Satt opp Delete-locks og DenyAction-policy for å beskytte lab-miljøet mot utilsiktet sletting — selv for brukere med Owner-rolle.
En Delete-lock på ressursgruppe-nivå arves av alle ressurser inni — én lock beskytter VM, nettverk, storage og alt annet i gruppen samtidig. Testet at sletting ble blokkert, og at tagging og andre endringer fortsatt fungerte normalt.
I tillegg satte jeg en separat lock direkte på VM-en som dobbeltsikring. Slik er VM-en beskyttet selv om noen med Owner-rettigheter fjerner ressursgruppe-locken.
Forsøkte først å lage en deployIfNotExists-policy som automatisk deployer locks på nye ressursgrupper. Dette viste seg teknisk krevende fordi det krever ARM-template deployment på subscription-scope med Managed Identity.
Byttet til en DenyAction-policy, som løser det samme problemet enklere: den blokkerer delete-operasjoner på alle ressursgrupper direkte i policy-laget, uten Managed Identity eller komplisert template-logikk.