Oktatóanyag: Új erőforrások védelme Az Azure Blueprints erőforrás-zárolásaival

Az Azure Blueprints erőforrás-zárolásaival megvédheti az újonnan üzembe helyezett erőforrásokat a tulajdonosi szerepkörrel rendelkező fiókoktól is. Ezt a védelmet az Azure Resource Manager-sablon (ARM-sablon) összetevő által létrehozott erőforrások tervdefinícióiban adhatja hozzá. A terv erőforrás-zárolása a terv hozzárendelése során van beállítva.

Ebben az oktatóanyagban az alábbi lépéseket fogja elvégezni:

Előfeltételek

Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.

Tervdefiníció létrehozása

Először hozza létre a tervdefiníciót.

1. A bal oldali panelen válassza a Minden szolgáltatás lehetőséget. Keresse meg és válassza ki a Tervek elemet.

2. A bal oldali Első lépések lapon válassza a Létrehozás lehetőséget a Terv létrehozása területen.

3. Keresse meg az Üres terv tervmintát az oldal tetején. Válassza a Kezdés üres tervvel lehetőséget.

4. Adja meg ezeket az információkat az Alapvető beállítások lapon:

   • Terv neve: Adja meg a tervminta másolatának nevét. Ebben az oktatóanyagban a locked-storageaccount nevet fogjuk használni.
   • Terv leírása: Adja meg a tervdefiníció leírását. Az üzembe helyezett erőforrások terverőforrás-zárolásának teszteléséhez használható.
   • Definíció helye: Válassza a három pont (...) gombot, majd válassza ki a felügyeleti csoportot vagy előfizetést a tervdefiníció mentéséhez.

5. Válassza a lap tetején az Összetevők lapot, vagy válassza a Tovább: Összetevők lehetőséget az oldal alján.

6. Adjon hozzá egy erőforráscsoportot az előfizetés szintjén:

   1. Válassza az Összetevő hozzáadása sort az Előfizetés területen.
   2. Válassza az Erőforráscsoport lehetőséget az Összetevő típusa területen.
   3. Állítsa az Összetevő megjelenítendő nevétRGtoLock értékre.
   4. Hagyja üresen az Erőforráscsoport neve és a Hely mezőt, de győződjön meg arról, hogy minden tulajdonságnál be van jelölve a jelölőnégyzet, hogy dinamikus paraméterek legyenek.
   5. Válassza a Hozzáadás lehetőséget az összetevő tervhez való hozzáadásához.

7. Sablon hozzáadása az erőforráscsoporthoz:

   1. Válassza az Összetevő hozzáadása sort az RGtoLock bejegyzés alatt.

   2. Válassza az Azure Resource Manager sablont az Összetevő típusa területen, állítsa az Összetevő megjelenítendő nevétStorageAccount értékre, és hagyja üresen a Leírást.

   3. A Sablon lapon illessze be a következő ARM-sablont a szerkesztőmezőbe. Miután beillesztte a sablont, válassza a Hozzáadás lehetőséget az összetevő tervhez való hozzáadásához.

      Megjegyzés

      Ez a lépés határozza meg azokat az üzembe helyezendő erőforrásokat, amelyeket a terverőforrás-zárolás zárol, de nem tartalmazza a terverőforrás-zárolásokat. A terverőforrás-zárolások a tervhozzárendelés paramétereként vannak beállítva.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "storageAccountType": {
               "type": "string",
               "defaultValue": "Standard_LRS",
               "allowedValues": [
                   "Standard_LRS",
                   "Standard_GRS",
                   "Standard_ZRS",
                   "Premium_LRS"
               ],
               "metadata": {
                   "description": "Storage Account type"
               }
           }
       },
       "variables": {
           "storageAccountName": "[concat('store', uniquestring(resourceGroup().id))]"
       },
       "resources": [{
           "type": "Microsoft.Storage/storageAccounts",
           "name": "[variables('storageAccountName')]",
           "location": "[resourceGroup().location]",
           "apiVersion": "2018-07-01",
           "sku": {
               "name": "[parameters('storageAccountType')]"
           },
           "kind": "StorageV2",
           "properties": {}
       }],
       "outputs": {
           "storageAccountName": {
               "type": "string",
               "value": "[variables('storageAccountName')]"
           }
       }
   }
   

8. A lap alján válassza a Piszkozat mentése lehetőséget.

Ez a lépés létrehozza a tervdefiníciót a kiválasztott felügyeleti csoportban vagy előfizetésben.

