主权登陆区域概述

主权登陆区域 (SLZ) 是企业规模的 Azure 登陆区域的变体,适用于需要高级主权控制的组织。 SLZ 通过 Azure 原生基础结构即代码 (IaC) 和策略即代码 (PaC) 功能帮助这些组织满足法规合规要求。 使用可配置的登陆区域让组织能够通过强制资源符合 Azure 策略中创建的策略来解决主权需求。

为何使用主权登陆区域?

只有当负责人具有对数据的独占控制权时,数据才能保留主权。 在 Azure 中,独占控制意味着:

  • 成为唯一可以授予用户和工作负荷访问和处理数据所需权限的实体。

  • 批准工作负荷可以部署到的区域。

各级都需要采取技术控制来防止未经授权的数据访问。 因此,授予对云和托管服务提供商运营商的访问权限也应该是明确的。

SLZ 提供一种固定不变的体系结构,让组织能够满足主权需求,同时通过特殊的配置文件进行配置,并可以通过特殊脚本进行完全部署。 您的组织可以通过执行以下任务来满足主权需求:

有关如何部署和配置 SLZ 的更多信息,请参阅 GitHub 上的主权登陆区域文档。

我应该使用 Bicep 还是 Terraform 部署 Sovereign 登陆区域?

主权登陆区域(SLZ)的基于 Bicep 的部署已正式发布,它是 Azure 登陆区域(ALZ)Bicep 存储库的 变体GitHub 上提供了 SLZ 的 Bicep 实现

SLZ 基于 Terraform 的部署公开预览版并且基于 Azure 验证模块GitHub 上提供了 SLZ 的 Terraform 实现

在正式发布之前,基于 Terraform 的 SLZ 部署可能不如基于 Bicep 的版本那样功能完整。 但是,组织可以使用最适合其技能集的部署语言。

何时使用主权登陆区域而不是 Azure 登陆区域?

主权登陆区是 Azure 登陆区(ALZ) 变体,这意味着它包括额外的登陆区管理组和策略分配。 有关更多信息,请参阅指南定制 Azure 登陆区域体系结构以满足要求

SLZ 使用与 ALZ 相同的代码库,并附带:

  • 额外的编排和部署自动化功能
  • 针对数据主权和机密计算要求的固定不变的登陆区域设计
  • 其他 Azure 策略计划和策略分配,以帮助满足公共部门客户、合作伙伴和独立软件变体(ISV)的主权要求。

与 SLZ 相关的一个常见问题是组织应在何时使用一个登陆区域,而不是另一个。 ALZ 和 SLZ 团队均建议按照以下指导操作:

当您优先考虑以下事项时使用 ALZ:

  • 可以据其构建的适用于不同行业的大多数客户的默认选项
  • 整个环境的详细配置和自定义选项
  • 多种 部署选项 ,例如通过门户

当您优先考虑以下事项时使用 SLZ:

另请参见