Oktatóanyag: Új erőforrások védelme Az Azure Blueprints erőforrás-zárolásaival
Fontos
2026. július 11-én a Tervek (előzetes verzió) elavult. Migrálja a meglévő tervdefiníciókat és -hozzárendeléseket sablonspecifikációkba és üzembehelyezési vermekbe. A tervösszetevőket ARM JSON-sablonokká vagy Bicep-fájlokká kell konvertálni, amelyek az üzembehelyezési vermek meghatározására szolgálnak. Ha meg szeretné tudni, hogyan hozhat létre összetevőt ARM-erőforrásként, tekintse meg az alábbiakat:
Az Azure Blueprints erőforrás-zárolásaival megvédheti az újonnan üzembe helyezett erőforrásokat a tulajdonosi szerepkörrel rendelkező fiókoktól is. Ezt a védelmet az Azure Resource Manager-sablon (ARM-sablon) összetevő által létrehozott erőforrások tervdefinícióiban adhatja hozzá. A terv erőforrás-zárolása a terv hozzárendelése során van beállítva.
Ebben az oktatóanyagban az alábbi lépéseket fogja elvégezni:
- Tervdefiníció létrehozása
- A tervdefiníció megjelölése Közzétettként
- Rendelje hozzá a tervdefiníciót egy meglévő előfizetéshez (erőforrás-zárolások beállítása)
- Az új erőforráscsoport vizsgálata
- A terv hozzárendelésének visszavonása a zárolások eltávolításához
Előfeltételek
Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.
Tervdefiníció létrehozása
Először hozza létre a tervdefiníciót.
A bal oldali panelen válassza a Minden szolgáltatás lehetőséget. Keresse meg és válassza ki a Tervek elemet.
A bal oldali Első lépések lapon válassza a Létrehozás lehetőséget a Terv létrehozása területen.
Keresse meg az Üres terv tervmintát az oldal tetején. Válassza a Kezdés üres tervvel lehetőséget.
Adja meg ezeket az információkat az Alapvető beállítások lapon:
- Terv neve: Adja meg a tervminta másolatának nevét. Ebben az oktatóanyagban a locked-storageaccount nevet fogjuk használni.
- Terv leírása: Adja meg a tervdefiníció leírását. Az üzembe helyezett erőforrások terverőforrás-zárolásának teszteléséhez használható.
- Definíció helye: Válassza a három pont (...) gombot, majd válassza ki a felügyeleti csoportot vagy előfizetést a tervdefiníció mentéséhez.
Válassza a lap tetején az Összetevők lapot, vagy válassza a Tovább: Összetevők lehetőséget az oldal alján.
Adjon hozzá egy erőforráscsoportot az előfizetés szintjén:
- Válassza az Összetevő hozzáadása sort az Előfizetés területen.
- Válassza az Erőforráscsoport lehetőséget az Összetevő típusa területen.
- Állítsa az Összetevő megjelenítendő nevétRGtoLock értékre.
- Hagyja üresen az Erőforráscsoport neve és a Hely mezőt, de győződjön meg arról, hogy minden tulajdonságnál be van jelölve a jelölőnégyzet, hogy dinamikus paraméterek legyenek.
- Válassza a Hozzáadás lehetőséget az összetevő tervhez való hozzáadásához.
Sablon hozzáadása az erőforráscsoporthoz:
Válassza az Összetevő hozzáadása sort az RGtoLock bejegyzés alatt.
Válassza az Azure Resource Manager sablont az Összetevő típusa területen, állítsa az Összetevő megjelenítendő nevétStorageAccount értékre, és hagyja üresen a Leírást.
A Sablon lapon illessze be a következő ARM-sablont a szerkesztőmezőbe. Miután beillesztte a sablont, válassza a Hozzáadás lehetőséget az összetevő tervhez való hozzáadásához.
Megjegyzés
Ez a lépés határozza meg azokat az üzembe helyezendő erőforrásokat, amelyeket a terverőforrás-zárolás zárol, de nem tartalmazza a terverőforrás-zárolásokat. A terverőforrás-zárolások a tervhozzárendelés paramétereként vannak beállítva.
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "storageAccountType": { "type": "string", "defaultValue": "Standard_LRS", "allowedValues": [ "Standard_LRS", "Standard_GRS", "Standard_ZRS", "Premium_LRS" ], "metadata": { "description": "Storage Account type" } } }, "variables": { "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]" }, "resources": [{ "type": "Microsoft.Storage/storageAccounts", "name": "[variables('storageAccountName')]", "location": "[resourceGroup().location]", "apiVersion": "2018-07-01", "sku": { "name": "[parameters('storageAccountType')]" }, "kind": "StorageV2", "properties": {} }], "outputs": { "storageAccountName": { "type": "string", "value": "[variables('storageAccountName')]" } } }
A lap alján válassza a Piszkozat mentése lehetőséget.
Ez a lépés létrehozza a tervdefiníciót a kiválasztott felügyeleti csoportban vagy előfizetésben.
Miután megjelenik a Tervdefiníció mentése sikeres portálértesítés, folytassa a következő lépéssel.
A tervdefiníció közzététele
A tervdefiníció már létre lett hozva a környezetben. Piszkozat módban lett létrehozva, és közzé kell tenni, mielőtt hozzárendelhető és üzembe helyezhető.
A bal oldali panelen válassza a Minden szolgáltatás lehetőséget. Keresse meg és válassza ki a Tervek elemet.
Válassza a bal oldali Tervdefiníciók oldalt. A szűrőkkel keresse meg a locked-storageaccount tervdefiníciót, majd jelölje ki.
Válassza ki az oldal tetején található Terv közzététele lehetőséget. A jobb oldali új panelen adja meg az 1.0-sverziót. Ez a tulajdonság akkor hasznos, ha később módosítást fog végezni. Írja be a Change notes (Megjegyzések módosítása) kifejezést, például az első közzétett verziót a tervben üzembe helyezett erőforrások zárolásához. Ezután válassza a lap alján található Közzététel lehetőséget.
Ez a lépés lehetővé teszi a terv előfizetéshez rendelését. A tervdefiníció közzététele után is végezhet módosításokat. Ha módosításokat hajt végre, közzé kell tennie a definíciót egy új verzióértékkel az ugyanazon tervdefiníció verziói közötti különbségek nyomon követéséhez.
Miután megjelenik a Közzétételi tervdefiníció sikeres portálértesítés, folytassa a következő lépéssel.
A tervdefiníció hozzárendelése
A tervdefiníció közzététele után hozzárendelheti egy előfizetéshez abban a felügyeleti csoportban, ahová mentette. Ebben a lépésben paramétereket ad meg, hogy a tervdefiníció minden üzembe helyezése egyedi legyen.
A bal oldali panelen válassza a Minden szolgáltatás lehetőséget. Keresse meg és válassza ki a Tervek elemet.
Válassza a bal oldali Tervdefiníciók oldalt. A szűrőkkel keresse meg a locked-storageaccount tervdefiníciót, majd jelölje ki.
Válassza ki a Tervdefiníció oldal tetején található Terv hozzárendelése lehetőséget.
Adja meg a tervhozzárendelés paraméterértékeit:
Alapvető beállítások
- Előfizetések: Válasszon ki egy vagy több olyan előfizetést, amely abban a felügyeleti csoportban található, amelybe mentette a tervdefiníciót. Ha egynél több előfizetést választ ki, minden előfizetéshez létrejön egy hozzárendelés a megadott paraméterekkel.
- Hozzárendelés neve: A név előre ki van töltve a tervdefiníció neve alapján. Azt szeretnénk, hogy ez a hozzárendelés az új erőforráscsoport zárolását jelképezze, ezért módosítsa a hozzárendelés nevét a assignment-locked-storageaccount-TestingBPLocks értékre.
