Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come gestire Criteri di Azure su larga scala usando l'infrastruttura come codice (IaC). La governance basata su criteri è un principio di progettazione per le zone di destinazione di Azure. Consente di garantire che le applicazioni distribuite siano conformi alla piattaforma dell'organizzazione. Può richiedere notevoli sforzi per gestire e testare gli oggetti delle politiche in un ambiente per garantire che la conformità sia rispettata. Gli acceleratori di zona di destinazione di Azure consentono di stabilire una baseline sicura, ma l'organizzazione potrebbe avere ulteriori requisiti di conformità che è necessario soddisfare distribuendo altri criteri.
Che cos'è Enterprise Policy as Code (EPAC)?
EPAC è un progetto open source che è possibile usare per integrare IaC e gestire Criteri di Azure. EPAC è basato su un modulo di PowerShell e pubblicato in PowerShell Gallery. È possibile usare le funzionalità di questo progetto per:
Creare distribuzioni di criteri con stato. Gli oggetti definiti nel codice diventano il riferimento principale per i criteri distribuiti su Azure.
Implementare scenari complessi di gestione delle politiche, come le distribuzioni multitenant e cloud sovrano.
Esportare e integrare criteri per incorporare i criteri personalizzati esistenti sviluppati prima della distribuzione della zona di destinazione di Azure.
Creare e gestire le esenzioni dei criteri e la documentazione dei criteri.
Usare flussi di lavoro di esempio per illustrare le distribuzioni di Criteri di Azure con GitHub Actions o Azure Pipelines.
Esportare report di non conformità e creare attività di correzione.
Motivi per l'uso di EPAC
È possibile usare EPAC per distribuire e gestire i criteri delle zone di destinazione di Azure. È consigliabile prendere in considerazione l'implementazione di EPAC per gestire i criteri se:
Le politiche non gestite sono presenti in un ambiente brownfield esistente che si intende distribuire in una nuova zona di atterraggio di Azure. Esportare i criteri esistenti e gestirli con EPAC insieme agli oggetti criteri della zona di destinazione di Azure.
** È disponibile una distribuzione di Azure che non è completamente allineata a una zona di atterraggio di Azure, ad esempio più strutture di gruppi di gestione per scopi di test o una struttura del gruppo di gestione non convenzionale. La struttura di assegnazione predefinita che altri metodi di distribuzione della zona di atterraggio di Azure forniscono potrebbe non adattarsi alla tua strategia.
Si dispone di un team che non è responsabile della distribuzione dell'infrastruttura, ad esempio un team di sicurezza che potrebbe voler distribuire e gestire i criteri.
Sono necessarie funzionalità dei criteri che non sono disponibili nelle distribuzioni dell'acceleratore di zona di destinazione di Azure, ad esempio esenzioni dei criteri e documentazione.
Get started
Il repository GitHub EPAC fornisce passaggi dettagliati per iniziare a gestire Criteri di Azure. Quando si determina se il progetto è adatto all'ambiente, tenere presenti i fattori seguenti:
Topologia dell'ambiente: sono supportate più tenanze e strutture complesse del gruppo di gestione. Si consideri come si vuole strutturare i criteri come distribuzioni di codice in base alla topologia, in modo che più team possano gestire i criteri e testare le nuove distribuzioni di criteri.
Autorizzazioni: valutare come gestire le autorizzazioni per la distribuzione, in particolare per ruoli e identità. EPAC offre più fasi per distribuire sia i criteri che le assegnazioni di ruolo, in modo da poter usare identità separate.
Implementazioni di policy esistenti: in uno scenario brownfield, è possibile che siano presenti policy esistenti che devono rimanere in vigore durante la distribuzione di EPAC. È possibile usare la strategia di stato desiderata per garantire che EPAC gestisca solo i criteri definiti e mantenga i criteri esistenti.
Metodologia di distribuzione: EPAC supporta Azure DevOps, GitHub Actions e un modulo di PowerShell per facilitare la distribuzione dei criteri. È possibile usare le pipeline di esempio nello starter kit EPAC e adattarle all'ambiente e ai requisiti.
Seguire la guida introduttiva per esportare gli oggetti criteri nell'ambiente e fare pratica con il modo in cui EPAC gestisce Azure Policy.
Per problemi relativi al codice o alla documentazione, inviare un problema nel repository GitHub.
Sostituire le soluzioni di distribuzione delle policy esistenti
EPAC sostituisce le funzionalità di distribuzione dei criteri degli acceleratori di zona di destinazione di Azure. Quando si usano questi acceleratori, non dovresti utilizzarli per distribuire le Policy di Azure perché EPAC è l'origine della verità per le policy nell'ambiente.
Per ulteriori informazioni, consultare le seguenti risorse sulla gestione delle policy con gli acceleratori delle zone di atterraggio di Azure per Bicep e Terraform.