Opis przeznaczenia blokad zasobów

  • 3 min

Blokada zasobów zapobiega przypadkowemu usunięciu lub zmianie zasobów.

Nawet po zastosowaniu zasad kontroli dostępu opartej na rolach platformy Azure nadal istnieje ryzyko, że osoby mające odpowiedni poziom dostępu mogą usunąć krytyczne zasoby w chmurze. Blokady zasobów uniemożliwiają usunięcie lub zaktualizowanie zasobów w zależności od typu blokady. Blokady zasobów można stosować do poszczególnych zasobów, grup zasobów, a nawet całej subskrypcji. Blokady zasobów są dziedziczone, co oznacza, że w przypadku umieszczenia blokady zasobów w grupie zasobów wszystkie zasoby w grupie zasobów również będą miały zastosowaną blokadę zasobu.

Typy blokad zasobów

Istnieją dwa typy blokad zasobów, które uniemożliwiają użytkownikom usuwanie i jeden, który uniemożliwia użytkownikom zmianę lub usunięcie zasobu.

  • Usunięcie oznacza, że autoryzowani użytkownicy nadal mogą odczytywać i modyfikować zasób, ale nie mogą usunąć zasobu.
  • ReadOnly oznacza, że autoryzowani użytkownicy mogą odczytywać zasób, ale nie mogą go usunąć ani zaktualizować. Zastosowanie tej blokady przypomina ograniczenie wszystkich użytkowników autoryzowanych do uprawnień przyznanych przez rolę Czytelnik.

Jak mogę zarządzać blokadami zasobów?

Blokadami zasobów można zarządzać z poziomu witryny Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Azure Resource Manager.

Aby wyświetlić, dodać lub usunąć blokady w witrynie Azure Portal, przejdź do sekcji Ustawienia w okienku Ustawienia dowolnego zasobu w witrynie Azure Portal.

Zrzut ekranu przedstawiający kontrolkę blokady zasobów w obszarze ustawienia dla konta magazynu.

Jak mogę usunąć lub zmienić zablokowany zasób?

Blokowanie pomaga zapobiegać przypadkowym zmianom, można jednak nadal wprowadzać zmiany, stosując proces dwuetapowy.

Aby zmodyfikować zablokowany zasób, należy najpierw usunąć blokadę. Po usunięciu blokady możesz zastosować dowolną akcję, do której masz uprawnienia. Blokady zasobu stosują się niezależnie od uprawnień RBAC. Nawet jeśli jesteś właścicielem zasobu, musisz najpierw usunąć blokadę, aby móc wykonać zablokowane działanie.