Souveräne Landezone bereitstellen und konfigurieren
Sie müssen die verschiedenen erforderlichen Schritte abschließen, bevor Sie die Sovereign Landing Zone (SLZ) bereitstellen und konfigurieren.
SLZ bereitstellen
Das SLZ stellt verschiedene Azure-Ressourcen in einer Weise bereit und konfiguriert sie so, dass sie mit der Zielzone auf Unternehmensebene im Rahmen der Best Practices des Cloud Adoption Framework (CAF) übereinstimmen und entsprechende Leitplanken bieteen, damit eine Organisation Konfigurationen vornehmen kann, um ihre Anforderungen an die Datensouveränität zu erfüllen. Eine detaillierte Übersicht über ein SLZ und alle seine Funktionen finden Sie in der Dokumentation zur Sovereign Zielzone auf GitHub.
Anforderungen
Sie müssen die Bereitstellung abschließen, um den Bereitstellungsschritt auszuführen.
Stellen Sie sicher, dass in Ihrer lokalen Umgebung die folgenden Versionen installiert sind (oder neuer):
- PowerShell 7.0
- Azure RM 2.51.0
- Azure Bicep 0.20.0
- Azure PowerShell 10.0.0
Sie müssen Zugriff auf eine Microsoft Entra ID-Identität mit den folgenden Berechtigungen in Azure haben:
- Erstellen Sie Abonnements (oder nutzen Sie bestehende)
- Inhaber der Abonnements
- Dienstprinzipale erstellen
- Erstellen Sie Richtliniensatzdefinitionen und -zuweisungen.
Schritte zum Einsatz der souveränen Zielzone
Schauen Sie sich eine lokale Kopie der Souveränen Zielzone an.
Überprüfen Sie, ob die Voraussetzungen für Ihre lokale Laufzeitumgebung und Azure-Berechtigungen erfüllt sind, indem Sie das Skript SovereignLandingZonePrerequisites.ps1 bestätigen ausführen.
Aktualisieren Sie die Parameterdatei mit den erforderlichen Parametern in Ihrer lokalen Kopie des SLZ-Repositorys. Sie können eine SLZ-Bereitstellung mit den folgenden Mindestparametern erstellen:
- Eindeutige und für Menschen lesbare Namen für die SLZ
- Standort und genehmigter Standort für den Einsatz
- Rechnungsinformationen für die neu erstellten oder bestehenden Abonnements
(Optional) Fügen Sie nach Bedarf benutzerdefinierte Richtliniendefinitionen hinzu, um die Compliance zu gewährleisten.
Führen Sie den Schritt Alle im Bereitstellungsskript neue-SovereignLandingZone.ps1 aus. Der erste Bereitstellungsprozess kann über eine Stunde dauern.
Überprüfen Sie, ob die Bereitstellung abgeschlossen ist, indem Sie die Ausgabedatei des Compliance-Dashboards am Ende des Bereitstellungsskripts überprüfen.
Weitere Informationen finden Sie in der Dokumentation Souveräne Zielzone. in GitHub.
Sovereignty Baseline-Richtlinieninitiativen konfigurieren
Sie müssen die folgenden SLZ-Konfigurationsparameter zum Konfigurieren der Sovereignty Baseline-Richtlinieninitiativen verwenden:
parAllowedLocations: Verwenden Sie diesen Parameter, um die Standortbeschränkungsrichtlinien für alle Ressourcen zu konfigurieren, die von der SLZ außerhalb der Bereiche vertraulicher Verwaltungsgruppen bereitgestellt werden.
parAllowedLocationsForConfidentialComputing: Verwenden Sie diesen Parameter, um die Standortbeschränkungsrichtlinien für alle Ressourcen zu konfigurieren, die von der SLZ innerhalb der Bereiche vertraulicher Verwaltungsgruppen bereitgestellt werden. Dieser Parameter kann mit dem Parameter parAllowedLocations identisch sein, muss jedoch möglicherweise anders sein, wenn Azure Confidential Computing in der bevorzugten Region nicht verfügbar ist.
parPolicyEffect: Dieser Parameter schaltet zwischen der Basis mit einem Deny-Effekt, der für Produktions-Workloads empfohlen wird, und einem Überwachungs-Effekt um.
Weitere Informationen finden Sie in der Dokumentation Souveräne Zielzone. in GitHub.
Nutzen Sie das Policenportfolio oder die ALZ-Policen
Für jede Vorschauinitiative innerhalb des Richtlinienportfolios muss die Definition bereitgestellt werden, bevor sie in einer SLZ-Bereitstellung verwendet werden kann. Einzelheiten zur Bereitstellung dieser Definitionen finden Sie im Artikel zum Richtlinienportfolio. Mit diesen Schritten können Sie die Definitionen in jeder vorhandenen Zielzone bereitstellen.
Sie müssen die folgenden SLZ-Konfigurationsparameter zum Konfigurieren dieser Richtlinienbasislinie verwenden:
parCustomerPolicySets: Mit diesem Parameter kann ein Benutzer eine Liste von Richtliniensatzdefinitionen angeben, die im Bereich der obersten Verwaltungsgruppe für eine SLZ-Bereitstellung zugewiesen werden sollen.
parDeployAlzDefaultPolicies: Dieser Parameter ermöglicht die Bereitstellung der ALZ-Richtlinien in relevanten Bereichen innerhalb einer SLZ-Bereitstellung.
Weitere Informationen finden Sie in der Dokumentation Souveräne Zielzone. in GitHub.
Stellen Sie eine Plattform oder Anwendungszielzone bereit
Nachdem eine SLZ bereitgestellt wurde, können Sie die Plattform oder Anwendungszielzone mithilfe der folgenden Schritte bereitstellen:
Schauen Sie sich eine lokale Kopie der Zielzone Verkauf an.
Verweisen Sie auf die vorhandenen SLZ-Bereitstellungsprotokolle für relevante Verwaltungsgruppen, Standorte, Ressourcen-IDs usw., die zum Konfigurieren des Verkaufsmoduls erforderlich sind.
Aktualisieren Sie die Datei main.bicep mit den entsprechenden Parametern und führen Sie das Bicep-Skript aus.
Weitere Informationen finden Sie in der Dokumentation Souveräne Zielzone. in GitHub.