- Hely: Válassza ki azt a régiót, amelyben létre szeretné hozni a felügyelt identitást. Az Azure Blueprints ezt a felügyelt identitást használja a hozzárendelt terv összes összetevőjének üzembe helyezéséhez. További információ: Felügyelt identitások az Azure-erőforrásokhoz. Ebben az oktatóanyagban válassza az USA 2. keleti régiója lehetőséget.
- Tervdefiníció verziója: Válassza ki a tervdefiníció közzétett 1.0-s verzióját.
Hozzárendelés zárolása
Válassza az Írásvédett terv zárolási módját. További információkat talál a terv-erőforrások zárolásáról szóló cikkben.
Megjegyzés
Ez a lépés konfigurálja az újonnan üzembe helyezett erőforrások terverőforrás-zárolását.
Felügyelt identitás
Használja az alapértelmezett beállítást: Rendszer hozzárendelve. További információ: Felügyelt identitások.
Összetevő paraméterei
Az ebben a szakaszban meghatározott paraméterek arra az összetevőre vonatkoznak, amely alatt definiálva vannak. Ezek a paraméterek dinamikus paraméterek , mert a terv hozzárendelése során vannak definiálva. Minden összetevőnél állítsa a paraméter értékét az Érték oszlopban látható értékre.
Összetevő neve Összetevő típusa Paraméter neve Érték Leírás RGtoLock-erőforráscsoport Erőforráscsoport Name TestingBPLocks Meghatározza annak az új erőforráscsoportnak a nevét, amelyre tervzárolást szeretne alkalmazni. RGtoLock-erőforráscsoport Erőforráscsoport Hely USA 2. nyugati régiója Meghatározza annak az új erőforráscsoportnak a helyét, ahol a tervzárolások alkalmazhatók. StorageAccount Resource Manager-sablon storageAccountType (StorageAccount) Standard_GRS A tárolási termékváltozat. Az alapértelmezett érték Standard_LRS.
Miután megadta az összes paramétert, válassza a hozzárendelés lehetőséget a lap alján.
Ez a lépés üzembe helyezi a definiált erőforrásokat, és konfigurálja a kiválasztott zárolási hozzárendelést. A tervzárolások alkalmazása akár 30 percet is igénybe vehet.
Miután megjelenik a Tervdefiníció hozzárendelése sikeres portálértesítés, lépjen a következő lépésre.
A hozzárendelés által üzembe helyezett erőforrások vizsgálata
A hozzárendelés létrehozza a TestingBPLocks erőforráscsoportot és az ARM-sablonösszetevő által üzembe helyezett tárfiókot. Az új erőforráscsoport és a kiválasztott zárolási állapot megjelenik a hozzárendelés részleteinek oldalán.
A bal oldali panelen válassza a Minden szolgáltatás lehetőséget. Keresse meg és válassza ki a Tervek elemet.
Válassza a bal oldalon a Hozzárendelt tervek lapot. A szűrőkkel keresse meg a assignment-locked-storageaccount-TestingBPLocks tervhozzárendelést, majd jelölje ki.
Ezen a lapon láthatjuk, hogy a hozzárendelés sikeres volt, és hogy az erőforrások az új tervzárolási állapottal lettek üzembe helyezve. Ha a hozzárendelés frissítve van, a Hozzárendelési művelet legördülő lista az egyes definícióverziók telepítésének részleteit jeleníti meg. A tulajdonságlap megnyitásához válassza ki az erőforráscsoportot.
Válassza a TestingBPLocks erőforráscsoportot.
Válassza a bal oldalon a Hozzáférés-vezérlés (IAM) lapot. Ezután válassza a Szerepkör-hozzárendelések lapot.
Itt látható, hogy a assignment-locked-storageaccount-TestingBPLocks tervhozzárendelés tulajdonosi szerepkörrel rendelkezik. Ez a szerepkör azért van benne, mert ezzel a szerepkörrel helyezték üzembe és zárolták az erőforráscsoportot.
Válassza a Hozzárendelések megtagadása lapot.
A terv-hozzárendelés megtagadási hozzárendelést hozott létre az üzembe helyezett erőforráscsoporton az Írásvédett terv zárolási módjának kényszerítéséhez. A megtagadási hozzárendelés megakadályozza, hogy a Szerepkör-hozzárendelések lapon megfelelő jogosultságokkal rendelkező személyek konkrét műveleteket hajtanak végre. A megtagadási hozzárendelés minden résztvevőre hatással van.
A rendszerbiztonsági tag megtagadási hozzárendelésből való kizárásáról további információt a tervek erőforrás-zárolását ismertető cikkben talál.
Válassza ki a megtagadási hozzárendelést, majd a bal oldalon válassza a Megtagadott engedélyek lapot.
A megtagadási hozzárendelés megakadályozza a és a *Művelet konfigurációjú összes műveletet, de lehetővé teszi az olvasási hozzáférést a */olvasásNotActions használatával történő kizárásával.
A Azure Portal útválasztási területen válassza a TestingBPLocks – Hozzáférés-vezérlés (IAM) lehetőséget. Ezután válassza a bal oldalon az Áttekintés lapot, majd az Erőforráscsoport törlése gombot. Írja be a TestingBPLocks nevet a törlés megerősítéséhez, majd válassza a Törlés lehetőséget a panel alján.
Megjelenik a Portálon a Sikertelen tesztBPLocks erőforráscsoport törlése értesítés. A hiba azt jelzi, hogy bár a fiókja rendelkezik engedéllyel az erőforráscsoport törléséhez, a tervhozzárendelés megtagadja a hozzáférést. Ne feledje, hogy a tervhozzárendelés során az Írásvédett tervzárolási módot választottuk. A tervzárolás megakadályozza, hogy egy engedéllyel rendelkező fiók , még a Tulajdonos is törölje az erőforrást. További információkat talál a terv-erőforrások zárolásáról szóló cikkben.
Ezek a lépések azt mutatják, hogy az üzembe helyezett erőforrásokat mostantól olyan tervzárolások védik, amelyek megakadályozzák a nem kívánt törlést, még olyan fiókból is, amely rendelkezik engedéllyel az erőforrások törléséhez.
A terv hozzárendelésének megszüntetése
Az utolsó lépés a tervdefiníció hozzárendelésének eltávolítása. A hozzárendelés eltávolítása nem távolítja el a társított összetevőket.
A bal oldali panelen válassza a Minden szolgáltatás lehetőséget. Keresse meg és válassza ki a Tervek elemet.
Válassza a bal oldalon a Hozzárendelt tervek lapot. A szűrőkkel keresse meg a assignment-locked-storageaccount-TestingBPLocks tervhozzárendelést, majd jelölje ki.
Válassza a terv hozzárendelésének megszüntetése lehetőséget az oldal tetején. Olvassa el a figyelmeztetést a megerősítést kérő párbeszédpanelen, majd kattintson az OK gombra.
A tervhozzárendelés eltávolításakor a tervzárolások is törlődnek. Az erőforrásokat ismét törölheti egy megfelelő engedélyekkel rendelkező fiók.
Az Azure menüben válassza az Erőforráscsoportok , majd a TestingBPLocks lehetőséget.
Válassza a bal oldalon a Hozzáférés-vezérlés (IAM) lapot, majd a Szerepkör-hozzárendelések lapot.
Az erőforráscsoport biztonsága azt mutatja, hogy a tervhozzárendelés már nem rendelkezik tulajdonosi hozzáféréssel.
Miután megjelenik a Terv-hozzárendelés eltávolítása sikeres portálértesítés, lépjen a következő lépésre.
Az erőforrások eltávolítása
Ha végzett az oktatóanyaggal, törölje az alábbi erőforrásokat:
- Erőforráscsoport teszteléseBPLocks
- Tervdefiníció zárolt tárfiókja
Következő lépések
Ebben az oktatóanyagban megtanulta, hogyan védheti meg az Azure Blueprints használatával üzembe helyezett új erőforrásokat. Ha többet szeretne megtudni az Azure Blueprintsről, folytassa a terv életciklusával foglalkozó cikkben.