Depolama hesabına Azure Resource Manager kilidi uygulama

Microsoft, depolama hesabının yanlışlıkla veya kötü amaçlı silinmesini önlemek için tüm depolama hesaplarınızı bir Azure Resource Manager kilidiyle kilitlemenizi önerir. İki tür Azure Resource Manager kaynak kilidi vardır:

• CannotDelete kilidi kullanıcıların depolama hesabını silmesini engeller, ancak okuma ve yapılandırmayı değiştirme izni verir.
• ReadOnly kilidi, kullanıcıların depolama hesabını silmesini veya yapılandırmasını değiştirmesini engeller, ancak yapılandırmayı okumaya izin verir.

Azure Resource Manager kilitleri hakkında daha fazla bilgi için bkz . Değişiklikleri önlemek için kaynakları kilitleme.

Dikkat

Depolama hesabını kilitlemek, bu hesaptaki kapsayıcıların veya blobların silinmesini veya üzerine yazılmasını korumaz. Blob verilerini koruma hakkında daha fazla bilgi için bkz . Veri korumasına genel bakış.

Azure Resource Manager kilidini yapılandırma

Azure portalı

Azure portalı ile depolama hesabında kilit yapılandırmak için şu adımları izleyin:

1. Azure portalda depolama hesabınıza gidin.

2. Ayarlar bölümünün altında Kilitler'i seçin.

3. Ekle'yi seçin.

4. Kaynak kilidi için bir ad belirtin ve kilit türünü belirtin. İsterseniz kilit hakkında bir not ekleyin.

   

PowerShell

PowerShell ile depolama hesabında kilit yapılandırmak için önce Az PowerShell modülünü yüklediğinizden emin olun. Ardından, New-AzResourceLock komutunu çağırın ve aşağıdaki örnekte gösterildiği gibi oluşturmak istediğiniz kilit türünü belirtin:

New-AzResourceLock -LockLevel CanNotDelete `
    -LockName <lock> `
    -ResourceName <storage-account> `
    -ResourceType Microsoft.Storage/storageAccounts `
    -ResourceGroupName <resource-group>

Azure CLI

Azure CLI ile bir depolama hesabında kilit yapılandırmak için az lock create komutunu çağırın ve aşağıdaki örnekte gösterildiği gibi oluşturmak istediğiniz kilit türünü belirtin:

az lock create \
    --name <lock> \
    --resource-group <resource-group> \
    --resource <storage-account> \
    --lock-type CanNotDelete \
    --resource-type Microsoft.Storage/storageAccounts

ReadOnly kilidi etkinken veri işlemlerini yetkilendirme

Depolama hesabına ReadOnly kilidi uygulandığında, söz konusu depolama hesabı için Liste Anahtarları işlemi engellenir. Liste Anahtarları işlemi bir HTTPS POST işlemidir ve hesap için ReadOnly kilidi yapılandırıldığında tüm POST işlemleri engellenir. Liste Anahtarları işlemi hesap erişim anahtarlarını döndürür. Bu anahtarlar, depolama hesabındaki tüm verileri okumak ve yazmak için kullanılabilir.

Bir istemci, depolama hesabına kilit uygulandığı sırada hesap erişim anahtarlarına sahipse, bu istemci verilere erişmek için anahtarları kullanmaya devam edebilir. Ancak anahtarlara erişimi olmayan istemcilerin depolama hesabındaki blob veya kuyruk verilerine erişmek için Microsoft Entra kimlik bilgilerini kullanması gerekir.

Azure portalı kullanıcıları, hesap erişim anahtarlarıyla portalda bloba veya kuyruk verilerine daha önce erişmişlerse ReadOnly kilidi uygulandığında etkilenebilir. Kilit uygulandıktan sonra portal kullanıcılarının portaldaki blob veya kuyruk verilerine erişmek için Microsoft Entra kimlik bilgilerini kullanması gerekir. Bunu yapmak için, kullanıcının kendisine atanmış en az iki RBAC rolü olmalıdır: Azure Resource Manager Okuyucusu rolü en az ve Azure Depolama veri erişimi rollerinden biri. Daha fazla bilgi için aşağıdaki makalelerden birine bakın:

• Azure portalında blob verilerine erişimi yetkilendirmeyi seçme
• Azure portalında kuyruk verilerine erişimi yetkilendirmeyi seçme

Azure Dosyalar veya Tablo hizmetindeki verilere daha önce hesap anahtarlarıyla erişen istemciler erişilemez hale gelebilir. En iyi uygulama olarak, depolama hesabına ReadOnly kilidi uygulamanız gerekiyorsa, Azure Dosyalar ve Tablo hizmeti iş yüklerinizi ReadOnly kilidiyle kilitlenmemiş bir depolama hesabına taşıyın.

Sonraki adımlar

• Veri korumaya genel bakış
• Değişiklikleri önlemek için kaynakları kilitleme