描述资源锁的用途
资源锁可防止意外删除或更改资源。
即使部署了 Azure 基于角色的访问控制 (Azure RBAC) 策略,也仍然存在关键云资源被具有适当访问权限级别的人员删除的风险。 资源锁可防止删除或更新资源,具体取决于锁的类型。 资源锁可应用于单个资源、资源组,甚至是整个订阅。 资源锁是继承的,这意味着如果在资源组上放置一个资源锁,则资源组内的所有资源也将应用该资源锁。
资源锁类型
资源锁有两种类型,一种防止用户删除,另一种防止用户更改或删除资源。
- 删除表示授权用户仍然可以读取和修改资源,但不能删除资源。
- ReadOnly 意味着经授权的用户可以读取资源,但不能删除或更新资源。 应用此锁类似于将所有经授权的用户限制于“读者”角色授予的权限。
如何管理资源锁?
你可以通过 Azure 门户、PowerShell、Azure CLI 或 Azure 资源管理器模板管理资源锁。
要在 Azure 门户中查看、添加或删除锁,请在 Azure 门户中任意资源的“设置”窗格上,转到“设置”部分。
如何删除或更改锁定的资源?
虽然锁定有助于防止意外更改,但你仍可通过两个步骤进行更改。
若要修改锁定的资源,必须先删除锁。 删除锁后,就可以应用有权执行的任何操作。 无论 RBAC 权限如何,资源锁都适用。 即使你是资源的所有者,也必须先删除锁,才能执行受阻止的活动。