Nasazení a konfigurace suverénní cílové zóny
Před nasazením a konfigurací suverénních cílových zón (SLZ) musíte provést různé nezbytné kroky.
Nasazení SLZ
SLZ nasazuje a konfiguruje různé prostředky Azure způsobem, který je v souladu s cílovou zónou podnikové úrovně jako součást osvědčených postupů Cloud Adoption Framework (CAF) a poskytuje vhodné ochranné mantinely, které organizace může nakonfigurovat tak, aby splnila své požadavky na suverenitu dat. Podrobný přehled SLZ a všech jejích schopností najdete v dokumentaci Suverénní cílová zóna na GitHubu.
Předpoklady
K nasazení musíte provést nezbytné kroky:
Ujistěte se, že vaše místní prostředí má nainstalované následující verze (nebo novější):
- PowerShell 7.0
- Azure RM 2.51.0
- Azure Bicep 0.20.0
- Azure PowerShell 10.0.0
Musíte mít přístup k identitě Microsoft Entra ID s následujícími oprávněními v Azure:
- Vytvářet (nebo používat existující) předplatná
- Vlastník předplatných
- Vytváření instančních objektů
- Vytváření definic a přiřazení sady zásad.
Kroky k nasazení suverénní cílové zóny
Podívejte se na místní kopii suverénní cílové zóny.
Spuštěním skriptu Confirm-SovereignLandingZonePrequires.ps1 ověřte, že byly splněny předpoklady pro vaše místní běhové prostředí a oprávnění Azure.
Aktualizujte soubor parametrů o požadované parametry ve vaší lokální kopii úložiště SLZ. Můžete vytvořit nasazení SLZ s následujícími minimálními parametry:
- Jedinečné a člověkem čitelné názvy pro SLZ
- Umístění a schválené umístění pro nasazení
- Fakturační údaje pro nově vytvořená nebo stávající předplatná
(Volitelné) Přidejte definice vlastních zásad podle potřeby pro zajištění souladu.
Spusťte krok vše v rámci skriptu nasazení New-SovereignLandingZone.ps1. Počáteční proces nasazení trvá přibližně dvě hodiny.
Ověřte, že nasazení bylo dokončeno, a to tak, že si prohlédnete výstupní soubor řídicího panelu shody na konci skriptu nasazení.
Další informace najdete v dokumentaci Suverénní cílová zóna na GitHubu.
Konfigurace iniciativ základu zásad suverenity
Pro konfiguraci iniciativ základní linie zásad musíte použít následující konfigurační parametry SLZ:
parAllowedLocations: Tento parametr použijte ke konfiguraci zásad omezení umístění pro všechny zdroje nasazené SLZ mimo rozsahy důvěrné skupiny pro správu.
parAllowedLocationsForConfidentialComputing: Tento parametr použijte ke konfiguraci zásad omezení umístění pro zdroje nasazené v rámci rozsahů důvěrné skupiny pro správu. Tento parametr může být stejný jako parametr parAllowedLocations, ale možná se bude muset lišit, pokud Důvěrné zpracování Azure není v preferované oblasti k dispozici.
parPolicyEffect: Tento parametr přepíná mezi základní linií s efektem odmítnutí, což se doporučuje pro produkční úlohy, nebo efektem auditu.
Další informace najdete v dokumentaci Suverénní cílová zóna na GitHubu.
Použití portfolia zásad nebo zásada ALZ
Každá iniciativa náhledu v rámci portfolia zásad musí mít před použitím v nasazení SLZ nasazenou svou definici. Informace o nasazení těchto definic najdete v článku o portfoliu zásad. Tyto kroky můžete použít k nasazení definic do jakékoli existující cílové zóny.
Pro konfiguraci těchto iniciativ zásad použijte následující konfigurační parametry SLZ:
parCustomerPolicySets: Tento parametr umožňuje uživateli zadat seznam definic sady zásad, které mají být přiřazeny v rozsahu skupiny nejvyšší úrovně pro nasazení SLZ.
parDeployAlzDefaultPolicies: Tento parametr umožňuje nasazení zásad ALZ v příslušných rozsazích v rámci nasazení SLZ.
Další informace najdete v dokumentaci Suverénní cílová zóna na GitHubu.
Nasazení cílové zóny platformy nebo aplikace
Po nasazení SLZ můžete zřídit cílovou zónu platformy nebo aplikace pomocí následujících kroků:
Podívejte se na místní kopii Prodeje cílové zóny ALZ.
Prohlédněte si existující protokoly nasazení SLZ pro příslušné skupiny správy, umístění, ID prostředků atd. potřebné ke konfiguraci prodejního modulu.
Aktualizujte soubor main.bicep o příslušné parametry a spusťte skript bicep.
Další informace najdete v dokumentaci Suverénní cílová zóna na GitHubu.