Miután megjelenik a Tervdefiníció mentése sikeres portálértesítés, folytassa a következő lépéssel.

A tervdefiníció közzététele

A tervdefiníció már létre lett hozva a környezetben. Piszkozat módban lett létrehozva, és közzé kell tenni, mielőtt hozzárendelhető és üzembe helyezhető.

1. A bal oldali panelen válassza a Minden szolgáltatás lehetőséget. Keresse meg és válassza ki a Tervek elemet.

2. Válassza a bal oldali Tervdefiníciók oldalt. A szűrőkkel keresse meg a locked-storageaccount tervdefiníciót, majd jelölje ki.

3. Válassza ki az oldal tetején található Terv közzététele lehetőséget. A jobb oldali új panelen adja meg az 1.0-sverziót. Ez a tulajdonság akkor hasznos, ha később módosítást fog végezni. Írja be a Change notes (Megjegyzések módosítása) kifejezést, például az első közzétett verziót a tervben üzembe helyezett erőforrások zárolásához. Ezután válassza a lap alján található Közzététel lehetőséget.

Ez a lépés lehetővé teszi a terv előfizetéshez rendelését. A tervdefiníció közzététele után is végezhet módosításokat. Ha módosításokat hajt végre, közzé kell tennie a definíciót egy új verzióértékkel az ugyanazon tervdefiníció verziói közötti különbségek nyomon követéséhez.

Miután megjelenik a Közzétételi tervdefiníció sikeres portálértesítés, folytassa a következő lépéssel.

A tervdefiníció hozzárendelése

A tervdefiníció közzététele után hozzárendelheti egy előfizetéshez abban a felügyeleti csoportban, ahová mentette. Ebben a lépésben paramétereket ad meg, hogy a tervdefiníció minden üzembe helyezése egyedi legyen.

1. A bal oldali panelen válassza a Minden szolgáltatás lehetőséget. Keresse meg és válassza ki a Tervek elemet.

2. Válassza a bal oldali Tervdefiníciók oldalt. A szűrőkkel keresse meg a locked-storageaccount tervdefiníciót, majd jelölje ki.

3. Válassza ki a Tervdefiníció oldal tetején található Terv hozzárendelése lehetőséget.

4. Adja meg a tervhozzárendelés paraméterértékeit:

   • Alapvető beállítások

     • Előfizetések: Válasszon ki egy vagy több olyan előfizetést, amely abban a felügyeleti csoportban található, amelybe mentette a tervdefiníciót. Ha egynél több előfizetést választ ki, minden előfizetéshez létrejön egy hozzárendelés a megadott paraméterekkel.
     • Hozzárendelés neve: A név előre ki van töltve a tervdefiníció neve alapján. Azt szeretnénk, hogy ez a hozzárendelés az új erőforráscsoport zárolását jelképezze, ezért módosítsa a hozzárendelés nevét a assignment-locked-storageaccount-TestingBPLocks értékre.
     • Hely: Válassza ki azt a régiót, amelyben létre szeretné hozni a felügyelt identitást. Az Azure Blueprints ezt a felügyelt identitást használja a hozzárendelt terv összes összetevőjének üzembe helyezéséhez. További információ: Felügyelt identitások az Azure-erőforrásokhoz. Ebben az oktatóanyagban válassza az USA 2. keleti régiója lehetőséget.
     • Tervdefiníció verziója: Válassza ki a tervdefiníció közzétett 1.0-s verzióját.

