Como administrador, você pode bloquear uma assinatura, um grupo de recursos ou um recurso para impedir que outros usuários em sua organização excluam ou modifiquem acidentalmente recursos críticos. O bloqueio substitui todas as permissões que o usuário possa ter.
O que é o Resource Lock?
O Azure Resource Lock tem a função de proteger os grupos de recursos e recursos de remoção acidental, bloqueando a alteração desdes de duas maneiras: “CanNotDelete” e “ReadOnly“.
- CanNotDelete significa que os usuários autorizados ainda poderão ler e modificar um recurso, mas não poderão excluir o recurso.
- ReadOnly significa que os usuários autorizados poderão ler um recurso, mas não poderão excluir ou atualizar o recurso. Aplicar esse bloqueio é semelhante ao restringir todos os usuários autorizados para as permissões concedidas pela função Leitor.
Quando você aplica um bloqueio a um escopo pai, todos os recursos filho herdam o mesmo bloqueio. Até mesmo os recursos que você adiciona posteriormente herdam o bloqueio do pai. O bloqueio mais restritivo na herança terá precedência.
Cenário:
Em nosso ambiente temos um grupo recursos chamado RG-Dev e uma máquina virtual chamada VM-Dev-01.
Criando um Lock read-only
01 – Selecione a máquina virtual que deseja configura o Lock, na máquina virtual VM-Dev-01 em Settings clique em Locks.
02 – Na tela Locks, clique em + Add.
Nessa tela podemos selecionar se o lock será para o recurso (VM-Dev-01), Resource Group (RG-Dev) ou para a Subscription.
Em nosso caso vamos habilitar apenas para o recurso VM-Dev-01
03 – Selecione o nome para o lock, em Lock type selecione Read-only e clique em OK.
Estamos impedindo que alterações sejam realizadas para a maquina virtual VM-Dev-01.
04 – Como podemos observar o lock foi criado com sucesso.
Testando o Lock read-only
Para testarmos a funcionalidade do lock read-only vamos tentar alterar o tamanho da maquina virtual e deletar.
05 – Na máquina virtual VM-Dev-01, em Settings clique em Size.
06 – Na tela Size, selecione o VM Size DS1_v2 e clique em Resize.
07 – Como podemos observar foi retornado uma mensagem de erro informado que não podemos alterar o tamanho da VM porque tem um lock.
08 – Vamos tentar deletar a máquina virtual, clique em Overview e Delete.
09 – Na tela Delete virtual machine, clique em OK.
10 – Como era de se esperar não conseguimos deletar a máquina virtual porque temos um lock read-only configurado.
Remover o Lock read-only
11 – Selecione a máquina virtual VM-Dev-01, em Settings clique em Locks.
12 – Selecione o lock e clique em Delete.
13 – Como podemos observar o lock foi deletado.
Criando um Lock Delete
Vamos criar o lock delete para o grupo de recursos RG-Dev, por padrão todos os recursos que estão no grupo de recursos RG-Dev herdaram o lock delete.
14 – Na tela Resource groups, selecione o resource group RG-Dev.
15 – Na tela RG-Dev, em Settings clique em Locks.
16 – Na tela Locks, clique em + Add.
Nessa tela podemos adicionar o lock para o Resource Group (RG-Dev) ou para a Subscription.
17 – Selecione o nome para o lock, em Lock type selecione Delete e clique em OK.
Estamos impedindo que o grupo de recursos RG-Dev e todos os recursos associados sejam deletados.
18 – Como podemos observar o lock foi criado com sucesso.
19 – Seleciona a máquina virtual VM-Dev-01, em Settings clique em Locks.
Observe que estamos herdando o Lock-RG-Dev do grupo de recursos RG-Dev, como é ilustrado não podemos fazer alteração do lock na VM.
Testando o Lock Delete
Para testarmos a funcionalidade do lock Delete vamos tentar deletar a máquina virtual VM-Dev-01 e o grupo de recursos RG-Dev
20 – No grupo de recursos Rg-dev, selecione a máquina virtual VM-Dev-01 e clique em Delete.
21 – Na tela de confirmação de exclusão do recursos digite yes e clique em Delete.
22 – Como era de se esperar não conseguimos deletar a máquina virtual porque temos um lock delete configurado.
23 – Vamos tentar deletar o grupo de recursos com todos os recursos, no grupo de recursos RG-Dev clique em Delete resource group.
24 – Para deletar o grupo de recursos e todos os recursos e necessário fornecer o nome do grupo de recursos em seguida clique em Delete.
25 – Como era de se esperar não conseguimos deletar o grupo recursos temos um lock delete configurado.
Remover o Lock Delete
26 – Selecione o grupo de recursos RG-Dev, em Settings clique em Locks.
27 – Clique em Delete para deletar o Lock-RG-Dev.
28 – Como podemos observar o lock foi deletado.
Deletar o grupo de recursos RG-Dev
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.