使用管理鎖管理Azure資源

很多客戶一直在想提高其Azure訂閱的安全性。想保護(hù)一些資源免遭意外刪除，比如，NSG的規(guī)則不會被意外的更改。為了實(shí)現(xiàn)這一點(diǎn)，我們一般會推薦他們使用Azure管理鎖。Azure管理鎖有兩種不同的級別，分別為“Read-Only”和“Delete”。

CanNotDelete（Delete）: 是指授權(quán)用戶仍然具有對資源的讀取和修改訪問權(quán)限，但無法刪除資源。(這取決于用戶的角色)

Read-Only（Read-Only）：指授權(quán)用戶只能讀取資源。他們將不能修改或刪除資源。此鎖類似于將所有授權(quán)用戶限制為Reader角色。

我們可以在訂閱級別、資源組級別或單個資源上應(yīng)用鎖。如果在訂閱級別設(shè)置了鎖，訂閱中的所有資源(包括稍后添加的資源)都繼承相同的鎖。資源組級別也是如此。

說到這里可能就會有朋友要問什么角色可以創(chuàng)建或刪除資源鎖：要創(chuàng)建或刪除管理鎖，我們必須具有訪問權(quán)限Microsoft.Authorization/*或Microsoft.Authorization/locks/*操作權(quán)限。在內(nèi)置角色中，只有所有者和用戶訪問管理員被授予這些操作。

創(chuàng)建資源鎖的方式有很多，可以在使用ARM模板創(chuàng)建資源時創(chuàng)建鎖，也可以使用Azure 門戶或PowerShell創(chuàng)建鎖。下面我將向大家展示Portal方法和PowerShell方法。

使用Azure Portal創(chuàng)建資源鎖：

導(dǎo)航到要添加鎖定的資源，資源組或訂閱。在“設(shè)置”刀片下點(diǎn)擊“鎖”：

點(diǎn)擊“添加”：

鍵入“鎖定名”稱并選擇鎖定級別（刪除或只讀），輸入說明。然后單擊確定。

創(chuàng)建完成以后如下圖所示：

如果要刪除鎖定，可以單擊省略號“...”并單擊選項(xiàng)中的“刪除”：

使用PowerShell創(chuàng)建資源鎖

要鎖定資源組，可以使用以下cmdlet。只要確保您更改頂部的變量以匹配資源即可。我們還可以將Lock Level更改為Read-Only

$LockName = "DemoLock"

$RGName ="PBI-RG"

New-AzureRmResourceLock -LockName $LockName -LockLevel CanNotDelete -ResourceGroupName $RGName

可以使用以下cmdlet刪除資源組上的鎖。

聊了這么多相信大家已經(jīng)知道了什么是資源鎖，以及如何使用PowerShell和門戶創(chuàng)建和刪除它們。通過使用鎖，我們可以設(shè)置額外的防護(hù)，以防止意外或惡意更改/刪除Azure資源。