   • Hozzárendelés zárolása

     Válassza az Írásvédett terv zárolási módját. További információkat talál a terv-erőforrások zárolásáról szóló cikkben.

     Megjegyzés

     Ez a lépés konfigurálja az újonnan üzembe helyezett erőforrások terverőforrás-zárolását.

   • Felügyelt identitás

     Használja az alapértelmezett beállítást: Rendszer hozzárendelve. További információ: Felügyelt identitások.

   • Összetevő paraméterei

     Az ebben a szakaszban meghatározott paraméterek arra az összetevőre vonatkoznak, amely alatt definiálva vannak. Ezek a paraméterek dinamikus paraméterek , mert a terv hozzárendelése során vannak definiálva. Minden összetevőnél állítsa a paraméter értékét az Érték oszlopban látható értékre.

     Összetevő neve	Összetevő típusa	Paraméter neve	Érték	Leírás
     RGtoLock-erőforráscsoport	Erőforráscsoport	Name	TestingBPLocks	Meghatározza annak az új erőforráscsoportnak a nevét, amelyre tervzárolást szeretne alkalmazni.
     RGtoLock-erőforráscsoport	Erőforráscsoport	Hely	USA 2. nyugati régiója	Meghatározza annak az új erőforráscsoportnak a helyét, ahol a tervzárolások alkalmazhatók.
     StorageAccount	Resource Manager-sablon	storageAccountType (StorageAccount)	Standard_GRS	A tárolási termékváltozat. Az alapértelmezett érték Standard_LRS.

5. Miután megadta az összes paramétert, válassza a hozzárendelés lehetőséget a lap alján.

Ez a lépés üzembe helyezi a definiált erőforrásokat, és konfigurálja a kiválasztott zárolási hozzárendelést. A tervzárolások alkalmazása akár 30 percet is igénybe vehet.

Miután megjelenik a Tervdefiníció hozzárendelése sikeres portálértesítés, lépjen a következő lépésre.

A hozzárendelés által üzembe helyezett erőforrások vizsgálata

A hozzárendelés létrehozza a TestingBPLocks erőforráscsoportot és az ARM-sablonösszetevő által üzembe helyezett tárfiókot. Az új erőforráscsoport és a kiválasztott zárolási állapot megjelenik a hozzárendelés részleteinek oldalán.

1. A bal oldali panelen válassza a Minden szolgáltatás lehetőséget. Keresse meg és válassza ki a Tervek elemet.

2. Válassza a bal oldalon a Hozzárendelt tervek lapot. A szűrőkkel keresse meg a assignment-locked-storageaccount-TestingBPLocks tervhozzárendelést, majd jelölje ki.

   Ezen a lapon láthatjuk, hogy a hozzárendelés sikeres volt, és hogy az erőforrások az új tervzárolási állapottal lettek üzembe helyezve. Ha a hozzárendelés frissítve van, a Hozzárendelési művelet legördülő lista az egyes definícióverziók telepítésének részleteit jeleníti meg. A tulajdonságlap megnyitásához válassza ki az erőforráscsoportot.

3. Válassza a TestingBPLocks erőforráscsoportot.

4. Válassza a bal oldalon a Hozzáférés-vezérlés (IAM) lapot. Ezután válassza a Szerepkör-hozzárendelések lapot.

   Itt látható, hogy a assignment-locked-storageaccount-TestingBPLocks tervhozzárendelés tulajdonosi szerepkörrel rendelkezik. Ez a szerepkör azért van benne, mert ezzel a szerepkörrel helyezték üzembe és zárolták az erőforráscsoportot.

5. Válassza a Hozzárendelések megtagadása lapot.

   A terv-hozzárendelés megtagadási hozzárendelést hozott létre az üzembe helyezett erőforráscsoporton az Írásvédett terv zárolási módjának kényszerítéséhez. A megtagadási hozzárendelés megakadályozza, hogy a Szerepkör-hozzárendelések lapon megfelelő jogosultságokkal rendelkező személyek konkrét műveleteket hajtanak végre. A megtagadási hozzárendelés minden résztvevőre hatással van.

