Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Firma Microsoft zaleca zablokowanie wszystkich obszarów roboczych usługi Azure Quantum i połączonych kont magazynu za pomocą blokady zasobów usługi Azure Resource Manager (ARM), aby zapobiec przypadkowemu lub złośliwemu usunięciu. Na przykład profesorowie mogą chcieć ograniczyć uczniom możliwość modyfikowania jednostek SKU dostawcy, ale nadal umożliwiają im korzystanie z notesów i przesyłanie zadań.
Istnieją dwa typy blokad zasobów usługi ARM:
- Blokada CannotDelete uniemożliwia użytkownikom usunięcie zasobu, ale zezwala na odczytywanie i modyfikowanie jego konfiguracji.
- Blokada ReadOnly uniemożliwia użytkownikom modyfikowanie konfiguracji zasobu (w tym jej usunięcie), ale zezwala na odczytywanie konfiguracji. Aby uzyskać więcej informacji na temat blokad zasobów, zobacz Zablokuj zasoby, aby zapobiec nieoczekiwanym zmianom.
Uwaga
Jeśli używasz już szablonu ARM lub Bicep do zarządzania obszarami roboczymi usługi Azure Quantum, możesz dodać procedury opisane w tym artykule do istniejących szablonów.
Zalecane konfiguracje blokad
W poniższej tabeli przedstawiono zalecane konfiguracje blokady zasobów do wdrożenia dla obszaru roboczego usługi Azure Quantum.
| Zasób | Typ blokady | Notatki |
|---|---|---|
| Obszar roboczy | Usuń | Uniemożliwia usunięcie obszaru roboczego. |
| Obszar roboczy | Tylko do odczytu | Zapobiega wszelkim modyfikacjom obszaru roboczego, w tym dodawaniom lub usuwaniu dostawców, jednocześnie umożliwiając użytkownikom tworzenie i usuwanie notesów oraz przesyłanie zadań. Aby zmodyfikować dostawców po ustawieniu tej blokady, należy usunąć blokadę zasobów, wprowadzić zmiany, a następnie ponownie wdrożyć blokadę. |
| Konto magazynu | Usuń | Uniemożliwia usunięcie konta magazynu. |
Należy unikać następujących konfiguracji:
Ważne
Ustawienie następujących blokad ARM może spowodować nieprawidłowe działanie środowiska pracy.
| Zasób | Typ blokady | Notatki |
|---|---|---|
| Konto magazynu | Tylko do odczytu | Ustawienie blokady zasobów tylko do odczytu na koncie magazynu może spowodować błędy podczas tworzenia obszaru roboczego, interfejsu notesów Jupyter Notebook i przesyłania i pobierania zadań. |
| Subskrypcja nadrzędna obszaru roboczego lub nadrzędnej grupy zasobów obszaru roboczego lub konta magazynu | Tylko do odczytu | Po zastosowaniu blokady zasobu do zasobu nadrzędnego wszystkie zasoby w ramach tego nadrzędnego dziedziczą tę samą blokadę, w tym zasoby utworzone w późniejszym terminie. Aby uzyskać bardziej szczegółową kontrolę, blokady zasobów powinny być stosowane bezpośrednio na poziomie zasobu. |
Wymagania wstępne
Aby zastosować blokady zasobów usługi ARM, musisz być właścicielem lub administratorem dostępu do zasobu. Aby uzyskać więcej informacji, zobacz Wbudowane role platformy Azure.
Wdrażanie przy użyciu wiersza poleceń
Do wdrożenia blokady będzie potrzebny program Azure PowerShell lub interfejs wiersza polecenia platformy Azure. Jeśli używasz interfejsu wiersza polecenia platformy Azure, musisz mieć najnowszą wersję. Aby uzyskać instrukcje dotyczące instalacji, zobacz:
- Instalowanie programu Azure PowerShell
- Instalowanie interfejsu wiersza polecenia platformy Azure
Ważne
Jeśli wcześniej nie używasz interfejsu wiersza polecenia platformy Azure z usługą Azure Quantum, wykonaj kroki opisane w sekcji konfiguracja środowiska , aby dodać rozszerzenie quantum i zarejestrować przestrzeń nazw usługi Azure Quantum.
Zaloguj się na platformie Azure
Po zainstalowaniu interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell upewnij się, że logujesz się po raz pierwszy. Wybierz jedną z następujących zakładek i uruchom odpowiednie polecenia wiersza polecenia, aby zalogować się do Azure.
az login
Jeśli masz wiele subskrypcji platformy Azure, wybierz subskrypcję z zasobami, które chcesz zablokować. Zastąp SubscriptionName nazwą subskrypcji lub identyfikatorem subskrypcji. Na przykład
az account set --subscription "Azure subscription 1"
Tworzenie blokady zasobów usługi ARM
Podczas wdrażania blokady zasobu należy określić nazwę blokady, typ blokady i dodatkowe informacje o zasobie. Te informacje można skopiować i wkleić ze strony głównej zasobu w witrynie Azure Quantum Portal.
az lock create \
--name <lock> \
--resource-group <resource-group> \
--resource <workspace> \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
- name: nazwa opisowa dla blokady
- grupa zasobów: nazwa nadrzędnej grupy zasobów.
- resource: nazwa zasobu do zastosowania blokady.
- typ blokady: rodzaj blokady do zastosowania: CanNotDelete lub ReadOnly.
- typ zasobu: typ zasobu target.
Aby na przykład utworzyć blokadę CanNotDelete w obszarze roboczym:
az lock create \
--name ArmLockWkspDelete \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
W przypadku powodzenia platforma Azure zwraca konfigurację blokady w formacie JSON:
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDelete",
"level": "CanNotDelete",
"name": "ArmLockWkspDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Aby utworzyć blokadę tylko do odczytu w obszarze roboczym:
az lock create \
--name ArmLockWkspRead \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type ReadOnly \
--resource-type Microsoft.Quantum/workspaces
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRead",
"level": "ReadOnly",
"name": "ArmLockWkspRead",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Aby utworzyć blokadę CanNotDelete na koncie magazynowym:
az lock create \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource armlocksstorage \--lock-type CanNotDelete \
--resource-type Microsoft.Storage/storageAccounts
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLockStoreDelete",
"level": "CanNotDelete",
"name": "ArmLockStoreDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Wyświetlanie i usuwanie blokad
Aby wyświetlić lub usunąć blokady:
Aby uzyskać więcej informacji, zobacz az lock reference.
Wyświetlanie wszystkich blokad w subskrypcji
az lock list
Pokaż wszystkie blokady w obszarze roboczym
az lock list \
--resource-group armlocks-resgrp \
--resource-name armlocks-wksp \
--resource-type Microsoft.Quantum/workspaces
Wyświetlanie wszystkich blokad dla wszystkich zasobów w grupie zasobów
az lock list --resource-group armlocks-resgrp
Wyświetlanie właściwości pojedynczej blokady
az lock show \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Usuwanie blokady
az lock delete \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Jeśli usunięcie zakończy się pomyślnie, platforma Azure nie zwróci komunikatu. Aby zweryfikować usunięcie, możesz uruchomić az lock list.