Gestione avanzata Criteri di Azure
Questo articolo descrive come gestire Criteri di Azure su larga scala usando l'infrastruttura come codice (IaC). La governance basata su criteri è un principio di progettazione per le zone di destinazione di Azure. Consente di garantire che le applicazioni distribuite siano conformi alla piattaforma dell'organizzazione. Può richiedere notevoli sforzi per gestire e testare gli oggetti criteri in un ambiente per garantire che la conformità venga soddisfatta. Gli acceleratori di zona di destinazione di Azure consentono di stabilire una baseline sicura, ma l'organizzazione potrebbe avere ulteriori requisiti di conformità che è necessario soddisfare distribuendo altri criteri.
Che cos'è Enterprise Policy as Code (EPAC)?
EPAC è un progetto open source che è possibile usare per integrare IaC e gestire Criteri di Azure. EPAC è basato su un modulo di PowerShell e pubblicato in PowerShell Gallery. È possibile usare le funzionalità di questo progetto per:
Creare distribuzioni di criteri con stato. Gli oggetti definiti nel codice diventano l'origine della verità per gli oggetti criteri distribuiti in Azure.
Implementare scenari di gestione dei criteri complessi, ad esempio distribuzioni multi-tenant e cloud sovrano.
Esportare e integrare criteri per incorporare i criteri personalizzati esistenti sviluppati prima della distribuzione della zona di destinazione di Azure.
Creare e gestire le esenzioni dei criteri e la documentazione dei criteri.
Usare flussi di lavoro di esempio per illustrare Criteri di Azure distribuzioni con GitHub Actions o Azure Pipelines.
Esportare report di non conformità e creare attività di correzione.
Motivi per l'uso di EPAC
È possibile usare EPAC per distribuire e gestire i criteri delle zone di destinazione di Azure. È consigliabile prendere in considerazione l'implementazione di EPAC per gestire i criteri se:
I criteri non gestiti sono disponibili in un ambiente brownfield esistente che si vuole distribuire in un nuovo ambiente di destinazione di Azure. Esportare i criteri esistenti e gestirli con EPAC insieme agli oggetti criteri della zona di destinazione di Azure.
È disponibile una distribuzione di Azure che non è completamente allineata a una zona di destinazione di Azure, ad esempio più strutture di gruppi di gestione per il test o una struttura del gruppo di gestione nonventionale. La struttura di assegnazione predefinita che altri metodi di distribuzione della zona di destinazione di Azure potrebbero non adattarsi alla strategia.
Si dispone di un team che non è responsabile della distribuzione dell'infrastruttura, ad esempio un team di sicurezza che potrebbe voler distribuire e gestire i criteri.
Sono necessarie funzionalità dei criteri che non sono disponibili nelle distribuzioni dell'acceleratore di zona di destinazione di Azure, ad esempio esenzioni dei criteri e documentazione.
Operazioni preliminari
Il repository GitHub EPAC fornisce passaggi dettagliati per iniziare a gestire Criteri di Azure. Quando si determina se il progetto è adatto all'ambiente, tenere presenti i fattori seguenti:
Topologia dell'ambiente: sono supportate più tenanze e strutture complesse del gruppo di gestione. Si consideri come si vuole strutturare i criteri come distribuzioni di codice in base alla topologia, in modo che più team possano gestire i criteri e testare le nuove distribuzioni di criteri.
Autorizzazioni: valutare come gestire le autorizzazioni per la distribuzione, in particolare per ruoli e identità. EPAC offre più fasi per distribuire sia i criteri che le assegnazioni di ruolo, in modo da poter usare identità separate.
Distribuzioni di criteri esistenti: in uno scenario brownfield è possibile che siano presenti criteri esistenti che devono rimanere attivi durante la distribuzione di EPAC. È possibile usare la strategia di stato desiderata per garantire che EPAC gestisca solo i criteri definiti e mantenga i criteri esistenti.
Metodologia di distribuzione: EPAC supporta Azure DevOps, GitHub Actions e un modulo di PowerShell per facilitare la distribuzione dei criteri. È possibile usare le pipeline di esempio nello starter kit EPAC e adattarle all'ambiente e ai requisiti.
Seguire la guida introduttiva per esportare gli oggetti criteri nell'ambiente e acquisire familiarità con il modo in cui EPAC gestisce Criteri di Azure.
Per problemi relativi al codice o alla documentazione, inviare un problema nel repository GitHub.
Sostituire le soluzioni di distribuzione dei criteri esistenti
EPAC sostituisce le funzionalità di distribuzione dei criteri degli acceleratori di zona di destinazione di Azure. Quando si usano questi acceleratori, non è consigliabile usarli per distribuire Criteri di Azure perché EPAC è l'origine della verità per i criteri nell'ambiente.
Per altre informazioni, vedere le risorse seguenti per la gestione dei criteri con gli acceleratori di zona di destinazione di Azure Bicep e Terraform:
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per