1K
Bloqueos de recursos de Azure Permita que los administradores protejan los recursos en los grupos de recursos de Azure de cambios o eliminaciones accidentales. Puede bloquear casi todos los tipos de recursos de Azure: máquinas virtuales, aplicaciones web, cuentas de almacenamiento, bases de datos, instancias de Azure Kubernetes Service (AKS), redes virtuales, etc. En este artículo, queremos mostrarle cómo usar Azure Resource Locks en Administrador de recursos de Azure. Puede agregar o eliminar bloqueos de recursos de Azure a través de Azure Portal, mediante PowerShell o la CLI de Azure.
Puede establecer dos tipos de bloqueos con Azure Resource Locks:
- Solo lectura — los usuarios pueden leer el recurso pero no pueden editar sus atributos ni eliminarlo;
- No se puede borrar — los usuarios pueden leer y modificar el recurso, pero no pueden eliminarlo.
Los bloqueos de recursos se pueden asignar en diferentes niveles en la jerarquía de recursos de Azure.
- Suscripción;
- grupo de recursos;
- Recurso.
Tenga en cuenta que los bloqueos se heredan en todos los objetos secundarios. El bloqueo más restrictivo tendrá prioridad.
Nota.
-
De forma predeterminada, los bloqueos pueden ser asignados por el Propietario o los administradores (con un Administrador de acceso de usuario role);
-
Los bloqueos de Azure solo afectan a los objetos de Azure, no a los datos que contienen;
-
A diferencia de RBAC, los bloqueos de Azure se aplican a todos los usuarios y roles.
Habilite Azure Resource Lock a través de Azure Portal
- En las propiedades de casi todos los tipos de recursos de Azure en Azure Portal, hay un Cerraduras pestaña. Selecciónalo;
- Haga clic en el Agregar especifique el nombre del bloqueo, el tipo de bloqueo y una pequeña descripción/comentario del bloqueo;
- Guardar cambios;
- El recurso especificado ahora está protegido con Azure Lock.
Nota. Consulte nuestra guía sobre cómo crear una entidad de servicio de Azure y utilizarla.
Ahora veamos cómo bloquear un recurso de Azure mediante PowerShell.
- Inicie sesión en la cuenta de Azure con el comando:
Login-AzAccount
- Si hay varias suscripciones de Azure asociadas con su UserPrincipalName, puede seleccionar la suscripción:
Get-AzSubscription Select-AzSubscription -Subscription "TheITBrosSubs"
- Intentemos habilitar el bloqueo para la máquina virtual de Azure. Primero, necesita obtener el tipo de objeto Azure:
Find-AzureResource -ResourceNameContains MyTestVM
En este ejemplo, obtuvimos el tipo de este objeto de Azure: Microsoft.Compute/virtualMachines. - Para bloquear este recurso, debe especificar el nombre de bloqueo, el nombre del recurso, el grupo de recursos y el tipo de recurso:
New-AzureRmResourceLock –LockName LockDeleteMyTestVM -LockLevel CanNotDelete –-ResourceGroupName HQ-TEST-RG -ResourceName MyTestVM –ResourceType Microsoft.Compute/virtualMachines
Pista. Si usa la CLI de Azure, puede habilitar el mismo bloqueo de máquina virtual con el comando:
az lock create --name LockDeleteMyTestVM --resource-group HQ-TEST-RG --resource MyTestVM --lock-type CanNotDelete --resource-type Microsoft.Compute/virtualMachines
Ahora, si alguien (incluso un administrador o propietario) intenta eliminar esta máquina virtual, aparecerá un error:
No se pudo eliminar la máquina virtual VMName. Error: ScopeLocked… No se puede realizar la operación de eliminación porque los siguientes ámbitos están bloqueados. Elimina el bloqueo e inténtalo de nuevo.
Para desbloquear la máquina virtual, ejecute el comando:
Remove-AzureRmResourceLock -LockName LockDeleteMyTestVM -ResourceGroupName HQ-TEST-RG -ResourceName MyTestVM –ResourceType Microsoft.Compute/virtualMachines
Puede bloquear todo un grupo de recursos de Azure:
New-AzureRmResourceLock -LockLevel CanNotDelete -LockName LockDelHQTEST-RG -ResourceGroupName HQ-TEST-RG
Enumere todos los bloqueos en su suscripción de Azure:
Get-AzResourceLock
Azure Resource Lock ayudará a proteger sus recursos críticos de la eliminación o modificación accidental.
