Dela via


Självstudie: Skydda nya resurser med Azure Blueprints-resurslås

Viktigt

Den 11 juli 2026 blir skisser (förhandsversion) inaktuella. Migrera dina befintliga skissdefinitioner och tilldelningar till mallspecifikationer och distributionsstackar. Skissartefakter ska konverteras till ARM JSON-mallar eller Bicep-filer som används för att definiera distributionsstackar. Information om hur du skapar en artefakt som en ARM-resurs finns i:

Med Azure Blueprints-resurslås kan du skydda nyligen distribuerade resurser från att manipuleras, även av ett konto med ägarrollen . Du kan lägga till det här skyddet i skissdefinitionerna för resurser som skapats av en ARM-mallartefakt (Azure Resource Manager mall). Skissresurslåset anges under skisstilldelningen.

I den här självstudien slutför du följande steg:

  • Skapa en skissdefinition
  • Markera skissdefinitionen som Publicerad
  • Tilldela skissdefinitionen till en befintlig prenumeration (ange resurslås)
  • Granska den nya resursgruppen
  • Avtilldela skissen för att ta bort låsen

Krav

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Skapa en skissdefinition

Skapa först skissdefinitionen.

  1. Välj Alla tjänster i den vänstra rutan. Sök efter och välj Skisser.

  2. På sidan Komma igång till vänster väljer du Skapa under Skapa en skiss.

  3. Leta reda på skissexemplet Tom skiss överst på sidan. Välj Börja med en tom skiss.

  4. Ange den här informationen på fliken Grundläggande :

    • Skissnamn: Ange ett namn för kopian av skissexemplet. I den här självstudien använder vi namnet locked-storageaccount.
    • Skissbeskrivning: Lägg till en beskrivning av skissdefinitionen. Använd För att testa skissresurslåsning på distribuerade resurser.
    • Definitionsplats: Välj ellipsknappen (...) och välj sedan den hanteringsgrupp eller prenumeration som skissdefinitionen ska sparas i.
  5. Välj fliken Artefakter överst på sidan eller välj Nästa: Artefakter längst ned på sidan.

  6. Lägg till en resursgrupp på prenumerationsnivå:

    1. Välj raden Lägg till artefakt under Prenumeration.
    2. Välj Resursgrupp under Artefakttyp.
    3. Ange artefaktvisningsnamnet till RGtoLock.
    4. Lämna rutorna Resursgruppnamn och Plats tomma, men kontrollera att kryssrutan är markerad för varje egenskap för att göra dem till dynamiska parametrar.
    5. Välj Lägg till för att lägga till artefakten i skissen.
  7. Lägg till en mall under resursgruppen:

    1. Välj raden Lägg till artefakt under posten RGtoLock .

    2. Välj Azure Resource Manager mall under Artefakttyp, ange Artefaktvisningsnamn till StorageAccount och lämna Beskrivning tomt.

    3. På fliken Mall klistrar du in följande ARM-mall i redigeringsrutan. När du har klistrat in mallen väljer du Lägg till för att lägga till artefakten i skissen.

      Anteckning

      Det här steget definierar de resurser som ska distribueras som låses av skissresurslåset, men inte skissresurslåsen. Skissresurslås anges som en parameter för skisstilldelningen.

    {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
            "storageAccountType": {
                "type": "string",
                "defaultValue": "Standard_LRS",
                "allowedValues": [
                    "Standard_LRS",
                    "Standard_GRS",
                    "Standard_ZRS",
                    "Premium_LRS"
                ],
                "metadata": {
                    "description": "Storage Account type"
                }
            }
        },
        "variables": {
            "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
        },
        "resources": [{
            "type": "Microsoft.Storage/storageAccounts",
            "name": "[variables('storageAccountName')]",
            "location": "[resourceGroup().location]",
            "apiVersion": "2018-07-01",
            "sku": {
                "name": "[parameters('storageAccountType')]"
            },
            "kind": "StorageV2",
            "properties": {}
        }],
        "outputs": {
            "storageAccountName": {
                "type": "string",
                "value": "[variables('storageAccountName')]"
            }
        }
    }
    
  8. Välj Spara utkast längst ned på sidan.

Det här steget skapar skissdefinitionen i den valda hanteringsgruppen eller prenumerationen.

När meddelandet Spara skissdefinitionen lyckades går du till nästa steg.

Publicera skissdefinitionen

Skissdefinitionen har nu skapats i din miljö. Den skapas i utkastläge och måste publiceras innan den kan tilldelas och distribueras.

  1. Välj Alla tjänster i den vänstra rutan. Sök efter och välj Skisser.

  2. Välj sidan Skissdefinitioner till vänster. Använd filtren för att hitta skissdefinitionen locked-storageaccount och välj den sedan.

  3. Välj Publicera skiss överst på sidan. I det nya fönstret till höger anger du 1.0 som Version. Den här egenskapen är användbar om du gör en ändring senare. Ange Ändra anteckningar, till exempel Den första versionen som publicerats för att låsa distribuerade resurser i skissen. Välj därefter Publicera längst ned på sidan.

Det här steget gör det möjligt att tilldela skissen till en prenumeration. När skissdefinitionen har publicerats kan du fortfarande göra ändringar. Om du gör ändringar måste du publicera definitionen med ett nytt versionsvärde för att spåra skillnader mellan versioner av samma skissdefinition.

När portalmeddelandet För publiceringsskissdefinitionen lyckades går du till nästa steg.

Tilldela skissdefinitionen

När skissdefinitionen har publicerats kan du tilldela den till en prenumeration i hanteringsgruppen där du sparade den. I det här steget anger du parametrar för att göra varje distribution av skissdefinitionen unik.

  1. Välj Alla tjänster i den vänstra rutan. Sök efter och välj Skisser.

  2. Välj sidan Skissdefinitioner till vänster. Använd filtren för att hitta skissdefinitionen locked-storageaccount och välj den sedan.

  3. Välj Tilldela skiss överst på skissdefinitionssidan.

  4. Ange parametervärden för skisstilldelningen:

    • Grundläggande inställningar

      • Prenumerationer: Välj en eller flera av de prenumerationer som finns i hanteringsgruppen där du sparade skissdefinitionen. Om du väljer fler än en prenumeration skapas en tilldelning för varje prenumeration med hjälp av de parametrar som du anger.
      • Tilldelningsnamn: Namnet fylls i i förväg baserat på namnet på skissdefinitionen. Vi vill att den här tilldelningen ska representera låsning av den nya resursgruppen, så ändra tilldelningsnamnet till assignment-locked-storageaccount-TestingBPLocks.
      • Plats: Välj en region där du vill skapa den hanterade identiteten. Azure Blueprints använder den här hanterade identiteten för att distribuera alla artefakter i den tilldelade skissen. Mer information finns i Hanterade identiteter för Azure-resurser. I den här självstudien väljer du USA, östra 2.
      • Skissdefinitionsversion: Välj den publicerade version 1.0 av skissdefinitionen.
    • Lås tilldelning

      Välj låsläge för skrivskyddad skiss. Mer information finns i Låsa skissresurser.

      Anteckning

      Det här steget konfigurerar skissresurslåset för de nyligen distribuerade resurserna.

    • Hanterad identitet

      Använd standardalternativet: Systemtilldelade. Mer information finns i Hanterade identiteter.

    • Artefaktparametrar

      Parametrarna som definieras i det här avsnittet gäller för artefakten som de definieras under. Dessa parametrar är dynamiska parametrar eftersom de definieras under tilldelningen av skissen. För varje artefakt anger du parametervärdet till det du ser i kolumnen Värde .

      Artefaktnamn Artefakttyp Parameternamn Värde Beskrivning
      RGtoLock-resursgrupp Resursgrupp Name TestaBPLocks Definierar namnet på den nya resursgruppen som skisslås ska tillämpas på.
      RGtoLock-resursgrupp Resursgrupp Plats USA, västra 2 Definierar platsen för den nya resursgruppen som skisslås ska tillämpas på.
      StorageAccount Resource Manager-mall storageAccountType (StorageAccount) Standard_GRS Lagrings-SKU:n. Standardvärdet är Standard_LRS.
  5. När du har angett alla parametrar väljer du Tilldela längst ned på sidan.

Det här steget distribuerar de definierade resurserna och konfigurerar den valda låstilldelningen. Det kan ta upp till 30 minuter att tillämpa skisslås.

När meddelandet Tilldela skissdefinitionen lyckades går du till nästa steg.

