Tutorial: Proteger novos recursos com bloqueios de recursos do Azure Blueprints
Importante
A 11 de julho de 2026, o Blueprints (Pré-visualização) será preterido. Migre as definições e atribuições de esquemas existentes para As Especificações de Modelo e As Pilhas de Implementação. Os artefactos de esquema devem ser convertidos em modelos JSON do ARM ou ficheiros Bicep utilizados para definir pilhas de implementação. Para saber como criar um artefacto como um recurso do ARM, consulte:
Com os bloqueios de recursos do Azure Blueprints, pode proteger os recursos recentemente implementados de serem adulterados, mesmo por uma conta com a função Proprietário . Pode adicionar esta proteção nas definições de esquema de recursos criados por um artefacto de modelo do Azure Resource Manager (modelo arm). O bloqueio de recursos do Blueprint é definido durante a atribuição do esquema.
Neste tutorial, irá concluir estes passos:
- Criar uma definição de esquema
- Marcar a definição do esquema como Publicado
- Atribuir a definição do esquema a uma subscrição existente (definir bloqueios de recursos)
- Inspecionar o novo grupo de recursos
- Anular a atribuição do esquema para remover os bloqueios
Pré-requisitos
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Criar uma definição de esquema
Primeiro, crie a definição do esquema.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Na página Introdução à esquerda, selecione Criar em Criar um esquema.
Localize o exemplo de esquema Esquema em Branco na parte superior da página. Selecione Iniciar com esquema em branco.
Introduza estas informações no separador Noções Básicas :
- Nome do esquema: forneça um nome para a sua cópia do exemplo de esquema. Neste tutorial, vamos utilizar o nome locked-storageaccount.
- Descrição do esquema: adicione uma descrição para a definição do esquema. Utilize Para testar o bloqueio de recursos do esquema em recursos implementados.
- Localização da definição: selecione o botão de reticências (...) e, em seguida, selecione o grupo de gestão ou subscrição para guardar a definição do esquema.
Selecione o separador Artefactos na parte superior da página ou selecione Seguinte: Artefactos na parte inferior da página.
Adicionar um grupo de recursos ao nível da subscrição:
- Selecione a linha Adicionar artefacto em Subscrição.
- Selecione Grupo de Recursos em Tipo de artefacto.
- Defina o Nome a apresentar do Artefacto como RGtoLock.
- Deixe as caixas Nome do Grupo de Recursos e Localização em branco, mas certifique-se de que a caixa de verificação está selecionada em cada propriedade para torná-las parâmetros dinâmicos.
- Selecione Adicionar para adicionar o artefacto ao esquema.
Adicione um modelo no grupo de recursos:
Selecione a linha Adicionar artefacto na entrada RGtoLock .
Selecione Azure Resource Manager modelo em Tipo de artefacto, defina Nome a apresentar artefacto como StorageAccount e deixe Descrição em branco.
No separador Modelo , cole o seguinte modelo arm na caixa editor. Depois de colar o modelo, selecione Adicionar para adicionar o artefacto ao esquema.
Nota
Este passo define os recursos a implementar que são bloqueados pelo bloqueio de recursos do Blueprint, mas não inclui os bloqueios de recursos do Blueprint. Os bloqueios de recursos do esquema são definidos como um parâmetro da atribuição do esquema.
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "storageAccountType": { "type": "string", "defaultValue": "Standard_LRS", "allowedValues": [ "Standard_LRS", "Standard_GRS", "Standard_ZRS", "Premium_LRS" ], "metadata": { "description": "Storage Account type" } } }, "variables": { "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]" }, "resources": [{ "type": "Microsoft.Storage/storageAccounts", "name": "[variables('storageAccountName')]", "location": "[resourceGroup().location]", "apiVersion": "2018-07-01", "sku": { "name": "[parameters('storageAccountType')]" }, "kind": "StorageV2", "properties": {} }], "outputs": { "storageAccountName": { "type": "string", "value": "[variables('storageAccountName')]" } } }
Selecione Guardar Rascunho na parte inferior da página.
Este passo cria a definição de esquema no grupo de gestão ou subscrição selecionado.
Depois de aparecer a notificação do portal Guardar definição de esquema com êxito , avance para o passo seguinte.
