Implementar y configurar Sovereign landing zone

Debe completar los diversos pasos previos antes de implementar y configurar la Zona de Aterrizaje Soberana (SLZ).

Implementar SLZ

SLZ implementa y configura varios recursos de Azure de una manera que se alinea con la zona de aterrizaje a escala empresarial como parte de las mejores prácticas del Cloud Adoption Framework (CAF) y proporciona barreras de seguridad adecuadas. una organización puede configurar para lograr sus requisitos de soberanía de datos. Seleccionar la tecnología de implementación para obtener más información sobre la implementación.

Bíceps

Debes completar varios pasos previos antes de implementar y configurar la Zona de aterrizaje soberana (SLZ) usando Bicep. Para obtener una descripción detallada de una SLZ y todas sus capacidades, consulte la documentación de Sovereign Landing Zone (Bicep) en GitHub.

Requisitos previos

Para completar la implementación, debe cumplir con los siguientes requisitos previos:

• Asegúrese de que su entorno local tenga instaladas las siguientes versiones (o más recientes):

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Asegúrese de tener acceso a una identidad de ID con los siguientes permisos en Azure: Microsoft Entra

  • Crear (o utilizar) suscripciones existentes
  • Propietario de las suscripciones
  • Crear entidades de servicio
  • Crear definiciones y asignaciones de conjuntos de políticas.

Pasos para desplegar Sovereign Landing Zone

1. Consulta una copia local de la Zona de Aterrizaje Soberano.

2. Valide si se cumplen los requisitos previos para su entorno de ejecución local cuenta corriente y los permisos de Azure ejecutando el secuencia de comandos Confirm-SovereignLandingZonePrerequisites.ps1.

3. Actualice el archivo de parámetros con los parámetros requeridos en su copia local del repositorio SLZ. Puede crear una implementación SLZ con los siguientes parámetros mínimos:

   • Nombres únicos y legibles por humanos para SLZ
   • Ubicación y ubicación aprobada para el despliegue
   • Información de facturación para las suscripciones recién creadas o existentes

4. (Opcional) Agregue definiciones de políticas personalizadas según sea necesario para el cumplimiento.

5. Ejecute todos los pasos dentro del script de implementación. New-SovereignLandingZone.ps1 El proceso de implementación inicial puede tardar más de una hora.

6. Verifique que la implementación finalice con vincular en la salida del panel de cumplimiento vincular que se muestra al final de la implementación.

Configurar las iniciativas de directivas de línea de base de soberanía

Debe utilizar los siguientes parámetros de configuración de SLZ para configurar las iniciativas de directivas de línea de base de soberanía:

• parAllowedLocations: utilice este parámetro para configurar las políticas de restricción de ubicación para todos los recursos implementados por SLZ fuera de los ámbitos del grupo de administración confidencial.

• parAllowedLocationsForConfidentialComputing: utilice este parámetro para configurar las políticas de restricción de ubicación para los recursos implementados dentro de los ámbitos del grupo de administración confidencial. Este parámetro puede ser el mismo que el parámetro parAllowedLocations, pero es posible que deba ser diferente si Azure Confidential Computing no está disponible en la región preferida.

• parPolicyEffect: este parámetro alterna entre que la línea base tenga un efecto de denegación, lo cual se recomienda para cargas de trabajo de producción, o un efecto de auditoría.

Utilice la cartera de pólizas o pólizas ALZ

Cualquier iniciativa versión preliminar dentro de la cartera de políticas debe tener su definición implementada antes de ser utilizada en una implementación de SLZ. Revise el artículo sobre la cartera de políticas para obtener detalles sobre la implementación de estas definiciones. Puede utilizar estos pasos para implementar las definiciones en cualquier zona de aterrizaje existente.

Use los siguientes parámetros de configuración para configurar estas iniciativas de política:

• parCustomerPolicySets: este parámetro le ayuda a especificar una lista de definiciones de conjuntos de políticas para asignar en el ámbito del grupo de administración de nivel superior para una implementación de SLZ.

• parDeployAlzDefaultPolicies: este parámetro permite que las políticas ALZ se implementen en los ámbitos relevantes dentro de una implementación SLZ.

Terraformar

Debe completar varios pasos previos antes de implementar y configurar la Zona de aterrizaje soberana (SLZ) mediante Terraform. Para obtener una descripción detallada de una SLZ y todas sus capacidades, consulte la documentación de Sovereign Landing Zone (Terraform) en GitHub.

Requisitos previos

Para completar la implementación, debe cumplir con los siguientes requisitos previos:

• Asegúrese de que su entorno local tenga instaladas las siguientes versiones (o más recientes):

  • Terraform v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ4.0.0

• Asegúrese de tener acceso a una identidad de ID con los siguientes permisos en Azure: Microsoft Entra

  • Crear (o utilizar) suscripciones existentes
  • Propietario de las suscripciones
  • Crear entidades de servicio
  • Crear definiciones y asignaciones de conjuntos de políticas.

Pasos para desplegar Sovereign Landing Zone

1. Descargue una copia de inputs.yaml para configurar su implementación. Puede crear una implementación SLZ con los siguientes parámetros mínimos:

   • Nombres únicos y legibles por humanos para SLZ
   • Ubicación y ubicación aprobada para el despliegue
   • Información de facturación para las suscripciones recién creadas o existentes

2. (Opcional) Agregue definiciones de políticas personalizadas según sea necesario para el cumplimiento.

3. Ejecute el comando de PowerShell del acelerador de implementación para extraer una copia local de la Zona de aterrizaje soberana (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Ejecute el comando terraform apply . El proceso de implementación inicial puede tardar más de una hora.

5. Verifique si la implementación se completó consultando la salida del panel de cumplimiento cuenta corriente que se muestra al final de la implementación.

Configurar las iniciativas de directivas de línea de base de soberanía

Debe utilizar los siguientes parámetros de configuración de SLZ para configurar las iniciativas de directivas de línea de base de soberanía:

• allowed_locations: utilice este parámetro para configurar las políticas de restricción de ubicación para todos los recursos implementados por SLZ fuera de los ámbitos del grupo de administración confidencial.

• allowed_locations_for_confidential_computing: utilice este parámetro para configurar las políticas de restricción de ubicación para los recursos implementados dentro de los ámbitos del grupo de administración confidencial. Este parámetro puede ser el mismo que el parámetro allowed_locations , pero es posible que deba ser diferente si Azure Confidential Computing no está disponible en la región preferida.

• policy_effect: este parámetro alterna entre que la línea base tenga un efecto de denegación, lo cual se recomienda para cargas de trabajo de producción, o un efecto de auditoría.

Utilice la cartera de pólizas o pólizas ALZ

Cualquier iniciativa versión preliminar dentro de la cartera de políticas debe tener su definición implementada antes de ser utilizada en una implementación de SLZ. Revise el artículo sobre cartera de políticas para obtener detalles sobre cómo implementar estas definiciones. Puede utilizar estos pasos para implementar las definiciones en cualquier zona de aterrizaje existente.

Use los siguientes parámetros de configuración para configurar estas iniciativas de política:

• customer_policy_sets: este parámetro le ayuda a especificar una lista de definiciones de conjuntos de políticas para asignar en el ámbito del grupo de administración de nivel superior para una implementación de SLZ.

• apply_alz_archetypes_via_architecture_definition_template: este parámetro permite que las políticas ALZ se implementen en los ámbitos relevantes dentro de una implementación SLZ.

Implementar una plataforma o zona de aterrizaje de aplicaciones

Una vez implementada una SLZ, puede aprovisionar una plataforma o una zona de inicio de aplicaciones mediante los siguientes pasos:

1. Extraiga una copia local de ALZ Landing Zone Vending.

2. Consulte los registros de implementación de SLZ existentes para conocer los grupos de administración, ubicaciones, ID de recursos, etc. relevantes necesarios para configurar el módulo de venta.

3. Actualice el archivo main.bicep con los parámetros apropiados y ejecute el script bicep.

Consulte también

• Vista general de la zona de aterrizaje soberana
• Conceptos de la zona de aterrizaje soberana
• Cartera de políticas