Blaupausendefinition locked-storageaccount, und wählen Sie sie aus.

  3. Wählen Sie oben auf der Seite mit der Blaupausendefinition die Option Blaupause zuweisen aus.

  4. Geben Sie die Parameterwerte für die Blaupausenzuweisung an:

    • Grundlagen

      • Abonnements: Wählen Sie mindestens eines der Abonnements in der Verwaltungsgruppe aus, in der Sie die Blaupausendefinition gespeichert haben. Wenn Sie mehrere Abonnements auswählen, wird für jedes Abonnement eine Zuweisung mit den eingegebenen Parametern erstellt.
      • Zuweisungsname: Der Name wird basierend auf dem Namen der Blaupausendefinition vorab aufgefüllt. Diese Zuweisung soll die Sperre der neuen Ressourcengruppe darstellen. Ändern Sie daher den Namen der Zuweisung in assignment-locked-storageaccount-TestingBPLocks.
      • Standort: Wählen Sie eine Region für die Erstellung der verwalteten Identität aus. Azure Blueprints verwendet diese verwaltete Identität, um alle Artefakte in der zugewiesenen Blaupause bereitzustellen. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?. Wählen Sie für dieses Tutorial die Region USA, Osten 2 aus.
      • Version der Blaupausendefinition: Wählen Sie die veröffentlichte Version 1.0 der Blaupausendefinition aus.
    • Zuweisung der Sperre

      Wählen Sie den Blaupausensperrmodus Schreibgeschützt aus. Weitere Informationen finden Sie unter Grundlegendes zur Ressourcensperre in Azure Blueprint.

      Hinweis

      In diesem Schritt wird die Blaupausenressourcensperre für die neu bereitgestellten Ressourcen konfiguriert.

    • Verwaltete Identität

      Verwenden Sie die Standardoption: Vom System zugewiesen. Weitere Informationen finden Sie unter Verwaltete Identitäten.

    • Artefaktparameter

      Die in diesem Abschnitt definierten Parameter gelten für das Artefakt, unter dem sie definiert werden. Diese Parameter sind dynamische Parameter, da sie während der Zuweisung der Blaupause definiert werden. Legen Sie den Parameterwert für jedes Artefakt auf den Wert fest, der in der Spalte Wert angezeigt wird.

      Artefaktname Artefakttyp Parametername Wert BESCHREIBUNG
      Ressourcengruppe „RGtoLock“ Resource group Name TestingBPLocks Definiert den Namen der neuen Ressourcengruppe, auf die Blaupausensperren angewendet werden sollen.
      Ressourcengruppe „RGtoLock“ Resource group Standort USA, Westen 2 Definiert den Standort der neuen Ressourcengruppe, auf die Blaupausensperren angewendet werden sollen.
      StorageAccount Resource Manager-Vorlage storageAccountType (StorageAccount) Standard_GRS Speicher-SKU. Der Standardwert lautet Standard_LRS.
  5. Nachdem Sie alle Parameter eingegeben haben, wählen Sie unten auf der Seite die Option Zuweisen aus.

In diesem Schritt werden die definierten Ressourcen bereitgestellt und die ausgewählte Option für Zuweisung sperren konfiguriert. Das Anwenden von Blaupausensperren kann bis zu 30 Minuten dauern.

Sobald die Portalbenachrichtigung Blaupausendefinition erfolgreich zugewiesen angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Überprüfen der durch die Zuweisung bereitgestellten Ressourcen

Die Zuweisung erstellt die Ressourcengruppe TestingBPLocks und das vom ARM-Vorlagenartefakt bereitgestellte Speicherkonto. Die neue Ressourcengruppe und der ausgewählte Sperrzustand werden auf der Seite mit den Zuweisungsdetails angezeigt.

  1. Wählen Sie Alle Dienste im linken Bereich aus. Suchen Sie nach Blaupausen, und wählen Sie die Option aus.

  2. Wählen Sie links die Seite Zugewiesene Blaupausen aus. Suchen Sie mithilfe der Filter nach der Blaupausenzuweisung assignment-locked-storageaccount-TestingBPLocks, und wählen Sie sie aus.

    Auf dieser Seite sehen Sie, dass die Zuweisung erfolgreich war und die Ressourcen mit dem neuen Blaupausensperrzustand bereitgestellt wurden. Wenn die Zuweisung aktualisiert wird, werden in der Dropdownliste Zuweisungsvorgang Details zur Bereitstellung der einzelnen Definitionsversionen angezeigt. Sie können die Ressourcengruppe auswählen, um die Eigenschaftenseite zu öffnen.

  3. Wählen Sie die Ressourcengruppe TestingBPLocks aus.

  4. Wählen Sie links die Seite Zugriffssteuerung (IAM) aus. Wählen Sie anschließend die Registerkarte Rollenzuweisungen aus.