Publicar a definição do esquema
A definição do esquema foi agora criada no seu ambiente. É criado no modo Rascunho e tem de ser publicado antes de poder ser atribuído e implementado.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Selecione a página Definições de esquema à esquerda. Utilize os filtros para localizar a definição do esquema storageaccount bloqueado e, em seguida, selecione-a.
Selecione Publicar esquema, na parte superior da página. No novo painel à direita, introduza 1.0 como a Versão. Esta propriedade é útil se fizer uma alteração mais tarde. Introduza Alterar notas, como a Primeira versão publicada para bloquear recursos implementados no esquema. Em seguida, selecione Publicar, na parte inferior da página.
Este passo permite atribuir o esquema a uma subscrição. Após a publicação da definição do esquema, ainda pode fazer alterações. Se fizer alterações, terá de publicar a definição com um novo valor de versão para controlar as diferenças entre versões da mesma definição de esquema.
Depois de aparecer a notificação do portal Publicar definição de esquema com êxito , avance para o passo seguinte.
Atribuir a definição do esquema
Após a publicação da definição do esquema, pode atribuí-la a uma subscrição no grupo de gestão onde a guardou. Neste passo, irá fornecer parâmetros para tornar cada implementação da definição de esquema exclusiva.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Selecione a página Definições de esquema à esquerda. Utilize os filtros para localizar a definição do esquema storageaccount bloqueado e, em seguida, selecione-a.
Selecione Atribuir esquema, na parte superior da página de definição do esquema.
Indique os valores dos parâmetros para a atribuição do esquema:
Noções básicas
- Subscrições: selecione uma ou mais das subscrições que estão no grupo de gestão onde guardou a definição do esquema. Se selecionar mais do que uma subscrição, será criada uma atribuição para cada subscrição com os parâmetros introduzidos.
- Nome da atribuição: o nome é pré-preenchido com base no nome da definição do esquema. Queremos que esta atribuição represente o bloqueio do novo grupo de recursos, pelo que altere o nome da atribuição para assignment-locked-storageaccount-TestingBPLocks.
- Localização: selecione uma região para criar a identidade gerida. O Azure Blueprints utiliza esta identidade gerida para implementar todos os artefactos no esquema atribuído. Para saber mais, veja Identidades geridas para recursos do Azure. Para este tutorial, selecione E.U.A. Leste 2.
- Versão da definição do esquema: selecione a versão 1.0 publicada da definição do esquema.
Bloquear Atribuição
Selecione o modo de bloqueio de esquema Só de Leitura . Para obter mais informações, veja bloqueio de recurso em esquemas.
Nota
Este passo configura o bloqueio de recursos do Blueprint nos recursos recentemente implementados.
Identidade Gerida
Utilize a opção predefinida: Sistema atribuído. Para obter mais informações, veja Identidades geridas.
Parâmetros dos artefactos
Os parâmetros definidos nesta secção aplicam-se ao artefacto no qual são definidos. Estes parâmetros são parâmetros dinâmicos porque são definidos durante a atribuição do esquema. Para cada artefacto, defina o valor do parâmetro para o que vê na coluna Valor .
Nome do artefacto Tipo de artefacto Nome do parâmetro Valor Descrição Grupo de recursos RGtoLock Grupo de recursos Name TestingBPLocks Define o nome do novo grupo de recursos ao qual aplicar bloqueios de esquema. Grupo de recursos RGtoLock O grupo de recursos A localização E.U.A. Oeste 2 Define a localização do novo grupo de recursos ao qual aplicar bloqueios de esquema. StorageAccount Modelo do Resource Manager storageAccountType (StorageAccount) Standard_GRS O SKU de armazenamento. O valor predefinido é Standard_LRS.
Depois de introduzir todos os parâmetros, selecione Atribuir na parte inferior da página.
Este passo implementa os recursos definidos e configura a Atribuição de Bloqueio selecionada. A aplicação de bloqueios de esquema pode demorar até 30 minutos.
Depois de aparecer a notificação atribuir a definição de esquema com êxito ao portal, avance para o passo seguinte.