   A rendszerbiztonsági tag megtagadási hozzárendelésből való kizárásáról további információt a tervek erőforrás-zárolását ismertető cikkben talál.

6. Válassza ki a megtagadási hozzárendelést, majd a bal oldalon válassza a Megtagadott engedélyek lapot.

   A megtagadási hozzárendelés megakadályozza a és a *Művelet konfigurációjú összes műveletet, de lehetővé teszi az olvasási hozzáférést a */olvasásNotActions használatával történő kizárásával.

7. A Azure Portal útválasztási területen válassza a TestingBPLocks – Hozzáférés-vezérlés (IAM) lehetőséget. Ezután válassza a bal oldalon az Áttekintés lapot, majd az Erőforráscsoport törlése gombot. Írja be a TestingBPLocks nevet a törlés megerősítéséhez, majd válassza a Törlés lehetőséget a panel alján.

   Megjelenik a Portálon a Sikertelen tesztBPLocks erőforráscsoport törlése értesítés. A hiba azt jelzi, hogy bár a fiókja rendelkezik engedéllyel az erőforráscsoport törléséhez, a tervhozzárendelés megtagadja a hozzáférést. Ne feledje, hogy a tervhozzárendelés során az Írásvédett tervzárolási módot választottuk. A tervzárolás megakadályozza, hogy egy engedéllyel rendelkező fiók , még a Tulajdonos is törölje az erőforrást. További információkat talál a terv-erőforrások zárolásáról szóló cikkben.

Ezek a lépések azt mutatják, hogy az üzembe helyezett erőforrásokat mostantól olyan tervzárolások védik, amelyek megakadályozzák a nem kívánt törlést, még olyan fiókból is, amely rendelkezik engedéllyel az erőforrások törléséhez.

A terv hozzárendelésének megszüntetése

Az utolsó lépés a tervdefiníció hozzárendelésének eltávolítása. A hozzárendelés eltávolítása nem távolítja el a társított összetevőket.

1. A bal oldali panelen válassza a Minden szolgáltatás lehetőséget. Keresse meg és válassza ki a Tervek elemet.

2. Válassza a bal oldalon a Hozzárendelt tervek lapot. A szűrőkkel keresse meg a assignment-locked-storageaccount-TestingBPLocks tervhozzárendelést, majd jelölje ki.

3. Válassza a terv hozzárendelésének megszüntetése lehetőséget az oldal tetején. Olvassa el a figyelmeztetést a megerősítést kérő párbeszédpanelen, majd kattintson az OK gombra.

   A tervhozzárendelés eltávolításakor a tervzárolások is törlődnek. Az erőforrásokat ismét törölheti egy megfelelő engedélyekkel rendelkező fiók.

4. Az Azure menüben válassza az Erőforráscsoportok , majd a TestingBPLocks lehetőséget.

5. Válassza a bal oldalon a Hozzáférés-vezérlés (IAM) lapot, majd a Szerepkör-hozzárendelések lapot.

Az erőforráscsoport biztonsága azt mutatja, hogy a tervhozzárendelés már nem rendelkezik tulajdonosi hozzáféréssel.

Miután megjelenik a Terv-hozzárendelés eltávolítása sikeres portálértesítés, lépjen a következő lépésre.

Az erőforrások eltávolítása

Ha végzett az oktatóanyaggal, törölje az alábbi erőforrásokat:

• Erőforráscsoport teszteléseBPLocks
• Tervdefiníció zárolt tárfiókja

Következő lépések

Ebben az oktatóanyagban megtanulta, hogyan védheti meg az Azure Blueprints használatával üzembe helyezett új erőforrásokat. Ha többet szeretne megtudni az Azure Blueprintsről, folytassa a terv életciklusával foglalkozó cikkben.