Articles Tagués ‘Azure CLI’

 

Az CLI Guys, hello again,

J’ai récemment détecté un problème sur la commande Azure CLI (2.0) az interactive

Si vous exécutez az interactive, que le Command Prompt vous retourne le message d’erreur suivant, sachez qu’il s’agit d’un bug lié à l’interface Azure CLI ;

#hicham@mylaptop : ~$ az interactive

The command failed with an unexpected error. Here is the traceback:

cannot import name ‘DEFAULTS_SECTION’

Traceback (most recent call last):

  File « /opt/az/lib/python3.6/site-packages/knack/cli.py », line 206, in invoke

    cmd_result = self.invocation.execute(args)

  File « /opt/az/lib/python3.6/site-packages/azure/cli/core/commands/init.py », line 560, in execute

    raise ex

  File « /opt/az/lib/python3.6/site-packages/azure/cli/core/commands/init.py », line 618, in _run_jobs_serially

 

HowToFix

La solution consiste à réaliser un update du mode Interactive Azure CLI, et ce en saisissant la commande suivante :

az interactive –update

A bientôt

#HK o___O

Introduction

Vous apprenez à travers cet article « Comment déplacer vos Ressources Azure d’un abonnement à un autre ». Notez que la technique expliquée dans le présent article s’applique également à un Move de ressource entre RG (Resource Groups).

 

Prérequis 

Avant de pouvoir déplacer vos ressources Azure (entre Abonnements ou RG), vous devez d’abord enregistrer la feature « ManagedResourceMove« , fournie avec le le fournisseur d’espace de nom « Microsoft.Compute« .

Pour ce faire, exécutez les deux commandes PS ci-dessous :

Register-AzureRmProviderFeature -FeatureName ManagedResourcesMove -ProviderNamespace Microsoft.Compute

Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Compute

Comme indiqué au niveau de l’état d’enregistrement (RegistrationState), la fonctionnalité « ManagedResourcesMove » est toujours en « Registering »

Avant de pouvoir déplacer vos Managed Disks/VMs, l’enregistrement de cette fonctionnalité doit passer à « Registered »

 

HowTo : Déplacer vos ressources vers un autre Abonnement Azure via Az CLI 2.0

1 : Commencez par lister les abonnements associés à votre compte Azure en exécutant la commande suivante :

az account list -o table

Note importante : si vous n’avez pas encore connecté l’interface (locale) Azure CLI 2.0 à votre compte Azure, je vous invite à consulter cet article.

 

2 : Maintenant, définissez l’abonnement contenant les ressources à déplacer en tant qu’Abonnement par défaut. Pour ce faire, exécutez la commande suivante :

Note : dans mon cas, l’abonnement qui contient la ressource Azure que je souhaite déplacer est nommée « Visual Studio Premium avec MSDN« 

az account set -s « Visual Studio Premium avec MSDN »

3 : Lister les groupes de Ressources de l’abonnement « Source » en exécutant la commande az group list -o table

4 : La ressource que je souhaite déplacer est un VNET (Virtual Network), placé dans le groupe de ressource « hk-demo-rg« . Le VNET est appelé « hk-test-vnet » :

az resource list -g hk-demo-rg 

5 : Maintenant, nous devons récupérer l’ID(entifiant) de la ressource « Source » à déplacer.

La commande Az CLI suivante nous permet d’obtenir cette information :

6 : Nous allons créer un nouveau Groupe de Ressource au niveau de l’abonnement de « Destination ».

Ce groupe de ressources portera le même nom que le RG « Source ».