Granska resurser som distribuerats av tilldelningen

Tilldelningen skapar resursgruppen TestingBPLocks och lagringskontot som distribueras av ARM-mallartefakten. Den nya resursgruppen och det valda låstillståndet visas på sidan tilldelningsinformation.

  1. Välj Alla tjänster i den vänstra rutan. Sök efter och välj Skisser.

  2. Välj sidan Tilldelade skisser till vänster. Använd filtren för att hitta skisstilldelningen assignment-locked-storageaccount-TestingBPLocks och välj den sedan.

    På den här sidan kan vi se att tilldelningen lyckades och att resurserna distribuerades med det nya låstillståndet för skissen. Om tilldelningen uppdateras visar listrutan Tilldelningsåtgärd information om distributionen av varje definitionsversion. Du kan välja resursgruppen för att öppna egenskapssidan.

  3. Välj resursgruppen TestingBPLocks .

  4. Välj sidan Åtkomstkontroll (IAM) till vänster. Välj sedan fliken Rolltilldelningar .

    Här ser vi att skisstilldelningen assignment-locked-storageaccount-TestingBPLocks har rollen Ägare . Den har den här rollen eftersom den här rollen användes för att distribuera och låsa resursgruppen.

  5. Välj fliken Neka tilldelningar .

    Skisstilldelningen skapade en neka-tilldelning för den distribuerade resursgruppen för att framtvinga skrivskyddat skisslåsläge. Neka-tilldelningen förhindrar att någon med lämpliga rättigheter på fliken Rolltilldelningar vidtar specifika åtgärder. Den nekande tilldelningen påverkar Alla huvudkonton.

    Information om hur du exkluderar ett huvudnamn från en neka-tilldelning finns i skisser resurslåsning.

  6. Välj tilldelningen neka och välj sedan sidan Nekade behörigheter till vänster.

    Neka-tilldelningen förhindrar alla åtgärder med konfigurationen * och åtgärden , men den tillåter läsåtkomst genom att exkludera */läsa via NotActions.

  7. I Azure Portal-sökväg väljer du TestingBPLocks – Åtkomstkontroll (IAM). Välj sedan sidan Översikt till vänster och sedan knappen Ta bort resursgrupp . Ange namnet TestingBPLocks för att bekräfta borttagningen och välj sedan Ta bort längst ned i fönstret.

    Portalmeddelandet Ta bort resursgruppen TestingBPLocks misslyckades visas. Felet anger att även om ditt konto har behörighet att ta bort resursgruppen nekas åtkomst av skisstilldelningen. Kom ihåg att vi valde låsningsläget Skrivskyddad skiss under skisstilldelningen. Skisslåset förhindrar att ett konto med behörighet, till och med Ägare, tar bort resursen. Mer information finns i Låsa skissresurser.

De här stegen visar att våra distribuerade resurser nu skyddas med skisslås som förhindrar oönskad borttagning, även från ett konto som har behörighet att ta bort resurserna.

Ta bort tilldelningen av skissen

Det sista steget är att ta bort tilldelningen av skissdefinitionen. Om du tar bort tilldelningen tas inte de associerade artefakterna bort.

  1. Välj Alla tjänster i den vänstra rutan. Sök efter och välj Skisser.

  2. Välj sidan Tilldelade skisser till vänster. Använd filtren för att hitta skisstilldelningen assignment-locked-storageaccount-TestingBPLocks och välj den sedan.

  3. Välj Avtilldela skiss överst på sidan. Läs varningen i bekräftelsedialogrutan och välj sedan OK.

    När skisstilldelningen tas bort tas även skisslåsen bort. Resurserna kan återigen tas bort av ett konto med lämpliga behörigheter.

  4. Välj Resursgrupper på Azure-menyn och välj sedan TestingBPLocks.

  5. Välj sidan Åtkomstkontroll (IAM) till vänster och välj sedan fliken Rolltilldelningar .

Säkerheten för resursgruppen visar att skisstilldelningen inte längre har ägaråtkomst .

När meddelandet Ta bort skisstilldelningen har slutförts går du till nästa steg.

Rensa resurser

När du är klar med den här självstudien tar du bort dessa resurser:

  • Resursgruppen TestingBPLocks
  • Skissdefinition locked-storageaccount

Nästa steg

I den här självstudien har du lärt dig hur du skyddar nya resurser som distribuerats med Azure Blueprints. Om du vill veta mer om Azure Blueprints fortsätter du till artikeln om skissens livscykel.