Implementar e configurar uma Zona de Pouso Soberana

Precisa de concluir os vários passos de pré-requisitos antes de implementar e configurar a Zona de Pouso Soberana (SLZ).

Implementar a SLZ

A SLZ implementa e configura vários recursos do Azure de maneira alinhada à zona de destino de escala empresarial como parte das melhores práticas do Cloud Adoption Framework (CAF) e fornece proteções apropriadas que uma organização pode configurar para atingir os respetivas requisitos de soberania de dados. Selecione a tecnologia de implantação para obter mais informações sobre a implantação.

Bíceps

Você precisa concluir várias etapas de pré-requisito antes de implantar e configurar a Sovereign Landing Zone (SLZ) usando o Bicep. Para obter uma visão geral detalhada de um SLZ e todos os seus recursos, consulte a documentação da Sovereign Landing Zone (Bicep) no GitHub.

Pré-requisitos

Para concluir a implementação, precisa de efetuar os passos de pré-requisito:

• Certifique-se de que o seu ambiente local tem as seguintes versões instaladas (ou mais recentes):

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Certifique-se de ter acesso a uma Microsoft Entra identidade de ID com as seguintes permissões em Azure:

  • Criar subscrições (ou usar existentes)
  • Proprietário das subscrições
  • Criar principais de serviço
  • Crie definições e atribuições de conjuntos de políticas.

Passos para implementar a Zona de Pouso Soberana

1. Confira uma cópia local da Sovereign Landing Zone.

2. Valide se os pré-requisitos são atendidos para seu ambiente de tempo de execução local e permissões Azure executando o script Confirm-SovereignLandingZonePrerequisites.ps1.

3. Atualize o ficheiro de parâmetros com os parâmetros obrigatórios na sua cópia local do repositório da SLZ. Pode criar uma implementação de SLZ com os seguintes parâmetros mínimos:

   • Nomes exclusivos e legíveis por humanos para a SLZ
   • Localização e localização aprovada para a implementação
   • Informações de faturação para subscrições recém-criadas ou existentes

4. (Opcional) Adicione definições de políticas personalizadas conforme necessário para a conformidade.

5. Execute todas as etapas dentro do New-SovereignLandingZone.ps1 script de implantação. O processo de implementação inicial pode demorar mais de uma hora.

6. Verifique se a implantação foi concluída verificando o link de saída do painel de conformidade exibido no final da implantação.

Configurar as iniciativas de política de Linha de base de Soberania

Precisa de usar os seguintes parâmetros de configuração da SLZ para configurar as iniciativas de política de Linha de base de Soberania:

• parAllowedLocations: use este parâmetro para configurar as políticas de restrição de local para todos os recursos implantados pelo SLZ fora dos escopos confidenciais do grupo de gerenciamento.

• parAllowedLocationsForConfidentialComputing: use este parâmetro para configurar as políticas de restrição de local para recursos implantados nos escopos confidenciais do grupo de gerenciamento. Este parâmetro pode ser igual ao parâmetro parAllowedLocations, mas pode precisar que seja diferente se a Computação Confidencial do Azure não estiver disponível na região preferida.

• parPolicyEffect: este parâmetro alterna entre a linha de base com um efeito de negação, que é recomendado para cargas de trabalho de produção, ou um efeito de auditoria.

Use o portefólio de políticas ou políticas ALZ

Qualquer iniciativa pré-visualização dentro do portfólio de políticas deve ter sua definição implantada antes de ser usada em uma implantação SLZ. Consulte o artigo sobre o portfólio de políticas para obter detalhes sobre a implantação dessas definições. Pode usar estes passos para implementar as definições em qualquer zona de destino existente.

Use os seguintes parâmetros de configuração da SLZ para configurar estas iniciativas de política:

• parCustomerPolicySets: esse parâmetro ajuda a especificar uma lista de definições de conjunto de políticas a serem atribuídas no escopo do grupo de gerenciamento de nível superior para uma implantação SLZ.

• parDeployAlzDefaultPolicies: Este parâmetro permite que as políticas ALZ sejam implantadas em escopos relevantes dentro de uma implantação SLZ.