La commande Az CLI qui permet de créer un nouveau RG est la suivante :

az group create -n hk-demo-rg -l WestEurope (ou FranceCentral)

7 : Vous devez à ce stade, récupérer l’ID de l’abonnement de Destination en exécutant la commande az account list -o table :

8 : Pour déplacer notre ressource Azure (VNET : hk-test-vnet) vers le nouveau groupe de ressources du nouvel abonnement, la commande suivante est utilisée :

9 : L’opération démarre, vous pouvez vous connecter sur le portail Azure (https://portal.azure.com) et surveiller le statut/état d’avancement du « Move » :

 

Useful Info : Si vous n’avez pas encore consulté les 6 premiers HowTo Azure CLI 2.0, ceux-ci sont disponibles aux URLs ci-après:

HowTo #N°1 : Connecter l’interface Azure CLI 2.0 à votre abonnement Azure

HowTo #N°2 : Créer et gérer les groupes de ressources Azure

HowTo #N°3 Créer et gérer les réseaux virtuels Azure (VNET : Virtual Network)

HowTo #N°4 Créer et gérer les Machines Virtuelles Azure (Azure VM)

HowTo #N°5 : Gérer la facturation Azure (Azure Billing)

HowTo #N°6 Créer et gérer vos comptes de Stockage Azure

 

Introduction

Azure NSG (Network Security Groups) ou Groupes de Sécurité Réseau vous permettent de contrôler (autoriser ou refuser) le trafic entrant et sortant depuis et vers vos ressources Azure.

Les NSG sont basées sur des listes de règles de sécurité que vous créez/définissez manuellement. Notez que lors de la création d’un NGS, des règles par défaut sont générées automatiquement pour sécuriser certains trafics réseaux. Ces règles peuvent être bypassées en mettant en place des règles personnalisées.

Tip : Je vous invite à consulter cet article pour en savoir plus sur les NSG, leur fonctionnement et leur limitation.

 

La création d’un Groupe de Sécurité Réseau (NSG) peut se faire via :

Le nouveau portail Azure : portal.azure.com

Windows PowerShell : utilisation du module PS Azure

Azure CLI 2.0 : via l’utilisation de la commande az network nsg

 

Nous allons découvrir à travers cet article la troisième méthode qu’est l’utilisation de l’interface Azure CLI 2.0

Now let’s create & manage our Azure NSG via Azure CLI 2.0__O

 

HowTo : créer et gérer vos Groupes de Sécurité Réseau Azure (NGS)

Tout d’abord, je vous invite à saisir az network nsg -h pour en savoir plus sur les sous-commandes disponibles :

Pour lister tous les NSG existants, saisissez la commande suivante : az network nsg list 

Tip : pour une meilleure visibilité de la commande output, saisissez az network nsg list –out table

Commencez par créer un groupe de Ressource 

Azure ARM (Azure Resource Manager) introduit le concept des Groupes de ressources (RG : Resource Group). Ces derniers font office de « Conteneur » pour grouper et gérer les ressources Azure de manière centralisée.

Dans notre cas, nous allons créer un groupe de ressource pour regrouper les différents NSG Azure que nous allons créer par la suite.

Exécutez donc la commande suivante pour créer un nouveau groupe de ressource (nommé hk-demo-howto7) au niveau de la région Europe de l’Ouest (WestEurope)

az group create -n hk-demo-howto7 -l WestEurope

Maintenant que notre Groupe de Ressource est créé, nous allons créer notre premier Groupe de Sécurité Réseau Azure. Pour ce faire, exécutez la commande suivante (NSG nommé hk-demo-nsg dans l’exemple suivant) :

az network nsg create -n hk-demo-nsg -l WestEurope -g hk-demo-howto7

Vous pouvez également ajouter des « Tags » à vos NSG lors de leur création, dans l’exemple suivant nous allons créer un nouveau NSG Taggé « very_secure_network » :

az network nsg create -n hk-demo-nsg-vsecure -l WestEurope -g hk-demo-howto7 –tags very_secure_perimeter no_80 no_22 no_21

Pour afficher des informations détaillées sur un NSG spécifique, la commande suivante est à exécuter (hk-demo-nsg-vsecure dans l’exemple suivant) :

az network nsg show -n hk-demo-nsg-vsecure -g hk-demo-howto7

Enfin, si vous souhaitez supprimer un NSG, exécutez la commande suivante (hk-demo-nsg-vsecure dans l’exemple suivant) :

az network nsg delete -n hk-demo-nsg-vsecure -g hk-demo-howto7

Plusieurs HowTo Azure CLI (N°8/9 et 10) arrivent bientôt, so let’s keep in touch :).

A bientôt

#HK

Hello Azure (Classic :D) Guys,

Microsoft a publié le 06 Décembre une Update pour annoncer la suppression « définitive » du Portail Azure « Classic », le 08 Janvier 2018.

D’ailleurs, si vous vous connectez sur le Portail Azure Classic (https://manage.windowsazure.com), vous constaterez l’apparition du message /alerte suivante « Avis de suppression du portail classic Azure » :

BUT, do not worry :).

Toutes vos ressources /services déployés en mode ASM (Azure Service Manager) seront automatiquement migrés vers le nouveau Portail (https://portal.azure.com), MS s’en occupe, donc transparence totale pour les « Cloud Consumers » :).

En attendant, commencez à découvrir toutes les nouvelles features, options et services introduits avec le nouveau Portail Azure.

Ci-après quelques liens utiles que je vous invite à consulter pour prendre en main le nouveau modèle de déploiement Azure et ses différents outils d’automatisation (e.g : Az PS, Az CLI ..etc)

Démarrer avec Azure (ARM)

Découvrez l’interface Azure CLI

Découvrez Azure Cloud Shell 

Découvrez Azure PowerShell

 

Depuis quelques jours, l’équipe Azure Corp a publié deux nouvelles Updates sur le (New) Portail Azure (https;//portal.azure.com). Une fois connecté, celles-ci sont affichées et disponibles au niveau de la Barre de « Notifications » :

La première concerne la prise en charge de SQL Ops Studio par le service Azure SQL Data Warehouse et la deuxième concerne l’interface en ligne de commande Azure (Azure CLI), c’est plutôt cette Update qui va nous intéresser :).

 

Comme indiqué dans le message, il faut bien noter qu’à partir de Décembre 2017 :

Azure CLI (en version 2.0) sera l’outil CLI (Command Line Interface) préféré/privilégié pour la gestion des ressources ARM (Azure Resource Manager)

Quant à Azure CLI (en version 1.0), il prendra uniquement en charge les ressources ASM (Azure Service Manager)

Enfin, vous pouvez imaginer le couple « d’Azure Management Tools » suivants :

ASM : CLI (Azure CLI 1.0) + Portail Web « Classic » (manage.windowsazure.com)

ARM : CLI (Azure CLI 2.0) + Portail Web « New » (portal.azure.com)

 

Useful Info : Si vous n’avez pas encore consulté les 4 premiers HowTo Azure CLI 2.0, ceux-ci sont disponibles aux URLs ci-après:

HowTo #N°1 : Connecter l’interface Azure CLI 2.0 à votre abonnement Azure

HowTo #N°2 : Créer et gérer les groupes de ressources Azure

HowTo #N°3 Créer et gérer les réseaux virtuels Azure (VNET : Virtual Network)

HowTo #N°4 Créer et gérer les Machines Virtuelles Azure (Azure VM)

 

Introduction 

Pour pouvoir suivre votre utilisation/consommation Azure et consulter vos factures, Microsoft fournis différents outils (Graphique & CLI) pour consulter et gérer cette partie facturation (Billing) Azure de manière efficace.

Trois principaux outils vous permettent aujourd’hui de gérer la facturation Azure :

Le nouveau portail Azure : portal.azure.com

Windows PowerShell : utilisation du module PS Azure

Azure CLI 2.0 : via l’utilisation de la commande az billing

Nous allons découvrir à travers cet article la troisième méthode qu’est l’utilisation de l’interface Azure CLI 2.0

Alors comment ça marche ?
#1. Gestion de la facturation Azure

Saisissez az billing -h pour en savoir plus sur les sous-commandes disponibles :

Comme illustré dans la screenshot ci-dessus, deux sous-commandes sont disponibles :

az billing invoice : vous permet d’obtenir les factures pour votre abonnement Azure

az billing period : vous permet d’obtenir les périodes de facturations pour votre abonnement Azure

 

Pour lister toutes les factures disponibles pour votre abonnement Azure, saisissez la commande suivante :

az billing invoice list –out table

Si vous souhaitez télécharger une ou plusieurs factures, vous devez d’abord générer leur URL de téléchargement, pour ce faire, l’une des deux commandes ci-dessous est utilisée :

az billing invoice list –generate-download-url –out jsonc

ou

az billing invoice list -d –out jsonc

Astuce : Vous avez pu constater que la valeur du paramètre –output n’est pas « table » cette fois-ci, car ce format de sorti n’est pas supporté avec le paramètre -d (ou –generate-download-url). En effet, si vous exécutez la même commande en spécifiant –out table, les URL de téléchargement ne sont pas retournées, voir capture d’écran ci-dessous:

 

Pour afficher plus de détails sur une facture spécifique, exécutez la commande suivante :

az billing invoice show -n Nom_Facture –out table

Dans l’exemple suivant la facture  « 201712-417363190482647 » est appelée, la commande suivante est donc exécutée :

az billing invoice show -n 201712-417363190482647 –out table

Si vous souhaitez télécharger une facture spécifique (201712-417363190482647 dans l’exemple suivant), la commande suivante est utilisée (remplacement de la valeur du paramètre –output par jsonc):

az billing invoice show -n 201712-417363190482647 –out jsonc

Notez ensuite la valeur du paramètre « URL« :

Enfin, il suffit de copier l’URL « https://billinginsightsstore02.blog.core.windows.net/invoice/XXXXXXX » et la coller directement dans barre l’adresse de votre navigateur Web pour accéder à la facture (format PDF) :

#2. Gestion des périodes de facturation

Pour lister cette fois-ci les périodes de facturation, la commande suivante est à exécuter :

az billing period list –out table

Pour afficher plus de détails sur une période de facturation spécifique, exécutez la commande suivante en spécifiant le nom de la période :

az billing period -n 201801-1 –out table 

Le HowTo N°6 est en cours de finalisation, donc restez connectés :).

#HK

 

Hello Azure Guys,

Si vous êtes amenés à gérer vos ressources Cloud Azure via l’interface Azure CLI 2.0, vous devriez penser à checker de manière régulière les nouvelles Releases d’Azure CLI proposées/publiées par l’équipe MS Azure Corp, car de nouvelles commandes /sous-commandes sont fournies avec celle-ci.

Note : Le Releases History d’Azure CLI 2.0 est disponible ici. N’hésitez pas à consulter cette page si vous voulez en savoir plus.

 

Prenons l’exemple suivant : ma machine d’administration (sous WS10) ayant l’interface Azure CLI 2.0 d’installée et dont la version actuelle est la 2.0.17

Comme illustré dans l’image ci-dessous, mon interface Az CLI 2.0 n’inclut pas encore les nouvelles commandes telle que BatchAI (Azure Batch  Artificial Intelligence) :

 

HowTo : Updater son interface Azure CLI 2.0

Lancez l’Invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante :

Az Component Update 

ou

Az Component Update –debug pour afficher de plus amples informations sur d’éventuels problèmes rencontrés lors du processus d’Update /Upgrade : affichage des journaux de Debug (Debug Logs).

Une fois l’update terminée, les messages suivants sont affichés :

Enfin, saisissez Az –version pour noter la nouvelle version de l’interface CLI installée sur votre machine :

Maintenant que mon interface Az CLI 2.0 est mise à jour, je vais simplement ressaisir Az -h pour faire réapparaître la liste complète des commandes disponibles :

Comme montré dans la screenshot ci-dessus, les nouvelles commandes telles que « BatchAI » sont désormais intégrées et disponibles sur mon interface Azure CLI 2.0.

Stay connected, de nouveaux posts autour d’Azure & Azure CLI seront bientôt publiés :).

A bientôt

#HK.

Introduction 

Si vous créez et gérer vos services Cloud Azure principalement via l’interface Azure CLI 2.0, vous devez vérifier, de manière régulière si d’autres composants sont disponibles, vous pouvez également vérifier si de nouvelles versions des composants déjà installés sont proposées pour mettre à jour (updater) votre interface en ligne de commande et avoir accès aux dernières options /commandes proposées par MS.

Ok, mais comment puis-je lister les nouveaux composants disponibles pour mon interface Azure CLI 2.0 ou lister les nouvelles versions disponibles pour les composants déjà installés ?

 

HowTo : Lister et Updater les composants disponibles pour votre interface Azure CLI 2.0

Lancez l’invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante pour lister tous les composants disponibles pouvant être installés et s’intégrés à votre interface Azure CLI 2.0 :

az component list-available –out table

Dans l’exemple suivant, nous allons installer l’extension /composant « backup, mais avant, je vais d’abord lister toutes les commandes disponibles actuellement sur mon interface CLI 2.0 pour m’assurer qu’aucune commande relative au service Azure Backup n’est disponible sur mon interface locale, pour ce faire, exécutez simplement la commande : az -h

Comme illustrée dans la screenshot ci-dessus, les seules commandes commençant par « b » sont « batch » et « billing« , donc le composant « backup » est effectivement non installé actuellement, mais selon le résultat de la commande az component list-available, ce composant est bien disponible et peut s’intégrer sur mon interface Azure CLI 2.0

Pour l’installer, la commande suivante est utilisée :

az component update -add backup

Une fois installé, le résultat vous est retourné :

Maintenant, nous allons vérifier si le composant « backup » a bien été installé, simplement et réexécutant la commande az -h :

Et c’est le K :).

 

Resource Manager « Locks », qu’est ce que c’est ?!

Le modèle de déploiement ARM (Azure Resource Manager) inclut une fonctionnalité qui va sûrement intéresser les IT en charge d’administrer et de sécuriser les services et ressources Azure : il s’agit de « Resource Manager Locks »

Ces verrous vous permettent de protéger vos ressources Azure jugées « Critiques » en mettant en place des règles de restrictions pour empêcher toute modification et/ou suppression accidentelle. Les Locks Resource Manager n’ont aucun rapport avec une hiérarchie RBAC (Role-Based Access Control) car une fois appliqués, ils positionnent des restrictions sur la ressource pour TOUS les utilisateurs. Cela devient très utile quand vous souhaitez protéger des « Ressources Azure Critiques » contre toute modification ou suppression, même accidentelle.

Notez qu’il existe deux niveaux de verrouillage, à savoir :

  • CanNotDelete : ce niveau empêche tous les utilisateurs de supprimer la(es) ressource(s) Azure sur la(es) quelle(s) le verrou est activé. Les ressources Azure restent en revanche accessibles en lecture et peuvent être modifiée à tout moment.
  • ReadOnly : ce niveau rend les ressources Azure accessibles en « Lecture seule » uniquement. Les utilisateurs ne peuvent donc ni modifier ni supprimer la(s) ressource(s) sur la(es) quelle(s) le verrou est activé. Appliquez ce niveau de verrouillage a le même effet /impact que d’attribuer le rôle « Lecteur » à vos utilisateurs, en effet, les mêmes autorisations accordées par le rôle « Lecteur » sont appliquées via le Lock « ReadOnly ».

