主权登陆区域概述
主权登陆区域 (SLZ) 是企业规模的 Azure 登陆区域的变体,适用于需要高级主权控制的组织。 SLZ 通过 Azure 原生基础结构即代码 (IaC) 和策略即代码 (PaC) 功能帮助这些组织满足法规合规要求。 使用可配置的登陆区域让组织能够通过强制资源符合 Azure 策略中创建的策略来解决主权需求。
为何使用主权登陆区域?
只有当负责人具有对数据的独占控制权时,数据才能保留主权。 在 Azure 中,独占控制意味着:
成为唯一可以授予用户和工作负荷访问和处理数据所需权限的实体。
批准工作负荷可以部署到的区域。
各级都需要采取技术控制来防止未经授权的数据访问。 因此,授予对云和托管服务提供商运营商的访问权限也应该是明确的。
SLZ 提供一种固定不变的体系结构,让组织能够满足主权需求,同时通过特殊的配置文件进行配置,并可以通过特殊脚本进行完全部署。 您的组织可以通过执行以下任务来满足主权需求:
与云采用框架保持一致以简化采用。
纳入策略组合提供的技术防护,包括主权基准策略计划。
通过支持组织满足数据主权需求来实现策略配置。
简化 Azure 机密计算服务的使用。
有关如何部署和配置 SLZ 的更多信息,请参阅 GitHub 上的主权登陆区域文档。
我应该使用 Bicep 还是 Terraform 部署 Sovereign 登陆区域?
主权登陆区域(SLZ)的基于 Bicep 的部署已正式发布,它是 Azure 登陆区域(ALZ)Bicep 存储库的 变体。 GitHub 上提供了 SLZ 的 Bicep 实现 。
SLZ 基于 Terraform 的部署公开预览版并且基于 Azure 验证模块。 GitHub 上提供了 SLZ 的 Terraform 实现 。
在正式发布之前,基于 Terraform 的 SLZ 部署可能不如基于 Bicep 的版本那样功能完整。 但是,组织可以使用最适合其技能集的部署语言。
何时使用主权登陆区域而不是 Azure 登陆区域?
主权登陆区是 Azure 登陆区(ALZ) 的变体,这意味着它包括额外的登陆区管理组和策略分配。 有关更多信息,请参阅指南定制 Azure 登陆区域体系结构以满足要求。
SLZ 使用与 ALZ 相同的代码库,并附带:
- 额外的编排和部署自动化功能
- 针对数据主权和机密计算要求的固定不变的登陆区域设计
- 其他 Azure 策略计划和策略分配,以帮助满足公共部门客户、合作伙伴和独立软件变体(ISV)的主权要求。
与 SLZ 相关的一个常见问题是组织应在何时使用一个登陆区域,而不是另一个。 ALZ 和 SLZ 团队均建议按照以下指导操作:
当您优先考虑以下事项时使用 ALZ:
- 可以据其构建的适用于不同行业的大多数客户的默认选项
- 整个环境的详细配置和自定义选项
- 多种 部署选项 ,例如通过门户
当您优先考虑以下事项时使用 SLZ:
- 关注数字主权要求的公共部门客户
- 通过策略和 Azure 机密计算实施的简化的数据治理能力
- 使用区域特定的策略计划时的简化部署体验
- 部署促进主权迁移工作的工作负荷模板