Déployer et configurer une zone d’atterrissage souveraine

Vous devez effectuer diverses étapes préalables avant de déployer et de configurer la zone d’atterrissage souveraine (SLZ) à l’aide de Bicep. Pour un aperçu détaillé d’une SLZ et de toutes ses capacités, consultez la documentation Sovereign Landing Zone (Bicep) sur GitHub.

Prérequis

Pour terminer le déploiement, vous devez effectuer les étapes préalables :

• Assurez-vous que les versions suivantes (ou plus récentes) sont installées dans votre environnement local :

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Assurez-vous d’avoir accès à une identité ID avec les autorisations suivantes dans Azure : Microsoft Entra

  • Créer (ou utiliser des abonnements existants)
  • Propriétaire des abonnements
  • Créer des principaux de service
  • Créer des définitions et des attributions d’ensembles de stratégies

Étapes pour déployer la zone d’atterrissage souveraine

1. Découvrez une copie locale de la Sovereign Landing Zone.

2. Vérifiez si les conditions préalables sont remplies pour vos autorisations d’exécution locales compte courant et Azure en exécutant le script Confirm-SovereignLandingZonePreRequirements.ps1.

3. Mettez à jour le fichier de paramètres avec les paramètres requis dans votre copie locale du référentiel SLZ. Vous pouvez créer un déploiement SLZ avec les paramètres minimaux suivants :

   • Nom de l’erreur unique, lisible par un humain pour la SLZ
   • Emplacement et emplacement approuvé pour le déploiement
   • Informations de facturation pour les abonnements nouvellement créés ou existants

4. (Facultatif) Ajoutez des définitions de stratégie personnalisées selon les besoins de conformité.

5. Exécutez toutes les étapes du New-SovereignLandingZone.ps1 script de déploiement. Le processus de déploiement initial peut prendre plus d’une heure.

6. Vérifiez le déploiement terminé en cliquant sur compte courant à partir du lien de sortie du tableau de bord de conformité affiché à la fin du déploiement.

Configurer les initiatives de référence de stratégie de souveraineté

Vous devez utiliser les paramètres de configuration SLZ suivants pour configurer les initiatives de référence de stratégie de souveraineté :

• parAllowedLocations : utilisez ce paramètre pour configurer les stratégies de restriction d’emplacement pour toutes les ressources déployées par le SLZ en dehors des étendues du groupe de gestion confidentiel.

• parAllowedLocationsForConfidentialComputing : utilisez ce paramètre pour configurer les stratégies de restriction d’emplacement pour les ressources déployées dans les étendues du groupe de gestion confidentiel. Ce paramètre peut être identique au paramètre parAllowedLocations mais peut devoir être différent si Azure Confidential Computing n’est pas disponible dans la région favorite.

• parPolicyEffect : ce paramètre bascule entre la ligne de base ayant un effet de refus, ce qui est recommandé pour les charges de travail de production, ou un effet d’audit.

Utiliser le portefeuille de stratégies ou les stratégies SLZ

Toute initiative version préliminaire au sein du portefeuille de politiques doit avoir sa définition déployée avant d’être utilisée dans un déploiement SLZ. Consultez l’article sur le portefeuille de politiques pour plus de détails sur le déploiement de ces définitions. Vous pouvez utiliser ces étapes pour déployer les définitions dans n’importe quelle zone d’atterrissage existante.

Utilisez les paramètres de configuration suivants pour configurer ces initiatives de stratégie :

• parCustomerPolicySets : ce paramètre vous aide à spécifier une liste de définitions d’ensemble de stratégies à attribuer au niveau du groupe de gestion de niveau supérieur pour un déploiement SLZ.

• parDeployAlzDefaultPolicies : ce paramètre permet de déployer les stratégies ALZ à des niveaux pertinents au sein d’un déploiement SLZ.

Vous devez effectuer diverses étapes préalables avant de déployer et de configurer la zone d’atterrissage souveraine (SLZ) à l’aide de Terraform. Pour un aperçu détaillé d’une SLZ et de toutes ses capacités, consultez la documentation Sovereign Landing Zone (Terraform) sur GitHub.

Prérequis

Pour terminer le déploiement, vous devez effectuer les étapes préalables :

• Assurez-vous que les versions suivantes (ou plus récentes) sont installées dans votre environnement local :

  • Terraform v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Assurez-vous d’avoir accès à une identité ID avec les autorisations suivantes dans Azure : Microsoft Entra

  • Créer (ou utiliser des abonnements existants)
  • Propriétaire des abonnements
  • Créer des principaux de service
  • Créer des définitions et des attributions d’ensembles de stratégies

Étapes pour déployer la zone d’atterrissage souveraine

1. Téléchargez une copie du fichier inputs.yaml pour configurer votre déploiement. Vous pouvez créer un déploiement SLZ avec les paramètres minimaux suivants :

   • Nom de l’erreur unique, lisible par un humain pour la SLZ
   • Emplacement et emplacement approuvé pour le déploiement
   • Informations de facturation pour les abonnements nouvellement créés ou existants

2. (Facultatif) Ajoutez des définitions de stratégie personnalisées selon les besoins de conformité.

3. Exécutez la commande d’accélérateur de déploiement PowerShell pour extraire une copie locale de la Zone d’atterrissage souveraine (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Exécutez la commande terraform apply . Le processus de déploiement initial peut prendre plus d’une heure.

5. Vérifiez si le déploiement est terminé en cliquant sur le lien de sortie du tableau de bord de conformité affiché à la fin du déploiement.

Configurer les initiatives de référence de stratégie de souveraineté

Vous devez utiliser les paramètres de configuration SLZ suivants pour configurer les initiatives de référence de stratégie de souveraineté :

• authorized_locations : utilisez ce paramètre pour configurer les stratégies de restriction d’emplacement pour toutes les ressources déployées par le SLZ en dehors des étendues du groupe de gestion confidentiel.

• authorized_locations_for_confidential_computing : utilisez ce paramètre pour configurer les stratégies de restriction d’emplacement pour les ressources déployées dans les étendues du groupe de gestion confidentiel. Ce paramètre peut être le même que le paramètre allowed_locations mais peut devoir être différent si Azure Confidential Computing n’est pas disponible dans la région préférée.

• policy_effect : ce paramètre bascule entre la ligne de base ayant un effet de refus, ce qui est recommandé pour les charges de travail de production, ou un effet d’audit.

Utiliser le portefeuille de stratégies ou les stratégies SLZ

Toute initiative version préliminaire au sein du portefeuille de politiques doit avoir sa définition déployée avant d’être utilisée dans un déploiement SLZ. Consultez l’article sur le portefeuille de stratégies pour plus de détails sur le déploiement de ces définitions. Vous pouvez utiliser ces étapes pour déployer les définitions dans n’importe quelle zone d’atterrissage existante.

Utilisez les paramètres de configuration suivants pour configurer ces initiatives de stratégie :

• customer_policy_sets : ce paramètre vous aide à spécifier une liste de définitions d’ensemble de stratégies à attribuer au niveau du groupe de gestion de niveau supérieur pour un déploiement SLZ.

• apply_alz_archetypes_via_architecture_definition_template : ce paramètre permet de déployer les politiques ALZ à des échelles pertinentes au sein d’un déploiement SLZ.