主權登陸區域概觀
主權登陸區域 (SLZ) 是企業規模 Azure 登陸區域的變體,適用於需要進階主權控制的組織。 SLZ 透過 Azure 原生基礎結構即程式碼 (IaC) 和原則即程式碼 (PaC) 功能協助這些組織滿足其法規遵循需求。 使用可設定的登陸區域,讓組織有工具可以強制資源依從 Azure 原則定義的原則來滿足其主權需求。
為什麼使用主權登陸區域?
只有在擁有者對資料有獨佔控制權時,資料才能保持主權。 在 Azure 中,獨佔控制權意味著:
做為唯一可以授與使用者及工作負載存取和處理資料所需權限的實體。
核准可將工作負載部署到的區域。
用於防範未經授權之資料存取的技術控制措施,在所有層級都有其必要。 因此,授與雲端提供者及受控服務提供者營運商的存取權限也必須明確。
SLZ 提供有主張的架構,可讓組織滿足其主權需求,同時透過單一設定檔進行設定,並可完全透過單一指令碼進行部署。 這些主權需求可結合下列做法來滿足:
配合雲端採用架構進行調整以簡化採用程序。
加入原則組合提供的技術護欄,包括主權基準原則。
啟用原則設定以允許組織自訂其資料主權需求。
簡化 Azure 機密計算服務的使用。
如需有關如何部署和設定 SLZ 的詳細資訊,請參閱 GitHub 上的主權登陸區域文件。
何時使用主權登陸區域,而不使用 Azure 登陸區域?
主權登陸區域 (SLZ) 是 Azure 登陸區域 (ALZ) Bicep 存放庫的變體,意味著其中包含其他登陸區域管理群組和原則指派。 如需詳細資訊,請參閱自訂 Azure 登陸區域架構以滿足需求指引。
SLZ 使用與 ALZ Bicep 同樣的程式碼基底,並隨附:
- 其他協調流程和部署自動化功能
- 對資料主權和機密計算需求有主張的登陸區域設計
- 其他 Azure 原則計劃和原則指派,有助於滿足公共部門客戶、合作夥伴和 ISV 的主權需求
一個與 SLZ 相關的常見問題是,組織何時應使用一個登陸區域而不是另一個登陸區域。 ALZ 和 SLZ 團隊都建議下列指引:
優先考慮下列事項時使用 ALZ:
- 可據以為各行各業大多數客戶進行建置的預設選項
- 整個環境的詳細設定和自訂選項
- 多個部署選項,包括 Portal、Bicep 和 Terraform
優先考慮下列事項時使用 SLZ:
- 注重數位主權需求的公共部門客戶
- 透過原則和 Azure 機密計算所強制的精簡資料治理功能
- 使用區域特定原則計劃時的簡化部署體驗
- 部署工作負載範本以促進主權移轉工作