Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft empfiehlt, alle Ihre Azure Quantum-Arbeitsbereiche und verknüpften Speicherkonten mit einer Arm-Ressourcensperre (Azure Resource Manager) zu sperren, um versehentliche oder böswillige Löschungen zu verhindern. Die Professoren möchten die Änderung von Anbieter-SKUs einschränken, aber dennoch erlauben, dass die Studenten Aufträge einreichen können.
Es gibt zwei Arten von ARM-Ressourcensperren:
- Eine CannotDelete-Sperre verhindert, dass Benutzer eine Ressource löschen, aber das Lesen und Ändern der Konfiguration zulassen.
- Eine ReadOnly-Sperre verhindert, dass Benutzer die Konfiguration einer Ressource ändern (einschließlich des Löschens), aber das Lesen der Konfiguration zulassen. Weitere Informationen zu Ressourcensperren finden Sie unter Sperren von Ressourcen, um unerwartete Änderungen zu verhindern.
Hinweis
Wenn Sie bereits eine ARM- oder Bicep-Vorlage zum Verwalten Ihrer Azure Quantum-Arbeitsbereiche verwenden, können Sie die Verfahren in diesem Artikel Ihren vorhandenen Vorlagen hinzufügen.
Empfohlene Sperrkonfigurationen
In der folgenden Tabelle sind die empfohlenen Konfigurationen für die Ressourcensperre aufgeführt, die für einen Azure Quantum-Arbeitsbereich bereitgestellt werden sollen.
| Resource | Sperrtyp | Hinweise |
|---|---|---|
| Arbeitsbereich | Löschen | Verhindert, dass der Arbeitsbereich gelöscht wird. |
| Arbeitsbereich | Schreibgeschützt | Verhindert Änderungen am Arbeitsbereich, einschließlich Ergänzungen oder Löschungen von Anbietern, während Benutzer weiterhin Aufträge übermitteln können. Um Anbieter zu ändern, wenn diese Sperre festgelegt ist, müssen Sie die Ressourcensperre entfernen, Ihre Änderungen vornehmen und dann die Sperre erneut bereitstellen. |
| Speicherkonto | Löschen | Verhindert, dass das Speicherkonto gelöscht wird. |
Die folgenden Konfigurationen sollten vermieden werden:
Von Bedeutung
Das Festlegen der folgenden ARM-Sperren kann dazu führen, dass ihr Arbeitsbereich falsch funktioniert.
| Resource | Sperrtyp | Hinweise |
|---|---|---|
| Speicherkonto | Schreibgeschützt | Das Festlegen einer schreibgeschützten Ressourcensperre für das Speicherkonto kann zu Fehlern bei der Erstellung von Arbeitsbereichen, der Auftragsübermittlung und dem Abrufen von Aufträgen führen. |
| Übergeordnetes Abonnement des Arbeitsbereichs oder der übergeordneten Ressourcengruppe des Arbeitsbereichs oder Speicherkontos | Schreibgeschützt | Wenn eine Ressourcensperre auf eine übergeordnete Ressource angewendet wird, erben alle Ressourcen unter diesem übergeordneten Element dieselbe Sperre, einschließlich der zu einem späteren Zeitpunkt erstellten Ressourcen. Um eine präzisere Kontrolle zu erhalten, sollten Ressourcensperren direkt auf Ressourcenebene angewendet werden. |
Voraussetzungen
Sie müssen ein Besitzer oder Benutzerzugriffsadministrator einer Ressource sein, um ARM-Ressourcensperren anzuwenden. Weitere Informationen finden Sie unter Integrierte Azure-Rollen.
Befehlszeilenbereitstellung
Sie benötigen entweder Azure PowerShell oder Azure CLI, um die Sperre bereitzustellen. Wenn Sie die Azure CLI verwenden, müssen Sie über die neueste Version verfügen. Die Installationsanweisungen finden Sie unter:
Von Bedeutung
Wenn Sie Azure CLI noch nicht mit Azure Quantum verwendet haben, führen Sie die Schritte im Setupabschnitt "Umgebung" aus, um die quantum Erweiterung hinzuzufügen und den Azure Quantum-Namespace zu registrieren.
