Condividi tramite


Esercitazione: Creare un ambiente da un esempio di progetto

Importante

Il 11 luglio 2026, Blueprints (anteprima) sarà deprecato. Eseguire la migrazione delle definizioni e delle assegnazioni di progetto esistenti a Specifiche modello e stack di distribuzione. Gli artefatti del progetto devono essere convertiti in modelli JSON arm o file Bicep usati per definire gli stack di distribuzione. Per informazioni su come creare un artefatto come risorsa arm, vedere:

I progetti di esempio illustrano cosa è possibile fare con Azure Blueprints. Ogni progetto è un esempio con uno scopo specifico, ma non crea di per sé un ambiente completo. Ognuno è da intendersi come un punto di partenza per esplorare mediante Azure Blueprints con varie combinazioni di artefatti, progettazioni e parametri inclusi.

L'esercitazione seguente usa l'esempio di progetto Gruppi di risorse con Controllo degli accessi in base al ruolo per presentare diversi aspetti del servizio Azure Blueprints. Vengono illustrate le procedure seguenti:

  • Creare una nuova definizione di progetto dall'esempio
  • Contrassegnare la copia dell'esempio come Pubblicata
  • Assegnare la copia del progetto a una sottoscrizione esistente
  • Esaminare le risorse distribuite per l'assegnazione
  • Annullare l'assegnazione del progetto per rimuovere i blocchi

Prerequisiti

Per completare questa esercitazione, è necessaria una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare la definizione di progetto dall'esempio

Come prima cosa, implementare l'esempio di progetto. Con l'importazione viene creato nell'ambiente un nuovo progetto basato sull'esempio.

  1. Selezionare Tutti i servizi nel riquadro a sinistra. Cercare e selezionare Progetti.

  2. Nella pagina Getting started (Introduzione) a sinistra selezionare il pulsante Crea in Creare un progetto.

  3. Trovare il progetto di esempio Gruppi di risorse con Controllo degli accessi in base al ruolo in Altri esempi e selezionarlo.

  4. Immettere le informazioni di base dell'esempio di progetto:

    • Nome progetto: specificare un nome per la copia dell'esempio di progetto. Per questa esercitazione si userà il nome two-rgs-with-role-assignments.
    • Posizione della definizione: usare i puntini di sospensione e selezionare il gruppo di gestione o la sottoscrizione in cui salvare la copia dell'esempio.
  5. Selezionare la scheda Artefatti nella parte superiore della pagina oppure Avanti: Elementi nella parte inferiore della pagina.

  6. Esaminare l'elenco degli artefatti che costituiscono l'esempio di progetto. Questo esempio definisce due gruppi di risorse, rispettivamente con il nome visualizzato ProdRG e PreProdRG. Il nome e la località finali di ogni gruppo di risorse vengono impostati durante l'assegnazione del progetto. Al gruppo di risorse ProdRG viene assegnato il ruolo Collaboratore, mentre al gruppo di risorse PreProdRG vengono assegnati i ruoli Proprietario e Lettore. I ruoli assegnati nella definizione sono statici, ma l'utente, l'app o il gruppo a cui viene assegnato il ruolo viene impostato durante l'assegnazione del progetto.

  7. Una volta esaminato l'esempio di progetto, selezionare Salva bozza.

Questo passaggio crea una copia della definizione del progetto di esempio nel gruppo di gestione o nella sottoscrizione selezionata. La definizione del progetto salvata viene gestita come qualsiasi progetto creato da zero. È possibile salvare l'esempio nel gruppo di gestione o nella sottoscrizione tutte le volte necessarie. A ogni copia deve però essere assegnato un nome univoco.

Quando nel portale viene visualizzata la notifica Il salvataggio della definizione di progetto è riuscito, proseguire con il passaggio successivo.

Pubblicare la copia dell'esempio

La copia dell'esempio di progetto è stata creata nell'ambiente. Ma poiché è stata creata in modalità Bozza, è necessario pubblicarla per poterla assegnare e distribuire. La copia dell'esempio di progetto può essere personalizzata in base all'ambiente e alle specifiche esigenze. Ai fini di questa esercitazione non verrà apportata alcuna modifica.

  1. Selezionare Tutti i servizi nel riquadro a sinistra. Cercare e selezionare Progetti.

  2. Selezionare la pagina Definizioni di progetto a sinistra. Usare i filtri per trovare la definizione del progetto two-rgs-with-role-assignments e selezionarla.

  3. Selezionare Pubblica progetto nella parte superiore della pagina. Nella casella Versione nel nuovo riquadro a destra specificare 1.0 per la versione della copia dell'esempio di progetto. Questa proprietà è utile se si apporta una modifica successivamente. Specificare note sulla modifica, ad esempio "Prima versione pubblicata dai gruppi di risorse con esempio di progetto RBAC". Selezionare Quindi Pubblica nella parte inferiore della pagina.

Questo passaggio rende possibile l'assegnazione del progetto a una sottoscrizione. Dopo la pubblicazione, è ancora possibile apportare modifiche. Se si apportano altre modifiche è necessario pubblicare la copia con un nuovo valore di Versione, in modo da tenere traccia delle differenze tra le diverse versioni della stessa definizione di progetto.

