Créer une alerte sur la suppression d'un lock Azure
L'objectif principal des verrous est de fournir une couche supplémentaire de sécurité pour les ressources critiques.
En utilisant les verrous dans Azure, vous pouvez vous assurer qu'aucune modification non autorisée ou accidentelle n'est apportée à vos ressources, ce qui contribue à renforcer la sécurité et la gestion des risques dans votre environnement Azure.
Ajout d'un lock sur un groupe de ressources
Depuis votre groupe de ressources Azure, sous le titre "Settings", vous pouvez ajouter un verrou simplement via le portail:
Azure propose deux types de verrous :
le verrou en lecture seule (Read-only) empêche toute modification de la ressource
le verrou de suppression (Delete) bloque à la fois les modifications et la suppression de la ressource.
Lorsqu'un verrou est appliqué à un niveau supérieur, il s'applique également à tous les niveaux inférieurs.
Par exemple, si un verrou est appliqué au niveau de l'abonnement, il sera également appliqué à toutes les ressources contenues dans cet abonnement.
Au final, il suffit d'ajouter un nom et de choisir le type du lock du le scope que vous souhaitez:
Une fois créé, supprimer le nouveau lock pour générer une trace que nous allons utiliser dans l'étape suivante, puis recréez-le pour tester à la fin notre alerte.
Identification de l'événement associé à la suppression du lock
Sous l'overview du groupe de ressources, cliquez sur "Activity Log" pour visualiser les dernières actions passées :
Cliquez sur l'événement en question pour y trouver son détail avant de passer à l'étape suivante:
Création d'une alerte en cas de suppression du lock
Choisir un scope, dans mon cas j'ai choisi une souscription de production:
Dans la condition afficher l'ensemble des événements disponibles en cliquant sur "See all signals":
Puis choisir l'événement "Delete Management locks":
Affinez votre condition en selectionnant les paramétres suivants, disponible en fin de page:
Event Level: Informational
Statuts: Succeded
Sur l'onglets "Actions", créer ou sélectionnez un "Action group" dans mon cas j'ai créé un groupe m'envoyant un email:
Ajouter dans les onglets restant un nom, une description, des tags ... puis valider et créer l'alerte finale.
Validation de l'alerte
Retourner simplement sur le groupe de ressources sur lequel vous avez positionné votre verrou dans le premier chapitre et supprimez-le en cliquant sur "Delete":
Vous devez recevoir dans les minutes qui suivent un email contenant le détail de l'alerte dont voici un exemple: