主权登陆区域概述
主权登陆区域 (SLZ) 是企业规模的 Azure 登陆区域的变体,适用于需要高级主权控制的组织。 SLZ 通过 Azure 原生基础结构即代码 (IaC) 和策略即代码 (PaC) 功能帮助这些组织满足法规合规要求。 使用可配置的登陆区域让组织能够通过强制资源符合 Azure 策略中创建的策略来解决主权需求。
为何使用主权登陆区域?
Azure 中的数据主权可确保数据所有者对其数据拥有独占控制权,其中包括:
为用户和工作负载授予访问和处理数据的权限。
批准工作负载部署的区域。
实施技术控制措施,防止未经授权的数据访问保护,包括对云和托管服务提供商运营商的明确访问。
主权登陆区域是 Azure 登陆区域(ALZ)的 变体,这意味着它包括额外的登陆区域管理组和策略分配,有助于满足公共部门客户、合作伙伴和独立软件变体(ISV) 的主权要求。 SLZ 使用与 ALZ 相同的代码库,并带有额外的编排和部署自动化功能。
SLZ 还提供了一种固执己见的架构,使组织能够满足其主权需求,同时通过单个配置文件进行配置,并且完全可以通过单个脚本进行部署。
您的组织可以通过执行以下任务来满足主权需求:
与 云采用框架 保持一致以简化采用。
整合策略组合 提供的技术护栏,包括 Sovereignty Baseline 策略计划。
通过支持组织满足数据主权需求来实现策略配置。
简化 Azure 机密计算服务的使用。
有关如何部署和配置 SLZ 的更多信息,请参阅 GitHub 上的 Sovereign landing zone 文档和 定制 Azure landing zone 体系结构以满足要求。
我应该使用 Bicep 还是 Terraform 部署 Sovereign 登陆区域?
主权登陆区域(SLZ)的基于 Bicep 的部署已正式发布,它是 Azure 登陆区域(ALZ)Bicep 存储库 的变体。 GitHub 上提供了 SLZ 的 Bicep 实现 。
SLZ 基于 Terraform 的部署正在进行公开预览版,并且基于 Azure 验证模块。 GitHub 上提供了 SLZ 的 Terraform 实现 。
在正式发布之前,基于 Terraform 的 SLZ 部署可能不如基于 Bicep 的版本那样功能完整。 但是,组织可以使用最适合其技能集的部署语言。
何时使用主权登陆区域而不是 Azure 登陆区域?
与 SLZ 相关的一个常见问题是组织应在何时使用一个登陆区域,而不是另一个。 ALZ 和 SLZ 团队均建议按照以下指导操作:
当您优先考虑以下事项时使用 ALZ:
对于各行各业的大多数客户来说,这是可以构建的默认选项。
整个环境的详细配置和自定义选项。
多个 部署选项 ,例如通过 Portal。
当您优先考虑以下事项时使用 SLZ:
公共部门客户的数字主权。
通过策略和 Azure 机密计算简化数据治理。
通过 特定于区域的策略计划简化部署。