Menyebarkan dan mengonfigurasi Sovereign Landing Zone

Anda harus menyelesaikan berbagai langkah prasyarat sebelum menyebarkan dan mengonfigurasi Sovereign Landing Zone (SLZ) menggunakan Bicep. Untuk gambaran umum terperinci tentang SLZ dan semua kemampuannya, lihat dokumentasi Sovereign Landing Zone (Bicep) di GitHub.

Prasyarat

Untuk menyelesaikan penyebaran, Anda perlu melakukan langkah-langkah prasyarat:

• Pastikan lingkungan lokal Anda memiliki versi berikut yang diinstal (atau yang lebih baru):

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bisep 0.20.0

• Pastikan Anda memiliki akses ke Microsoft Entra identitas ID dengan izin berikut di Azure:

  • Membuat (atau menggunakan langganan yang sudah ada)
  • Pemilik langganan
  • Membuat perwakilan layanan
  • Buat definisi dan penetapan kumpulan kebijakan.

Langkah-langkah untuk menyebarkan Sovereign Landing Zone

1. Lihat salinan lokal Zona Pendaratan Berdaulat.

2. Validasi apakah prasyarat terpenuhi untuk lingkungan runtime lokal Anda dan izin Azure dengan menjalankan skrip Confirm-SovereignLandingZonePrerequisites.ps1.

3. Perbarui file parameter dengan parameter yang diperlukan di salinan lokal repositori SLZ Anda. Anda dapat membuat penyebaran SLZ dengan parameter minimal berikut:

   • Nama unik dan dapat dibaca manusia untuk SLZ
   • Lokasi dan lokasi yang disetujui untuk penyebaran
   • Informasi penagihan untuk langganan yang baru dibuat atau yang sudah ada

4. (Opsional) Tambahkan definisi kebijakan kustom sesuai kebutuhan untuk kepatuhan.

5. Jalankan semua langkah dalam New-SovereignLandingZone.ps1 skrip penyebaran. Proses penyebaran awal dapat memakan waktu lebih dari satu jam.

6. Verifikasi penyebaran selesai dengan memeriksa tautkan output dasbor kepatuhan yang ditampilkan di akhir penyebaran.

Mengonfigurasi inisiatif kebijakan Dasar Kedaulatan

Anda perlu menggunakan parameter konfigurasi SLZ berikut untuk mengonfigurasi inisiatif kebijakan Garis Dasar Kedaulatan:

• parAllowedLocations: Gunakan parameter ini untuk mengonfigurasi kebijakan pembatasan lokasi untuk semua sumber daya yang disebarkan oleh SLZ di luar cakupan grup manajemen rahasia.

• parAllowedLocationsForConfidentialComputing: Gunakan parameter ini untuk mengonfigurasi kebijakan pembatasan lokasi untuk sumber daya yang disebarkan dalam cakupan grup manajemen rahasia. Parameter ini dapat sama dengan parameter parAllowedLocations tetapi mungkin harus berbeda jika Azure Komputasi Rahasia tidak tersedia di wilayah pilihan.

• parPolicyEffect: Parameter ini beralih antara garis besar yang memiliki efek penolakan, yang direkomendasikan untuk beban kerja produksi, atau efek audit.

Menggunakan portofolio kebijakan atau kebijakan ALZ

Setiap inisiatif pratinjau dalam portofolio kebijakan harus memiliki definisinya yang disebarkan sebelum digunakan dalam penyebaran SLZ. Tinjau artikel tentang portofolio kebijakan untuk detail penyebaran definisi ini. Anda dapat menggunakan langkah-langkah ini untuk menyebarkan definisi ke zona pendaratan yang ada.

Gunakan parameter konfigurasi berikut untuk mengonfigurasi inisiatif kebijakan ini:

• parCustomerPolicySets: Parameter ini membantu Anda menentukan daftar definisi kumpulan kebijakan untuk ditetapkan pada cakupan grup manajemen tingkat atas untuk penyebaran SLZ.

