Gerenciamento avançado de políticas do Azure

Este artigo descreve como gerenciar a Política do Azure em escala usando a infraestrutura como código (IaC). A governança orientada por políticas é um princípio de design para zonas de aterrissagem do Azure. Ele ajuda a garantir que os aplicativos implantados estejam em conformidade com a plataforma da sua organização. Pode ser necessário um esforço considerável para gerenciar e testar objetos de política em um ambiente para garantir que a conformidade seja cumprida. Os aceleradores de zona de aterrissagem do Azure ajudam a estabelecer uma linha de base segura, mas sua organização pode ter outros requisitos de conformidade que você deve atender implantando outras políticas.

O que é a Política Empresarial como Código (EPAC)?

O EPAC é um projeto de código aberto que você pode usar para integrar o IaC e gerenciar a Política do Azure. O EPAC é criado em um módulo do PowerShell e publicado na Galeria do PowerShell. Você pode usar os recursos deste projeto para:

• Crie implantações de políticas com monitoração de estado. Os objetos definidos no código tornam-se a fonte da verdade para os objetos de política implantados no Azure.

• Implemente cenários complexos de gerenciamento de políticas, como implantações multilocatárias e de nuvem soberana.

• Exporte e integre políticas para incorporar políticas personalizadas existentes que foram desenvolvidas antes da implantação da zona de aterrissagem do Azure.

• Crie e gerencie isenções de políticas e documentação de políticas.

• Use fluxos de trabalho de exemplo para demonstrar implantações de Política do Azure com Ações do GitHub ou Pipelines do Azure.

• Exporte relatórios de não conformidade e crie tarefas de correção.

Razões para utilizar a EPAC

Você pode usar o EPAC para implantar e gerenciar políticas de zona de aterrissagem do Azure. Poderá considerar a implementação do EPAC para gerir políticas se:

• Você tem políticas não gerenciadas em um ambiente brownfield existente que deseja implantar em um novo ambiente de zona de aterrissagem do Azure. Exporte as políticas existentes e gerencie-as com o EPAC ao lado dos objetos de política da zona de aterrissagem do Azure.

• Você tem uma implantação do Azure que não se alinha totalmente a uma zona de aterrissagem do Azure, por exemplo, várias estruturas de grupo de gerenciamento para teste ou uma estrutura de grupo de gerenciamento não convencional. A estrutura de atribuição padrão que outros métodos de implantação de zona de aterrissagem do Azure fornecem pode não se adequar à sua estratégia.

• Você tem uma equipe que não é responsável pela implantação da infraestrutura, por exemplo, uma equipe de segurança que pode querer implantar e gerenciar políticas.

• Você precisa de recursos de políticas que não estão disponíveis nas implantações do acelerador de zona de aterrissagem do Azure, por exemplo, isenções de política e documentação.

Começar agora

O repositório Epac GitHub fornece etapas detalhadas para começar a gerenciar a Política do Azure. Considere os seguintes fatores ao determinar se o projeto é adequado para seu ambiente:

• Topologia de ambiente: há suporte para várias locações e estruturas complicadas de grupos de gerenciamento. Considere como você deseja estruturar sua política como implantações de código para se ajustar à topologia, para que várias equipes possam gerenciar políticas e testar novas implantações de políticas.

• Permissões: considere como você gerencia as permissões para a implantação, especialmente para funções e identidades. O EPAC fornece vários estágios para implantar as políticas e atribuições de função, para que identidades separadas possam ser usadas.

• Implantações de políticas existentes: em um cenário brownfield, você pode ter políticas existentes que devem permanecer em vigor enquanto o EPAC é implantado. Você pode usar a estratégia de estado desejada para garantir que o EPAC gerencie apenas as políticas definidas e preserve as políticas existentes.

• Metodologia de implantação: o EPAC dá suporte ao Azure DevOps, às Ações do GitHub e a um módulo do PowerShell para ajudar a implantar políticas. Você pode usar os pipelines de amostra no kit inicial EPAC e adaptá-los ao seu ambiente e requisitos.

Siga o guia de início rápido para exportar objetos de política em seu ambiente e familiarize-se com a forma como o EPAC gerencia a Política do Azure.

Para problemas com o código ou a documentação, envie um problema no repositório GitHub.

Substitua as soluções de implantação de políticas existentes

O EPAC substitui os recursos de implantação de política dos aceleradores de zona de aterrissagem do Azure. Quando você usa esses aceleradores, não deve usá-los para implantar a Política do Azure porque o EPAC é a fonte da verdade para a política no ambiente.

Para obter mais informações, consulte os seguintes recursos para gerenciamento de políticas com os aceleradores de zona de aterrissagem do Bicep e do Terraform Azure:

• Como o ALZ-Bicep implementa as políticas do Azure?
• Definições de arquétipo

Próximos passos

• Política empresarial como código