Déployer et configurer une zone d’atterrissage souveraine
Vous devez effectuer les différentes étapes préalables avant de déployer et de configurer la zone d’atterrissage souveraine (SLZ).
Déployer la SLZ
La SLZ déploie et configure diverses ressources Azure d’une manière conformément à la zone d’atterrissage à l’échelle de l’entreprise dans le cadre des meilleures pratiques du Cloud Adoption Framework (CAF). Elle fournit des garde-fous appropriés que l’organisation peut configurer pour répondre à ses exigences de souveraineté des données. Pour une présentation détaillée d’une SLZ et de toutes ses fonctionnalités, consultez la documentation sur la Zone d’atterrissage souveraine sur GitHub.
Conditions préalables
Pour terminer le déploiement, vous devez effectuer les étapes préalables :
Assurez-vous que les versions suivantes (ou plus récentes) sont installées dans votre environnement local :
- PowerShell 7.0
- Azure RM 2.51.0
- Azure Bicep 0.20.0
- Azure PowerShell 10.0.0
Vous devez avoir accès à une identité Microsoft Entra ID avec les autorisations suivantes dans Azure :
- Créer (ou utiliser des abonnements existants)
- Propriétaire des abonnements
- Créer des principaux de service
- Créer des définitions et des attributions d’ensembles de stratégies
Étapes pour déployer la zone d’atterrissage souveraine
Consultez la copie locale de la zone d’atterrissage souveraine.
Vérifiez que les conditions préalables sont remplies pour votre environnement d’exécution local et les autorisations Azure en exécutant le script Confirm-SovereignLandingZonePrerequisites.ps1.
Mettez à jour le fichier de paramètres avec les paramètres requis dans votre copie locale du référentiel SLZ. Vous pouvez créer un déploiement SLZ avec les paramètres minimaux suivants :
- Nom de l’erreur unique, lisible par un humain pour la SLZ
- Emplacement et emplacement approuvé pour le déploiement
- Informations de facturation pour les abonnements nouvellement créés ou existants
(Facultatif) Ajoutez des définitions de stratégie personnalisées selon les besoins de conformité.
Exécutez l’étape tous dans le script de déploiement New-SovereignLandingZone.ps1. Le processus de déploiement initial peut prendre plus d’une heure.
Vérifiez que le déploiement est terminé en consultant le fichier de sortie du tableau de bord de conformité à la fin du script de déploiement.
Pour en savoir plus, consultez la documentation sur la zone d’atterrissage souveraine sur GitHub.
Configurer les initiatives de référence de stratégie de souveraineté
Vous devez utiliser les paramètres de configuration SLZ suivants pour configurer les initiatives de référence de stratégie de souveraineté :
parAllowedLocations : Utilisez ce paramètre pour configurer les stratégies de restriction d’emplacement pour toutes les ressources déployées par la SLZ en dehors des étendues du groupe de gestion confidentiel.
parAllowedLocationsForConfidentialComputing : Utilisez ce paramètre pour configurer les stratégies de restriction d’emplacement pour toutes les ressources déployées dans les étendues du groupe de gestion confidentiel. Ce paramètre peut être identique au paramètre parAllowedLocations mais peut devoir être différent si Azure Confidential Computing n’est pas disponible dans la région favorite.
parPolicyEffect : Ce paramètre bascule entre la ligne de base ayant un effet de refus, ce qui est recommandé pour les charges de travail de production, ou un effet d’audit.
Pour en savoir plus, consultez la documentation sur la zone d’atterrissage souveraine sur GitHub.
Utiliser le portefeuille de stratégies ou les stratégies SLZ
Toute initiative préliminaire au sein du portefeuille de stratégies doit avoir sa définition déployée avant d’être utilisée dans un déploiement SLZ. Consultez l’article sur le portefeuille de stratégies pour plus de détails sur le déploiement de ces définitions. Vous pouvez utiliser ces étapes pour déployer les définitions dans n’importe quelle zone d’atterrissage existante.
Utilisez les paramètres de configuration suivants pour configurer ces initiatives de stratégie :
parCustomerPolicySets : Ce paramètre permet à un utilisateur de spécifier une liste de définitions d’ensembles de stratégies à attribuer au niveau de l’étendue du groupe d’administration de niveau supérieur pour un déploiement SLZ.
parDeployAlzDefaultPolicies : Ce paramètre permet aux stratégies ALZ d’être déployées dans les étendues pertinentes au sein d’un déploiement SLZ.
Pour en savoir plus, consultez la documentation sur la zone d’atterrissage souveraine sur GitHub.
Déployer une plateforme ou une zone d’atterrissage d’application
Une fois qu’une SLZ a été déployée, vous pouvez provisionner une plateforme ou une zone d’atterrissage d’application en suivant les étapes suivantes :
Consultez la copie locale de la zone d’atterrissage souveraine.
Référencez les journaux de déploiement SLZ existants pour les groupes de gestion, les emplacements, les ID de ressources, etc. pertinents, nécessaires à la configuration du module de vente.
Mettez à jour le fichier main.bicep avec les paramètres appropriés et exécutez le script bicep.
Pour en savoir plus, consultez la documentation sur la zone d’atterrissage souveraine sur GitHub.