Az Azure Quantum-erőforrások védelme Azure Resource Manager (ARM) zárolásokkal
A Microsoft azt javasolja, hogy zárolja az összes Azure Quantum-munkaterületet és társított tárfiókot egy Azure Resource Manager (ARM) erőforrás-zárolással a véletlen vagy rosszindulatú törlés elkerülése érdekében. Előfordulhat például, hogy a professzorok korlátozni szeretnék a diákokat a szolgáltatói termékváltozatok módosításában, de továbbra is lehetővé teszik számukra a jegyzetfüzetek használatát és a feladatok elküldését.
Az ARM-erőforrás-zárolásoknak két típusa van:
- A CannotDelete-zárolás megakadályozza, hogy a felhasználók töröljék az erőforrásokat, de engedélyezik a konfiguráció olvasását és módosítását.
- A ReadOnly zárolás megakadályozza, hogy a felhasználók módosítsák az erőforrás konfigurációját (beleértve a törlést is), de engedélyezi a konfiguráció olvasását. További információ az erőforrás-zárolásokról: Erőforrások zárolása a váratlan változások megelőzése érdekében.
Megjegyzés
Ha már használ ARM- vagy Bicep-sablont az Azure Quantum-munkaterületek kezeléséhez, a cikkben szereplő eljárásokat hozzáadhatja a meglévő sablonokhoz.
Ajánlott zárolási konfigurációk
Az alábbi táblázat az Azure Quantum-munkaterületen üzembe helyezendő ajánlott erőforrás-zárolási konfigurációkat mutatja be.
| Erőforrás | Zárolás típusa | Jegyzetek |
|---|---|---|
| Munkaterület | Törlés | Megakadályozza a munkaterület törlését. |
| Munkaterület | Csak olvasható | Megakadályozza a munkaterület módosításait, beleértve a szolgáltatók hozzáadását vagy törlését, ugyanakkor lehetővé teszi a felhasználók számára a jegyzetfüzetek létrehozását és törlését, valamint a feladatok elküldését. Ha a zárolás beállításakor módosítani szeretné a szolgáltatókat, távolítsa el az erőforrás-zárolást, végezze el a módosításokat, majd helyezze újra üzembe a zárolást. |
| Tárfiók | Törlés | Megakadályozza a tárfiók törlését. |
A következő konfigurációkat kell elkerülni:
Fontos
Az alábbi ARM-zárolások beállítása a munkaterület helytelen működését okozhatja.
| Erőforrás | Zárolás típusa | Jegyzetek |
|---|---|---|
| Tárfiók | Csak olvasható | A tárfiók írásvédett erőforrás-zárolásának beállítása hibákat okozhat a munkaterület létrehozásával, a Jupyter Notebooks felülettel, valamint a feladatok elküldésével és beolvasásával. |
| A munkaterület vagy a tárfiók szülő-előfizetése vagy szülő erőforráscsoportja | Csak olvasható | Ha erőforrás-zárolást alkalmaz egy szülőerőforrásra, a szülő összes erőforrása ugyanazt a zárolást örökli, beleértve a későbbi időpontban létrehozott erőforrásokat is. A részletesebb szabályozás érdekében az erőforrás-zárolásokat közvetlenül az erőforrás szintjén kell alkalmazni. |
Előfeltételek
Arm-erőforrás-zárolások alkalmazásához egy erőforrás tulajdonosának vagy felhasználói hozzáférési rendszergazdájának kell lennie. További információ: Beépített Azure-szerepkörök.
Parancssori üzembe helyezés
A zárolás üzembe helyezéséhez Azure PowerShell vagy az Azure CLI-re lesz szüksége. Ha az Azure CLI-t használja, a legújabb verzióval kell rendelkeznie. A telepítési utasításokért lásd:
Fontos
Ha korábban még nem használta az Azure CLI-t az Azure Quantumtal, kövesse a Környezet beállítása szakaszban található lépéseket a quantum bővítmény hozzáadásához és az Azure Quantum-névtér regisztrálásához.
Bejelentkezés az Azure-ba
Az Azure CLI vagy Azure PowerShell telepítése után először jelentkezzen be. Válassza ki az alábbi lapok egyikét, és futtassa a megfelelő parancssori parancsokat az Azure-ba való bejelentkezéshez:
az login
Ha több Azure-előfizetéssel rendelkezik, válassza ki a zárolni kívánt erőforrásokat tartalmazó előfizetést. Cserélje le SubscriptionName a elemet az előfizetés nevére vagy az előfizetés-azonosítóra. Példa:
az account set --subscription "Azure subscription 1"
ARM-erőforrás zárolásának létrehozása
Erőforrás-zárolás üzembe helyezésekor meg kell adnia a zárolás nevét, a zárolás típusát és az erőforrással kapcsolatos további információkat. Ezek az információk másolhatók és beilleszthetők az erőforrás kezdőlapjáról az Azure Quantum Portalon.
az lock create \
--name <lock> \
--resource-group <resource-group> \
--resource <workspace> \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
- name: A zárolás leíró neve
- resource-group: A szülő erőforráscsoport neve.
- resource: Annak az erőforrásnak a neve, amelyre a zárolást alkalmazni szeretné.
- zárolás típusa: Az alkalmazandó zárolás típusa, a CanNotDelete vagy a ReadOnly.
- erőforrás-típus: Az erőforrás típusa target .
Például Egy CanNotDelete-zárolás létrehozása egy munkaterületen:
az lock create \
--name ArmLockWkspDelete \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
Ha sikeres, az Azure JSON formátumban adja vissza a zárolási konfigurációt:
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDelete",
"level": "CanNotDelete",
"name": "ArmLockWkspDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
ReadOnly-zárolás létrehozása munkaterületen:
az lock create \
--name ArmLockWkspRead \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type ReadOnly \
--resource-type Microsoft.Quantum/workspaces
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRead",
"level": "ReadOnly",
"name": "ArmLockWkspRead",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
CanNotDelete-zárolás létrehozása tárfiókon:
az lock create \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource armlocksstorage \--lock-type CanNotDelete \
--resource-type Microsoft.Storage/storageAccounts
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLockStoreDelete",
"level": "CanNotDelete",
"name": "ArmLockStoreDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Zárolások megtekintése és törlése
Zárolások megtekintése vagy törlése:
További információt az az lock reference (Az lock reference) című témakörben talál.
Előfizetés összes zárolásának megtekintése
az lock list
Munkaterület összes zárolásának megtekintése
az lock list \
--resource-group armlocks-resgrp \
--resource-name armlocks-wksp \
--resource-type Microsoft.Quantum/workspaces
Az erőforráscsoport összes erőforrásának összes zárolásának megtekintése
az lock list --resource-group armlocks-resgrp
Egyetlen zárolás tulajdonságainak megtekintése
az lock show \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Zárolás törlése
az lock delete \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Ha a törlés sikeres, az Azure nem küld üzenetet. A törlés ellenőrzéséhez futtassa a parancsot az lock list.