Administración avanzada de Azure Policy
En este artículo se describe cómo administrar Azure Policy a gran escala mediante el uso de la infraestructura como código (IaC). La gobernanza controlada por directivas es un principio de diseño para zonas de aterrizaje de Azure. Ayuda a asegurar que las aplicaciones que implemente cumplan con la plataforma de su organización. Puede tardar considerablemente en administrar y probar objetos de directiva en un entorno para asegurarse de que se respete el cumplimiento normativo. Los aceleradores de zona de aterrizaje de Azure ayudan a establecer una línea base segura, pero es posible que su organización tenga más requisitos de cumplimiento que debe cumplir mediante el despliegue de otras directivas.
¿Qué es Enterprise Policy as Code (EPAC)?
EPAC es un proyecto de código abierto que puede usar para integrar IaC y administrar Azure Policy. EPAC se basa en un módulo de PowerShell y se publica en la Galería de PowerShell. Puede usar las características de este proyecto para:
Crear despliegues de directivas con estado. Los objetos definidos en el código se convierten en el origen de verdad para los objetos de directiva desplegados en Azure.
Implementar escenarios complejos de administración de directivas, como despliegues multiinquilino y de nube soberana.
Exportar e integrar directivas para incorporar directivas personalizadas existentes que se desarrollaron antes del despliegue de la zona de aterrizaje de Azure.
Crear y administrar las exenciones de directiva y la documentación de directivas.
Use flujos de trabajo de muestra para demostrar los despliegues de Azure Policy con Acciones de GitHub o Azure Pipelines.
Exportar informes no conformes y crear tareas de corrección.
Motivos para usar EPAC
Puede usar EPAC para desplegar y administrar directivas de zona de aterrizaje de Azure. Es posible que quiera considerar la posibilidad de implementar EPAC para administrar directivas si:
Tiene directivas no administradas en un entorno de brownfield existente que desea desplegar en un nuevo entorno de zona de aterrizaje de Azure. Exporte las directivas existentes y adminístrelas con EPAC junto con los objetos de directiva de zona de aterrizaje de Azure.
Tiene un despliegue de Azure que no se alinea completamente con una zona de aterrizaje de Azure, por ejemplo, varias estructuras de grupo de administración para pruebas o una estructura de grupo de administración no convencional. Es posible que la estructura de asignación de valor predeterminado que proporcionen otros métodos de implementación de zona de aterrizaje de Azure no se ajuste a la estrategia.
Tiene un equipo que no es responsable del despliegue de la infraestructura, por ejemplo, un equipo de seguridad que podría querer desplegar y administrar directivas.
Necesita características de directivas que no están disponibles en los despliegues del acelerador de zonas de aterrizaje de Azure, por ejemplo, exenciones de directiva y documentación.
Introducción
El repositorio de GitHub de EPAC proporciona pasos detallados para empezar a administrar Azure Policy. Tenga en cuenta los siguientes factores al determinar si el proyecto es una buena opción para su entorno:
Topología de entorno: se admiten varios inquilinos y estructuras de grupo de administración complicadas. Tenga en cuenta cómo desea estructurar la directiva como despliegues de código para que se ajusten a la topología, por lo que varios equipos pueden administrar directivas y probar nuevos despliegues de directivas.
Permisos: tenga en cuenta cómo administra los permisos para el despliegue, especialmente para roles e identidades. EPAC proporciona varias fases para desplegar las directivas y las asignaciones de roles, por lo que se pueden usar identidades independientes.
Despliegues de directivas existentes: en un escenario brownfield, es posible que tenga directivas existentes que deben permanecer en su lugar mientras se despliega EPAC. Puede usar la estrategia de estado deseada para asegurarse de que EPAC administra solo las directivas definidas y conserva las directivas existentes.
Metodología de despliegue: EPAC admite Azure DevOps, Acciones de GitHub y un módulo de PowerShell para ayudar a desplegar directivas. Puede usar las canalizaciones de muestras en el Starter kit de EPAC y adaptarlas a su entorno y requisitos.
Siga la guía de inicio rápido para exportar objetos de directiva en su entorno y familiarizarse con la forma en que EPAC administra Azure Policy.
Para problemas con el código o la documentación, envíe un problema en el repositorio de GitHub.
Reemplazar las soluciones de despliegue de directivas existentes
EPAC reemplaza las funcionalidades de despliegue de directivas de los aceleradores de zona de aterrizaje de Azure. Al usar estos aceleradores, no debe usarlos para desplegar Azure Policy porque EPAC es el origen de verdad de la directiva en el entorno.
Para más información, consulte los siguientes recursos para la administración de directivas con los aceleradores de zonas de aterrizaje de Azure de Bicep y Terraform: