Implantar e configurar uma Zona de destino soberana

É necessário concluir as diversas etapas de pré-requisito antes de implantar e configurar a Zona de destino soberana (SLZ).

Implantar a SLZ

O SLZ implanta e configura vários recursos do Azure de maneira alinhada com a zona de destino em escala empresarial como parte das melhores práticas do Cloud Adoption Framework (CAF) e fornece as proteções apropriadas que uma organização pode configurar para atingir seus requisitos de soberania de dados. Select a tecnologia de implantação para obter mais informações sobre implantação.

Bíceps

Você precisa concluir várias etapas de pré-requisito antes de implantar e configurar a Sovereign Landing Zone (SLZ) usando o Bicep. Para uma visão geral detalhada de uma SLZ e todos os seus recursos, consulte a documentação da Sovereign Landing Zone (Bicep) no GitHub.

Pré-requisitos

Para concluir a implantação, você deve executar as etapas de pré-requisito:

• Certifique-se de que seu ambiente local tenha as seguintes versões instaladas (ou mais recentes):

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Certifique-se de ter acesso a uma Microsoft Entra identidade de ID com as seguintes permissões em Azure:

  • Criar assinaturas (ou usar existentes)
  • Proprietário das assinaturas
  • Criar entidades de serviço
  • Crie definições e atribuições de conjuntos de políticas.

Etapas para implantar a Zona de destino soberana

1. Confira uma cópia local da Sovereign Landing Zone.

2. Valide se os pré-requisitos foram atendidos para seu ambiente de execução local e as permissões Azure executando o script Confirm-SovereignLandingZonePrerequisites.ps1.

3. Atualize o arquivo de parâmetros com os parâmetros necessários em sua cópia local do repositório da SLZ. Você pode criar uma implantação de SLZ com os seguintes parâmetros mínimos:

   • Nomes exclusivos e legíveis para a SLZ
   • Local e local aprovado para a implantação
   • Informações de cobrança para assinaturas recém-criadas ou existentes

4. (Opcional) Adicione definições de políticas personalizadas conforme necessário para fins de conformidade.

5. Execute todas as etapas do New-SovereignLandingZone.ps1 script de implantação. O processo de implantação inicial pode levar mais de uma hora.

6. Verifique se a implantação foi concluída por conta-corrente na saída do painel de conformidade vincular exibida no final da implantação.

Configurar as inciativas da política de Linha de Base de Soberania

Você deve usar os seguintes parâmetros de configuração da SLZ para configurar as inciativas da política de Linha de Base de Soberania:

• parAllowedLocations: Use este parâmetro para configurar as políticas de restrição de localização para todos os recursos implantados pelo SLZ fora dos escopos do grupo de geranciamento confidencial.

• parAllowedLocationsForConfidentialComputing: Use este parâmetro para configurar as políticas de restrição de localização para recursos implantados dentro dos escopos do grupo de geranciamento confidencial. Esse parâmetro pode ser igual ao parâmetro parAllowedLocations, mas pode precisar ser diferente se a Computação Confidencial do Azure não estiver disponível na região preferencial.

• parPolicyEffect: Este parâmetro alterna entre a linha de base com efeito de negação, o que é recomendado para cargas de trabalho de produção, ou um efeito de auditoria.

Usar o portfólio de políticas ou políticas ALZ

Qualquer iniciativa versão preliminar dentro do portfólio de políticas deve ter sua definição implantada antes de ser usada em uma implantação SLZ. Revise o artigo sobre portfólio de políticas para obter detalhes sobre a implementação dessas definições. Você pode usar estas etapas para implantar as definições em qualquer zona de destino existente.

Use os seguintes parâmetros de configuração para configurar essas iniciativas de política:

• parCustomerPolicySets: Este parâmetro ajuda você a especificar uma lista de definições de conjuntos de políticas a serem atribuídas no escopo do grupo de geranciamento de nível superior para uma implantação SLZ.

• parDeployAlzDefaultPolicies: Este parâmetro permite que as políticas ALZ sejam implantadas em escopos relevantes dentro de uma implantação SLZ.