Les « Locks » Resource Manager peuvent être appliqués aux :

  • Abonnements (Azure Subscriptions)
  • Groupes de Ressources (Azure Resources Group)
  • Ressources (Azure Resources)

Note importante : quand vous appliquez un verrou au niveau d’un abonnement, toutes les ressources placées dans cet abonnement (y compris celles que vous créerez plus tard) héritent le même niveau de verrouillage. De plus, et contrairement au RBAC, une fois appliqués, les Locks impactent tous les utilisateurs, quelque soit leur rôle. Donc, si la modification ou suppression d’une ressource (déjà Lockée) devient vraiment nécessaire, vous devrez d’abord supprimer le verrou associé à la ressource avant de la modifier ou la supprimer.


Les Permissions : ce que vous devez connaître !

Les permissions qui vous permettent de créer et supprimer les verrous nécessitent l’accès à l’une des permissions RBAC suivante :

  • Microsoft.Authorization/*
  • Microsoft.Authorization/locks/*

Par défaut, ces actions /permissions sont prédéfinies pour les rôles « Owner /Propriétaire » et « User Access Administrator /Administrateur de l’accès Utilisateur ». Si nécessaire, vous pouvez les ajouter à des rôles spécifiques /personnalisés.

 

Logs /Traçabilité 

Les opérations de « Création & Suppression » de verrous sont (par défaut) inscrites dans les Journaux d’Activité Azure (Azure Activité Logs).

Les utilisateurs qui tente de supprimer ou modifier une ressource ayant un « Lock » déjà en place recoivent le message d’erreur suivant :

Au niveau du New Azure Portal (portal.Azure.com) :

Au niveau de l’interface Azure CLI, l’Admin IT reçoit le message suivant :

The scope ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c/resourceGroups/hk-dev-rg/providers/Microsoft.Storage/storageAccounts/hkcriticalstorage1’ cannot perform delete operation because following scope(s) are locked: ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c’. Please remove the lock and try again.

Même chose côté PowerShell, le message d’erreur suivant est retourné à l’Admin IT :

Remove-AzureRmResource : ScopeLocked : The scope ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c/resourceGroups/hk-dev-rg/providers/Microsoft.Storage/storageAccounts/hkcriticalstorage1’
cannot perform delete operation because following scope(s) are locked: ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c’. Please remove the lock and try again.

 

HowTo : Créer vos « Verrous /Locks »

Les « Locks » Resource Manager peuvent être créés soit au moment de la création de la ressource (au niveau du Template ARM) ou ultérieurement via le nouveau portal Azure (portal.Azure.com), Windows PowerShell ou encore l’interface en ligne de commande (Az CLI 2.0).

Création des « Locks » lors de la création d’une Ressource

La création de Verrous lors de la configuration du Template ARM est le meilleur moyen de s’assurer que votre protection est bien place une fois vos ressources Azure créées /provisionnées.

Les Verrous sont des ressources ARM de « Haut Niveau », ils ne font pas partis de la configuration (sous-couche) des ressources Azure mais plutôt référence à la (aux) ressource(s) à verrouiller, celles-ci doivent donc d’abord exister pour pouvoir créer des « Locks ».

Dans l’exemple suivant, nous allons créer un compte de stockage nommé hkcriticalstorage1 et ensuite verrouiller cette ressource contre la suppression. Notez que le paramètre « Type » fait référence au type de ressource que vous voulez « Verrouiller ».

 

{
« type »: « Microsoft.Storage/storageAccounts »,
« name »: « hkcriticalstorage1 »,
« apiVersion »: « 2015-01-01 »,
« location »: « [resourceGroup().location] »,
« tags »: {
« displayName »: « hkcriticalstorage1 »
},
« properties »: {
« accountType »: « Standard_LRS »
}
},
{
« name »: « [concat(‘hkcriticalstorage1’, ‘/Microsoft.Authorization/criticalStorageLock’)] »,
« type »: « Microsoft.Storage/storageAccounts/providers/locks »,
« apiVersion »: « 2015-01-01 »,
« properties »: {
« level »: « CannotDelete »
}
}
]

 

Le niveau de verrouillage peut être défini à « ReadOnly » simplement en changeant la valeur du paramètre « Level » et la définissant à ReadOnly

Création des « Locks » via le Portail Azure

Comme expliqué précédemment, les verrous s’appliquent à différent niveau : abonnement, groupe de ressource ou encore à des ressources individuelles.

Pour ajouter un « Lock », il suffit de sélectionner l’objet sur lequel vous souhaitez l’appliquer, et cliquez (depuis le volet gauche) sur :

Verrous (ou Locks si votre portail Azure est en En« glish ») : s’il s’agit d’un Groupe de Ressources ou une Ressource individuelle

 

 

 

 

Verrous de ressources (ou Resource Locks si votre portail Azure est en En« glish ») : s’il s’agit d’un Abonnement Azure

 

 

 

 

 

 

Dans l’exemple suivant, nous allons ajouter un « Lock » au niveau de mon abonnement (Visual Studio Premium avec MSDN) en spécifiant les informations suivantes :

  • Nom du Verrou : hk-subscription-lock-del(etion)
  • Type de verrou : Supprimer
  • Remarques : Ce Verrou permet d’empêcher tout utilisateur de supprimer les ressources de l’abonnement Azure « VS Prem MSDN » de HK

Pour ce faire, il faut simplement cliquer sur « Verrous de ressources » > Ajouter > et spécifier ensuite les informations de configuration:

Pour confirmer que les ressources Azure hébergées au niveau de l’abonnement héritent bien ce « Lock » nouvellement créé, cliquez sur n’importe quelle ressource de l’abonnement et rendez-vous ensuite sur « Verrous » ou « Locks », constatez l’apparition du « Lock », précédemment créé :

Création des « Locks » via Windows PowerShell

Le code PS ci-après peut être utilisé pour ajouter un « Lock » à une ressource existante. Encore une fois, le type de ressource (paramètre ResourceType) dépend du type de la ressource que vous souhaitez verrouiller.

Pour supprimer le Verrou, vous devez utiliser la Cmd-let Remove-AzureRmResourceLock.

 

Création des « Locks » via Azure CLI 2.0

Note : si vous n’avez pas encore connecter votre Interface Azure CLI 2.0 à votre compte Azure, je vous invite à consultez cet article.

La commande qui vous permet de créer et gérer les « Verrous » est : Az Lock

Depuis l’interface CLI 2.0, saisissez Az Lock -h pour faire apparaître l’aide en ligne de cette commande :

Pour créer un « Lock » de type « ReadOnly » et l’appliquer au niveau de votre abonnement Azure, la commande suivante est utilisée :

az lock create –name criticalStorageLock –resource-group hk-criticalstorage-rg –lock-type ReadOnly

Je vous invite à consulter cet article très bien rédigé par l’équipe MS Azure pour en savoir plus sur toute la syntaxe et paramètre disponibles avec la commande Az Lock.

 

Ce qu’il faut retenir

Notez que les Locks permettent seulement la protection contre toute suppression ou modification accidentelle des ressources Azure « Critiques », ceux-ci ne permettent pas une restriction totale car les Admins Azure peuvent facilement supprimer les verrous et récupérer les droits de « Supprimer et/ou Modifier » les ressources Azure.

Perso, je considère les Locks comme une couche de protection supplémentaire des ressources Azure car, ils s’appliquent à TOUS les utilisateurs, quelque soit leur rôle (hiérarchie RBAC), cela permettra donc une amélioration de la sécurité /protection de l’infrastructure Cloud, Azure.

What Next ?

Je vous laisse créer et tester vos new Resource Manager Locks sur vos ressources Azure et me faire part de votre feedback pour cette fonctionnalité.

Restez connecté, plusieurs articles autour de l’Azure sont en cours de finalisation et verront le jour très prochainement sur mon blog :).

A bientôt.