• parDeployAlzDefaultPolicies: Parameter ini memungkinkan kebijakan ALZ untuk disebarkan pada cakupan yang relevan dalam penyebaran SLZ.

Anda harus menyelesaikan berbagai langkah prasyarat sebelum menerapkan dan mengonfigurasi Sovereign Landing Zone (SLZ) menggunakan Terraform. Untuk gambaran umum terperinci tentang SLZ dan semua kemampuannya, lihat dokumentasi Sovereign Landing Zone (Terraform) di GitHub.

Prasyarat

Untuk menyelesaikan penyebaran, Anda perlu melakukan langkah-langkah prasyarat:

• Pastikan lingkungan lokal Anda memiliki versi berikut yang diinstal (atau yang lebih baru):

  • Terraform v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Pastikan Anda memiliki akses ke Microsoft Entra identitas ID dengan izin berikut di Azure:

  • Membuat (atau menggunakan langganan yang sudah ada)
  • Pemilik langganan
  • Membuat perwakilan layanan
  • Buat definisi dan penetapan kumpulan kebijakan.

Langkah-langkah untuk menyebarkan Sovereign Landing Zone

1. Unduh salinan inputs.yaml untuk mengonfigurasi penyebaran Anda. Anda dapat membuat penyebaran SLZ dengan parameter minimal berikut:

   • Nama unik dan dapat dibaca manusia untuk SLZ
   • Lokasi dan lokasi yang disetujui untuk penyebaran
   • Informasi penagihan untuk langganan yang baru dibuat atau yang sudah ada

2. (Opsional) Tambahkan definisi kebijakan kustom sesuai kebutuhan untuk kepatuhan.

3. Jalankan perintah deploy accelerator PowerShell untuk memeriksa salinan lokal Sovereign Landing Zone (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Jalankan terraform apply perintah. Proses penyebaran awal dapat memakan waktu lebih dari satu jam.

5. Verifikasi apakah penyebaran selesai dengan memeriksa tautkan output dasbor kepatuhan yang ditampilkan di akhir penyebaran.

Mengonfigurasi inisiatif kebijakan Dasar Kedaulatan

Anda perlu menggunakan parameter konfigurasi SLZ berikut untuk mengonfigurasi inisiatif kebijakan Garis Dasar Kedaulatan:

• allowed_locations: Gunakan parameter ini untuk mengonfigurasi kebijakan pembatasan lokasi untuk semua sumber daya yang disebarkan oleh SLZ di luar cakupan grup manajemen rahasia.

• allowed_locations_for_confidential_computing: Gunakan parameter ini untuk mengonfigurasi kebijakan pembatasan lokasi untuk sumber daya yang disebarkan dalam cakupan grup manajemen rahasia. Parameter ini dapat sama dengan parameter allowed_locations tetapi mungkin harus berbeda jika Azure Confidential Computing tidak tersedia di wilayah pilihan.

• policy_effect: Parameter ini beralih antara garis besar yang memiliki efek penolakan, yang direkomendasikan untuk beban kerja produksi, atau efek audit.

Menggunakan portofolio kebijakan atau kebijakan ALZ

Setiap inisiatif pratinjau dalam portofolio kebijakan harus memiliki definisinya yang disebarkan sebelum digunakan dalam penyebaran SLZ. Tinjau artikel tentang portofolio kebijakan untuk detail tentang menyebarkan definisi ini. Anda dapat menggunakan langkah-langkah ini untuk menyebarkan definisi ke zona pendaratan yang ada.

Gunakan parameter konfigurasi berikut untuk mengonfigurasi inisiatif kebijakan ini:

• customer_policy_sets: Parameter ini membantu Anda menentukan daftar definisi kumpulan kebijakan untuk ditetapkan pada cakupan grup manajemen tingkat atas untuk penyebaran SLZ.

• apply_alz_archetypes_via_architecture_definition_template: Parameter ini memungkinkan kebijakan ALZ untuk diterapkan pada cakupan yang relevan dalam penyebaran SLZ.