Laboratório Técnico: Configure resource locks

Questões

Questão 1 — Múltipla Escolha

Um administrador aplicou um lock do tipo ReadOnly em uma conta de armazenamento no Azure. Posteriormente, a equipe de desenvolvimento reportou que não consegue listar as chaves de acesso da conta, mesmo tendo a role Storage Account Contributor atribuída.

Qual é a explicação técnica correta para esse comportamento?

A) O lock ReadOnly impede qualquer operação que exija autenticação via Microsoft Entra ID, incluindo listagem de chaves.

B) A listagem de chaves é considerada uma operação de escrita pelo Azure Resource Manager, pois retorna credenciais sensíveis, sendo bloqueada pelo ReadOnly lock.

C) O lock ReadOnly só pode ser removido por um Owner, e a role Storage Account Contributor não tem permissão para contorná-lo.

D) O lock ReadOnly bloqueia operações de escrita em nível de dados, e a listagem de chaves é classificada como operação de dados.

Questão 2 — Cenário Técnico

Um engenheiro precisa excluir um resource group chamado rg-producao. Ao tentar a exclusão pelo portal, recebe um erro de autorização, mesmo sendo Owner da subscription. Ele verifica o resource group e encontra a seguinte configuração:

Lock name : lock-rg-producao
Lock type : Delete
Scope     : rg-producao (resource group)

Ele decide remover o lock para prosseguir. Qual afirmação descreve corretamente o que ocorre ao remover esse lock?

A) Remover o lock do resource group remove automaticamente todos os locks aplicados individualmente nos recursos contidos nele.

B) Remover o lock do resource group não afeta locks aplicados diretamente nos recursos filhos; eles precisam ser removidos separadamente.

C) Como o lock é do tipo Delete, a remoção exige aprovação de um segundo Owner na subscription.

D) O lock de nível de resource group só pode ser removido via Azure CLI ou PowerShell, não pelo portal.

Questão 3 — Verdadeiro ou Falso

Um lock do tipo ReadOnly aplicado em um resource group impede que novos recursos sejam criados dentro dele, mesmo que o usuário possua a role Owner na subscription.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Uma equipe de operações aplicou um lock Delete em uma Virtual Machine crítica. Dias depois, um administrador precisa redimensionar a VM para um SKU maior. Ele tenta a operação pelo portal e recebe o seguinte erro:

The scope '/subscriptions/.../virtualMachines/vm-prod-01'
is locked for 'Delete' operations.

O administrador considera as seguintes ações:

A) Remover o lock, realizar o resize e reaplicar o lock após a conclusão.

B) Alterar o tipo do lock de Delete para ReadOnly antes de realizar o resize.

C) Realizar o resize sem alterações, pois o erro exibido é um falso positivo causado por latência de propagação do lock.

D) Solicitar ao time de segurança que eleve temporariamente sua role para Global Administrator no Microsoft Entra ID.

Qual é a abordagem correta?

Questão 5 — Múltipla Escolha

Uma organização precisa garantir que nenhum recurso de um resource group crítico seja excluído ou modificado acidentalmente, mas ainda precisa permitir que operações de leitura e monitoramento funcionem normalmente. Qual combinação de lock e escopo atende a esse requisito com o menor esforço administrativo?

A) Aplicar um lock Delete em cada recurso individualmente dentro do resource group.

B) Aplicar um lock ReadOnly no resource group, pois ele herda para todos os recursos filhos e bloqueia exclusões e modificações.

C) Aplicar um lock Delete no resource group, pois locks de resource group se propagam para todos os recursos contidos nele.

D) Aplicar um lock ReadOnly em cada recurso individualmente, pois locks de resource group não são herdados automaticamente.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

A operação listKeys em uma conta de armazenamento é classificada pelo Azure Resource Manager como uma ação de escrita (POST), não de leitura, porque retorna segredos que podem ser usados para modificar dados. O lock ReadOnly bloqueia todas as operações que não sejam leituras puras (GET), o que inclui qualquer ação POST ou PUT. Portanto, mesmo um usuário com permissões suficientes não consegue executar listKeys enquanto o lock estiver ativo.

O erro conceitual representado pelos distratores é confundir o escopo do ReadOnly com autenticação (A), com permissões de role (C) ou com operações de plano de dados (D). O lock atua no plano de gerenciamento via ARM e bloqueia pela semântica HTTP da operação, não pelo tipo de dado retornado ou pelo plano de dados.

Gabarito — Questão 2

Resposta: B

Locks no Azure não são removidos em cascata. Quando um lock é aplicado diretamente em um recurso filho, ele é independente do lock do resource group pai. Remover o lock do resource group libera apenas a restrição herdada por aquele escopo; recursos que possuem locks próprios continuam protegidos.

Os distratores exploram equívocos comuns: a ideia de que remoção é cascata (A), que existe um fluxo de aprovação dupla (C) ou que o portal é incapaz de gerenciar locks (D). Na prática, locks podem ser criados e removidos pelo portal, CLI, PowerShell e ARM templates, sem restrição de interface.

Gabarito — Questão 3

Resposta: Verdadeiro

Um lock ReadOnly em um resource group impede qualquer operação que não seja leitura, incluindo a criação de novos recursos. Criar um recurso é uma operação de escrita (PUT) no ARM. Os locks sobrepõem as permissões de RBAC: mesmo um Owner não pode contornar um lock sem antes removê-lo. Isso é um comportamento intencional para proteger ambientes críticos contra alterações acidentais, inclusive de usuários privilegiados.

O ponto não óbvio aqui é que a role Owner, apesar de ser a mais privilegiada no RBAC do Azure, não tem precedência sobre resource locks. Locks são um mecanismo de controle distinto do RBAC.

Gabarito — Questão 4

Resposta: A

Um lock Delete bloqueia exclusivamente operações de exclusão. O erro exibido no cenário é incorreto na mensagem exibida pelo portal em determinadas situações ou foi interpretado de forma equivocada pelo administrador, pois o resize é uma operação de escrita (PATCH/PUT), não de exclusão. Contudo, se o erro for genuíno e estiver bloqueando o resize, a única ação válida é remover o lock, executar a operação e reaplicá-lo.

A alternativa B é incorreta porque alterar um lock para ReadOnly tornaria a situação pior, bloqueando também operações de escrita. A alternativa C é incorreta porque locks não geram falsos positivos por latência. A alternativa D é irrelevante, pois a role Global Administrator no Microsoft Entra ID não concede permissões de gerenciamento de recursos no Azure Resource Manager.

Gabarito — Questão 5

Resposta: C

Locks aplicados em um resource group são herdados por todos os recursos contidos nele. Aplicar um lock Delete no resource group é suficiente para impedir exclusões acidentais em todos os recursos filhos, com um único lock, atendendo ao requisito de menor esforço administrativo. O lock Delete não impede leituras nem modificações, preservando operações de monitoramento e configuração.

A alternativa B está incorreta porque um ReadOnly bloquearia também modificações, o que contraria o requisito de permitir operações normais além da leitura. As alternativas A e D ignoram o mecanismo de herança de locks, propondo uma abordagem de gerenciamento por recurso individual que aumenta desnecessariamente a complexidade operacional.

Questões​

Questão 1 — Múltipla Escolha​

Questão 2 — Cenário Técnico​

Questão 3 — Verdadeiro ou Falso​

Questão 4 — Cenário Técnico​

Questão 5 — Múltipla Escolha​

Gabarito e Explicações​

Gabarito — Questão 1​

Gabarito — Questão 2​

Gabarito — Questão 3​

Gabarito — Questão 4​

Gabarito — Questão 5​