Share via

Implementar e configurar uma Zona de Pouso Soberana

  • Artigo

Precisa de concluir os vários passos de pré-requisitos antes de implementar e configurar a Zona de Destino Soberana (SLZ).

Implementar a SLZ

A SLZ implementa e configura vários recursos do Azure de maneira alinhada à zona de destino de escala empresarial como parte das melhores práticas do Cloud Adoption Framework (CAF) e fornece proteções apropriadas que uma organização pode configurar para atingir os respetivas requisitos de soberania de dados. Para uma descrição geral detalhada de uma SLZ e de todas as respetivas capacidades, consulte a documentação da Zona de Destino Soberana no GitHub.

Pré-requisitos

Para concluir a implementação, precisa de efetuar os passos de pré-requisito:

  • Certifique-se de que o seu ambiente local tem as seguintes versões instaladas (ou mais recentes):

    • PowerShell 7.0
    • Azure RM 2.51.0
    • Azure Bicep 0.20.0
    • Azure PowerShell 10.0.0

  • Tem de ter acesso a uma identidade do ID do Microsoft Entra com as seguintes permissões no Azure:

    • Criar subscrições (ou usar existentes)
    • Proprietário das subscrições
    • Criar principais de serviço
    • Crie definições e atribuições de conjuntos de políticas.

Passos para implementar a Zona de Destino Soberana

  1. Consulte uma cópia local da Zona de Destino Soberana.

  2. Valide se os pré-requisitos foram satisfeitos para o seu ambiente de runtime local e permissões do Azure ao executar o script Confirm-SovereignLandingZonePrerequisites.ps1.

  3. Atualize o ficheiro de parâmetros com os parâmetros obrigatórios na sua cópia local do repositório da SLZ. Pode criar uma implementação de SLZ com os seguintes parâmetros mínimos:

    • Nomes exclusivos e legíveis por humanos para a SLZ
    • Localização e localização aprovada para a implementação
    • Informações de faturação para subscrições recém-criadas ou existentes

  4. (Opcional) Adicione definições de políticas personalizadas conforme necessário para a conformidade.

  5. Efetue o passo todos no script de implementação New-SovereignLandingZone.ps1. O processo de implementação inicial demora cerca de duas horas.

  6. Verifique se a implementação foi concluída ao verificar o ficheiro de saída do dashboard de conformidade no final do script de implementação.

Para obter mais informações, consulte a documentação de Modelos de carga de trabalho para a Zona de Destino Soberana no GitHub.

Configurar as iniciativas de política de Linha de base de Soberania

Precisa de usar os seguintes parâmetros de configuração da SLZ para configurar as iniciativas de política de Linha de base de Soberania:

  • parAllowedLocations: use este parâmetro para configurar as políticas de restrição de localização para todos os recursos implementados pela SLZ fora dos âmbitos do grupo de gestão confidencial.

  • parAllowedLocationsForConfidentialComputing: use este parâmetro para configurar as políticas de restrição de localização para recursos implementados nos âmbitos do grupo de gestão confidencial. Este parâmetro pode ser igual ao parâmetro parAllowedLocations, mas pode precisar que seja diferente se a Computação Confidencial do Azure não estiver disponível na região preferida.

  • parPolicyEffect: este parâmetro alterna entre a linha de base a ter um efeito de negação, que é recomendado para cargas de trabalho de produção, ou um efeito de auditoria.

Para obter mais informações, consulte a documentação de Modelos de carga de trabalho para a Zona de Destino Soberana no GitHub.

Use o portefólio de políticas ou políticas ALZ

Qualquer iniciativa de pré-visualização dentro do portefólio de políticas tem de ter a respetiva definição implementada antes de ser usada numa implementação de SLZ. Reveja o artigo sobre o portefólio de políticas para detalhes sobre a implementação destas definições. Pode usar estes passos para implementar as definições em qualquer zona de destino existente.

Use os seguintes parâmetros de configuração da SLZ para configurar estas iniciativas de política:

  • parCustomerPolicySets: este parâmetro permite que um utilizador especifique uma lista de definições de conjunto de políticas para atribuir no âmbito do grupo de gestão de nível superior para uma implementação da SLZ.

  • parDeployAlzDefaultPolicies: este parâmetro permite que as políticas ALZ sejam implementadas em âmbitos relevantes numa implementação da SLZ.

Para obter mais informações, consulte a documentação de Modelos de carga de trabalho para a Zona de Destino Soberana no GitHub.

Implementar uma zona de destino de plataforma ou de aplicação

Depois de uma SLZ ter sido implementada, pode aprovisionar a zona de destino da plataforma ou da aplicação através dos seguintes passos:

  1. Consulte uma cópia local da Venda de Zona de Destino ALZ.

  2. Referencie os registos de implementação da SLZ existentes para grupos de gestão, localizações, IDs de recursos relevantes, etc., necessários para configurar o módulo de vendas.

  3. Atualize o ficheiro main.bicep com os parâmetros apropriados e execute o script bicep.

Para obter mais informações, consulte a documentação de Modelos de carga de trabalho para a Zona de Destino Soberana no GitHub.

Consulte também