Terraforma

Você precisa concluir várias etapas de pré-requisito antes de implantar e configurar a Sovereign Landing Zone (SLZ) usando o Terraform. Para obter uma visão geral detalhada de um SLZ e todos os seus recursos, consulte a documentação da Sovereign Landing Zone (Terraform) no GitHub.

Pré-requisitos

Para concluir a implementação, precisa de efetuar os passos de pré-requisito:

• Certifique-se de que o seu ambiente local tem as seguintes versões instaladas (ou mais recentes):

  • Terraform v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Certifique-se de ter acesso a uma Microsoft Entra identidade de ID com as seguintes permissões em Azure:

  • Criar subscrições (ou usar existentes)
  • Proprietário das subscrições
  • Criar principais de serviço
  • Crie definições e atribuições de conjuntos de políticas.

Passos para implementar a Zona de Pouso Soberana

1. Baixe uma cópia do inputs.yaml para configurar sua implantação. Pode criar uma implementação de SLZ com os seguintes parâmetros mínimos:

   • Nomes exclusivos e legíveis por humanos para a SLZ
   • Localização e localização aprovada para a implementação
   • Informações de faturação para subscrições recém-criadas ou existentes

2. (Opcional) Adicione definições de políticas personalizadas conforme necessário para a conformidade.

3. Execute o comando deploy accelerator PowerShell para fazer check-out de uma cópia local da Sovereign Landing Zone (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Execute o terraform apply comando. O processo de implementação inicial pode demorar mais de uma hora.

5. Verifique se a implantação foi concluída verificando o link de saída do painel de conformidade exibido no final da implantação.

Configurar as iniciativas de política de Linha de base de Soberania

Precisa de usar os seguintes parâmetros de configuração da SLZ para configurar as iniciativas de política de Linha de base de Soberania:

• allowed_locations: Use este parâmetro para configurar as políticas de restrição de local para todos os recursos implantados pelo SLZ fora dos escopos confidenciais do grupo de gerenciamento.

• allowed_locations_for_confidential_computing: Use este parâmetro para configurar as políticas de restrição de local para recursos implantados nos escopos confidenciais do grupo de gerenciamento. Esse parâmetro pode ser o mesmo que o parâmetro allowed_locations , mas pode precisar ser diferente se Azure Confidential Computing não estiver disponível na região preferida.

• policy_effect: Este parâmetro alterna entre a linha de base com um efeito de negação, que é recomendado para cargas de trabalho de produção, ou um efeito de auditoria.

Use o portefólio de políticas ou políticas ALZ

Qualquer iniciativa pré-visualização dentro do portfólio de políticas deve ter sua definição implantada antes de ser usada em uma implantação SLZ. Reveja o artigo sobre o portefólio de políticas para detalhes sobre a implementação destas definições. Pode usar estes passos para implementar as definições em qualquer zona de destino existente.

Use os seguintes parâmetros de configuração da SLZ para configurar estas iniciativas de política:

• customer_policy_sets: Este parâmetro ajuda a especificar uma lista de definições de conjunto de políticas a serem atribuídas no escopo do grupo de gerenciamento de nível superior para uma implantação SLZ.

• apply_alz_archetypes_via_architecture_definition_template: Este parâmetro permite que as políticas ALZ sejam implantadas em escopos relevantes dentro de uma implantação SLZ.

Implementar uma zona de destino de plataforma ou de aplicação

Depois de uma SLZ ter sido implementada, pode aprovisionar a zona de destino da plataforma ou da aplicação através dos seguintes passos:

1. Consulte uma cópia local da Venda de Zona de Destino ALZ.

2. Referencie os registos de implementação da SLZ existentes para grupos de gestão, localizações, IDs de recursos relevantes, etc., necessários para configurar o módulo de vendas.

3. Atualize o ficheiro main.bicep com os parâmetros apropriados e execute o script bicep.

Veja também

• Visão geral da Zona de Desembarque Soberano
• Conceitos de Sovereign Landing Zone
• Portfólio de políticas