Lock’lar resource’lar üzerinde belli aktiviteleri sınırlandırmak için kullanılan mekanizmalardır. Azure üzerinde govenrance model tasarımı yapılırken göz önünde bulundurulması gereken bir diğer bileşenlerdir.
Azure beraberinde bazı roller ile birlikte gelir. Bunlar Owner,Contributer ve reader’dır. IAM kullanarak yetki ataması yaparken genelde bu builtin roller kullanılır.
Birisine contributer rolü atadığınızda bu kişi resource’ları silme yetkisine sahip olur. Eğer bir kişiye hem contributer yetkisi verip hem de belirli resource’ları silmesini önlemek istersek, yapmamız gereken şey resource’lar üzerinde lock tanımlamaları yapmaktır.
Çok basit bir konfigürasyona sahip. Ben bu makalede daha çok governance model için önemli olan teknik özelliklerinden bahsetmeye çalışacağım.
Azure lock iki adet lock type’a sahiptir. Bunlar;
- Delete : Resource’ları silinmelere karşı korur.
- Read Only : Resource’ların hem silinmesini hem de modifiye edilmesini engeller.
Azure lock konfigürasyonlar production ortamları için oldukça uygundur. Böylelikle kaza ile yapılan işlemlerin önüne geçilmiş olur.
Lock’lar subscription, resource group ve resource seviyesinde uygulanabilirler. Uygulanan lock’lar üst seviyeden alt tarafa doğru miras yolu ile iletilirler. Miras yolu ile gelen lock’lardan en kısıtlayıcı olan hangisi ise o resource’a etki eder.
Eğer resource seviyesinde bir lock ataması yapıldıysa, bu resource’un bulunduğu resource group’ta silinemez.
Lock’lar sadece resource’ları manage etme kısmında kullanılırlar. Resource fonksiyonlarına herhangi bir etkileri yoktur.
Lock konfigürasyonu yapılırken Azure portal,PowerShell,Azure CLI ve REST API kullanılabilir.
Lock konfigürasyonu yapılırken aşağıdaki gibi resource üzerinde locks bölümüne gelerek yeni Lock oluşturmak çok basit bir işlemdir.
Resim-1
Lock bölümüne geldiğinizde aşağıdaki gibi Add lock diyerek lock ekleme işlemini gerçekleştirebilirsiniz.
Resim-2
Add lock butonuna tıkladığınızda karşınıza ufak bir pencere gelecektir. Bu pencerede Lock’a bir isim verip type’ını belirleyerek lock oluşturma işlemini tamamlayabilirsiniz.
Resim-3
Lock oluşturma işleminde önemli kısım type kısmı. Bu kısımda resource’un sadece silinmeye karşı yada silinmeye ve modifiye edilmeye karşı korunmasını sağlamış oluyorsunuz.
Resim-4
Oluşturma işlemi tamamlandıktan sonra Locks bölümünde oluşturulan Lock listelenecektir.
Resim-5
Lock’u resource group seviyesinden uyguladığınızda, o resource group altındaki herhangi bir resource’un lock bölümüne geldiğinizde inherit edilen lock görünecektir. Resimdeki uyarıda lock’un parent üzerinden geldiğine dair yazıyı da görebilirsiniz.
Resim-6
Yazının başında da belirttiğim gibi lock’lar konfigürasyonları ultra basit ama governance model tasarımı yapılırken planlanması ve entegre edilmesi gereken önemli bileşenler. Bu sayede contributer ve owner yetkilerini belirlenen resource’lar üzerinde silme ve editleme aktivitelerine karşı sınırlandırmış olursunuz.
Referanslar
https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-using-tags
Azure for Architects Ebook
TAGs: Azure Tags, Azure for Architects, Azure Architect, Azure Governance Model, Azure Governance, Azure Billing, Azure Cost Optimization, Azure Architecture Best Practises, Azure Regions and Zones, Azure Availability Zones,Microsoft Azure, Cloud Design Pattern, Azure storage design, Azure storage best practise, Azure Resource Categorization, Azure Resource Labeling, Azure Policies, Azure Policy, Define Azure Policy, Azure Locks, Locking Azure Resource, Azure Resource Lock