Quando nel portale viene visualizzata la notifica La pubblicazione della definizione di progetto è riuscita, proseguire con il passaggio successivo.

Assegnare la copia dell'esempio

Dopo che la copia dell'esempio di progetto è stata pubblicata correttamente, è possibile assegnarla a una sottoscrizione all'interno del gruppo di gestione in cui è stata salvata. In questo passaggio vengono specificati i parametri che rendono univoca ogni distribuzione della copia dell'esempio di progetto.

  1. Selezionare Tutti i servizi nel riquadro a sinistra. Cercare e selezionare Progetti.

  2. Selezionare la pagina Definizioni di progetto a sinistra. Usare i filtri per trovare la definizione del progetto two-rgs-with-role-assignments e selezionarla.

  3. Selezionare Assegna progetto nella parte superiore della pagina della definizione di progetto.

  4. Specificare i valori dei parametri per l'assegnazione del progetto:

    • Nozioni di base

      • Sottoscrizioni: selezionare una o più sottoscrizioni presenti nel gruppo di gestione in cui è stata salvata la copia dell'esempio di progetto. Se si selezionano più sottoscrizioni, viene creata un'assegnazione per ognuna usando i parametri immessi.
      • Nome dell'assegnazione: il nome viene prepopolato in base al nome della definizione di progetto.
      • Località: selezionare un'area in cui creare l'identità gestita. Azure Blueprints usa questa identità gestita per distribuire tutti gli artefatti nel progetto assegnato. Per altre informazioni, vedere Managed identities for Azure resources (Identità gestite per risorse di Azure). Per questa esercitazione selezionare Stati Uniti orientali 2.
      • Versione della definizione di progetto: selezionare la versione pubblicata1.0 della copia della definizione del progetto di esempio.
    • Blocca assegnazione

      Selezionare la modalità di blocco del progetto Sola lettura. Per altre informazioni, vedere Blueprints resource locking (Blocco delle risorse del progetto).

    • Identità gestita

      Lasciare l'opzione predefinita Assegnata dal sistema. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure.

    • Parametri dell'elemento

      I parametri definiti in questa sezione si applicano all'artefatto in cui sono definiti. Si tratta di parametri dinamici, in quanto vengono definiti durante l'assegnazione del progetto. Per ogni artefatto impostare il parametro sul valore definito nella colonna Valore. Per {Your ID} selezionare il proprio account utente di Azure.

      Nome dell'artefatto Tipo di artefatto Nome parametro valore Descrizione
      Gruppo di risorse ProdRG Resource group Nome ProductionRG Definisce il nome del primo gruppo di risorse.
      Gruppo di risorse ProdRG Resource group Location Stati Uniti occidentali 2 Imposta la località del primo gruppo di risorse.
      Collaboratore Assegnazione di ruolo Utente o gruppo {ID} Definisce l'utente o il gruppo a cui assegnare il ruolo Collaboratore nel primo gruppo di risorse.
      Gruppo di risorse PreProdRG Resource group Nome PreProductionRG Definisce il nome del secondo gruppo di risorse.
      Gruppo di risorse PreProdRG Resource group Location Stati Uniti occidentali Imposta la località del secondo gruppo di risorse.
      Proprietario Assegnazione di ruolo Utente o gruppo {ID} Definisce l'utente o il gruppo a cui assegnare il ruolo Proprietario nel secondo gruppo di risorse.
      Lettori Assegnazione di ruolo Utente o gruppo {ID} Definisce l'utente o il gruppo a cui assegnare il ruolo Lettore nel secondo gruppo di risorse.
  5. Dopo avere immesso tutti i parametri, selezionare Assegna in fondo alla pagina.

Questo passaggio distribuisce le risorse definite e configura l'opzione selezionata in Blocca assegnazione. L'applicazione dei blocchi dei progetti può richiedere fino a 30 minuti.

Quando nel portale viene visualizzata la notifica L'assegnazione della definizione di progetto è riuscita, proseguire con il passaggio successivo.

Esaminare le risorse distribuite per l'assegnazione

L'assegnazione del progetto crea e tiene traccia degli artefatti definiti nella definizione del progetto. È possibile verificare lo stato delle risorse nella pagina di assegnazione del progetto o controllando le risorse direttamente.

  1. Selezionare Tutti i servizi nel riquadro a sinistra. Cercare e selezionare Progetti.

  2. Selezionare la pagina Progetti assegnati a sinistra. Usare i filtri per trovare l'assegnazione del progetto Assignment-two-rgs-with-role-assignments e selezionarla.

    In questa pagina è possibile vedere l'assegnazione riuscita e l'elenco delle risorse create insieme al relativo stato di blocco del progetto. Se l'assegnazione viene aggiornata, l'elenco a discesa Operazione di assegnazione mostra i dettagli sulla distribuzione di ogni versione della definizione. È possibile selezionare ogni risorsa elencata per aprire la relativa pagina delle proprietà.

