Öğretici: Azure Blueprints kaynak kilitleriyle yeni kaynakları koruma

Azure Blueprints kaynak kilitleriyle, Sahip rolüne sahip bir hesap tarafından bile yeni dağıtılan kaynakların üzerinde oynanmasını önleyebilirsiniz. Bu korumayı azure Resource Manager şablonu (ARM şablonu) yapıtı tarafından oluşturulan kaynakların şema tanımlarına ekleyebilirsiniz. Şema kaynak kilidi şema ataması sırasında ayarlanır.

Bu öğreticide şu adımları tamamlayacaksınız:

  • Şema tanımı oluşturma
  • Şema tanımınızı Yayımlandı olarak işaretleme
  • Şema tanımınızı mevcut aboneliğe atama (kaynak kilitlerini ayarlama)
  • Yeni kaynak grubunu inceleme
  • Kilitleri kaldırmak için şemanın atamasını kaldırma

Ön koşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Şema tanımı oluşturma

İlk olarak şema tanımını oluşturun.

  1. Sol bölmede Tüm hizmetler'i seçin. Şemalar’ı arayıp seçin.

  2. Sol taraftaki Başlarken sayfasında Şema oluştur'un altında Oluştur'u seçin.

  3. Sayfanın üst kısmında Boş Şema şema örneğini bulun. Boş şemayla başlat'ı seçin.

  4. Temel Bilgiler sekmesine bu bilgileri girin:

    • Şema adı: Şema örneği kopyanız için bir ad belirtin. Bu öğretici için locked-storageaccount adını kullanacağız.
    • Şema açıklaması: Şema tanımı için bir açıklama ekleyin. Dağıtılan kaynaklarda şema kaynağı kilitlemeyi test etme için kullanın.
    • Tanım konumu: Üç nokta düğmesini (...) seçin ve ardından şema tanımınızı kaydedecek yönetim grubunu veya aboneliği seçin.
  5. Sayfanın üst kısmındaki Artifacts sekmesini seçin veya sayfanın en altındaki İleri: Artifacts'i seçin.

  6. Abonelik düzeyinde bir kaynak grubu ekleyin:

    1. Abonelik'in altında Yapıt ekle satırını seçin.
    2. Yapıt türü'nin altında Kaynak Grubu'nun seçin.
    3. Yapıt görünen adınıRGtoLock olarak ayarlayın.
    4. Kaynak Grubu Adı ve Konum kutularını boş bırakın, ancak bunları dinamik parametreler yapmak için her özellikte onay kutusunun seçili olduğundan emin olun.
    5. Yapıtı şemaya eklemek için Ekle'yi seçin.
  7. Kaynak grubunun altına bir şablon ekleyin:

    1. RGtoLock girişinin altındaki Yapıt ekle satırını seçin.

    2. Yapıt türü altında Azure Resource Manager şablonu'na tıklayın, Yapıt görünen adınıStorageAccount olarak ayarlayın ve Açıklama'yı boş bırakın.

    3. Şablon sekmesinde, aşağıdaki ARM şablonunu düzenleyici kutusuna yapıştırın. Şablonu yapıştırdıktan sonra, yapıtı şemaya eklemek için Ekle'yi seçin.

      Not

      Bu adım, Blueprint kaynak kilidi tarafından kilitlenen ancak Blueprint kaynak kilitlerini içermeyen dağıtılacak kaynakları tanımlar. Şema kaynak kilitleri şema atamasının parametresi olarak ayarlanır.

    {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
            "storageAccountType": {
                "type": "string",
                "defaultValue": "Standard_LRS",
                "allowedValues": [
                    "Standard_LRS",
                    "Standard_GRS",
                    "Standard_ZRS",
                    "Premium_LRS"
                ],
                "metadata": {
                    "description": "Storage Account type"
                }
            }
        },
        "variables": {
            "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
        },
        "resources": [{
            "type": "Microsoft.Storage/storageAccounts",
            "name": "[variables('storageAccountName')]",
            "location": "[resourceGroup().location]",
            "apiVersion": "2018-07-01",
            "sku": {
                "name": "[parameters('storageAccountType')]"
            },
            "kind": "StorageV2",
            "properties": {}
        }],
        "outputs": {
            "storageAccountName": {
                "type": "string",
                "value": "[variables('storageAccountName')]"
            }
        }
    }
    
  8. Sayfanın alt kısmındaki Taslağı Kaydet'i seçin.

Bu adım, seçilen yönetim grubunda veya abonelikte şema tanımını oluşturur.

Şema tanımını kaydetme başarılı portal bildirimi görüntülendikten sonra sonraki adıma geçin.

Şema tanımını yayımlama

Şema tanımınız artık ortamınızda oluşturuldu. Taslak modunda oluşturulur ve atanıp dağıtılmadan önce yayımlanması gerekir.

