Melindungi sumber daya Azure Quantum dengan kunci Azure Resource Manager (ARM)
Microsoft merekomendasikan untuk mengunci semua ruang kerja Azure Quantum dan akun penyimpanan tertaut Anda dengan kunci sumber daya Azure Resource Manager (ARM) untuk mencegah penghapusan yang tidak disengaja atau berbahaya. Misalnya, profesor mungkin ingin membatasi siswa memodifikasi SKU penyedia, tetapi masih memungkinkan mereka untuk menggunakan notebook dan mengirimkan pekerjaan.
Ada dua jenis kunci sumber daya ARM:
- Kunci CannotDelete mencegah pengguna menghapus sumber daya, tetapi mengizinkan membaca dan memodifikasi konfigurasinya.
- Kunci ReadOnly mencegah pengguna memodifikasi konfigurasi sumber daya (termasuk menghapusnya), tetapi mengizinkan membaca konfigurasinya. Untuk informasi selengkapnya tentang kunci sumber daya, lihat Mengunci sumber daya untuk mencegah perubahan yang tidak terduga.
Catatan
Jika Anda sudah menggunakan templat ARM atau Bicep untuk mengelola ruang kerja Azure Quantum, Anda bisa menambahkan prosedur dalam artikel ini ke templat yang sudah ada.
Konfigurasi kunci yang disarankan
Tabel berikut ini memperlihatkan konfigurasi kunci sumber daya yang direkomendasikan untuk disebarkan untuk ruang kerja Azure Quantum.
Sumber daya | Jenis kunci | Catatan |
---|---|---|
Ruang kerja | Hapus | Mencegah ruang kerja dihapus. |
Ruang kerja | Baca-saja | Mencegah modifikasi apa pun pada ruang kerja, termasuk penambahan atau penghapusan penyedia, sambil tetap memungkinkan pengguna untuk membuat dan menghapus buku catatan dan mengirimkan pekerjaan. Untuk mengubah penyedia ketika kunci ini diatur, Anda perlu menghapus kunci sumber daya, membuat perubahan Anda, lalu menyebarkan ulang kunci. |
Akun penyimpanan | Hapus | Mencegah akun penyimpanan dihapus. |
Konfigurasi berikut harus dihindari:
Penting
Mengatur kunci ARM berikut dapat menyebabkan ruang kerja Anda berfungsi dengan tidak benar.
Sumber daya | Jenis kunci | Catatan |
---|---|---|
Akun penyimpanan | Baca-saja | Mengatur kunci sumber daya Baca-saja pada akun penyimpanan dapat menyebabkan kegagalan dengan pembuatan ruang kerja, antarmuka Jupyter Notebooks, serta mengirimkan dan mengambil pekerjaan. |
Langganan induk ruang kerja atau grup sumber daya induk ruang kerja atau akun penyimpanan | Baca-saja | Saat kunci sumber daya diterapkan ke sumber daya induk, semua sumber daya di bawah induk tersebut mewarisi kunci yang sama, termasuk sumber daya yang dibuat di kemudian hari. Untuk kontrol yang lebih terperinci, kunci sumber daya harus diterapkan langsung di tingkat sumber daya. |
Prasyarat
Anda harus menjadi Pemilik atau Administrator Akses Pengguna sumber daya untuk menerapkan kunci sumber daya ARM. Untuk informasi selengkapnya, lihat Peran bawaan Azure.
Penyebaran baris perintah
Anda akan memerlukan Azure PowerShell atau Azure CLI untuk menyebarkan kunci. Jika Anda menggunakan Azure CLI, Anda harus memiliki versi terbaru. Untuk petunjuk penginstalan, lihat:
Penting
Jika Anda belum menggunakan Azure CLI dengan Azure Quantum sebelumnya, ikuti langkah-langkah di bagian Penyiapan lingkungan untuk menambahkan quantum
ekstensi dan mendaftarkan namespace Azure Quantum.
Masuk ke Azure
Setelah menginstal Azure CLI atau Azure PowerShell, pastikan Anda masuk untuk pertama kalinya. Pilih salah satu tab berikut dan jalankan perintah baris perintah yang sesuai untuk masuk ke Azure:
az login
Jika Anda memiliki beberapa langganan Azure, pilih langganan dengan sumber daya yang ingin Anda kunci. Ganti SubscriptionName
dengan nama langganan atau ID langganan Anda. Misalnya,
az account set --subscription "Azure subscription 1"
Membuat kunci sumber daya ARM
Saat Anda menyebarkan kunci sumber daya, Anda menentukan nama untuk kunci, jenis kunci, dan informasi tambahan tentang sumber daya. Informasi ini dapat disalin dan ditempelkan dari halaman beranda sumber daya di portal Azure Quantum.
az lock create \
--name <lock> \
--resource-group <resource-group> \
--resource <workspace> \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
- name: Nama deskriptif untuk kunci
- grup sumber daya: Nama grup sumber daya induk.
- sumber daya: Nama sumber daya untuk menerapkan kunci.
- jenis kunci: Jenis kunci yang akan diterapkan, baik CanNotDelete atau ReadOnly.
- jenis sumber daya: Jenis target sumber daya.
Misalnya, untuk membuat kunci CanNotDelete di ruang kerja:
az lock create \
--name ArmLockWkspDelete \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
Jika berhasil, Azure mengembalikan konfigurasi kunci dalam format JSON:
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDelete",
"level": "CanNotDelete",
"name": "ArmLockWkspDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Untuk membuat kunci ReadOnly di ruang kerja:
az lock create \
--name ArmLockWkspRead \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type ReadOnly \
--resource-type Microsoft.Quantum/workspaces
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRead",
"level": "ReadOnly",
"name": "ArmLockWkspRead",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Untuk membuat kunci CanNotDelete pada akun penyimpanan:
az lock create \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource armlocksstorage \--lock-type CanNotDelete \
--resource-type Microsoft.Storage/storageAccounts
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLockStoreDelete",
"level": "CanNotDelete",
"name": "ArmLockStoreDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Menampilkan dan menghapus kunci
Untuk melihat atau menghapus kunci:
Untuk informasi selengkapnya, lihat referensi kunci az.
Menampilkan semua kunci dalam langganan
az lock list
Menampilkan semua kunci di ruang kerja
az lock list \
--resource-group armlocks-resgrp \
--resource-name armlocks-wksp \
--resource-type Microsoft.Quantum/workspaces
Menampilkan semua kunci untuk semua sumber daya dalam grup sumber daya
az lock list --resource-group armlocks-resgrp
Menampilkan properti kunci tunggal
az lock show \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Menghapus kunci
az lock delete \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Jika penghapusan berhasil, Azure tidak mengembalikan pesan. Untuk memverifikasi penghapusan, Anda dapat menjalankan az lock list
.