Azure quantum kaynaklarını Azure Resource Manager (ARM) kilitleriyle koruma
Microsoft, yanlışlıkla veya kötü amaçlı silmeyi önlemek için tüm Azure Quantum çalışma alanlarınızı ve bağlı depolama hesaplarınızı azure Resource Manager (ARM) kaynak kilidiyle kilitlemenizi önerir. Örneğin, profesörler öğrencilerin sağlayıcı SKU'larını değiştirmesini kısıtlamak isteyebilir, ancak yine de not defterlerini kullanmalarını ve işleri göndermelerini sağlamak isteyebilir.
İki tür ARM kaynak kilidi vardır:
- CannotDelete kilidi kullanıcıların bir kaynağı silmesini engeller, ancak okumasına ve yapılandırmasında değişiklik yapmalarına izin verir.
- ReadOnly kilidi, kullanıcıların bir kaynağın yapılandırmasını değiştirmesini (silme dahil) engeller, ancak yapılandırmasının okunmasına izin verir. Kaynak kilitleri hakkında daha fazla bilgi için bkz. Beklenmeyen değişiklikleri önlemek için kaynakları kilitleme.
Not
Azure Quantum çalışma alanlarınızı yönetmek için zaten bir ARM veya Bicep şablonu kullanıyorsanız, bu makaledeki yordamları mevcut şablonlarınıza ekleyebilirsiniz.
Önerilen kilit yapılandırmaları
Aşağıdaki tabloda, Azure Quantum çalışma alanı için dağıtılması önerilen kaynak kilidi yapılandırmaları gösterilmektedir.
Kaynak | Kilit türü | Notlar |
---|---|---|
Çalışma alanı | Sil | Çalışma alanının silinmesini engeller. |
Çalışma alanı | Salt okunur | Kullanıcıların not defterleri oluşturup silmelerine ve işleri göndermelerine izin verirken, sağlayıcı eklemeleri veya silmeleri de dahil olmak üzere çalışma alanında yapılan değişiklikleri engeller. Bu kilit ayarlandığında sağlayıcıları değiştirmek için kaynak kilidini kaldırmanız, değişikliklerinizi yapmanız ve ardından kilidi yeniden dağıtmanız gerekir. |
Depolama hesabı | Sil | Depolama hesabının silinmesini engeller. |
Aşağıdaki yapılandırmalardan kaçınılmalıdır:
Önemli
Aşağıdaki ARM kilitlerini ayarlamak çalışma alanınızın yanlış çalışmasına neden olabilir.
Kaynak | Kilit türü | Notlar |
---|---|---|
Depolama hesabı | Salt okunur | Depolama hesabında Salt okunur kaynak kilidi ayarlamak çalışma alanı oluşturma, Jupyter Notebooks arabirimi ve işleri gönderip getirme ile ilgili hatalara neden olabilir. |
Çalışma alanının üst aboneliği veya çalışma alanı veya depolama hesabının üst kaynak grubu | Salt okunur | Üst kaynağa bir kaynak kilidi uygulandığında, daha sonraki bir tarihte oluşturulan kaynaklar da dahil olmak üzere bu üst öğe altındaki tüm kaynaklar aynı kilidi devralır. Daha ayrıntılı denetim için kaynak kilitleri doğrudan kaynak düzeyinde uygulanmalıdır. |
Önkoşullar
ARM kaynak kilitlerini uygulamak için kaynağın Sahibi veya Kullanıcı Erişimi Yöneticisi olmanız gerekir. Daha fazla bilgi için bkz. Azure yerleşik rolleri.
Komut satırı dağıtımı
Kilidi dağıtmak için Azure PowerShell veya Azure CLI gerekir. Azure CLI kullanıyorsanız en son sürüme sahip olmanız gerekir. Yükleme yönergeleri için bkz:
Önemli
Daha önce Azure Quantum ile Azure CLI kullanmadıysanız, uzantıyı eklemek quantum
ve Azure Quantum ad alanını kaydetmek için Ortam kurulumu bölümündeki adımları izleyin.
Azure'da oturum açma
Azure CLI veya Azure PowerShell yükledikten sonra ilk kez oturum açtığınızdan emin olun. Aşağıdaki sekmelerden birini seçin ve Azure'da oturum açmak için ilgili komut satırı komutlarını çalıştırın:
az login
Birden çok Azure aboneliğiniz varsa, kilitlemek istediğiniz kaynakları içeren aboneliği seçin. değerini abonelik adınız veya abonelik kimliğiniz ile değiştirin SubscriptionName
. Örneğin,
az account set --subscription "Azure subscription 1"
ARM kaynak kilidi oluşturma
Bir kaynak kilidi dağıttığınızda, kilit için bir ad, kilit türü ve kaynak hakkında ek bilgiler belirtirsiniz. Bu bilgiler, Kaynağın Azure Quantum portalındaki giriş sayfasından kopyalanabilir ve yapıştırılabilir.
az lock create \
--name <lock> \
--resource-group <resource-group> \
--resource <workspace> \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
- name: Kilit için açıklayıcı bir ad
- resource-group: Üst kaynak grubunun adı.
- resource: Kilidin uygulanacağı kaynağın adı.
- lock-type: Uygulanacak kilidin türü( CanNotDelete veya ReadOnly).
- resource-type: Kaynağın target türü.
Örneğin, bir çalışma alanında CanNotDelete kilidi oluşturmak için:
az lock create \
--name ArmLockWkspDelete \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
Başarılı olursa, Azure kilit yapılandırmasını JSON biçiminde döndürür:
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDelete",
"level": "CanNotDelete",
"name": "ArmLockWkspDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Çalışma alanında ReadOnly kilidi oluşturmak için:
az lock create \
--name ArmLockWkspRead \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type ReadOnly \
--resource-type Microsoft.Quantum/workspaces
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRead",
"level": "ReadOnly",
"name": "ArmLockWkspRead",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Depolama hesabında CanNotDelete kilidi oluşturmak için:
az lock create \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource armlocksstorage \--lock-type CanNotDelete \
--resource-type Microsoft.Storage/storageAccounts
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLockStoreDelete",
"level": "CanNotDelete",
"name": "ArmLockStoreDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Kilitleri görüntüleme ve silme
Kilitleri görüntülemek veya silmek için:
Daha fazla bilgi için bkz. az lock başvurusu.
Abonelikteki tüm kilitleri görüntüleme
az lock list
Çalışma alanında tüm kilitleri görüntüleme
az lock list \
--resource-group armlocks-resgrp \
--resource-name armlocks-wksp \
--resource-type Microsoft.Quantum/workspaces
Kaynak grubundaki tüm kaynakların tüm kilitlerini görüntüleme
az lock list --resource-group armlocks-resgrp
Tek bir kilidin özelliklerini görüntüleme
az lock show \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Kilidi silme
az lock delete \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Silme işlemi başarılı olursa Azure bir ileti döndürmez. Silme işlemini doğrulamak için komutunu çalıştırabilirsiniz az lock list
.