    Hier sehen Sie, dass der Blaupausenzuweisung assignment-locked-storageaccount-TestingBPLocks die Rolle Besitzer zugewiesen ist. Dies ist der Fall, weil die Zuweisung zum Bereitstellen und Sperren der Ressourcengruppe verwendet wurde.

  5. Wählen Sie die Registerkarte Ablehnungszuweisungen aus.

    Durch die Blaupausenzuweisung wurde eine Ablehnungszuweisung für die bereitgestellte Ressourcengruppe erstellt, um den Blaupausensperrmodus Schreibgeschützt zu erzwingen. Die Ablehnungszuweisung verhindert, dass ein Benutzer mit entsprechenden Berechtigungen auf der Registerkarte Rollenzuweisungen bestimmte Aktionen durchführt. Die Ablehnungszuweisung gilt für alle Prinzipale.

    Weitere Informationen zum Ausschließen eines Prinzipals aus einer Ablehnungszuweisung finden Sie unter Grundlegendes zur Ressourcensperre in Azure Blueprint.

  6. Wählen Sie die Ablehnungszuweisung und dann links die Seite Abgelehnte Berechtigungen aus.

    Die Ablehnungszuweisung verhindert alle Vorgänge mit der Konfiguration * und Aktion, erlaubt aber den Lesezugriff, indem */read über NotActions ausgeschlossen wird.

  7. Wählen Sie auf der Breadcrumb-Leiste im Azure-Portal TestingBPLocks – Zugriffssteuerung (IAM) aus. Wählen Sie dann links die Seite Übersicht aus, und klicken Sie anschließend auf die Schaltfläche Ressourcengruppe löschen. Geben Sie den Namen TestingBPLocks ein, um den Löschvorgang zu bestätigen, und wählen Sie am unteren Rand des Bereichs die Option Löschen aus.

    Die Portalbenachrichtigung Fehler beim Löschen der Ressourcengruppe „TestingBPLocks“ wird angezeigt. Dieser Fehler weist darauf hin, dass Ihr Konto zwar über die Berechtigung zum Löschen der Ressourcengruppe verfügt, der Zugriff aber durch die Blaupausenzuweisung verweigert wird. Wie Sie sich erinnern, haben Sie während der Blaupausenzuweisung den Blaupausensperrmodus Schreibgeschützt ausgewählt. Aufgrund der Blaupausensperre kann die Ressource weder von einem Konto mit der entsprechenden Berechtigung noch vom Besitzer gelöscht werden. Weitere Informationen finden Sie unter Grundlegendes zur Ressourcensperre in Azure Blueprint.

Diese Schritte zeigen, dass die bereitgestellten Ressourcen nun durch Blaupausensperren geschützt sind, die ungewollte Löschungen verhindern (auch durch ein Konto mit der Berechtigung zum Löschen der Ressourcen).

Aufheben der Zuweisung der Blaupause

Im letzten Schritt wird die Zuweisung der Blaupausendefinition aufgehoben. Durch das Aufheben der Zuweisung werden die zugewiesenen Artefakte nicht entfernt.

  1. Wählen Sie Alle Dienste im linken Bereich aus. Suchen Sie nach Blaupausen, und wählen Sie die Option aus.

  2. Wählen Sie links die Seite Zugewiesene Blaupausen aus. Suchen Sie mithilfe der Filter nach der Blaupausenzuweisung assignment-locked-storageaccount-TestingBPLocks, und wählen Sie sie aus.

  3. Wählen Sie oben auf der Seite die Option Zuweisung der Blaupause aufheben aus. Lesen Sie die Warnung im Bestätigungsdialogfeld, und wählen Sie dann OK aus.

    Durch das Entfernen der Blaupausenzuweisung werden auch die Blaupausensperren aufgehoben. Die Ressourcen können nun wieder von einem Konto mit entsprechenden Berechtigungen gelöscht werden.

  4. Wählen Sie im Azure-Menü die Option Ressourcengruppen und dann TestingBPLocks aus.

  5. Wählen Sie links die Seite Zugriffssteuerung (IAM) und dann die Registerkarte Rollenzuweisungen aus.

In den Sicherheitseinstellungen für die Ressourcengruppe sehen Sie, dass die Blaupausenzuweisung nicht mehr über den Zugriff Besitzer verfügt.

Sobald die Portalbenachrichtigung Blaupausenzuweisung erfolgreich entfernt angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

Bereinigen von Ressourcen

Löschen Sie nach Abschluss dieses Tutorials die folgenden Ressourcen:

  • Ressourcengruppe TestingBPLocks
  • Blaupausendefinition locked-storageaccount

Nächste Schritte

In diesem Tutorial haben Sie erfahren, wie Sie neue Ressourcen schützen, die mit Azure Blueprints bereitgestellt werden. Weitere Informationen zu Azure Blueprints finden Sie im Artikel zum Lebenszyklus von Blaupausen.