部署和設定主權登陸區域

您必須先完成各種必要步驟，才能部署並設定主權登陸區域 (SLZ)。

部署 SLZ

SLZ 以與企業級登陸區域一致的方式部署和設定各種 Azure 資源，做為雲端採用架構 (CAF) 最佳做法的一部分，並提供組織可設定的適當護欄機制，以實現其資料主權需求。 選擇部署技術以獲取進一步的部署資訊。

二頭肌

在使用 Bicep 部署和配置主權 landing zone (SLZ) 之前，您需要完成各種先決條件步驟。 有關 SLZ 及其所有功能的詳細概述，請參閱 GitHub 上的 Sovereign Landing Zone（Bicep） 文檔。

必要條件

若要完成部署，您需要執行必要步驟：

• 確定您的本機環境已安裝下列版本 (或更新版本)：

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• 確保您有權存取 Microsoft Entra 具有 Azure 中以下權限的 ID 身份：

  • 建立 (或使用現有) 訂閱
  • 訂閱的擁有者
  • 建立服務主體
  • 建立原則集定義和指派。

部署主權登陸區域的步驟

1. 查看 Sovereign Landing Zone 的本地 副本。

2. 通過運行 Confirm-SovereignLandingZonePrerequisites.ps1 腳本，驗證是否滿足本地運行時環境和 Azure 許可權的先決條件。

3. 使用 SLZ 存放庫本機複本中的必要參數來更新參數檔案。 您可以使用以下最少參數建立 SLZ 部署：

   • SLZ 唯一且人類看得懂的名稱
   • 部署的位置和核准位置
   • 新建立或現有訂閱的計費資訊

4. (選用) 根據合規性需求新增自訂原則定義。

5. 運行部署腳本中的所有 New-SovereignLandingZone.ps1 步驟。 初始部署程序可能需要一個小時以上。

6. 通過活存部署結束時顯示的合規性控制面板輸出連結來驗證部署已完成。

設定主權基準原則計劃

您需要使用下列 SLZ 設定參數來設定主權基準原則計劃：

• parAllowedLocations：使用此參數為 SLZ 在機密管理組範圍之外部署的所有資源配置位置限制策略。

• parAllowedLocationsForConfidentialComputing：使用此參數為在機密管理組範圍內部署的資源配置位置限制策略。 此參數可以與 parAllowedLocations 參數相同，但要是 Azure 機密計算無法在偏好的區域使用，就可能必須不同。

• parPolicyEffect：此參數在具有拒絕效果的基準 (建議用於生產工作負載) 或審計效果之間切換。

使用原則組合或 ALZ 原則

策略組合中的任何預覽版計劃都必須部署其定義，然後才能用於 SLZ 部署。 有關部署這些定義的詳細資訊，請查看有關 策略組合 的文章。 您可以使用這些步驟將定義部署至任何現有的登陸區域。

使用下列 SLZ 設定參數來設定這些原則計劃：

• parCustomerPolicySets：此參數可説明您指定要在 SLZ 部署的頂級管理組範圍內分配的策略集定義清單。

• parDeployAlzDefaultPolicies：此參數允許在 SLZ 部署中的相關範圍內部署 ALZ 策略 。

Terraform

在使用 Terraform 部署和配置主權 landing zone (SLZ) 之前，您需要完成各種先決條件步驟。 有關 SLZ 及其所有功能的詳細概述，請參閱 GitHub 上的 Sovereign Landing Zone（Terraform） 文檔。

必要條件

若要完成部署，您需要執行必要步驟：

• 確定您的本機環境已安裝下列版本 (或更新版本)：

  • Terraform 版本 1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• 確保您有權存取 Microsoft Entra 具有 Azure 中以下權限的 ID 身份：

  • 建立 (或使用現有) 訂閱
  • 訂閱的擁有者
  • 建立服務主體
  • 建立原則集定義和指派。

部署主權登陸區域的步驟

1. 下載 inputs.yaml 的副本 以配置您的部署。 您可以使用以下最少參數建立 SLZ 部署：

   • SLZ 唯一且人類看得懂的名稱
   • 部署的位置和核准位置
   • 新建立或現有訂閱的計費資訊

2. (選用) 根據合規性需求新增自訂原則定義。

3. 運行 deploy accelerator PowerShell 命令以簽出 Sovereign Landing Zone（Terraform） 的本地副本。

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. 運行命令 terraform apply 。 初始部署程序可能需要一個小時以上。

5. 通過活存部署結束時顯示的合規性控制面板輸出連結來驗證部署是否已完成。

設定主權基準原則計劃

您需要使用下列 SLZ 設定參數來設定主權基準原則計劃：

• allowed_locations：使用此參數為 SLZ 在機密管理組範圍之外部署的所有資源配置位置限制策略。

• allowed_locations_for_confidential_computing：使用此參數為在機密管理組範圍內部署的資源配置位置限制策略。 此參數可以與 allowed_locations 參數相同 ，但如果 Azure Confidential Computing 在首選區域中不可用，則可能需要不同。

• policy_effect：此參數在具有拒絕效果的基準 (建議用於生產工作負載) 或審計效果之間切換。

使用原則組合或 ALZ 原則

策略組合中的任何預覽版計劃都必須部署其定義，然後才能用於 SLZ 部署。 請參閱有關原則組合的文章，以了解關於部署這些定義的詳細資訊。 您可以使用這些步驟將定義部署至任何現有的登陸區域。

使用下列 SLZ 設定參數來設定這些原則計劃：

• customer_policy_sets：此參數可説明您指定要在 SLZ 部署的頂級管理組範圍內分配的策略集定義清單。

• apply_alz_archetypes_via_architecture_definition_template：此參數允許在 SLZ 部署中的相關範圍內部署 ALZ 策略 。

部署平台或應用程式登陸區域

部署 SLZ 後，您可以透過下列步驟佈建平台或應用程式登陸區域：

1. 簽出 ALZ 登陸區域販售的本機複本。

2. 參考設定販售模組所需三相關管理群組、位置、資源識別碼等現有 SLZ 部署記錄。

3. 使用適當參數更新 main.bicep 檔案，並執行 bicep 指令碼。

另請參閱

• Sovereign 登陸區概述
• 主權登陸區域概念
• 策略組合