主权登陆区域概述
主权登陆区域 (SLZ) 是企业规模的 Azure 登陆区域的变体,适用于需要高级主权控制的组织。 SLZ 通过 Azure 原生基础结构即代码 (IaC) 和策略即代码 (PaC) 功能帮助这些组织满足法规合规要求。 使用可配置的登陆区域,组织可以使用工具来强制资源符合 Azure Policy 定义的策略,从而满足主权需求。
为何使用主权登陆区域?
只有当负责人具有对数据的独占控制权时,数据才能保留主权。 在 Azure 中,独占控制意味着:
成为唯一可以授予用户和工作负荷访问和处理数据所需权限的实体。
批准工作负荷可以部署到的区域。
各级都需要采取技术控制来防止未经授权的数据访问。 因此,向云提供商和托管服务提供商的操作员授予访问权限也应该是明确的。
SLZ 提供一种固定不变的体系结构,让组织能够满足主权需求,同时通过特殊的配置文件进行配置,并可以通过特殊脚本进行完全部署。 这些主权需求通过以下结合来满足:
与云采用框架保持一致以简化采用。
纳入策略组合提供的技术防护,包括主权基准策略计划。
启用策略配置以允许组织自定义数据主权需求。
简化 Azure 机密计算服务的使用。
有关如何部署和配置 SLZ 的更多信息,请参阅 GitHub 上的主权登陆区域文档。
何时使用主权登陆区域而不是 Azure 登陆区域?
主权登陆区域 (SLZ) 是 Azure 登陆区域的一个变体,这意味着它包括额外的登陆区域管理组和策略分配。 有关更多信息,请参阅指南定制 Azure 登陆区域体系结构以满足要求。
SLZ 使用与 ALZ Bicep 相同的代码库,并附带:
- 额外的编排和部署自动化功能
- 针对数据主权和机密计算要求的固定不变的登陆区域设计
- 额外的 Azure Policy 计划和策略分配,帮助满足公共部门客户、合作伙伴和 ISV 的主权要求
与 SLZ 相关的一个常见问题是组织应在何时使用一个登陆区域,而不是另一个。 ALZ 和 SLZ 团队均建议按照以下指导操作:
当您优先考虑以下事项时使用 ALZ:
- 可以据其构建的适用于不同行业的大多数客户的默认选项
- 整个环境的详细配置和自定义选项
- 包括 Portal、Bicep 和 Terraform 在内的多个部署选项
当您优先考虑以下事项时使用 SLZ:
- 关注数字主权要求的公共部门客户
- 通过策略和 Azure 机密计算实施的简化的数据治理能力
- 使用区域特定的策略计划时的简化部署体验
- 部署促进主权迁移工作的工作负荷模板