次の方法で共有

ソブリン ランディング ゾーンの展開と構成

  • [アーティクル]

ソブリン ランディング ゾーン (SLZ) を展開して構成する前に、さまざまな前提条件手順を完了する必要があります。

SLZ を展開する

SLZ は、クラウド導入フレームワーク (CAF) のベスト プラクティスの一部として エンタープライズ規模のランディング ゾーン に沿った方法でさまざまな Azure リソースを展開および構成し、組織がデータ主権要件を達成するために構成できる適切なガードレールを提供します。 デプロイメントに関する詳しい情報については、デプロイメント テクノロジー (選択) を参照してください。

Bicepを使用してSovereign Landing Zone (SLZ) を展開および構成する前に、さまざまな前提条件の手順を完了する必要があります。 SLZとそのすべての機能の詳細な概要については、GitHubの Sovereign Landing Zone (Bicep) ドキュメントを参照してください。

前提条件

展開を完了するには、前提条件となる手順を実行する必要があります:

  • ローカル環境に次のバージョン (またはそれ以降) がインストールされていることを確認してください。

    • PowerShell 7.0
    • Azure RM 2.51.0
    • Azure PowerShell 10.0.0
    • Azure Bicep 0.20.0

  • Azureで次のアクセス許可を持つ Microsoft Entra ID IDにアクセスできることを確認します。

    • サブスクリプションを作成する (または既存のものを使用する)
    • サブスクリプションの所有者
    • サービス プリンシパルを作成する
    • ポリシー セットの定義と割り当てを作成する。

ソブリン ランディング ゾーンを展開する手順

  1. ソブリン ランディング ゾーンのローカル コピーを確認してください

  2. Confirm-SovereignLandingZonePrerequisites.ps1スクリプト を実行して、ローカル ランタイム 環境 とAzureアクセス許可の前提条件が満たされているかどうかを検証します。

  3. SLZ リポジトリのローカル コピーにある必要なパラメーターを使用して、パラメーター ファイル を更新します。 次の最小限のパラメーターで SLZ 展開を作成できます:

    • SLZ の一意で人間が判読できる名前
    • 展開の場所と承認された場所
    • 新規作成または既存のサブスクリプションの請求情報

  4. (オプション) コンプライアンスに必要なカスタム ポリシー定義を追加します。

  5. デプロイメント スクリプト内の すべての ステップを実行します。 New-SovereignLandingZone.ps1 初期展開プロセスには 1 時間以上かかる場合があります。

  6. デプロイメントの最後に表示されるコンプライアンス ダッシュボード出力 リンク をチェックして、デプロイメントが完了したことを確認します。

ソブリン ベースライン ポリシーの取り組みを構成する

ソブリン ベースライン ポリシーの取り組みを構成するには、次の SLZ 構成パラメーターを使用する必要があります。

  • parAllowedLocations: このパラメーターを使用して、機密管理グループのスコープ外でSLZによって展開されるすべてのリソースの場所の制限ポリシーを構成します。

  • parAllowedLocationsForConfidentialComputing: このパラメーターを使用して、機密管理グループのスコープ内に展開されたリソースの場所の制限ポリシーを構成します。 このパラメーターは parAllowedLocations パラメーターと同じにすることができますが、Azure 機密コンピューティングが指定したリージョンで利用できない場合は、異なる必要がある可能性があります。

  • parPolicyEffect: このパラメーターは、実稼働ワークロードに推奨される拒否効果を持つベースラインと、監査効果を切り替えます。

ポリシー ポートフォリオまたは ALZ ポリシーを使用する

ポリシー ポートフォリオ内のすべての プレビュー イニシアチブは、SLZ展開で使用する前に定義を展開する必要があります。 これらの定義を展開する方法の詳細については、 ポリシー ポートフォリオ に関する記事を参照してください。 これらの手順を使用して、定義を既存のランディング ゾーンに展開できます。

これらのポリシー イニシアチブを構成するには、次の構成パラメーターを使用します:

  • parCustomerPolicySets: このパラメーターは、SLZ展開の最上位管理グループ スコープで割り当てるポリシー セット定義のリストを指定するのに役立ちます。

  • parDeployAlzDefaultPolicies: このパラメータにより、SLZ展開内の関連するスコープに ALZポリシー を展開できるようになります。

プラットフォームまたはアプリケーションのランディング ゾーンを展開する

SLZ が展開されたら、次の手順に従ってプラットフォームまたはアプリケーション ランディング ゾーンをプロビジョニングできます:

  1. ALZ ランディング ゾーン ベンディング のローカル コピーを確認します。

  2. ベンディング モジュールの構成に必要な、関連する管理グループ、場所、リソース ID などについては、既存の SLZ 展開ログを参照します。

  3. main.bicep ファイルを適切なパラメーターで更新して、bicep スクリプトを実行します。

参照