  3. Selezionare il gruppo di risorse ProductionRG.

    Come si può notare, il nome del gruppo di risorse è ProductionRG e non il nome visualizzato dell'artefatto ProdRG. Questo nome corrisponde al valore impostato durante l'assegnazione del progetto.

  4. Selezionare la pagina Controllo di accesso (IAM) a sinistra e quindi la scheda Assegnazioni di ruoli.

    Qui è possibile vedere che all'account è stato assegnato il ruolo Collaboratore nell'ambito di Questa risorsa. L'assegnazione di progetto Assignment-two-rgs-with-role-assignments ha il ruolo Proprietario poiché è stata usata per creare il gruppo di risorse. Queste autorizzazioni vengono usate anche per gestire le risorse per cui sono stati configurati blocchi del progetto.

  5. Nella struttura di navigazione del portale di Azure selezionare Assignment-two-rgs-with-role-assignments per tornare indietro di una pagina, quindi selezionare il gruppo di risorse PreProductionRG.

  6. Selezionare la pagina Controllo di accesso (IAM) a sinistra e quindi la scheda Assegnazioni di ruoli.

    Qui è possibile vedere che all'account sono stati assegnati i ruoli Proprietario e Lettore, entrambi nell'ambito di Questa risorsa. Anche l'assegnazione del progetto ha il ruoloProprietario come il primo gruppo di risorse.

  7. Selezionare la scheda Assegnazioni di rifiuto.

    L'assegnazione del progetto ha creato un'assegnazione di rifiuto nel gruppo di risorse distribuito per rafforzare la modalità di blocco del progetto Sola lettura. L'assegnazione di rifiuto impedisce agli utenti che dispongono di diritti appropriati nella scheda Assegnazioni di ruolo di eseguire azioni specifiche. L'assegnazione di rifiuto si applica a tutte le entità.

  8. Selezionare l'assegnazione di rifiuto, quindi selezionare la pagina Autorizzazioni negate a sinistra.

    L'assegnazione di rifiuto impedisce tutte le operazioni con la * configurazione di e Azione , ma consente l'accesso in lettura escludendo */read tramite NotActions.

  9. Nella struttura di navigazione del portale di Azure selezionare PreProductionRG - Controllo di accesso (IAM) . Selezionare la pagina Panoramica a sinistra e quindi il pulsante Elimina gruppo di risorse. Immettere il nome PreProductionRG per confermare l'eliminazione e selezionare Elimina in fondo al riquadro.

    Nel portale viene visualizzata la notifica L'eliminazione del gruppo di risorse PreProductionRG non è riuscita. Questo errore si verifica perché, sebbene l'account abbia l'autorizzazione necessaria per eliminare il gruppo di risorse, l'accesso è negato dall'assegnazione del progetto. È stata infatti selezionata la modalità di blocco del progetto Sola lettura durante l'assegnazione del progetto. Il blocco del progetto impedisce a un account di eliminare la risorsa, anche se dispone dell'autorizzazione Proprietario. Per altre informazioni, vedere Blueprints resource locking (Blocco delle risorse del progetto).

Questi passaggi mostrano che le risorse sono state create in base ai parametri definiti e che il blocco del progetto ne ha impedito l'eliminazione indesiderata, persino da un account dotato dell'autorizzazione appropriata.

Annullare l'assegnazione del progetto

L'ultimo passaggio consiste nel rimuovere l'assegnazione del progetto e le risorse che ha distribuito. Con la rimozione dell'assegnazione non vengono rimossi gli artefatti distribuiti.

  1. Selezionare Tutti i servizi nel riquadro a sinistra. Cercare e selezionare Progetti.

  2. Selezionare la pagina Progetti assegnati a sinistra. Usare i filtri per trovare l'assegnazione del progetto Assignment-two-rgs-with-role-assignments e selezionarla.

  3. Selezionare il pulsante Annulla assegnazione progetto nella parte superiore della pagina. Leggere l'avviso nella finestra di dialogo di conferma, quindi scegliere OK.

    Con la rimozione dell'assegnazione del progetto vengono rimossi anche i relativi blocchi. Le risorse create possono essere di nuovo eliminate da un account dotato di autorizzazioni.

  4. Scegliere Gruppi di risorse dal menu di Azure, quindi selezionare ProductionRG.

  5. Selezionare la pagina Controllo di accesso (IAM) a sinistra e quindi la scheda Assegnazioni di ruoli.

La sicurezza per ogni gruppo di risorse ha ancora le assegnazioni di ruolo distribuite, ma l'assegnazione del progetto non dispone più dell'accesso come Proprietario.

Quando nel portale viene visualizzata la notifica La rimozione dell'assegnazione progetto è riuscita, proseguire con il passaggio successivo.

Pulire le risorse

Al termine dell'esercitazione, eliminare le risorse seguenti:

  • Gruppo di risorse ProductionRG
  • Gruppo di risorse PreProductionRG
  • Definizione di progetto two-rgs-with-role-assignments

Passaggi successivi

In questa esercitazione si è appreso come creare un nuovo progetto da una definizione di esempio. Per altre informazioni su Azure Blueprints, passare all'articolo relativo al ciclo di vita di un progetto.