Anmelden bei Azure
Stellen Sie nach der Installation von Azure CLI oder Azure PowerShell sicher, dass Sie sich zum ersten Mal anmelden. Wählen Sie eine der folgenden Registerkarten aus, und führen Sie die entsprechenden Befehlszeilenbefehle aus, um sich bei Azure anzumelden:
az login
Wenn Sie über mehrere Azure-Abonnements verfügen, wählen Sie das Abonnement mit den Ressourcen aus, die Sie sperren möchten. Ersetzen Sie sie SubscriptionName durch Ihren Abonnementnamen oder Ihre Abonnement-ID. Beispiel:
az account set --subscription "Azure subscription 1"
Erstellen einer ARM-Ressourcensperre
Wenn Sie eine Ressourcensperre bereitstellen, geben Sie einen Namen für die Sperre, den Sperrtyp und zusätzliche Informationen zur Ressource an. Diese Informationen können auf der Startseite der Ressource im Azure Quantum-Portal kopiert und eingefügt werden.
az lock create \
--name <lock> \
--resource-group <resource-group> \
--resource <workspace> \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
- name: Ein beschreibender Name für die Sperre
- ressourcengruppe: Der Name der übergeordneten Ressourcengruppe.
- Ressource: Der Name der Ressource, auf die die Sperre angewendet werden soll.
- lock-type: Der anzuwendende Sperrtyp, entweder CanNotDelete oder ReadOnly.
- ressourcentyp: Der Typ der target Ressource.
So erstellen Sie beispielsweise eine CanNotDelete-Sperre in einem Arbeitsbereich:
az lock create \
--name ArmLockWkspDelete \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type CanNotDelete \
--resource-type Microsoft.Quantum/workspaces
Bei erfolgreicher Ausführung gibt Azure die Sperrkonfiguration im JSON-Format zurück:
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspDelete",
"level": "CanNotDelete",
"name": "ArmLockWkspDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
So erstellen Sie eine ReadOnly-Sperre für einen Arbeitsbereich:
az lock create \
--name ArmLockWkspRead \
--resource-group armlocks-resgrp \
--resource armlocks-wksp \
--lock-type ReadOnly \
--resource-type Microsoft.Quantum/workspaces
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Quantum/workspaces/armlocks-wksp/providers/Microsoft.Authorization/locks/ArmLockWkspRead",
"level": "ReadOnly",
"name": "ArmLockWkspRead",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
So erstellen Sie eine CanNotDelete-Sperre für ein Speicherkonto:
az lock create \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource armlocksstorage \--lock-type CanNotDelete \
--resource-type Microsoft.Storage/storageAccounts
{
"id": "/subscriptions/<ID>/resourcegroups/armlocks-resgrp/providers/Microsoft.Storage/storageAccounts/armlocksstorage/providers/Microsoft.Authorization/locks/ArmLockStoreDelete",
"level": "CanNotDelete",
"name": "ArmLockStoreDelete",
"notes": null,
"owners": null,
"resourceGroup": "armlocks-resgrp",
"type": "Microsoft.Authorization/locks"
}
Anzeigen und Löschen von Sperren
So zeigen Sie Sperren an, oder löschen Sie sie:
Weitere Informationen finden Sie im Az-Sperrverweis.
Anzeigen aller Sperren in einem Abonnement
az lock list
Anzeigen aller Sperren in einem Arbeitsbereich
az lock list \
--resource-group armlocks-resgrp \
--resource-name armlocks-wksp \
--resource-type Microsoft.Quantum/workspaces
Alle Sperren für alle Ressourcen in einer Ressourcengruppe anzeigen
az lock list --resource-group armlocks-resgrp
Anzeigen der Eigenschaften einer einzelnen Sperre
az lock show \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Löschen einer Sperre
az lock delete \
--name ArmLockStoreDelete \
--resource-group armlocks-resgrp \
--resource-name armlocksstorage \
--resource-type Microsoft.Storage/storageAccounts
Wenn der Löschvorgang erfolgreich ist, gibt Azure keine Nachricht zurück. Um den Löschvorgang zu überprüfen, können Sie ausführen az lock list.