Partager via


Gestion avancée d’Azure Policy

Cet article explique comment gérer Azure Policy à grande échelle à l’aide de l’infrastructure en tant que code (IaC). La gouvernance pilotée par les stratégies est un principe de conception applicable aux zones d’atterrissage Azure. Il permet de s’assurer que les applications que vous déployez sont conformes à la plateforme de votre organisation. La gestion et le test des objets de stratégie dans un environnement peuvent nécessiter des efforts considérables afin de garantir le respect de la conformité. Les accélérateurs de zone d’atterrissage Azure permettent d’établir une base de référence sécurisée, mais votre organisation peut avoir des exigences de conformité supplémentaires que vous devez respecter en déployant d’autres stratégies.

Qu’est-ce que la stratégie d’entreprise en tant que code (EPAC) ?

EPAC est un projet open source que vous pouvez utiliser pour intégrer IaC et gérer Azure Policy. EPAC repose sur un module PowerShell et publié dans PowerShell Gallery. Vous pouvez utiliser les fonctionnalités de ce projet pour :

  • Créer des déploiements de stratégie avec état ; Les objets définis dans le code deviennent la source de vérité pour les objets de stratégie déployés dans Azure.

  • Mettre en œuvre des scénarios de gestion de stratégies complexes, tels que les déploiements multi-locataires et les déploiements en cloud souverain ;

  • Exporter et intégrer des stratégies afin d’incorporer des stratégies personnalisées existantes qui ont été développées avant le déploiement de la zone d’atterrissage Azure ;

  • Créer et gérer les exemptions de stratégie et la documentation de stratégie ;

  • Utiliser des exemples de flux de travail pour illustrer les déploiements Azure Policy avec GitHub Actions ou Azure Pipelines ;

  • Exporter des rapports de non-conformité et créer des tâches de correction.

Raisons d’utiliser EPAC

Vous pouvez utiliser EPAC pour déployer et gérer des stratégies de zone d’atterrissage Azure. Vous pourriez envisager de mettre en œuvre l’EPAC pour gérer les politiques si :

  • Vous disposez de stratégies non gérées dans un environnement brownfield existant que vous souhaitez déployer dans un nouvel environnement de zone d’atterrissage Azure. Exportez les stratégies existantes et gérez-les avec EPAC en même temps que les objets de stratégie de zone d’atterrissage Azure.

  • Vous disposez d’un déploiement Azure qui n’est pas entièrement aligné sur une zone d’atterrissage Azure, par exemple plusieurs structures de groupe d’administration pour les tests ou une structure de groupe d’administration non conventionnelle. La structure d’affectation par défaut que d’autres méthodes de déploiement de zone d’atterrissage Azure fournissent peut ne pas correspondre à votre stratégie.

  • Vous disposez d’une équipe qui n’est pas responsable du déploiement d’infrastructure, par exemple une équipe de sécurité qui peut souhaiter déployer et gérer des stratégies.

  • Vous avez besoin de fonctionnalités à partir de stratégies qui ne sont pas disponibles dans les déploiements d’accélérateurs de zone d’atterrissage Azure, par exemple des exemptions de stratégie et de la documentation.

Bien démarrer

Le référentiel GitHub EPAC fournit des étapes détaillées pour commencer à gérer Azure Policy. Tenez compte des facteurs suivants pour déterminer si le projet est adapté à votre environnement :

  • Topologie de l’environnement : plusieurs locations et structures de groupe d’administration complexes sont prises en charge. Réfléchissez à la façon dont vous souhaitez structurer votre stratégie en tant que déploiements de code pour qu’elle corresponde à la topologie, afin que plusieurs équipes puissent gérer des stratégies et tester de nouveaux déploiements de stratégies.

  • Autorisations : tenez compte de la façon dont vous gérez les autorisations pour le déploiement, en particulier pour les rôles et les identités. EPAC fournit plusieurs étapes pour déployer les stratégies et les attributions de rôles, afin que des identités distinctes puissent être utilisées.

  • Déploiements de stratégies existantes : dans un scénario brownfield, vous pouvez avoir des stratégies existantes qui doivent rester en place pendant le déploiement d’EPAC. Vous pouvez utiliser la stratégie d’état souhaitée pour vous assurer que EPAC gère uniquement les stratégies définies et conserve les stratégies existantes.

  • Méthodologie de déploiement : EPAC prend en charge Azure DevOps, GitHub Actions et un module PowerShell pour aider à déployer des stratégies. Vous pouvez utiliser les exemples de pipelines dans le kit de démarrage EPAC et les adapter à votre environnement ainsi qu’à vos exigences.

Suivez le guide de démarrage rapide pour exporter des objets de stratégie dans votre environnement et familiarisez-vous avec la façon dont EPAC gère Azure Policy.

Pour les problèmes liés au code ou à la documentation, envoyez un problème dans le référentiel GitHub.

Remplacer les solutions existantes de déploiement de stratégies

EPAC remplace les fonctionnalités de déploiement de stratégies pour les accélérateurs de zone d’atterrissage Azure. Lorsque vous utilisez ces accélérateurs, vous ne devez pas les utiliser pour déployer Azure Policy, car EPAC est la source de vérité pour la stratégie dans l’environnement.

Pour plus d’informations, consultez les ressources suivantes pour la gestion des stratégies avec les accélérateurs de zone d’atterrissage Bicep et Terraform Azure :

Étapes suivantes