Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как управлять политикой Azure в масштабе с помощью инфраструктуры в качестве кода (IaC). Управление на основе политик — это принцип проектирования для целевых зон Azure. Это помогает убедиться, что развернутые приложения соответствуют платформе вашей организации. Для управления и тестирования объектов политики в среде может потребоваться значительное количество усилий, чтобы обеспечить соответствие требованиям. Акселераторы целевой зоны Azure помогают установить безопасные базовые показатели, но в вашей организации могут быть дополнительные требования к соответствию требованиям, которые необходимо выполнить путем развертывания других политик.
Что такое корпоративная политика в виде кода (EPAC)?
EPAC — это проект с открытым исходным кодом, который можно использовать для интеграции IaC и управления политикой Azure. EPAC основан на модуле PowerShell и публикуется в коллекции PowerShell. Функции этого проекта можно использовать следующим образом:
Создавайте состояния для политики развертывания. Объекты, определенные в коде, становятся источником истины для объектов политики, развернутых в Azure.
Реализуйте сложные сценарии управления политиками, такие как мультитенантные и независимые облачные развертывания.
Экспортируйте и интегрируйте политики, чтобы включить существующие настраиваемые политики, разработанные до развертывания посадочной зоны Azure.
Создание и управление исключениями политик и документацией по политике.
Используйте примеры рабочих процессов для демонстрации развертываний политики Azure с помощью GitHub Actions или Azure Pipelines.
Экспорт отчетов о несоответствии и создание задач исправления.
Причины использования EPAC
С помощью EPAC можно развертывать политики целевой зоны Azure и управлять ими. Вам может потребоваться реализовать EPAC для управления политиками, если:
У вас есть неуправляемые политики в существующей среде с устаревшими системами, которую вы хотите развернуть в новой посадочной зоне Azure. Экспортируйте существующие политики и управляйте ими с помощью EPAC вместе с объектами политики целевой зоны Azure.
У вас есть развертывание Azure, которое не полностью соответствует целевой зоне Azure, например несколько структур групп управления для тестирования или неконвенентной структуры группы управления. Структура назначения по умолчанию, которую предоставляют другие методы развертывания целевой зоны Azure, могут не соответствовать вашей стратегии.
У вас есть команда, которая не отвечает за развертывание инфраструктуры, например команда безопасности, которая может хотеть развертывать и управлять политиками.
Вам требуются функции политик, которые недоступны в развертываниях акселератора начальной зоны Azure, например освобождения от политик и документация.
Начало работы
Репозиторий GitHub EPAC содержит подробные инструкции по управлению политикой Azure. При определении того, подходит ли проект для вашей среды, следует учитывать следующие факторы:
Топология среды: поддерживаются несколько арендаторов и сложные структуры групп управления. Рассмотрите, как вы хотите структурировать развертывание политики как кода для соответствия топологии системы, чтобы несколько команд могли управлять ими и тестировать новые развертывания политик.
Разрешения. Рассмотрим, как управлять разрешениями для развертывания, особенно для ролей и удостоверений. EPAC предоставляет несколько этапов развертывания как политик, так и назначений ролей, поэтому можно использовать отдельные идентификации.
Существующие развертывания политик. В сценарии браунфилда могут быть существующие политики, которые должны оставаться на месте при развертывании EPAC. Вы можете использовать стратегию заданного состояния, чтобы гарантировать, что EPAC управляет только заданными политиками и сохраняет существующие политики.
Методология развертывания: EPAC поддерживает Azure DevOps, GitHub Actions и модуль PowerShell для развертывания политик. Примеры конвейеров можно использовать в начальном комплекте EPAC и адаптировать их к вашей среде и требованиям.
Следуйте краткому руководству по экспорту объектов политики в вашей среде и ознакомьтесь с тем, как EPAC управляет политикой Azure.
Для проблем с кодом или документацией отправьте проблему в репозитории GitHub.
Замена существующих решений развертывания политик
EPAC заменяет возможности развертывания политики акселераторов целевой зоны Azure. При использовании этих акселераторов их не следует использовать для развертывания политики Azure, так как EPAC является источником истины для политики в среде.
Дополнительные сведения см. в следующих ресурсах для управления политиками с помощью ускорителей зоны посадки Bicep и Terraform на платформе Azure.