Terraformar

Você precisa concluir várias etapas de pré-requisito antes de implantar e configurar a Sovereign Landing Zone (SLZ) usando o Terraform. Para uma visão geral detalhada de uma SLZ e todos os seus recursos, consulte a documentação da Sovereign Landing Zone (Terraform) no GitHub.

Pré-requisitos

Para concluir a implantação, você deve executar as etapas de pré-requisito:

• Certifique-se de que seu ambiente local tenha as seguintes versões instaladas (ou mais recentes):

  • Terraform v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Certifique-se de ter acesso a uma Microsoft Entra identidade de ID com as seguintes permissões em Azure:

  • Criar assinaturas (ou usar existentes)
  • Proprietário das assinaturas
  • Criar entidades de serviço
  • Crie definições e atribuições de conjuntos de políticas.

Etapas para implantar a Zona de destino soberana

1. Baixe uma cópia do inputs.yaml para configurar sua implantação. Você pode criar uma implantação de SLZ com os seguintes parâmetros mínimos:

   • Nomes exclusivos e legíveis para a SLZ
   • Local e local aprovado para a implantação
   • Informações de cobrança para assinaturas recém-criadas ou existentes

2. (Opcional) Adicione definições de políticas personalizadas conforme necessário para fins de conformidade.

3. Execute o comando do acelerador de implantação PowerShell para verificar uma cópia local da Sovereign Landing Zone (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Execute o comando terraform apply . O processo de implantação inicial pode levar mais de uma hora.

5. Verifique se a implantação foi concluída conta-corrente na saída do painel de conformidade vincular exibida no final da implantação.

Configurar as inciativas da política de Linha de Base de Soberania

Você deve usar os seguintes parâmetros de configuração da SLZ para configurar as inciativas da política de Linha de Base de Soberania:

• allowed_locations: Use este parâmetro para configurar as políticas de restrição de localização para todos os recursos implantados pelo SLZ fora dos escopos do grupo de geranciamento confidencial.

• allowed_locations_for_confidential_computing: Use este parâmetro para configurar as políticas de restrição de localização para recursos implantados dentro dos escopos do grupo de geranciamento confidencial. Este parâmetro pode ser o mesmo que o parâmetro allowed_locations , mas pode precisar ser diferente se Azure Confidential Computing não estiver disponível na região preferida.

• policy_effect: Este parâmetro alterna entre a linha de base ter um efeito de negação, o que é recomendado para cargas de trabalho de produção, ou um efeito de auditoria.

Usar o portfólio de políticas ou políticas ALZ

Qualquer iniciativa versão preliminar dentro do portfólio de políticas deve ter sua definição implantada antes de ser usada em uma implantação SLZ. Examine o artigo sobre portfólio de políticas para obter detalhes sobre a implantação dessas definições. Você pode usar estas etapas para implantar as definições em qualquer zona de destino existente.

Use os seguintes parâmetros de configuração para configurar essas iniciativas de política:

• customer_policy_sets: Este parâmetro ajuda você a especificar uma lista de definições de conjuntos de políticas a serem atribuídas no escopo do grupo de geranciamento de nível superior para uma implantação SLZ.

• apply_alz_archetypes_via_architecture_definition_template: Este parâmetro permite que as políticas ALZ sejam implantadas em escopos relevantes dentro de uma implantação SLZ.

Implantar uma plataforma ou zona de destino de aplicativo

Após a implantação de uma SLZ, você poderá provisionar a plataforma ou a zona de destino do aplicativo por meio das seguintes etapas:

1. Confira uma cópia local da Zona de destino soberana de venda.

2. Consulte os logs de implantação de SLZ existentes para grupos de gerenciamento, locais, IDs de recursos relevantes, etc., necessários para configurar o módulo de vendas.

3. Atualize o arquivo main.bicep com os parâmetros apropriados e execute o script bicep.

Consultar também

• Visão geral da Zona de Pouso Soberana
• Conceitos de Zona de Aterrissagem Soberana
• Portfólio de políticas