共用方式為


登陸區域沙箱環境

沙箱是隔離的環境,您可以在其中進行測試和實驗,而不會影響其他環境,例如生產、開發或使用者接受度測試 (UAT) 環境。 在受控制的環境中,使用 Azure 資源) (POC 進行概念證明。 每個沙箱都有自己的 Azure 訂用帳戶,而 Azure 原則會控制訂用帳戶。 這些原則會套用在沙箱管理群組層級,而管理群組會從其上方的階層繼承原則。 視其用途而定,個人或小組可以使用沙箱。

提示

如需預設 Azure 登陸區域原則指派的相關資訊,請參閱 Azure 登陸區域中包含的原則參考實作

沙箱環境是實際操作 Azure 學習的最佳位置。 一些常見的使用案例包括:

  • 開發人員需要受控制的 Azure 環境,才能快速測試應用程式設計模式。
  • 雲端架構設計人員需要沙箱環境來評估 Azure 資源,或針對 Azure 服務或資源執行 POC,然後才正式核准其組織。
  • 雲端工程師需要沙箱環境,以進一步瞭解在 Azure 資源上變更設定時會發生什麼情況。
  • 平臺工程師想要建置及測試新的 Azure 原則,並查看其如何根據 Canary 指引運作。
  • 開發人員想要在建置應用程式時試驗 Azure 服務或資源。

沙箱架構

下圖顯示管理群組和訂用帳戶配置。

顯示單一使用案例沙箱架構的流程圖。

將沙箱訂用帳戶放在沙箱管理群組中。 如需管理群組和訂用帳戶組織的詳細資訊,請參閱 登陸區域設計區域和概念架構。 針對沙箱建立的 Azure 原則會放在沙箱的管理群組層級。 沙箱環境接著會從其上方的管理群組階層繼承 Azure 原則。

沙箱訂用帳戶可協助管理每個程式或專案的成本。 當預算減少或沙箱到期時,您可以輕鬆地追蹤成本並取消沙箱。

網路

建立符合您需求的沙箱訂用帳戶網路。 若要隔離沙箱,請確定沙箱訂用帳戶內建立的網路尚未與沙箱外部的其他網路對等互連。 您可以使用 拒絕虛擬網路對等互連跨訂 用帳戶原則來確保每個沙箱都是它自己的隔離環境。

使用拒絕 ExpressRoute/VPN/Virtual WAN建立原則來拒絕建立 ExpressRoute 閘道、VPN 閘道和Virtual WAN中樞。 當您拒絕這些資源時,可確保沙箱訂用帳戶網路保持隔離。

稽核記錄

基於安全性,請務必啟用沙箱環境的稽核記錄。 啟用至少包含所有沙箱訂用帳戶之系統管理和安全性記錄類別 (稽核) 的診斷設定。 將稽核記錄儲存在中央目的地,例如 Azure 登陸區域預設 Log Analytics 工作區,以便您輕鬆地檢閱記錄。 或者,您可以將它們與安全性資訊和事件管理 (SIEM) 平臺整合,例如 Microsoft Sentinel。 如需詳細資訊,請參閱 清查和可見度建議

企業級 登陸區域參考實作中包含的 Azure 原則具有 Azure 原則定義, (「將 Azure 活動記錄設定為串流至指定的 Log Analytics 工作區」) ,以啟用所有訂用帳戶的稽核記錄。 沙箱管理群組應繼承此原則,以啟用沙箱訂用帳戶診斷記錄。

沙箱存取

沙箱使用者具有沙箱訂用帳戶的擁有者存取權。 取消沙箱時,請移除所有沙箱使用者的擁有者角色型存取控制 (RBAC) 。

其他考量

若要確保可靠且有效率的沙箱環境效能,請考慮下列因素。

沙箱到期

您可以在必要時取消或刪除沙箱。 規劃移除沙箱以節省成本的策略,並確保安全性保持可靠。 請考慮成本和沙箱到期日,以判斷何時要移除沙箱。 沙箱到期之後,將它移至 已解除委任 的管理群組。

成本

雲端式沙箱環境的主要考慮是成本追蹤。 若要讓追蹤更容易,您可以在 Microsoft 成本管理中建立預算。 預算功能會在實際消費或預測費用超過設定的閾值時,傳送警示。

當您部署沙箱時,您可以建立 Microsoft 成本管理預算,並將其指派給訂用帳戶。 預算功能會在消費閾值超過您指定的百分比時警示沙箱使用者。 例如,您可以設定預算超過 100% 支出閾值時的警示。 在此情況下,您可能會想要 取消 或刪除訂用帳戶。 單獨警示只是一種警告機制。

您可以將預算指派給所有沙箱。 在沙箱管理群組層級使用 Deploy-Budget Azure 原則來套用預設預算。 將預設預算設定為組織核准沙箱的成本上限。 預設預算會針對未指派更特定預算的任何沙箱傳送成本警示。

到期日期

大部分的組織想要在一段時間後過期和刪除沙箱。 讓沙箱過期,以提供成本控制和安全性優點。 沙箱環境是為了測試和學習而建立。 在沙箱使用者執行其測試或取得預定的知識之後,您可以讓沙箱過期,因為它已不再需要。 為每個沙箱提供到期日。 達到該日期時, 請取消 或刪除沙箱訂用帳戶。

當您建立沙箱時,您可以在訂用帳戶上放置具有到期日的 Azure 標籤 。 當訂閱達到到期日時,請使用自動化來取消或刪除訂閱。

限制 Azure 資源

若要為沙箱使用者提供最健全的學習環境,請在沙箱環境中提供所有 Azure 服務。 不受限制的沙箱很理想,但有些組織需要限制哪些 Azure 服務會部署到沙箱。 透過Azure 原則控制這些限制。 使用 Azure 服務封鎖清單 原則來拒絕部署特定的 Azure 服務。

資訊保護

大部分的組織都同意,請務必將敏感性資料保留在沙箱環境中。 資訊保護的第一道防線是使用者教育。 將使用者指派給沙箱之前,請提供免責聲明和資訊,清楚指出不要將敏感性資料新增至沙箱。

使用 Microsoft Purview 提供沙箱環境的資訊保護。 如果使用者新增組織標籤為沙箱環境的資料,Purview 可以傳送警示。

下一步

Azure 沙箱指南