Inspecionar recursos implementados pela atribuição
A atribuição cria o grupo de recursos TestingBPLocks e a conta de armazenamento implementada pelo artefacto do modelo do ARM. O novo grupo de recursos e o estado de bloqueio selecionado são apresentados na página de detalhes da atribuição.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Selecione a página Esquemas atribuídos à esquerda. Utilize os filtros para localizar a atribuição de esquema assignment-locked-storageaccount-TestingBPLocks e, em seguida, selecione-a.
A partir desta página, podemos ver que a atribuição foi bem-sucedida e que os recursos foram implementados com o novo estado de bloqueio do esquema. Se a atribuição for atualizada, a lista pendente Operação de atribuição mostra detalhes sobre a implementação de cada versão de definição. Pode selecionar o grupo de recursos para abrir a página de propriedades.
Selecione o grupo de recursos TestingBPLocks .
Selecione a página Controlo de acesso (IAM) à esquerda. Em seguida, selecione o separador Atribuições de funções .
Aqui, vemos que a atribuição do esquema assignment-locked-storageaccount-TestingBPLocks tem a função Proprietário . Tem esta função porque esta função foi utilizada para implementar e bloquear o grupo de recursos.
Selecione o separador Negar atribuições .
A atribuição de esquema criou uma atribuição de negação no grupo de recursos implementado para impor o modo de bloqueio de esquema Só de Leitura . A atribuição de negação impede que alguém com direitos adequados no separador Atribuições de funções efetue ações específicas. A atribuição de negação afeta Todos os principais.
Para obter informações sobre como excluir um principal de uma atribuição de negação, veja Bloqueio de recursos de esquemas.
Selecione a atribuição de negação e, em seguida, selecione a página Permissões Negadas à esquerda.
A atribuição de negação está a impedir todas as operações com a * configuração de ação e , mas permite o acesso de leitura ao excluir */leratravés de NotActions.
Na portal do Azure trilho, selecione TestingBPLocks – Controlo de acesso (IAM). Em seguida, selecione a página Descrição geral à esquerda e, em seguida, o botão Eliminar grupo de recursos . Introduza o nome TestingBPLocks para confirmar a eliminação e, em seguida, selecione Eliminar na parte inferior do painel.
É apresentada a notificação do portal Eliminar grupo de recursos TestingBPLocks. O erro indica que, embora a sua conta tenha permissão para eliminar o grupo de recursos, o acesso é negado pela atribuição do esquema. Lembre-se de que selecionámos o modo de bloqueio de esquema Só de Leitura durante a atribuição do esquema. O bloqueio do esquema impede que uma conta com permissão, mesmo Proprietário, elimine o recurso. Para obter mais informações, veja bloqueio de recurso em esquemas.
Estes passos mostram que os nossos recursos implementados estão agora protegidos com bloqueios de esquema que impedem a eliminação indesejada, mesmo a partir de uma conta que tenha permissão para eliminar os recursos.
Anular a atribuição do esquema
O último passo é remover a atribuição da definição do esquema. Remover a atribuição não remove os artefactos associados.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Selecione a página Esquemas atribuídos à esquerda. Utilize os filtros para localizar a atribuição de esquema assignment-locked-storageaccount-TestingBPLocks e, em seguida, selecione-a.
Selecione Anular a atribuição do esquema na parte superior da página. Leia o aviso na caixa de diálogo de confirmação e, em seguida, selecione OK.
Quando a atribuição do esquema é removida, os bloqueios do esquema também são removidos. Os recursos podem ser novamente eliminados por uma conta com as permissões adequadas.
Selecione Grupos de recursos no menu do Azure e, em seguida, selecione TestingBPLocks.
Selecione a página Controlo de acesso (IAM) à esquerda e, em seguida, selecione o separador Atribuições de funções .
A segurança do grupo de recursos mostra que a atribuição do esquema já não tem acesso de Proprietário .
Depois de aparecer a notificação Remover atribuição de esquema efetuada com êxito no portal, avance para o passo seguinte.
Limpar os recursos
Quando tiver terminado este tutorial, elimine estes recursos:
- TestingBPLocks do grupo de recursos
- Definição do esquema locked-storageaccount
Passos seguintes
Neste tutorial, aprendeu a proteger novos recursos implementados com o Azure Blueprints. Para saber mais sobre o Azure Blueprints, avance para o artigo sobre o ciclo de vida do esquema.