Zaawansowane zarządzanie usługą Azure Policy
W tym artykule opisano sposób zarządzania usługą Azure Policy na dużą skalę przy użyciu infrastruktury jako kodu (IaC). Ład oparty na zasadach jest zasadą projektowania stref docelowych platformy Azure. Pomaga to zapewnić zgodność wdrożonych aplikacji z platformą organizacji. Zarządzanie obiektami zasad i testowanie ich w środowisku może zająć znaczne nakłady pracy, aby upewnić się, że zgodność jest spełniona. Akceleratory strefy docelowej platformy Azure ułatwiają ustanowienie bezpiecznego punktu odniesienia, ale Organizacja może mieć dodatkowe wymagania dotyczące zgodności, które należy spełnić, wdrażając inne zasady.
Co to jest zasady przedsiębiorstwa jako kod (EPAC)?
EPAC to projekt open source, którego można użyć do zintegrowania rozwiązania IaC i zarządzania usługą Azure Policy. Usługa EPAC jest oparta na module programu PowerShell i jest publikowana w Galeria programu PowerShell. Za pomocą funkcji tego projektu można wykonywać następujące czynności:
Tworzenie wdrożeń zasad stanowych. Obiekty zdefiniowane w kodzie stają się źródłem prawdy dla obiektów zasad wdrożonych na platformie Azure.
Zaimplementuj złożone scenariusze zarządzania zasadami, takie jak wdrożenia wielodostępne i suwerenne chmury.
Eksportowanie i integrowanie zasad w celu uwzględnienia istniejących zasad niestandardowych opracowanych przed wdrożeniem strefy docelowej platformy Azure.
Tworzenie wykluczeń zasad i dokumentacji zasad oraz zarządzanie nimi.
Przykładowe przepływy pracy umożliwiają zademonstrowanie wdrożeń usługi Azure Policy za pomocą funkcji GitHub Actions lub usługi Azure Pipelines.
Eksportowanie raportów o niezgodności i tworzenie zadań korygowania.
Powody korzystania z EPAC
Możesz użyć umowy EPAC do wdrażania zasad strefy docelowej platformy Azure i zarządzania nimi. Warto rozważyć wdrożenie umowy EPAC w celu zarządzania zasadami, jeśli:
Zasady niezarządzane są w istniejącym środowisku brownfield, które chcesz wdrożyć w nowym środowisku strefy docelowej platformy Azure. Wyeksportuj istniejące zasady i zarządzaj nimi za pomocą umowy EPAC wraz z obiektami zasad strefy docelowej platformy Azure.
Masz wdrożenie platformy Azure, które nie jest w pełni zgodne ze strefą docelową platformy Azure, na przykład wiele struktur grup zarządzania na potrzeby testowania lub niekonwencjonalnego struktury grupy zarządzania. Domyślna struktura przypisania, którą zapewniają inne metody wdrażania strefy docelowej platformy Azure, może nie pasować do twojej strategii.
Masz zespół, który nie jest odpowiedzialny za wdrażanie infrastruktury, na przykład zespół ds. zabezpieczeń, który może chcieć wdrożyć zasady i zarządzać nimi.
Wymagane są funkcje z zasad, które nie są dostępne we wdrożeniach akceleratora strefy docelowej platformy Azure, na przykład wykluczenia z zasad i dokumentacja.
Rozpocznij
Repozytorium GitHub EPAC zawiera szczegółowe kroki umożliwiające rozpoczęcie zarządzania usługą Azure Policy. Podczas określania, czy projekt jest odpowiedni dla danego środowiska, należy wziąć pod uwagę następujące czynniki:
Topologia środowiska: obsługiwane są wiele dzierżaw i skomplikowanych struktur grup zarządzania. Rozważ sposób tworzenia struktury zasad jako wdrożeń kodu w celu dopasowania ich do topologii, dzięki czemu wiele zespołów może zarządzać zasadami i testować nowe wdrożenia zasad.
Uprawnienia: Rozważ sposób zarządzania uprawnieniami do wdrożenia, szczególnie w przypadku ról i tożsamości. EpaC zapewnia wiele etapów wdrażania zarówno zasad, jak i przypisań ról, dzięki czemu można używać oddzielnych tożsamości.
Istniejące wdrożenia zasad: w scenariuszu brownfield mogą istnieć istniejące zasady, które muszą pozostać wdrożone podczas wdrażania usługi EPAC. Możesz użyć żądanej strategii stanu, aby zapewnić, że EPAC zarządza tylko zdefiniowanymi zasadami i zachowuje istniejące zasady.
Metodologia wdrażania: usługa EPAC obsługuje usługi Azure DevOps, GitHub Actions i moduł programu PowerShell w celu ułatwienia wdrażania zasad. Możesz użyć przykładowych potoków w zestawie startowym EPAC i dostosować je do środowiska i wymagań.
Postępuj zgodnie z przewodnikiem Szybki start, aby wyeksportować obiekty zasad w danym środowisku i zapoznać się ze sposobem zarządzania usługą Azure Policy przez usługę EPAC.
W przypadku problemów z kodem lub dokumentacją prześlij problem w repozytorium GitHub.
Zastępowanie istniejących rozwiązań wdrażania zasad
EPAC zastępuje możliwości wdrażania zasad akceleratorów strefy docelowej platformy Azure. W przypadku korzystania z tych akceleratorów nie należy ich używać do wdrażania usługi Azure Policy, ponieważ EPAC jest źródłem prawdy dla zasad w środowisku.
Aby uzyskać więcej informacji, zobacz następujące zasoby dotyczące zarządzania zasadami za pomocą akceleratorów stref docelowych platformy Azure Bicep i Terraform:
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla