當真的開始要在正式環境管理 Azure 資源的時候,就會開始遇到一些管理上面的問題
舉例來說,不應該給權限的就不應該要給。譬如說假設某些人員不應該有刪除的權限,那麼就不應該給他
但是假設今天是他本來就應該有權限,但是不小心誤刪怎麼辦?
或者說把 Production 機器誤以為 QA 環境結果把機器給關機了怎麼辦?
這個時候就不是設定權限給太大的問題
這時候就應該要好好利用 Resource Lock
這篇,來看一下 Resource Lock 是什麼以及該怎麼用
什麼是 Resource Lock?
其實概念很簡單,在要被保護的資源上面可以上一個鎖頭避免不小心刪掉
這個鎖頭可以被設定在:
- Subscription
- Resource Group
- Resource
這三個層級裡面,並且會被從上往下繼承
鎖又可以區分兩種:
Read-Only
- 代表資源變成只能夠讀,不能夠做任何異動
Delete
- 代表資源不能夠被刪除
這兩個類型的鎖最大差異在於 Read-Only 更加嚴謹
舉例來說,如果有台 VM 目前是開機狀態,如果有被鎖上 Read-Only Lock,代表不能夠被關機。原因很簡單,因為開關機會異動機器的狀態
所以如果有上了 Read-Only Lock,代表不會被不小心關機
嘗試設定 Resource Lock 在 Resource Group 上面並且嘗試刪除
- 先找到某一個 Resource Group,然後從左邊搜尋
Lock
- 選擇上面的
Add
- 可以設定 Lock 的名稱
- 可以設定 Lock 的類型
- 可以加上描述
以上面操作為例,是加上一個 Delete Resource Lock,加好之後,當我們想要刪 Resource 的時候就會出現錯誤