Compartilhar via


Gerenciamento avançado de políticas do Azure

Este artigo descreve como gerenciar a Política do Azure em escala usando a infraestrutura como código (IaC). A governança orientada por políticas é um princípio de design para zonas de aterrissagem do Azure. Isso ajuda a garantir que os aplicativos implantados estejam em conformidade com a plataforma da sua organização. Pode ser necessário um esforço considerável para gerenciar e testar objetos de política em um ambiente para garantir que a conformidade seja atendida. Os aceleradores de zona de aterrissagem do Azure ajudam a estabelecer uma linha de base segura, mas sua organização pode ter outros requisitos de conformidade que você deve atender implantando outras políticas.

O que é a Política Empresarial como Código (EPAC)?

O EPAC é um projeto de código aberto que você pode usar para integrar o IaC e gerenciar a Política do Azure. O EPAC foi criado com base em um módulo do PowerShell e publicado na Galeria do PowerShell. Você pode usar os recursos deste projeto para:

  • Crie implantações de política com monitoração de estado. Os objetos definidos no código se tornam a fonte de verdade para objetos de política implantados no Azure.

  • Implemente cenários complexos de gerenciamento de políticas, como implantações de multilocatário e nuvem soberana.

  • Exporte e integre políticas para incorporar políticas personalizadas existentes que foram desenvolvidas antes da implantação da zona de aterrissagem do Azure.

  • Criar e gerenciar isenções de políticas e documentação de políticas.

  • Use fluxos de trabalho de exemplo para demonstrar implantações de Política do Azure com Ações do GitHub ou Pipelines do Azure.

  • Exporte relatórios de não conformidade e crie tarefas de correção.

Razões para utilizar o EPAC

Você pode usar o EPAC para implantar e gerenciar políticas de zona de aterrissagem do Azure. Talvez você queira considerar a implementação do EPAC para gerenciar políticas se:

  • Você tem políticas não gerenciadas em um ambiente brownfield existente que deseja implantar em um novo ambiente de zona de aterrissagem do Azure. Exporte as políticas existentes e gerencie-as com o EPAC junto com os objetos de política de zona de aterrissagem do Azure.

  • Você tem uma implantação do Azure que não se alinha totalmente a uma zona de aterrissagem do Azure, por exemplo, várias estruturas de grupo de gerenciamento para teste ou uma estrutura de grupo de gerenciamento não convencional. A estrutura de atribuição padrão que outros métodos de implantação da zona de aterrissagem do Azure fornecem pode não se adequar à sua estratégia.

  • Você tem uma equipe que não é responsável pela implantação da infraestrutura, por exemplo, uma equipe de segurança que pode querer implantar e gerenciar políticas.

  • Você precisa de recursos de políticas que não estão disponíveis nas implantações do acelerador de zona de aterrissagem do Azure, por exemplo, isenções de política e documentação.

Introdução

O repositório GitHub do EPAC fornece etapas detalhadas para começar a gerenciar a Política do Azure. Considere os seguintes fatores ao determinar se o projeto é adequado ao seu ambiente:

  • Topologia de ambiente: há suporte para várias locações e estruturas complicadas de grupo de gerenciamento. Considere como você deseja estruturar sua política como implantações de código para se ajustar à topologia, para que várias equipes possam gerenciar políticas e testar novas implantações de política.

  • Permissões: considere como você gerencia permissões para a implantação, especialmente para funções e identidades. O EPAC fornece vários estágios para implantar as políticas e as atribuições de função, para que identidades separadas possam ser usadas.

  • Implantações de políticas existentes: em um cenário brownfield, você pode ter políticas existentes que devem permanecer em vigor enquanto o EPAC é implantado. Você pode usar a estratégia de estado desejada para garantir que o EPAC gerencie apenas as políticas definidas e preserve as políticas existentes.

  • Metodologia de implantação: o EPAC oferece suporte ao Azure DevOps, às Ações do GitHub e a um módulo do PowerShell para ajudar a implantar políticas. Você pode usar os pipelines de amostra no kit inicial do EPAC e adaptá-los ao seu ambiente e requisitos.

Siga o guia de início rápido para exportar objetos de política em seu ambiente e familiarize-se com a forma como o EPAC gerencia a Política do Azure.

Para problemas com o código ou a documentação, envie um problema no repositório do GitHub.

Substituir soluções de implantação de políticas existentes

O EPAC substitui os recursos de implantação de política dos aceleradores de zona de aterrissagem do Azure. Ao usar esses aceleradores, você não deve usá-los para implantar a Política do Azure porque o EPAC é a fonte da verdade para a política no ambiente.

Para obter mais informações, consulte os seguintes recursos para gerenciamento de políticas com aceleradores de zona de aterrissagem do Azure Bicep e Terraform:

Próximas etapas