Avancerad Azure Policy-hantering
Den här artikeln beskriver hur du hanterar Azure Policy i stor skala med hjälp av infrastruktur som kod (IaC). Principdriven styrning är en designprincip för Azure-landningszoner. Det hjälper till att säkerställa att de program du distribuerar följer organisationens plattform. Det kan ta lång tid att hantera och testa principobjekt i en miljö för att säkerställa att efterlevnaden uppfylls. Azures acceleratorer för landningszoner hjälper dig att upprätta en säker baslinje, men din organisation kan ha ytterligare efterlevnadskrav som du måste uppfylla genom att distribuera andra principer.
Vad är Enterprise Policy as Code (EPAC)?
EPAC är ett projekt med öppen källkod som du kan använda för att integrera IaC och hantera Azure Policy. EPAC bygger på en PowerShell-modul och publiceras till PowerShell-galleriet. Du kan använda funktionerna i det här projektet för att:
Skapa tillståndskänsliga principdistributioner. De objekt som definieras i koden blir sanningskällan för principobjekt som distribueras i Azure.
Implementera komplexa principhanteringsscenarier, till exempel distributioner med flera klientorganisationer och nationella moln.
Exportera och integrera principer för att införliva befintliga anpassade principer som utvecklades före distributionen av Azure-landningszonen.
Skapa och hantera principundantag och principdokumentation.
Använd exempelarbetsflöden för att demonstrera Azure Policy-distributioner med GitHub Actions eller Azure Pipelines.
Exportera inkompatibilitetsrapporter och skapa reparationsuppgifter.
Orsaker till att använda EPAC
Du kan använda EPAC för att distribuera och hantera principer för Azure-landningszoner. Du kanske vill överväga att implementera EPAC för att hantera principer om:
Du har ohanterade principer i en befintlig brunfältsmiljö som du vill distribuera i en ny Azure-landningszonmiljö. Exportera befintliga principer och hantera dem med EPAC tillsammans med principobjekten i Azure-landningszonen.
Du har en Azure-distribution som inte helt överensstämmer med en Azure-landningszon, till exempel flera hanteringsgruppsstrukturer för testning eller en icke-konventionell hanteringsgruppsstruktur. Den standardtilldelningsstruktur som andra distributionsmetoder för Azure-landningszoner tillhandahåller kanske inte passar din strategi.
Du har ett team som inte ansvarar för infrastrukturdistribution, till exempel ett säkerhetsteam som kanske vill distribuera och hantera principer.
Du behöver funktioner från principer som inte är tillgängliga i distributioner av Azure-landningszonens accelerator, till exempel principundantag och dokumentation.
Kom igång
EPAC GitHub-lagringsplatsen innehåller detaljerade steg för att börja hantera Azure Policy. Tänk på följande faktorer när du avgör om projektet passar bra för din miljö:
Miljötopologi: Flera tenancies och komplicerade hanteringsgruppsstrukturer stöds. Överväg hur du vill strukturera din princip som koddistributioner så att den passar topologin, så att flera team kan hantera principer och testa nya principdistributioner.
Behörigheter: Överväg hur du hanterar behörigheter för distributionen, särskilt för roller och identiteter. EPAC tillhandahåller flera steg för att distribuera både principer och rolltilldelningar, så att separata identiteter kan användas.
Befintliga principdistributioner: I ett scenario med brownfield kan du ha befintliga principer som måste finnas kvar medan EPAC distribueras. Du kan använda önskad tillståndsstrategi för att se till att EPAC endast hanterar de definierade principerna och bevarar befintliga principer.
Distributionsmetodik: EPAC stöder Azure DevOps, GitHub Actions och en PowerShell-modul för att distribuera principer. Du kan använda exempelpipelines i EPAC-startpaketet och anpassa dem efter din miljö och dina krav.
Följ snabbstartsguiden för att exportera principobjekt i din miljö och bekanta dig med hur EPAC hanterar Azure Policy.
Om du har problem med koden eller dokumentationen skickar du ett problem på GitHub-lagringsplatsen.
Ersätta befintliga principdistributionslösningar
EPAC ersätter funktionerna för principdistribution i Azure-landningszonacceleratorerna. När du använder dessa acceleratorer bör du inte använda dem för att distribuera Azure Policy eftersom EPAC är källan till sanning för principen i miljön.
Mer information finns i följande resurser för principhantering med Bicep- och Terraform Azure-acceleratorer för landningszoner:
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för