Geavanceerd Azure Policy-beheer
In dit artikel wordt beschreven hoe u Azure Policy op schaal beheert met behulp van infrastructuur als code (IaC). Governance op basis van beleid is een ontwerpprincipe voor Azure-landingszones. Het helpt ervoor te zorgen dat de toepassingen die u implementeert, voldoen aan het platform van uw organisatie. Het kan veel moeite kosten om beleidsobjecten in een omgeving te beheren en te testen om ervoor te zorgen dat aan naleving wordt voldaan. Azure-landingszoneversnellers helpen bij het instellen van een veilige basislijn, maar uw organisatie heeft mogelijk verdere nalevingsvereisten waaraan u moet voldoen door ander beleid te implementeren.
Wat is Enterprise Policy as Code (EPAC)?
EPAC is een opensource-project dat u kunt gebruiken om IaC te integreren en Azure Policy te beheren. EPAC is gebaseerd op een PowerShell-module en is gepubliceerd naar de PowerShell Gallery. U kunt de functies van dit project gebruiken om het volgende te doen:
Stateful beleidsimplementaties maken. De objecten die in de code zijn gedefinieerd, worden de bron van waarheid voor beleidsobjecten die zijn geïmplementeerd in Azure.
Implementeer complexe scenario's voor beleidsbeheer, zoals multitenant- en soevereine cloudimplementaties.
Exporteer en integreer beleidsregels om bestaande aangepaste beleidsregels op te nemen die zijn ontwikkeld vóór de implementatie van de Azure-landingszone.
Beleidsvrijstellingen en beleidsdocumentatie maken en beheren.
Gebruik voorbeeldwerkstromen om Azure Policy-implementaties te demonstreren met GitHub Actions of Azure Pipelines.
Exporteer niet-nalevingsrapporten en maak hersteltaken.
Redenen om EPAC te gebruiken
U kunt EPAC gebruiken om azure-landingszonebeleid te implementeren en te beheren. U kunt overwegen om EPAC te implementeren voor het beheren van beleid als:
U hebt onbeheerd beleid in een bestaande brownfield-omgeving die u wilt implementeren in een nieuwe Azure-landingszoneomgeving. Exporteer het bestaande beleid en beheer ze met EPAC naast de azure-landingszonebeleidsobjecten.
U hebt een Azure-implementatie die niet volledig is afgestemd op een Azure-landingszone, bijvoorbeeld meerdere beheergroepstructuren voor testen of een niet-conventionele beheergroepstructuur. De standaardtoewijzingsstructuur die andere implementatiemethoden voor Azure-landingszones bieden, past mogelijk niet bij uw strategie.
U hebt een team dat niet verantwoordelijk is voor de implementatie van de infrastructuur, bijvoorbeeld een beveiligingsteam dat beleid kan implementeren en beheren.
U hebt functies van beleidsregels nodig die niet beschikbaar zijn in de implementaties van de Azure-landingszoneversneller, bijvoorbeeld beleidsuitzonderingen en documentatie.
Aan de slag
De EPAC GitHub-opslagplaats biedt gedetailleerde stappen voor het beheren van Azure Policy. Houd rekening met de volgende factoren bij het bepalen of het project geschikt is voor uw omgeving:
Omgevingstopologie: Meerdere tenancies en gecompliceerde beheergroepstructuren worden ondersteund. Overweeg hoe u uw beleid wilt structuren als code-implementaties zodat meerdere teams beleidsregels kunnen beheren en nieuwe beleidsimplementaties kunnen testen.
Machtigingen: Overweeg hoe u machtigingen voor de implementatie beheert, met name voor rollen en identiteiten. EPAC biedt meerdere fasen voor het implementeren van zowel het beleid als roltoewijzingen, zodat afzonderlijke identiteiten kunnen worden gebruikt.
Bestaande beleidsimplementaties: In een brownfield-scenario hebt u mogelijk bestaande beleidsregels die aanwezig moeten blijven terwijl EPAC wordt geïmplementeerd. U kunt de gewenste statusstrategie gebruiken om ervoor te zorgen dat EPAC alleen het gedefinieerde beleid beheert en bestaande beleidsregels behoudt.
Implementatiemethodologie: EPAC ondersteunt Azure DevOps, GitHub Actions en een PowerShell-module om beleid te implementeren. U kunt de voorbeeldpijplijnen in de EPAC-starterkit gebruiken en deze aanpassen aan uw omgeving en vereisten.
Volg de snelstartgids om beleidsobjecten in uw omgeving te exporteren en vertrouwd te raken met hoe EPAC Azure Policy beheert.
Voor problemen met de code of documentatie dient u een probleem in in de GitHub-opslagplaats.
Bestaande beleidsimplementatieoplossingen vervangen
EPAC vervangt de beleidsimplementatiemogelijkheden van de Azure-landingszoneversnellers. Wanneer u deze accelerators gebruikt, moet u ze niet gebruiken om Azure Policy te implementeren omdat EPAC de bron van waarheid is voor beleid in de omgeving.
Zie de volgende resources voor beleidsbeheer met Bicep- en Terraform Azure-landingszoneversnellers voor meer informatie: