Расширенное управление Политика Azure
В этой статье описывается, как управлять Политика Azure в масштабе с помощью инфраструктуры в качестве кода (IaC). Управление на основе политик — это принцип проектирования для целевых зон Azure. Это помогает убедиться, что развернутые приложения соответствуют платформе вашей организации. Для управления и тестирования объектов политики в среде может потребоваться значительное количество усилий, чтобы обеспечить соответствие требованиям. Акселераторы целевой зоны Azure помогают установить безопасные базовые показатели , но в вашей организации могут быть дополнительные требования к соответствию требованиям, которые необходимо выполнить путем развертывания других политик.
Что такое корпоративная политика в виде кода (EPAC)?
EPAC — это проект с открытым исходным кодом, который можно использовать для интеграции IaC и управления Политика Azure. EPAC основан на модуле PowerShell и публикуется в коллекция PowerShell. Функции этого проекта можно использовать следующим образом:
Создание развертываний политик с отслеживанием состояния. Объекты, определенные в коде, становятся источником истины для объектов политики, развернутых в Azure.
Реализуйте сложные сценарии управления политиками, такие как мультитенантные и независимые облачные развертывания.
Экспорт и интеграция политик для включения существующих пользовательских политик, разработанных до развертывания целевой зоны Azure.
Создание исключений политик и документация по политике и управление ими.
Используйте примеры рабочих процессов для демонстрации Политика Azure развертываний с помощью GitHub Actions или Azure Pipelines.
Экспорт отчетов о несоответствии и создание задач исправления.
Причины использования EPAC
С помощью EPAC можно развертывать политики целевой зоны Azure и управлять ими. Вам может потребоваться реализовать EPAC для управления политиками, если:
У вас есть неуправляемые политики в существующей среде браунфилда, которую вы хотите развернуть в новой целевой зоне Azure. Экспортируйте существующие политики и управляйте ими с помощью EPAC вместе с объектами политики целевой зоны Azure.
У вас есть развертывание Azure, которое не полностью соответствует целевой зоне Azure, например несколько структур групп управления для тестирования или неконвенентной структуры группы управления. Структура назначения по умолчанию, которую предоставляют другие методы развертывания целевой зоны Azure, могут не соответствовать вашей стратегии.
У вас есть команда, которая не отвечает за развертывание инфраструктуры, например группу безопасности, которая может потребоваться развернуть политики и управлять ими.
Вам требуются функции из политик, которые недоступны в развертываниях акселератора целевой зоны Azure, например исключения политик и документация.
Начать
Репозиторий GitHub EPAC содержит подробные шаги по управлению Политика Azure. При определении того, подходит ли проект для вашей среды, следует учитывать следующие факторы:
Топология среды: поддерживаются несколько тенантов и сложных структур групп управления. Рассмотрим структуру политики в качестве развертываний кода для соответствия топологии, чтобы несколько команд могли управлять политиками и тестировать новые развертывания политик.
Разрешения. Рассмотрим, как управлять разрешениями для развертывания, особенно для ролей и удостоверений. EPAC предоставляет несколько этапов развертывания политик и назначений ролей, поэтому можно использовать отдельные удостоверения.
Существующие развертывания политик. В сценарии браунфилда могут быть существующие политики, которые должны оставаться на месте при развертывании EPAC. Вы можете использовать нужную стратегию состояния, чтобы гарантировать, что EPAC управляет только определенными политиками и сохраняет существующие политики.
Методология развертывания: EPAC поддерживает Azure DevOps, GitHub Actions и модуль PowerShell для развертывания политик. Примеры конвейеров можно использовать в начальном комплекте EPAC и адаптировать их к вашей среде и требованиям.
Следуйте краткому руководству по экспорту объектов политики в вашей среде и ознакомьтесь с тем, как EPAC управляет Политика Azure.
Для проблем с кодом или документацией отправьте проблему в репозитории GitHub.
Замена существующих решений развертывания политик
EPAC заменяет возможности развертывания политики акселераторов целевой зоны Azure. При использовании этих акселераторов их не следует использовать для развертывания Политика Azure, так как EPAC является источником истины для политики в среде.
Дополнительные сведения см. в следующих ресурсах для управления политиками с помощью акселераторов целевой зоны Bicep и Terraform Azure:
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по