Tutorial: Melindungi sumber daya baru dengan penguncian sumber daya Azure Blueprints

Dengan penguncian sumber daya Azure Blueprints, Anda dapat melindungi sumber daya yang baru disebarkan agar tidak dirusak, bahkan oleh akun yang memiliki peran Pemilik. Anda dapat menambahkan perlindungan ini dalam definisi cetak biru sumber daya yang dibuat oleh artefak template Azure Resource Manager (template ARM). Penguncian sumber daya Blueprint diatur saat penetapan cetak biru.

Dalam tutorial ini, Anda akan menyelesaikan langkah-langkah berikut:

  • Membuat definisi cetak biru
  • Menandai definisi cetak biru sebagai Dipublikasikan
  • Menetapkan definisi cetak biru ke langganan yang sudah ada (mengatur kunci sumber daya)
  • Memeriksa grup sumber daya baru
  • Membatalkan penetapan cetak biru untuk melepas kunci

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Membuat definisi cetak biru

Pertama, buat definisi cetak biru.

  1. Pilih Semua layanan di panel sebelah kiri. Cari dan pilih Cetak Biru.

  2. Dari halaman Memulai di sebelah kiri, pilih tombol Buat di bagian Buat cetak biru.

  3. Temukan sampel cetak biru Cetak Biru Kosong di bagian atas halaman. Pilih Mulai dengan cetak biru kosong.

  4. Masukkan informasi ini pada tab Dasar:

    • Nama cetak biru: Berikan nama untuk salinan sampel cetak biru Anda. Untuk tutorial ini, kita akan menggunakan nama locked-storageaccount.
    • Deskripsi cetak biru: Tambahkan deskripsi untuk definisi cetak biru. Gunakan Untuk menguji penguncian sumber daya cetak biru pada sumber daya yang disebarkan.
    • Lokasi definisi: Pilih tombol elipsis (...) lalu pilih grup manajemen atau langganan untuk menyimpan definisi cetak biru Anda.
  5. Pilih tab Artefak di bagian atas halaman, atau Berikutnya: Artefak di bagian bawah halaman.

  6. Menambahkan grup sumber daya di tingkat langganan:

    1. Pilih baris Tambahkan artefak di bagian Langganan.
    2. Pilih Grup Sumber Daya di bagian Jenis artefak.
    3. Atur nama tampilan Artefak menjadi RGtoLock.
    4. Kosongkan kotak Nama Grup Sumber Daya dan Lokasi, tetapi pastikan kotak centang dipilih di setiap properti untuk menjadikannya parameter dinamis.
    5. Pilih Tambahkan untuk menambahkan artefak ke cetak biru.
  7. Menambahkan template di bagian grup sumber daya:

    1. Pilih baris Tambahkan artefak di bagian entri RGtoLock.

    2. Pilih template Azure Resource Manager di bagian Jenis artefak, atur Nama tampilan artefak ke StorageAccount, dan kosongkan Deskripsi.

    3. Pada tab Template, tempelkan template ARM berikut ini ke dalam kotak editor. Setelah Anda menempelkan template, pilih Tambahkan untuk menambahkan artefak ke cetak biru.

      Catatan

      Langkah ini menentukan sumber daya yang akan disebarkan dan dikunci dengan kunci sumber daya Blueprint, tetapi tidak menyertakan kunci sumber daya Blueprint. Kunci sumber daya Blueprint ditetapkan sebagai parameter penetapan cetak biru.

    {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
            "storageAccountType": {
                "type": "string",
                "defaultValue": "Standard_LRS",
                "allowedValues": [
                    "Standard_LRS",
                    "Standard_GRS",
                    "Standard_ZRS",
                    "Premium_LRS"
                ],
                "metadata": {
                    "description": "Storage Account type"
                }
            }
        },
        "variables": {
            "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
        },
        "resources": [{
            "type": "Microsoft.Storage/storageAccounts",
            "name": "[variables('storageAccountName')]",
            "location": "[resourceGroup().location]",
            "apiVersion": "2018-07-01",
            "sku": {
                "name": "[parameters('storageAccountType')]"
            },
            "kind": "StorageV2",
            "properties": {}
        }],
        "outputs": {
            "storageAccountName": {
                "type": "string",
                "value": "[variables('storageAccountName')]"
            }
        }
    }
    
  8. Pilih Simpan Draf di bagian bawah halaman.

Langkah ini membuat definisi cetak biru di grup manajemen atau langganan yang dipilih.

Setelah muncul pemberitahuan portal Berhasil menyimpan cetak biru, lanjutkan ke langkah berikutnya.

Mempublikasikan definisi cetak biru

Sekarang definisi cetak biru telah dibuat di lingkungan Anda. Definisi tersebut dibuat dalam mode Draf dan harus dipublikasikan sebelum dapat ditetapkan dan disebarkan.

  1. Pilih Semua layanan di panel sebelah kiri. Cari dan pilih Cetak biru.

  2. Pilih halaman Definisi cetak biru di sebelah kiri. Gunakan filter untuk menemukan definisi cetak biru locked-storageaccount, lalu pilih definisi tersebut.

  3. Pilih Publikasikan cetak biru di bagian atas halaman. Di panel baru di sebelah kanan, masukkan 1.0 sebagai Versi. Properti ini berguna jika Anda melakukan perubahan di lain waktu. Masukkan Ubah catatan, seperti Versi pertama yang dipublikasikan untuk mengunci sumber daya yang digunakan cetak biru. Lalu pilih Publikasikan di bagian bawah halaman.

Langkah ini memungkinkan penetapan cetak biru ke langganan. Setelah definisi cetak biru dipublikasikan, Anda masih dapat membuat perubahan. Jika Anda membuat perubahan, Anda perlu memublikasikan definisi dengan nilai versi baru untuk melacak perbedaan antara versi definisi cetak biru yang sama.

Setelah muncul pemberitahuan portal Berhasil menyimpan cetak biru, lanjutkan ke langkah berikutnya.

Menetapkan definisi cetak biru

Setelah definisi cetak biru dipublikasikan, Anda dapat menetapkannya ke langganan dalam grup manajemen tempat Anda menyimpannya. Dalam langkah ini, Anda menyediakan parameter untuk membuat setiap penerapan definisi cetak biru unik.

  1. Pilih Semua layanan di panel sebelah kiri. Cari dan pilih Cetak biru.

  2. Pilih halaman Definisi cetak biru di sebelah kiri. Gunakan filter untuk menemukan definisi cetak biru locked-storageaccount, lalu pilih definisi tersebut.

  3. Pilih Tetapkan cetak biru di bagian atas halaman definisi cetak biru.

  4. Berikan nilai parameter untuk penetapan cetak biru:

    • Dasar

      • Langganan: Pilih satu atau beberapa langganan yang ada di grup manajemen tempat Anda menyimpan definisi cetak biru. Jika Anda memilih lebih dari satu langganan, tugas akan dibuat untuk setiap langganan, menggunakan parameter yang Anda masukkan.
      • Nama tugas: Nama diisi sebelumnya untuk Anda berdasarkan nama definisi cetak biru. Sebaiknya tugas ini mewakili penguncian grup sumber daya baru, jadi ubah nama tugas menjadi assignment-locked-storageaccount-TestingBPLocks.
      • Lokasi: Pilih satu wilayah tempat membuat identitas terkelola. Azure Blueprints menggunakan identitas terkelola ini untuk menyebarkan semua artefak yang ada di dalam cetak biru yang ditetapkan. Untuk mempelajari selengkapnya, lihat identitas terkelola untuk sumber daya Azure. Untuk tutorial ini, pilih US Timur 2.
      • Versi definisi blueprint: Pilih versi 1.0 yang dipublikasikan dari definisi cetak biru.
    • Penetapan Kunci

      Pilih mode penguncian cetak biru Baca Saja. Untuk informasi selengkapnya, lihat penguncian sumber daya cetak biru.

      Catatan

      Langkah ini mengonfigurasi kunci sumber daya Blueprint pada sumber daya yang baru disebarkan.

    • Identitas Terkelola

      Gunakan opsi default: Ditetapkan sistem. Untuk informasi selengkapnya, lihat identitas terkelola.

    • Parameter artefak

      Parameter yang ditentukan di bagian ini berlaku untuk artefak tempat parameter tersebut ditentukan. Parameter ini adalah parameter dinamis karena keduanya ditentukan selama penetapan cetak biru. Untuk setiap artefak, atur nilai parameter ke nilai yang Anda lihat di kolom Nilai.

      Nama artefak Jenis artefak Nama parameter Nilai Deskripsi
      Grup sumber daya RGtoLock Grup sumber daya Nama TestingBPLocks Menentukan nama grup sumber daya baru yang akan diterapkan kunci cetak biru.
      Grup sumber daya RGtoLock Grup sumber daya Lokasi US Barat 2 Menentukan lokasi grup sumber daya baru yang akan diterapkan kunci cetak biru.
      StorageAccount Templat Resource Manager storageAccountType (StorageAccount) Standard_GRS SKU penyimpanan. Nilai defaultnya adalah Standard_LRS.
  5. Setelah semua parameter dimasukkan, pilih Tetapkan di bagian bawah halaman.

Langkah ini akan menyebarkan sumber daya yang ditentukan dan mengonfigurasi Penetapan Kunci yang dipilih. Dibutuhkan waktu hingga 30 menit untuk menerapkan kunci cetak biru.

Setelah muncul pemberitahuan portal Berhasil menetapkan cetak biru, lanjutkan ke langkah berikutnya.

Memeriksa sumber daya yang disebarkan oleh penetapan

Penetapan akan membuat grup sumber daya TestingBPLocks dan akun penyimpanan yang disebarkan oleh artefak template ARM. Grup sumber daya baru dan status kunci yang dipilih ditampilkan di halaman detail tugas.

