進階 Azure 原則 管理
本文說明如何使用基礎結構即程序代碼 (IaC) 大規模管理 Azure 原則。 原則驅動的治理是 Azure 登陸區域的設計原則。 這有助於確保您部署的應用程式符合組織的平臺。 在整個環境中管理及測試原則物件,以確保符合合規性,這可能需要相當多的努力。 Azure 登陸區域加速器 有助於建立安全的基準,但您的組織可能會有進一步的合規性需求,您必須藉由部署其他原則來符合。
什麼是企業原則即程序代碼 (EPAC)?
EPAC 是一個開放原始碼專案,可用來整合 IaC 和管理 Azure 原則。 EPAC是以 PowerShell 模組為基礎,並發行至 PowerShell 資源庫。 您可以使用此項目的功能來:
建立具狀態原則部署。 在程式代碼中定義的物件會成為部署在 Azure 中之原則對象的事實來源。
實作複雜的原則管理案例,例如多租用戶和主權雲端部署。
匯出並整合原則,以納入在 Azure 登陸區域部署之前開發的現有自定義原則。
建立和管理原則豁免和原則檔。
使用範例工作流程示範使用 GitHub Actions 或 Azure Pipelines 的 Azure 原則 部署。
匯出不符合規範的報告並建立補救工作。
使用 EPAC 的原因
您可以使用 EPAC 來部署和管理 Azure 登陸區域原則。 如果您想要考慮實作 EPAC 來管理下列條件的原則:
在想要在新的 Azure 登陸區域環境中部署的現有棕色地帶環境中,您有未受管理的原則。 導出現有的原則,並使用 EPAC 與 Azure 登陸區域原則物件來管理它們。
您有一個無法完全對齊 Azure 登陸區域的 Azure 部署,例如多個用於測試的管理群組結構或非常規的管理群組結構。 其他 Azure 登陸區域部署方法所提供的預設指派結構可能不符合您的策略。
您有一個不負責基礎結構部署的小組,例如可能想要部署和管理原則的安全性小組。
您需要來自 Azure 登陸區域加速器部署中無法使用的原則功能,例如原則豁免和檔。
開始使用
EPAC GitHub 存放庫提供開始管理 Azure 原則 的詳細步驟。 判斷專案是否適合您的環境時,請考慮下列因素:
環境拓撲:支援多個租用和複雜的管理群組結構。 請考慮如何將原則結構為符合拓撲的程式代碼部署,讓多個小組可以管理原則並測試新的原則部署。
許可權:請考慮如何管理部署的許可權,特別是角色和身分識別。 EPAC 提供多個階段來部署原則和角色指派,因此可以使用個別的身分識別。
現有的原則部署:在棕色案例中,您可能已有在 EPAC 部署時必須保留的現有原則。 您可以使用 所需的狀態策略 來確保 EPAC 只管理已定義的原則並保留現有的原則。
部署方法:EPAC 支援 Azure DevOps、GitHub Actions 和 PowerShell 模組,以協助部署原則。 您可以使用 EPAC 入門套件 中的範例管線,並根據您的環境和需求進行調整。
請遵循快速入門指南來導出環境中的原則物件,並熟悉 EPAC 如何管理 Azure 原則。
如需程式代碼或文件的問題, 請在 GitHub 存放庫中提交問題。
取代現有的原則部署解決方案
EPAC 取代 Azure 登陸區域加速器的原則部署功能。 當您使用這些加速器時,不應該使用它們來部署 Azure 原則,因為 EPAC 是環境中原則的真相來源。
如需詳細資訊,請參閱下列使用 Bicep 和 Terraform Azure 登陸區域加速器進行原則管理的資源: