Pokročilá správa Azure Policy
Tento článek popisuje, jak spravovat azure Policy ve velkém měřítku pomocí infrastruktury jako kódu (IaC). Zásady správného řízení založené na zásadách jsou principem návrhu cílových zón Azure. Pomáhá zajistit, aby aplikace, které nasazujete, dodržovaly platformu vaší organizace. Správa a testování objektů zásad v prostředí může trvat značné úsilí, aby se zajistilo splnění dodržování předpisů. Akcelerátory cílových zón Azure pomáhají vytvořit zabezpečený směrný plán, ale vaše organizace může mít další požadavky na dodržování předpisů, které musíte splnit nasazením dalších zásad.
Co jsou zásady organizace jako kód (EPAC)?
EPAC je opensourcový projekt, který můžete použít k integraci IaC a správě Azure Policy. EPAC je postaven na modulu PowerShellu a publikován do Galerie prostředí PowerShell. Funkce tohoto projektu můžete použít k:
Vytvořte nasazení stavových zásad. Objekty definované v kódu se stanou zdrojem pravdy pro objekty zásad nasazené v Azure.
Implementujte složité scénáře správy zásad, jako jsou nasazení s více tenanty a suverénním cloudem.
Export a integrace zásad pro začlenění stávajících vlastních zásad, které byly vyvinuty před nasazením cílové zóny Azure.
Vytváření a správa výjimek zásad a dokumentace k zásadám
Pomocí ukázkových pracovních postupů můžete demonstrovat nasazení azure Policy pomocí GitHub Actions nebo Azure Pipelines.
Exportujte sestavy nedodržování předpisů a vytvářejte úlohy nápravy.
Důvody použití EPAC
EPAC můžete použít k nasazení a správě zásad cílové zóny Azure. Můžete zvážit implementaci EPAC pro správu zásad, pokud:
V existujícím prostředí brownfieldu máte nespravované zásady, které chcete nasadit v novém prostředí cílové zóny Azure. Exportujte stávající zásady a spravujte je pomocí EPAC spolu s objekty zásad cílové zóny Azure.
Máte nasazení Azure, které není plně v souladu s cílovou zónou Azure, například několik struktur skupin pro správu pro testování nebo nekonvenční strukturu skupiny pro správu. Výchozí struktura přiřazení, kterou poskytují jiné metody nasazení cílové zóny Azure, nemusí odpovídat vaší strategii.
Máte tým, který není zodpovědný za nasazení infrastruktury, například tým zabezpečení, který by mohl chtít nasadit a spravovat zásady.
Potřebujete funkce ze zásad, které nejsou dostupné v nasazeních akcelerátorů cílových zón Azure, například výjimky ze zásad a dokumentace.
Začínáme
Úložiště EPAC na GitHubu poskytuje podrobné kroky pro zahájení správy Služby Azure Policy. Při určování, jestli je projekt vhodný pro vaše prostředí, zvažte následující faktory:
Topologie prostředí: Podporuje se více tenantů a komplikovaných struktur skupin pro správu. Zvažte, jak chcete zásadu strukturovat jako nasazení kódu tak, aby vyhovovala topologii, aby více týmů dokázalo spravovat zásady a testovat nová nasazení zásad.
Oprávnění: Zvažte způsob správy oprávnění pro nasazení, zejména pro role a identity. EPAC poskytuje několik fází nasazení zásad i přiřazení rolí, takže je možné použít samostatné identity.
Existující nasazení zásad: Ve scénáři brownfieldu můžete mít existující zásady, které musí zůstat zavedené při nasazení EPAC. Strategii požadovaného stavu můžete použít k zajištění toho, aby EPAC spravuje pouze definované zásady a zachoval stávající zásady.
Metodologie nasazení: EPAC podporuje Azure DevOps, GitHub Actions a modul PowerShellu, které vám pomůžou nasadit zásady. Můžete použít ukázkové kanály v úvodní sadě EPAC a přizpůsobit je vašemu prostředí a požadavkům.
Postupujte podle úvodní příručky k exportu objektů zásad ve vašem prostředí a seznamte se s tím, jak EPAC spravuje Azure Policy.
V případě problémů s kódem nebo dokumentací odešlete problém v úložišti GitHub.
Nahrazení existujících řešení pro nasazení zásad
EPAC nahrazuje možnosti nasazení zásad akcelerátorů cílových zón Azure. Pokud tyto akcelerátory používáte, neměli byste je používat k nasazení služby Azure Policy, protože EPAC je zdrojem pravdy pro zásady v prostředí.
Další informace najdete v následujících zdrojích informací pro správu zásad pomocí akcelerátorů cílových zón Bicep a Terraformu v Azure: