共用方式為


進階 Azure 原則 管理

本文說明如何使用基礎結構即程序代碼 (IaC) 大規模管理 Azure 原則。 原則驅動的治理是 Azure 登陸區域的設計原則。 這有助於確保您部署的應用程式符合組織的平臺。 在整個環境中管理及測試原則物件,以確保符合合規性,這可能需要相當多的努力。 Azure 登陸區域加速器 有助於建立安全的基準,但您的組織可能會有進一步的合規性需求,您必須藉由部署其他原則來符合。

什麼是企業原則即程序代碼 (EPAC)?

EPAC 是一個開放原始碼專案,可用來整合 IaC 和管理 Azure 原則。 EPAC是以 PowerShell 模組為基礎,並發行至 PowerShell 資源庫。 您可以使用此項目的功能來:

  • 建立具狀態原則部署。 在程式代碼中定義的物件會成為部署在 Azure 中之原則對象的事實來源。

  • 實作複雜的原則管理案例,例如多租用戶和主權雲端部署。

  • 匯出並整合原則,以納入在 Azure 登陸區域部署之前開發的現有自定義原則。

  • 建立和管理原則豁免和原則檔。

  • 使用範例工作流程示範使用 GitHub Actions 或 Azure Pipelines 的 Azure 原則 部署。

  • 匯出不符合規範的報告並建立補救工作。

使用 EPAC 的原因

您可以使用 EPAC 來部署和管理 Azure 登陸區域原則。 如果您想要考慮實作 EPAC 來管理下列條件的原則:

  • 在想要在新的 Azure 登陸區域環境中部署的現有棕色地帶環境中,您有未受管理的原則。 導出現有的原則,並使用 EPAC 與 Azure 登陸區域原則物件來管理它們。

  • 您有一個無法完全對齊 Azure 登陸區域的 Azure 部署,例如多個用於測試的管理群組結構或非常規的管理群組結構。 其他 Azure 登陸區域部署方法所提供的預設指派結構可能不符合您的策略。

  • 您有一個不負責基礎結構部署的小組,例如可能想要部署和管理原則的安全性小組。

  • 您需要來自 Azure 登陸區域加速器部署中無法使用的原則功能,例如原則豁免和檔。

開始使用

EPAC GitHub 存放庫提供開始管理 Azure 原則 的詳細步驟。 判斷專案是否適合您的環境時,請考慮下列因素:

  • 環境拓撲:支援多個租用和複雜的管理群組結構。 請考慮如何將原則結構為符合拓撲的程式代碼部署,讓多個小組可以管理原則並測試新的原則部署。

  • 許可權:請考慮如何管理部署的許可權,特別是角色和身分識別。 EPAC 提供多個階段來部署原則和角色指派,因此可以使用個別的身分識別。

  • 現有的原則部署:在棕色案例中,您可能已有在 EPAC 部署時必須保留的現有原則。 您可以使用 所需的狀態策略 來確保 EPAC 只管理已定義的原則並保留現有的原則。

  • 部署方法:EPAC 支援 Azure DevOps、GitHub Actions 和 PowerShell 模組,以協助部署原則。 您可以使用 EPAC 入門套件 中的範例管線,並根據您的環境和需求進行調整。

請遵循快速入門指南來導出環境中的原則物件,並熟悉 EPAC 如何管理 Azure 原則。

如需程式代碼或文件的問題, 請在 GitHub 存放庫中提交問題。

取代現有的原則部署解決方案

EPAC 取代 Azure 登陸區域加速器的原則部署功能。 當您使用這些加速器時,不應該使用它們來部署 Azure 原則,因為 EPAC 是環境中原則的真相來源。

如需詳細資訊,請參閱下列使用 Bicep 和 Terraform Azure 登陸區域加速器進行原則管理的資源:

下一步