Manajemen Azure Policy Tingkat Lanjut
Artikel ini menjelaskan cara mengelola Azure Policy dalam skala besar dengan menggunakan infrastruktur sebagai kode (IaC). Tata kelola berbasis kebijakan adalah prinsip desain untuk zona pendaratan Azure. Ini membantu memastikan bahwa aplikasi yang Anda sebarkan mematuhi platform organisasi Anda. Dibutuhkan upaya yang cukup besar untuk mengelola dan menguji objek kebijakan di seluruh lingkungan untuk memastikan bahwa kepatuhan terpenuhi. Akselerator zona pendaratan Azure membantu menetapkan garis besar yang aman, tetapi organisasi Anda mungkin memiliki persyaratan kepatuhan lebih lanjut yang harus Anda penuhi dengan menyebarkan kebijakan lain.
Apa itu Kebijakan Perusahaan sebagai Kode (EPAC)?
EPAC adalah proyek sumber terbuka yang dapat Anda gunakan untuk mengintegrasikan IaC dan mengelola Azure Policy. EPAC dibangun di atas modul PowerShell dan diterbitkan ke Galeri PowerShell. Anda dapat menggunakan fitur proyek ini untuk:
Membuat penyebaran kebijakan stateful. Objek yang ditentukan dalam kode menjadi sumber kebenaran untuk objek kebijakan yang disebarkan di Azure.
Terapkan skenario manajemen kebijakan yang kompleks, seperti penyebaran multipenyewa dan sovereign-cloud.
Ekspor dan integrasikan kebijakan untuk menggabungkan kebijakan kustom yang ada yang dikembangkan sebelum penyebaran zona pendaratan Azure.
Membuat dan mengelola pengecualian kebijakan dan dokumentasi kebijakan.
Gunakan alur kerja sampel untuk menunjukkan penyebaran Azure Policy dengan GitHub Actions atau Azure Pipelines.
Ekspor laporan ketidakpatuhan dan buat tugas remediasi.
Alasan untuk menggunakan EPAC
Anda dapat menggunakan EPAC untuk menyebarkan dan mengelola kebijakan zona pendaratan Azure. Anda mungkin ingin mempertimbangkan untuk menerapkan EPAC untuk mengelola kebijakan jika:
Anda memiliki kebijakan yang tidak terkelola di lingkungan brownfield yang sudah ada yang ingin Anda sebarkan di lingkungan zona pendaratan Azure baru. Ekspor kebijakan yang ada, dan kelola dengan EPAC bersama objek kebijakan zona pendaratan Azure.
Anda memiliki penyebaran Azure yang tidak sepenuhnya selaras dengan zona pendaratan Azure, misalnya beberapa struktur grup manajemen untuk pengujian atau struktur grup manajemen nonkonvensional. Struktur penugasan default yang disediakan metode penyebaran zona pendaratan Azure lainnya mungkin tidak sesuai dengan strategi Anda.
Anda memiliki tim yang tidak bertanggung jawab atas penyebaran infrastruktur, misalnya tim keamanan yang mungkin ingin menyebarkan dan mengelola kebijakan.
Anda memerlukan fitur dari kebijakan yang tidak tersedia di penyebaran akselerator zona pendaratan Azure, misalnya pengecualian dan dokumentasi kebijakan.
Memulai
Repositori GitHub EPAC menyediakan langkah-langkah terperinci untuk mulai mengelola Azure Policy. Pertimbangkan faktor-faktor berikut saat menentukan apakah proyek cocok untuk lingkungan Anda:
Topologi lingkungan: Beberapa penyewaan dan struktur grup manajemen yang rumit didukung. Pertimbangkan bagaimana Anda ingin menyusun kebijakan Anda sebagai penyebaran kode agar sesuai dengan topologi, sehingga beberapa tim dapat mengelola kebijakan dan menguji penyebaran kebijakan baru.
Izin: Pertimbangkan cara Anda mengelola izin untuk penyebaran, terutama untuk peran dan identitas. EPAC menyediakan beberapa tahap untuk menyebarkan kebijakan dan penetapan peran, sehingga identitas terpisah dapat digunakan.
Penyebaran kebijakan yang ada: Dalam skenario brownfield, Anda mungkin memiliki kebijakan yang ada yang harus tetap diberlakukan saat EPAC disebarkan. Anda dapat menggunakan strategi status yang diinginkan untuk memastikan bahwa EPAC hanya mengelola kebijakan yang ditentukan dan mempertahankan kebijakan yang ada.
Metodologi penyebaran: EPAC mendukung Azure DevOps, GitHub Actions, dan modul PowerShell untuk membantu menyebarkan kebijakan. Anda dapat menggunakan alur sampel dalam kit pemula EPAC dan menyesuaikannya dengan lingkungan dan persyaratan Anda.
Ikuti panduan mulai cepat untuk mengekspor objek kebijakan di lingkungan Anda dan memahami cara EPAC mengelola Azure Policy.
Untuk masalah dengan kode atau dokumentasi, kirimkan masalah di repositori GitHub.
Ganti solusi penyebaran kebijakan yang ada
EPAC menggantikan kemampuan penyebaran kebijakan akselerator zona pendaratan Azure. Saat Anda menggunakan akselerator ini, Anda tidak boleh menggunakannya untuk menyebarkan Azure Policy karena EPAC adalah sumber kebenaran untuk kebijakan di lingkungan.
Untuk informasi selengkapnya, lihat sumber daya berikut untuk manajemen kebijakan dengan akselerator zona pendaratan Bicep dan Terraform Azure:
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk