Gerenciamento avançado de políticas do Azure
Este artigo descreve como gerenciar a Política do Azure em escala usando a infraestrutura como código (IaC). A governança orientada por políticas é um princípio de design para zonas de aterrissagem do Azure. Ele ajuda a garantir que os aplicativos implantados estejam em conformidade com a plataforma da sua organização. Pode ser necessário um esforço considerável para gerenciar e testar objetos de política em um ambiente para garantir que a conformidade seja cumprida. Os aceleradores de zona de aterrissagem do Azure ajudam a estabelecer uma linha de base segura, mas sua organização pode ter outros requisitos de conformidade que você deve atender implantando outras políticas.
O que é a Política Empresarial como Código (EPAC)?
O EPAC é um projeto de código aberto que você pode usar para integrar o IaC e gerenciar a Política do Azure. O EPAC é criado em um módulo do PowerShell e publicado na Galeria do PowerShell. Você pode usar os recursos deste projeto para:
Crie implantações de políticas com monitoração de estado. Os objetos definidos no código tornam-se a fonte da verdade para os objetos de política implantados no Azure.
Implemente cenários complexos de gerenciamento de políticas, como implantações multilocatárias e de nuvem soberana.
Exporte e integre políticas para incorporar políticas personalizadas existentes que foram desenvolvidas antes da implantação da zona de aterrissagem do Azure.
Crie e gerencie isenções de políticas e documentação de políticas.
Use fluxos de trabalho de exemplo para demonstrar implantações de Política do Azure com Ações do GitHub ou Pipelines do Azure.
Exporte relatórios de não conformidade e crie tarefas de correção.
Razões para utilizar a EPAC
Você pode usar o EPAC para implantar e gerenciar políticas de zona de aterrissagem do Azure. Poderá considerar a implementação do EPAC para gerir políticas se:
Você tem políticas não gerenciadas em um ambiente brownfield existente que deseja implantar em um novo ambiente de zona de aterrissagem do Azure. Exporte as políticas existentes e gerencie-as com o EPAC ao lado dos objetos de política da zona de aterrissagem do Azure.
Você tem uma implantação do Azure que não se alinha totalmente a uma zona de aterrissagem do Azure, por exemplo, várias estruturas de grupo de gerenciamento para teste ou uma estrutura de grupo de gerenciamento não convencional. A estrutura de atribuição padrão que outros métodos de implantação de zona de aterrissagem do Azure fornecem pode não se adequar à sua estratégia.
Você tem uma equipe que não é responsável pela implantação da infraestrutura, por exemplo, uma equipe de segurança que pode querer implantar e gerenciar políticas.
Você precisa de recursos de políticas que não estão disponíveis nas implantações do acelerador de zona de aterrissagem do Azure, por exemplo, isenções de política e documentação.
Começar agora
O repositório Epac GitHub fornece etapas detalhadas para começar a gerenciar a Política do Azure. Considere os seguintes fatores ao determinar se o projeto é adequado para seu ambiente:
Topologia de ambiente: há suporte para várias locações e estruturas complicadas de grupos de gerenciamento. Considere como você deseja estruturar sua política como implantações de código para se ajustar à topologia, para que várias equipes possam gerenciar políticas e testar novas implantações de políticas.
Permissões: considere como você gerencia as permissões para a implantação, especialmente para funções e identidades. O EPAC fornece vários estágios para implantar as políticas e atribuições de função, para que identidades separadas possam ser usadas.
Implantações de políticas existentes: em um cenário brownfield, você pode ter políticas existentes que devem permanecer em vigor enquanto o EPAC é implantado. Você pode usar a estratégia de estado desejada para garantir que o EPAC gerencie apenas as políticas definidas e preserve as políticas existentes.
Metodologia de implantação: o EPAC dá suporte ao Azure DevOps, às Ações do GitHub e a um módulo do PowerShell para ajudar a implantar políticas. Você pode usar os pipelines de amostra no kit inicial EPAC e adaptá-los ao seu ambiente e requisitos.
Siga o guia de início rápido para exportar objetos de política em seu ambiente e familiarize-se com a forma como o EPAC gerencia a Política do Azure.
Para problemas com o código ou a documentação, envie um problema no repositório GitHub.
Substitua as soluções de implantação de políticas existentes
O EPAC substitui os recursos de implantação de política dos aceleradores de zona de aterrissagem do Azure. Quando você usa esses aceleradores, não deve usá-los para implantar a Política do Azure porque o EPAC é a fonte da verdade para a política no ambiente.
Para obter mais informações, consulte os seguintes recursos para gerenciamento de políticas com os aceleradores de zona de aterrissagem do Bicep e do Terraform Azure:
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários