Gerenciamento avançado de políticas do Azure
Este artigo descreve como gerenciar a Política do Azure em escala usando a infraestrutura como código (IaC). A governança orientada por políticas é um princípio de design para zonas de aterrissagem do Azure. Isso ajuda a garantir que os aplicativos implantados estejam em conformidade com a plataforma da sua organização. Pode ser necessário um esforço considerável para gerenciar e testar objetos de política em um ambiente para garantir que a conformidade seja atendida. Os aceleradores de zona de aterrissagem do Azure ajudam a estabelecer uma linha de base segura, mas sua organização pode ter outros requisitos de conformidade que você deve atender implantando outras políticas.
O que é a Política Empresarial como Código (EPAC)?
O EPAC é um projeto de código aberto que você pode usar para integrar o IaC e gerenciar a Política do Azure. O EPAC foi criado com base em um módulo do PowerShell e publicado na Galeria do PowerShell. Você pode usar os recursos deste projeto para:
Crie implantações de política com monitoração de estado. Os objetos definidos no código se tornam a fonte de verdade para objetos de política implantados no Azure.
Implemente cenários complexos de gerenciamento de políticas, como implantações de multilocatário e nuvem soberana.
Exporte e integre políticas para incorporar políticas personalizadas existentes que foram desenvolvidas antes da implantação da zona de aterrissagem do Azure.
Criar e gerenciar isenções de políticas e documentação de políticas.
Use fluxos de trabalho de exemplo para demonstrar implantações de Política do Azure com Ações do GitHub ou Pipelines do Azure.
Exporte relatórios de não conformidade e crie tarefas de correção.
Razões para utilizar o EPAC
Você pode usar o EPAC para implantar e gerenciar políticas de zona de aterrissagem do Azure. Talvez você queira considerar a implementação do EPAC para gerenciar políticas se:
Você tem políticas não gerenciadas em um ambiente brownfield existente que deseja implantar em um novo ambiente de zona de aterrissagem do Azure. Exporte as políticas existentes e gerencie-as com o EPAC junto com os objetos de política de zona de aterrissagem do Azure.
Você tem uma implantação do Azure que não se alinha totalmente a uma zona de aterrissagem do Azure, por exemplo, várias estruturas de grupo de gerenciamento para teste ou uma estrutura de grupo de gerenciamento não convencional. A estrutura de atribuição padrão que outros métodos de implantação da zona de aterrissagem do Azure fornecem pode não se adequar à sua estratégia.
Você tem uma equipe que não é responsável pela implantação da infraestrutura, por exemplo, uma equipe de segurança que pode querer implantar e gerenciar políticas.
Você precisa de recursos de políticas que não estão disponíveis nas implantações do acelerador de zona de aterrissagem do Azure, por exemplo, isenções de política e documentação.
Introdução
O repositório GitHub do EPAC fornece etapas detalhadas para começar a gerenciar a Política do Azure. Considere os seguintes fatores ao determinar se o projeto é adequado ao seu ambiente:
Topologia de ambiente: há suporte para várias locações e estruturas complicadas de grupo de gerenciamento. Considere como você deseja estruturar sua política como implantações de código para se ajustar à topologia, para que várias equipes possam gerenciar políticas e testar novas implantações de política.
Permissões: considere como você gerencia permissões para a implantação, especialmente para funções e identidades. O EPAC fornece vários estágios para implantar as políticas e as atribuições de função, para que identidades separadas possam ser usadas.
Implantações de políticas existentes: em um cenário brownfield, você pode ter políticas existentes que devem permanecer em vigor enquanto o EPAC é implantado. Você pode usar a estratégia de estado desejada para garantir que o EPAC gerencie apenas as políticas definidas e preserve as políticas existentes.
Metodologia de implantação: o EPAC oferece suporte ao Azure DevOps, às Ações do GitHub e a um módulo do PowerShell para ajudar a implantar políticas. Você pode usar os pipelines de amostra no kit inicial do EPAC e adaptá-los ao seu ambiente e requisitos.
Siga o guia de início rápido para exportar objetos de política em seu ambiente e familiarize-se com a forma como o EPAC gerencia a Política do Azure.
Para problemas com o código ou a documentação, envie um problema no repositório do GitHub.
Substituir soluções de implantação de políticas existentes
O EPAC substitui os recursos de implantação de política dos aceleradores de zona de aterrissagem do Azure. Ao usar esses aceleradores, você não deve usá-los para implantar a Política do Azure porque o EPAC é a fonte da verdade para a política no ambiente.
Para obter mais informações, consulte os seguintes recursos para gerenciamento de políticas com aceleradores de zona de aterrissagem do Azure Bicep e Terraform: