Azure Role Dayalı Erişim Denetimi (RBAC), kaynaklara ve kaynak işlemlerine erişimi kısıtlamamızı sağlar. İstenmeyen kaynak erişimine karşı RBAC ilk savunma hattı olarak kullanılmalıdır. Bununla birlikte, yalnızca RBAC tüm ortamlarda yeterli olmayabilir. Örneğin, bir kullanıcının veya başka bir erişim kimliğinin tüm kaynaklara (süper kullanıcı) tam erişime sahip olması istenen durumu ele alın. Bu kimlikler kaynakları silmek ve değiştirmek için yeterli erişime sahip olsa da, yanlışlıkla erişimi engellemek için ek bir savunma katmanı sağlamak isteyebiliriz. Ek bir erişim kontrolü katmanı olarak Azure Resource lock’u kullanabiliriz. Azure kaynak kilitleri, tek tek kaynaklara veya kaynak gruplarına uygulanabilir. Bir kaynak grubuna uygulandığında, kilit yerleştirildikten sonra oluşturulanlar da dahil olmak üzere o gruptaki tüm kaynaklar kilitlenir.
Aşağıdaki kilit seviyelerinden biriyle bir kaynak kilidi oluşturulabilir:
CanNotDelete – kaynak değiştirilebilir ancak silinemez.
ReadOnly – kaynak silinemez veya değiştirilemez.
Bir kaynak kilitlendikten sonra, kaynak değiştirilmeden veya silinmeden önce kaynak kilidi kaldırılmalıdır.
Azure Resource Lock nasıl uygulanır ?
Lock işlemleri öncelikli olarak inherint olarak yukarıdan aşağıya doğru uygulanır. Lock işlemi tüm yetkilerin üstünde bir yetkilendirme olup, aboneliğin sahibinin gerçekleştireceği işlemi bile yapılmamasını sağlamaktadır. İşleme devam edebilmek için mevcut lock’ı kaldırması sonrasında silme işlemine tekrar devam etmesi gerekir.
Aşağıda anlatacağımız örneğimizi “example-lock-rg” isimli bir resource group üzerinde uyguluyor olacağız. Azure Portal’dan Resource group’dan işlemi uygulamak istediğiniz resource group – kaynak grubunu seçin.
Resim-1
İşlem yapacağınız kaynak grubu seçtikten sonra Resim-1’de gördüğünüz gibi “Locks” seçin. Lock seçiminden sonra karşınıza aşağıdaki gibi daha önce tanımlanmış lock’ları görebileceğiniz ve yeni lock oluşturabileceğiniz bir ekran gelecektir
Resim-2
Yukarıdaki resimde gördüğünüz gibi kaynak grubumuzda daha önce hiçbir lock tanımlaması yapmamışız. Şimdi yeni bir lock tanımlaması yapmak için Resim-2’de gördüğünüz Add butonuna tıklıyoruz ve aşağıdaki gibi ufak bir ekranda sizden Lock için detay girmenizi istiyor.
Resim-3
Tanımlama sırasında bir isim ve yazımızın giriş kısımında tanımlamasını yaptığımız iki lock türünden birini seçmemizi istiyor. Bu bilgileri girip “ok” dedikten sonra artık lock tanımlamasını gerçekleştirmiş oluyoruz.
Resim-4
Artık sıra son işlemimize geldi ve “example-lock-rg” isimli resource group’u silmeyi deniyoruz.
Resim-5
Resimde görüldüğü gibi silmek istediğimizde Resim5’de ki gibi bir uyarı ile karşılaşıyoruz ve işlemimize devam edemiyoruz. Bilinçli bir silme işlemi gerçekleştiriyorsak öncelikli olarak o resource group için tanımladığımız lock kaldırmamız gerekmektedir. Ayrıca bu lock sayesinde o resource group içerisinde tanımladığımız diğer kaynaklarımızı da silinmemesi güvencesine almış oluyoruz.
Azure lock konusu, kaynak grubu kullanımlarında farklı rol yönetimlerinde öncelikli olarak değerlendirilmesi gereken bir konu olarak ele alınmalıdır.
Bir sonraki yazımızda görüşmek üzere..
TAGs: azure kaynak yönetimi, azure kaynak yönetimi nasıl yapılır, azure kilit, azure lock, Azure Resource Lock, kaynak grubu silinmesin, lock management