Como administrador, você pode bloquear uma assinatura, um grupo de recursos ou um recurso para impedir que outros usuários em sua organização excluam ou modifiquem acidentalmente recursos críticos. O bloqueio substitui todas as permissões que o usuário possa ter.
O que é o Resource Lock?
O Azure Resource Lock tem a função de proteger os grupos de recursos e recursos de remoção acidental, bloqueando a alteração desdes de duas maneiras: “CanNotDelete” e “ReadOnly“.
- CanNotDelete significa que os usuários autorizados ainda poderão ler e modificar um recurso, mas não poderão excluir o recurso.
- ReadOnly significa que os usuários autorizados poderão ler um recurso, mas não poderão excluir ou atualizar o recurso. Aplicar esse bloqueio é semelhante ao restringir todos os usuários autorizados para as permissões concedidas pela função Leitor.
Quando você aplica um bloqueio a um escopo pai, todos os recursos filho herdam o mesmo bloqueio. Até mesmo os recursos que você adiciona posteriormente herdam o bloqueio do pai. O bloqueio mais restritivo na herança terá precedência.
Cenário:
Em nosso ambiente temos um grupo recursos chamado RG-Dev e uma máquina virtual chamada VM-Dev-01.
Criando um Lock read-only
01 – Selecione a máquina virtual que deseja configura o Lock, na máquina virtual VM-Dev-01 em Settings clique em Locks.
02 – Na tela Locks, clique em + Add.
Nessa tela podemos selecionar se o lock será para o recurso (VM-Dev-01), Resource Group (RG-Dev) ou para a Subscription.
Em nosso caso vamos habilitar apenas para o recurso VM-Dev-01
03 – Selecione o nome para o lock, em Lock type selecione Read-only e clique em OK.
Estamos impedindo que alterações sejam realizadas para a maquina virtual VM-Dev-01.
04 – Como podemos observar o lock foi criado com sucesso.
Testando o Lock read-only
Para testarmos a funcionalidade do lock read-only vamos tentar alterar o tamanho da maquina virtual e deletar.
05 – Na máquina virtual VM-Dev-01, em Settings clique em Size.
06 – Na tela Size, selecione o VM Size DS1_v2 e clique em Resize.
07 – Como podemos observar foi retornado uma mensagem de erro informado que não podemos alterar o tamanho da VM porque tem um lock.
08 – Vamos tentar deletar a máquina virtual, clique em Overview e Delete.
09 – Na tela Delete virtual machine, clique em OK.
10 – Como era de se esperar não conseguimos deletar a máquina virtual porque temos um lock read-only configurado.
Remover o Lock read-only
11 – Selecione a máquina virtual VM-Dev-01, em Settings clique em Locks.
12 – Selecione o lock e clique em Delete.
13 – Como podemos observar o lock foi deletado.
Criando um Lock Delete
Vamos criar o lock delete para o grupo de recursos RG-Dev, por padrão todos os recursos que estão no grupo de recursos RG-Dev herdaram o lock delete.
14 – Na tela Resource groups, selecione o resource group RG-Dev.
15 – Na tela RG-Dev, em Settings clique em Locks.
16 – Na tela Locks, clique em + Add.
Nessa tela podemos adicionar o lock para o Resource Group (RG-Dev) ou para a Subscription.
17 – Selecione o nome para o lock, em Lock type selecione Delete e clique em OK.
Estamos impedindo que o grupo de recursos RG-Dev e todos os recursos associados sejam deletados.
18 – Como podemos observar o lock foi criado com sucesso.
19 – Seleciona a máquina virtual VM-Dev-01, em Settings clique em Locks.
Observe que estamos herdando o Lock-RG-Dev do grupo de recursos RG-Dev, como é ilustrado não podemos fazer alteração do lock na VM.
Testando o Lock Delete
Para testarmos a funcionalidade do lock Delete vamos tentar deletar a máquina virtual VM-Dev-01 e o grupo de recursos RG-Dev
20 – No grupo de recursos Rg-dev, selecione a máquina virtual VM-Dev-01 e clique em Delete.
21 – Na tela de confirmação de exclusão do recursos digite yes e clique em Delete.
22 – Como era de se esperar não conseguimos deletar a máquina virtual porque temos um lock delete configurado.
23 – Vamos tentar deletar o grupo de recursos com todos os recursos, no grupo de recursos RG-Dev clique em Delete resource group.
24 – Para deletar o grupo de recursos e todos os recursos e necessário fornecer o nome do grupo de recursos em seguida clique em Delete.
25 – Como era de se esperar não conseguimos deletar o grupo recursos temos um lock delete configurado.
Remover o Lock Delete
26 – Selecione o grupo de recursos RG-Dev, em Settings clique em Locks.
27 – Clique em Delete para deletar o Lock-RG-Dev.
28 – Como podemos observar o lock foi deletado.
Deletar o grupo de recursos RG-Dev
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud Computing, com foco em Microsoft Azure.
Fui nomeado Microsoft MVP na categoria Microsoft Azure.
Faço parte da Ong MTAC, sou MCT Microsoft, tenho algumas certificações como AZ-303 Microsoft Azure Architect Technologies, AZ-104 Azure Administrator, MCSE Core Infrastructure e MCSA Windows Server 2012.
Também participo como palestrante em eventos online da comunidade de TI, sou administrador e escritor no blog https://jadsonalves.com.br cujo principal objetivo é compartilhar conhecimento com a comunidade de TI e também escrevo artigos técnicos no portal https://cooperati.com.br