  1. Sol bölmede Tüm hizmetler'i seçin. Şemalar’ı arayıp seçin.

  2. Sol taraftaki Blueprint tanımları sayfasını seçin. Locked-storageaccount şema tanımını bulmak için filtreleri kullanın ve ardından seçin.

  3. Sayfanın üst kısmında Şemayı yayımla’yı seçin. Sağdaki yeni bölmeye Sürüm olarak 1.0 girin. Bu özellik, daha sonra değişiklik yaparsanız kullanışlıdır. Şema dağıtılan kaynakları kilitlemek için yayımlanan ilk sürüm gibi Değişiklik notları girin. Sayfanın alt kısmında Yayımla düğmesini seçin.

Bu adım, şemanın bir aboneliğe atanma işlemini mümkün kılar. Şema tanımı yayımlandıktan sonra da değişiklik yapabilirsiniz. Değişiklik yaparsanız, aynı şema tanımının sürümleri arasındaki farkları izlemek için tanımı yeni bir sürüm değeriyle yayımlamanız gerekir.

Şema tanımı başarılı portal bildirimi görüntülendikten sonra sonraki adıma geçin.

Şema tanımını atama

Şema tanımı yayımlandıktan sonra, bunu kaydettiğiniz yönetim grubundaki bir aboneliğe atayabilirsiniz. Bu adımda, şema tanımının her dağıtımını benzersiz hale getirmek için parametreler sağlarsınız.

  1. Sol bölmede Tüm hizmetler'i seçin. Şemalar’ı arayıp seçin.

  2. Sol taraftaki Blueprint tanımları sayfasını seçin. Locked-storageaccount şema tanımını bulmak için filtreleri kullanın ve ardından seçin.

  3. Şema tanımı sayfasının en üstünde Şema ata’yı seçin.

  4. Şema ataması için parametre değerlerini sağlayın:

    • Temel Bilgiler

      • Abonelikler: Şema tanımınızı kaydettiğiniz yönetim grubunda yer alan aboneliklerden birini veya daha fazlasını seçin. Birden fazla abonelik seçerseniz, girdiğiniz parametreler kullanılarak her abonelik için bir atama oluşturulur.
      • Atama adı: Ad, şema tanımının adına göre önceden doldurulur. Bu atamanın yeni kaynak grubunu kilitlemeyi temsil etmelerini istiyoruz, bu nedenle atama adını assignment-locked-storageaccount-TestingBPLocks olarak değiştirin.
      • Konum: Yönetilen kimliğin oluşturulacağı bölgeyi seçin. Azure Blueprints, atanan şemadaki tüm yapıtları dağıtmak için bu yönetilen kimliği kullanır. Daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler. Bu öğretici için Doğu ABD 2'yi seçin.
      • Şema tanımı sürümü: Şema tanımının yayımlanmış 1.0 sürümünü seçin.
    • Atamayı Kilitle

      Salt Okunur şema kilit modunu seçin. Daha fazla bilgi için bkz. şema kaynağı kilitleme.

      Not

      Bu adım, yeni dağıtılan kaynaklarda Şema kaynak kilidini yapılandırıyor.

    • Yönetilen Kimlik

      Varsayılan seçeneği kullanın: Sistem atandı. Daha fazla bilgi için bkz. yönetilen kimlikler.

    • Yapıt parametreleri

      Bu bölümde tanımlanan parametreler, altında tanımlandığı yapıt için geçerlidir. Şema ataması sırasında tanımlandığından bu parametreler dinamik parametrelerdir . Her yapıt için parametre değerini Değer sütununda gördüğünüz değere ayarlayın.

      Yapıt adı Yapıt türü Parametre adı Değer Açıklama
      RGtoLock kaynak grubu Kaynak grubu Name TestingBPLocks Şema kilitlerinin uygulanacağı yeni kaynak grubunun adını tanımlar.
      RGtoLock kaynak grubu Kaynak grubu Konum Batı ABD 2 Şema kilitlerinin uygulanacağı yeni kaynak grubunun konumunu tanımlar.
      StorageAccount Resource Manager şablonu storageAccountType (StorageAccount) Standard_GRS Depolama SKU'su. Varsayılan değer Standard_LRS.
  5. Tüm parametreleri girdikten sonra sayfanın alt kısmındaki Ata'yı seçin.

Bu adım tanımlı kaynakları dağıtır ve seçilen Atamayı Kilitle'yi yapılandırr. Şema kilitlerinin uygulanması 30 dakika kadar sürebilir.

Şema tanımı atama başarılı portal bildirimi görüntülendiğinde sonraki adıma geçin.

Atama tarafından dağıtılan kaynakları inceleme

Atama, TestingBPLocks kaynak grubunu ve ARM şablonu yapıtı tarafından dağıtılan depolama hesabını oluşturur. Yeni kaynak grubu ve seçilen kilit durumu atama ayrıntıları sayfasında gösterilir.

  1. Sol bölmede Tüm hizmetler'i seçin. Şemalar’ı arayıp seçin.

  2. Soldaki Atanan şemalar sayfasını seçin. Assignment-locked-storageaccount-TestingBPLocks şema atamasını bulmak için filtreleri kullanın ve ardından seçin.

    Bu sayfada, atamanın başarılı olduğunu ve kaynakların yeni şema kilit durumuyla dağıtıldığını görebiliriz. Atama güncelleştirildiyse, Atama işlemi açılan listesinde her tanım sürümünün dağıtımıyla ilgili ayrıntılar gösterilir. Özellik sayfasını açmak için kaynak grubunu seçebilirsiniz.

  3. TestingBPLocks kaynak grubunu seçin.

  4. Soldaki Erişim denetimi (IAM) sayfasını seçin. Ardından Rol atamaları sekmesini seçin.

    Burada assignment-locked-storageaccount-TestingBPLocks şema atamasının Sahip rolüne sahip olduğunu görüyoruz. Bu rol, kaynak grubunu dağıtmak ve kilitlemek için kullanıldığından bu role sahiptir.

  5. Atamaları reddet sekmesini seçin.

    Şema ataması, Salt Okunur şema kilit modunu zorunlu kılmak için dağıtılan kaynak grubunda bir reddetme ataması oluşturdu. Reddetme ataması , Rol atamaları sekmesinde uygun haklara sahip birinin belirli eylemleri gerçekleştirmesini engeller. Reddetme ataması Tüm sorumluları etkiler.

    Sorumluları reddetme atamasından dışlama hakkında bilgi için bkz. şema kaynak kilitleme.

  6. Reddetme atamasını seçin ve ardından soldaki Reddedilen İzinler sayfasını seçin.

    Reddetme ataması ve Eylem yapılandırmasıyla * tüm işlemleri engelliyor, ancak NotActions aracılığıyla */okuma hariç tutarak okuma erişimine izin veriyor.

  7. Azure portal içerik haritasında TestingBPLocks - Erişim denetimi (IAM) öğesini seçin. Ardından soldaki Genel Bakış sayfasını ve ardından Kaynak grubunu sil düğmesini seçin. Silme işlemini onaylamak için TestingBPLocks adını girin ve bölmenin altındaki Sil'i seçin.

    TestBPLocks başarısız olan kaynak grubunu sil portal bildirimi görüntülenir. Hata, hesabınızın kaynak grubunu silme izni olmasına rağmen şema ataması tarafından erişimin reddedildiğini belirtir. Şema ataması sırasında Salt Okunur şema kilitleme modunu seçtiğimizi unutmayın. Şema kilidi, sahip bile olsa izinli bir hesabın kaynağı silmesini engeller. Daha fazla bilgi için bkz. şema kaynağı kilitleme.

Bu adımlar, dağıtılan kaynaklarımızın artık kaynakları silme izni olan bir hesaptan bile istenmeyen silmeyi önleyen şema kilitleriyle korunduğunu gösterir.

Şemanın atamasını kaldırma

Son adım şema tanımının atamasını kaldırmaktır. Atamanın kaldırılması ilişkili yapıtları kaldırmaz.

  1. Sol bölmede Tüm hizmetler'i seçin. Şemalar’ı arayıp seçin.

  2. Soldaki Atanan şemalar sayfasını seçin. Assignment-locked-storageaccount-TestingBPLocks şema atamasını bulmak için filtreleri kullanın ve ardından seçin.

  3. Sayfanın üst kısmındaki Şema atamasını kaldır'ı seçin. Onay iletişim kutusundaki uyarıyı okuyun ve tamam'ı seçin.

    Şema ataması kaldırıldığında şema kilitleri de kaldırılır. Kaynaklar bir kez daha uygun izinlere sahip bir hesap tarafından silinebilir.

  4. Azure menüsünden Kaynak grupları'nı ve ardından TestingBPLocks'u seçin.

  5. Soldaki Erişim denetimi (IAM) sayfasını ve ardından Rol atamaları sekmesini seçin.

Kaynak grubunun güvenliği şema atamasının artık Sahip erişimi olmadığını gösterir.

Şema ataması kaldırılıyor başarılı portal bildirimi görüntülendikten sonra sonraki adıma geçin.

Kaynakları temizleme

Bu öğreticiyi tamamladığınızda şu kaynakları silin:

  • Kaynak grubu TestingBPLocks
  • Şema tanımı locked-storageaccount

Sonraki adımlar

Bu öğreticide, Azure Blueprints ile dağıtılan yeni kaynakları korumayı öğrendiniz. Azure Blueprints hakkında daha fazla bilgi edinmek için şema yaşam döngüsü makalesine geçin.