溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
很多客戶一直在想提高其Azure訂閱的安全性。想保護一些資源免遭意外刪除,比如,NSG的規則不會被意外的更改。為了實現這一點,我們一般會推薦他們使用Azure管理鎖。Azure管理鎖有兩種不同的級別,分別為“Read-Only”和“Delete”。
CanNotDelete(Delete): 是指授權用戶仍然具有對資源的讀取和修改訪問權限,但無法刪除資源。(這取決于用戶的角色)
Read-Only(Read-Only):指授權用戶只能讀取資源。他們將不能修改或刪除資源。此鎖類似于將所有授權用戶限制為Reader角色。
我們可以在訂閱級別、資源組級別或單個資源上應用鎖。如果在訂閱級別設置了鎖,訂閱中的所有資源(包括稍后添加的資源)都繼承相同的鎖。資源組級別也是如此。
說到這里可能就會有朋友要問什么角色可以創建或刪除資源鎖:要創建或刪除管理鎖,我們必須具有訪問權限Microsoft.Authorization/*或Microsoft.Authorization/locks/*操作權限。在內置角色中,只有所有者和用戶訪問管理員被授予這些操作。
創建資源鎖的方式有很多,可以在使用ARM模板創建資源時創建鎖,也可以使用Azure 門戶或PowerShell創建鎖。下面我將向大家展示Portal方法和PowerShell方法。
使用Azure Portal創建資源鎖:
導航到要添加鎖定的資源,資源組或訂閱。在“設置”刀片下點擊“鎖”:
點擊“添加”:
鍵入“鎖定名”稱并選擇鎖定級別(刪除或只讀),輸入說明。然后單擊確定。
創建完成以后如下圖所示:
如果要刪除鎖定,可以單擊省略號“...”并單擊選項中的“刪除”:
使用PowerShell創建資源鎖
要鎖定資源組,可以使用以下cmdlet。只要確保您更改頂部的變量以匹配資源即可。我們還可以將Lock Level更改為Read-Only
$LockName = "DemoLock"
$RGName ="PBI-RG"
New-AzureRmResourceLock -LockName $LockName -LockLevel CanNotDelete -ResourceGroupName $RGName
可以使用以下cmdlet刪除資源組上的鎖。
聊了這么多相信大家已經知道了什么是資源鎖,以及如何使用PowerShell和門戶創建和刪除它們。通過使用鎖,我們可以設置額外的防護,以防止意外或惡意更改/刪除Azure資源。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
