在部署和配置主权登陆区域 (SLZ) 之前,您需要完成各种先决步骤。
部署 SLZ
SLZ 以与 企业规模登陆区域一致的方式部署和配置各种 Azure 资源,作为云采用框架 (CAF) 最佳做法的一部分,并提供适当的防护措施,以便组织可以进行配置来实现其数据主权要求。 选择部署技术以获取更多部署信息。
在使用 Bicep 部署和配置主权登陆区域 (SLZ) 之前,需要完成各种先决条件步骤。 有关 SLZ 及其所有功能的详细概述,请参阅 GitHub 上的主权登陆区域 (Bicep) 文档。
先决条件
要完成部署,需要执行以下先决步骤:
确保您的本地环境安装了以下版本(或更高版本):
- PowerShell 7.0
- Azure RM 2.51.0
- Azure PowerShell 10.0.0
- Azure Bicep 0.20.0
确保您有权访问 Azure 中具有以下权限的 Microsoft Entra ID 身份:
- 创建(或使用现有)订阅
- 订阅的所有者
- 创建服务主体
- 创建策略集定义和分配。
部署主权登陆区域的步骤
查看主权登陆区域的本地副本。
通过运行 Confirm-SovereignLandingZonePrerequisites.ps1 脚本,验证是否满足本地运行时环境的先决条件和 Azure 权限。
使用 SLZ 存储库本地副本中所需的参数更新参数文件。 您可以使用以下最少参数创建 SLZ 部署:
- SLZ 的唯一且人类可读的名称
- 部署地点和批准地点
- 新创建或现有订阅的账单信息
(可选)根据合规性需要添加自定义策略定义。
运行
New-SovereignLandingZone.ps1部署脚本内的所有步骤。 初始部署流程可能需要一小时以上的时间。通过查看部署结束时显示的合规性仪表板输出链接来验证部署是否已完成。
配置主权基准策略计划
您需要使用以下 SLZ 配置参数来配置主权基准策略计划:
parAllowedLocations:使用此参数为 SLZ 在机密管理组范围之外部署的所有资源配置位置限制策略。
parAllowedLocationsForConfidentialComputing:使用此参数为在机密管理组范围内部署的资源配置位置限制策略。 此参数可以与 parAllowedLocations 参数相同,但如果 Azure 机密计算在首选区域不可用,则可能需要不同。
parPolicyEffect:此参数在具有拒绝效果(建议用于生产工作负荷)或审核效果的基线之间切换。
使用策略组合或 ALZ 策略
政策组合中的任何预览措施都必须先部署其定义,然后才能用于 SLZ 部署。 有关部署这些定义的详细信息,请查看有关政策组合的文章。 您可以使用这些步骤将定义部署到任何现有的登陆区域。
使用以下配置参数来配置这些策略计划:
parCustomerPolicySets:此参数可帮助您指定要在 SLZ 部署的顶级管理组范围中分配的政策集定义列表。
parDeployAlzDefaultPolicies:此参数允许将 ALZ 政策部署在 SLZ 部署内的相关范围。
部署平台或应用程序登陆区域
部署 SLZ 后,可以通过以下步骤预配平台或应用程序登陆区域:
查看 ALZ 登陆区域自动售货的本地副本。
参考配置自动售货模块所需的相关管理组、位置、资源 ID 等的现有 SLZ 部署日志。
使用适当的参数更新 main.bicep 文件并运行 bicep 脚本。