  1. Pilih Semua layanan di panel sebelah kiri. Cari dan pilih Cetak biru.

  2. Pilih halaman Cetak biru yang ditetapkan di sebelah kiri. Gunakan filter untuk menemukan penetapan cetak biru assignment-locked-storageaccount-TestingBPLocks, lalu pilih penetapan tersebut.

    Dari halaman ini, kita dapat melihat bahwa penetapan berhasil dan sumber daya disebarkan dengan status kunci cetak biru baru. Jika penetapan diperbarui, daftar dropdown Operasi penetapan menampilkan detail tentang penyebaran setiap versi definisi. Anda dapat memilih grup sumber daya untuk membuka halaman properti.

  3. Pilih grup sumber daya TestingBPLocks.

  4. Pilih halaman Kontrol akses (IAM) di sebelah kiri. Kemudian, pilih tab Penetapan peran.

    Di sini kita dapat melihat bahwa penetapan cetak biru assignment-locked-storageaccount-TestingBPLocks memiliki peran Pemilik. Peran tersebut dimiliki karena digunakan untuk menyebarkan dan mengunci grup sumber daya.

  5. Pilih tab Penetapan tolakan.

    Penetapan cetak biru membuat tolak penetapan pada grup sumber daya yang disebarkan untuk menerapkan mode kunci cetak biru Baca Saja. Tolak penetapan mencegah seseorang dengan hak yang sesuai pada tab Penetapan peran agar tidak mengambil tindakan tertentu. Penetapan tolakan memengaruhi Semua prinsipal.

    Untuk informasi tentang mengecualikan prinsipal dari penetapan tolakan, lihat penguncian sumber daya cetak biru.

  6. Pilih penetapan tolakan, lalu pilih halaman Izin yang Ditolak di sebelah kiri.

    Penetapan tolak mencegah semua operasi dengan konfigurasi * dan Action, tetapi mengizinkan akses baca dengan mengecualikan */read melalui NotActions.

  7. Di breadcrumb portal Azure, pilih TestingBPLocks - Kontrol akses (IAM) . Selanjutnya, pilih halaman Gambaran umum di sebelah kiri dan klik tombol Hapus grup sumber daya. Masukkan nama TestingBPLocks untuk mengonfirmasi penghapusan, lalu pilih Hapus di bagian bawah panel.

    Pemberitahuan portal Gagal menghapus grup sumber daya TestingBPLocks muncul. Kesalahan tersebut menyatakan bahwa meskipun akun Anda memiliki izin untuk menghapus grup sumber daya, akses ditolak oleh penetapan cetak biru. Ingatlah bahwa mode penguncian cetak biru Baca Saja dipilih saat penetapan cetak biru. Kunci cetak biru mencegah akun dengan izin, bahkan Pemilik, menghapus sumber daya. Untuk informasi selengkapnya, lihat penguncian sumber daya cetak biru.

Langkah-langkah ini menunjukkan bahwa sumber daya yang digunakan sekarang dilindungi dengan kunci cetak biru yang mencegah penghapusan yang tidak diinginkan, bahkan dari akun yang memiliki izin untuk menghapus sumber daya.

Membatalkan penetapan cetak biru

Langkah terakhir adalah menghapus penetapan definisi cetak biru. Menghapus penetapan tidak akan menghapus artefak terkait.

  1. Pilih Semua layanan di panel sebelah kiri. Cari dan pilih Cetak biru.

  2. Pilih halaman Cetak biru yang ditetapkan di sebelah kiri. Gunakan filter untuk menemukan penetapan cetak biru assignment-locked-storageaccount-TestingBPLocks, lalu pilih penetapan tersebut.

  3. Pilih Batalkan penetapan cetak biru di bagian atas halaman. Baca peringatan dalam kotak dialog konfirmasi, lalu pilih OK.

    Ketika penetapan cetak biru dihapus, kunci cetak biru juga dihapus. Sumber daya sekali lagi dapat dihapus oleh akun dengan izin yang sesuai.

  4. Pilih Grup sumber daya dari menu Azure, lalu pilih TestingBPLocks.

  5. Pilih halaman Kontrol akses (IAM) di sebelah kiri, lalu pilih tab Penetapan peran.

Keamanan untuk grup sumber daya menunjukkan bahwa penetapan cetak biru tidak lagi memiliki akses Pemilik.

Setelah muncul pemberitahuan portal Berhasil membatalkan penetapan cetak biru, lanjutkan ke langkah berikutnya.

Membersihkan sumber daya

Setelah Anda menyelesaikan tutorial ini, hapus sumber daya berikut:

  • Grup sumber daya TestingBPLocks
  • Definisi cetak biru locked-storageaccount

Langkah berikutnya

Dalam tutorial ini, Anda telah mempelajari cara melindungi sumber daya baru yang disebarkan dengan Azure Blueprints. Untuk mempelajari Azure Blueprints lebih lanjut, lanjutkan ke artikel siklus hidup cetak biru.