部署和設定主權登陸區域
您必須先完成各種必要步驟,才能部署並設定主權登陸區域 (SLZ)。
部署 SLZ
SLZ 以與企業級登陸區域一致的方式部署和設定各種 Azure 資源,做為雲端採用架構 (CAF) 最佳做法的一部分,並提供組織可設定的適當護欄機制,以實現其資料主權需求。 如需有關 SLZ 及其所有功能的詳細概觀,請參閱 GitHub 上的主權登陸區域文件。
先決條件
若要完成部署,您需要執行必要步驟:
確定您的本機環境已安裝下列版本 (或更新版本):
- PowerShell 7.0
- Azure RM 2.51.0
- Azure Bicep 0.20.0
- Azure PowerShell 10.0.0
必須在 Azure 中有權存取具有下列權限的 Microsoft Entra ID 身分識別:
- 建立 (或使用現有) 訂閱
- 訂閱的擁有者
- 建立服務主體
- 建立原則集定義和指派。
部署主權登陸區域的步驟
簽出主權登陸區域的本機複本。
執行 Confirm-SovereignLandingZonePrerequisites.ps1 指令碼,驗證是否符合本機執行階段環境和 Azure 權限的先決條件。
使用 SLZ 存放庫本機複本中的必要參數來更新參數檔案。 您可以使用以下最少參數建立 SLZ 部署:
- SLZ 唯一且人類看得懂的名稱
- 部署的位置和核准位置
- 新建立或現有訂閱的計費資訊
(選用) 根據合規性需求新增自訂原則定義。
執行 New-SovereignLandingZone.ps1 部署指令碼中的所有步驟。 初始部署程序可能需要一個小時以上。
檢查部署指令碼結束時的合規性儀表板輸出檔案以確認部署是否已完成。
如需詳細資訊,請參閱 GitHub 上的主權登陸區域文件。
設定主權基準原則計劃
您需要使用下列 SLZ 設定參數來設定主權基準原則計劃:
parAllowedLocations:使用此參數為 SLZ 在機密管理群組範圍外部署的所有資源設定位置限制原則。
parAllowedLocationsForConfidentialComputing:使用此參數為部署在機密管理群組範圍內的所有資源設定位置限制原則。 此參數可以與 parAllowedLocations 參數相同,但要是 Azure 機密計算無法在偏好的區域使用,就可能必須不同。
parPolicyEffect:此參數可在有拒絕效果 (建議用於生產工作負載) 或稽核效果的基準之間切換。
如需詳細資訊,請參閱 GitHub 上的主權登陸區域文件。
使用原則組合或 ALZ 原則
原則組合中的任何預覽計劃都必須在用於 SLZ 部署之前部署其定義。 請參閱有關原則組合的文章,以了解關於部署這些定義的詳細資訊。 您可以使用這些步驟將定義部署至任何現有的登陸區域。
使用下列 SLZ 設定參數來設定這些原則計劃:
parCustomerPolicySets:此參數可讓使用者指定要在 SLZ 部署最上層管理群組範圍指派的原則集定義清單。
parDeployAlzDefaultPolicies:此參數啟用要在 SLZ 部署中相關範圍部署的 ALZ 原則。
如需詳細資訊,請參閱 GitHub 上的主權登陸區域文件。
部署平台或應用程式登陸區域
部署 SLZ 後,您可以透過下列步驟佈建平台或應用程式登陸區域:
簽出 ALZ 登陸區域販售的本機複本。
參考設定販售模組所需三相關管理群組、位置、資源識別碼等現有 SLZ 部署記錄。
使用適當參數更新 main.bicep 檔案,並執行 bicep 指令碼。
如需詳細資訊,請參閱 GitHub 上的主權登陸區域文件。