Azure Resource Lock – Como impedir que seus recursos sejam alterados ou deletados acidentalmente

Como administrador, você pode bloquear uma assinatura, um grupo de recursos ou um recurso para impedir que outros usuários em sua organização excluam ou modifiquem acidentalmente recursos críticos. O bloqueio substitui todas as permissões que o usuário possa ter.

O que é o Resource Lock?

O Azure Resource Lock tem a função de proteger os grupos de recursos e recursos de remoção acidental, bloqueando a alteração desdes de duas maneiras: “CanNotDelete” e “ReadOnly“.

  • CanNotDelete significa que os usuários autorizados ainda poderão ler e modificar um recurso, mas não poderão excluir o recurso.
  • ReadOnly significa que os usuários autorizados poderão ler um recurso, mas não poderão excluir ou atualizar o recurso. Aplicar esse bloqueio é semelhante ao restringir todos os usuários autorizados para as permissões concedidas pela função Leitor.

Quando você aplica um bloqueio a um escopo pai, todos os recursos filho herdam o mesmo bloqueio. Até mesmo os recursos que você adiciona posteriormente herdam o bloqueio do pai. O bloqueio mais restritivo na herança terá precedência.

Cenário:

Em nosso ambiente temos um grupo recursos chamado RG-Dev e uma máquina virtual chamada VM-Dev-01.

Criando um Lock read-only

01 – Selecione a máquina virtual que deseja configura o Lock, na máquina virtual VM-Dev-01 em Settings clique em Locks.

02 – Na tela Locks, clique em + Add.

Nessa tela podemos selecionar se o lock será para o recurso (VM-Dev-01),  Resource Group (RG-Dev) ou para a Subscription.

Em nosso caso vamos habilitar apenas para o recurso VM-Dev-01

03 – Selecione o nome para o lock, em Lock type selecione Read-only e clique em OK.

Estamos impedindo que alterações sejam realizadas para a maquina virtual VM-Dev-01.

04 – Como podemos observar o lock foi criado com sucesso.

 

Testando o Lock read-only

Para testarmos a funcionalidade do lock read-only vamos tentar alterar o tamanho da maquina virtual e deletar.

05 – Na máquina virtual VM-Dev-01, em Settings clique em Size.

06 – Na tela Size,  selecione o VM Size DS1_v2 e clique em Resize.

07 – Como podemos observar foi retornado uma mensagem de erro informado que não podemos alterar o tamanho da VM porque tem um lock.

08 – Vamos tentar deletar a máquina virtual, clique em Overview e Delete.

09 – Na tela Delete virtual machine, clique em OK.

10 – Como era de se esperar não conseguimos  deletar a máquina virtual porque temos um lock read-only configurado.

Remover o Lock read-only

11 – Selecione a máquina virtual VM-Dev-01, em Settings clique em Locks.

12 – Selecione o lock e clique em Delete.

13 – Como podemos observar o lock foi deletado.

Criando um Lock Delete

Vamos criar o lock delete para o grupo de recursos RG-Dev, por padrão todos os recursos que estão no grupo de recursos RG-Dev herdaram o lock delete.

14 – Na tela Resource groups, selecione o resource group RG-Dev.

15 – Na tela RG-Dev, em Settings clique em Locks.

16 – Na tela Locks, clique em + Add.

Nessa tela podemos adicionar o lock para o Resource Group (RG-Dev) ou para a Subscription.

17 – Selecione o nome para o lock, em Lock type selecione Delete e clique em OK.

Estamos impedindo que o grupo de recursos RG-Dev e todos os recursos associados sejam deletados.

18 – Como podemos observar o lock foi criado com sucesso.

 

19 – Seleciona a máquina virtual VM-Dev-01, em Settings clique em Locks.

Observe que estamos herdando o Lock-RG-Dev do grupo de recursos RG-Dev, como é ilustrado não podemos fazer alteração do lock na VM.

 

Testando o Lock Delete

Para testarmos a funcionalidade do lock Delete vamos tentar deletar a máquina virtual VM-Dev-01 e o grupo de recursos RG-Dev

20 – No grupo de recursos Rg-dev, selecione a máquina virtual VM-Dev-01 e clique em Delete.

21 – Na tela de confirmação de exclusão do recursos digite yes e clique em Delete.

22 – Como era de se esperar não conseguimos deletar a máquina virtual porque temos um lock delete configurado.

23 – Vamos tentar deletar o grupo de recursos com todos os recursos, no grupo de recursos RG-Dev clique em Delete resource group.

24 – Para deletar o grupo de recursos e todos os recursos e necessário fornecer o nome do grupo de recursos em seguida clique em Delete.

25 – Como era de se esperar não conseguimos deletar o grupo recursos temos um lock delete configurado.

Remover o Lock Delete

26 – Selecione o grupo de recursos RG-Dev, em Settings clique em Locks.

27 – Clique em Delete para deletar o Lock-RG-Dev.

28 – Como podemos observar o lock foi deletado.

Deletar o grupo de recursos RG-Dev

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post

Deixe um comentário

O seu endereço de e-mail não será publicado.