다음을 통해 공유

고급 Azure Policy 관리

  • 아티클

이 문서에서는 IaC(Infrastructure as Code)를 사용하여 대규모로 Azure Policy를 관리하는 방법을 설명합니다. 정책 기반 거버넌스는 Azure 랜딩 존의 디자인 원칙입니다. 배포하는 애플리케이션이 조직의 플랫폼을 준수하는지 확인하는 데 도움이 됩니다. 규정 준수가 충족되는지 확인하기 위해 환경 전체에서 정책 개체를 관리하고 테스트하는 데 상당한 노력이 걸릴 수 있습니다. Azure 랜딩 존 가속기는 보안 기준을 설정하는 데 도움이 되지만 조직에는 다른 정책을 배포하여 충족해야 하는 추가 규정 준수 요구 사항이 있을 수 있습니다.

EPAC(Enterprise Policy as Code)란?

EPAC 는 IaC를 통합하고 Azure Policy를 관리하는 데 사용할 수 있는 오픈 소스 프로젝트입니다. EPAC는 PowerShell 모듈을 기반으로 하며 PowerShell 갤러리 게시됩니다. 이 프로젝트의 기능을 사용하여 다음을 수행할 수 있습니다.

  • 상태 저장 정책 배포를 만듭니다. 코드에 정의된 개체는 Azure에 배포된 정책 개체의 소스가 됩니다.

  • 다중 테넌트 및 소버린 클라우드 배포와 같은 복잡한 정책 관리 시나리오를 구현합니다.

  • 정책을 내보내고 통합하여 Azure 랜딩 존 배포 전에 개발된 기존 사용자 지정 정책을 통합합니다.

  • 정책 예외 및 정책 설명서를 만들고 관리합니다.

  • 샘플 워크플로를 사용하여 GitHub Actions 또는 Azure Pipelines를 사용하여 Azure Policy 배포를 보여 줍니다.

  • 비준수 보고서를 내보내고 수정 작업을 만듭니다.

EPAC를 사용하는 이유

EPAC를 사용하여 Azure 랜딩 존 정책을 배포하고 관리할 수 있습니다. 다음과 같은 경우 정책을 관리하기 위해 EPAC를 구현하는 것이 좋습니다.

  • 새 Azure 랜딩 존 환경에 배포하려는 기존 브라운필드 환경에서 관리되지 않는 정책이 있습니다. 기존 정책을 내보내고 AZURE 랜딩 존 정책 개체와 함께 EPAC를 사용하여 관리합니다.

  • Azure 랜딩 존(예: 테스트용 여러 관리 그룹 구조 또는 비전통적인 관리 그룹 구조)에 완전히 맞지 않는 Azure 배포가 있습니다. 다른 Azure 랜딩 존 배포 방법이 제공하는 기본 할당 구조가 전략에 맞지 않을 수 있습니다.

  • 인프라 배포를 담당하지 않는 팀(예: 정책을 배포하고 관리하려는 보안 팀)이 있습니다.

  • Azure 랜딩 존 가속기 배포에서 사용할 수 없는 정책의 기능(예: 정책 예외 및 설명서)이 필요합니다.

시작하기

EPAC GitHub 리포지토리는 Azure Policy 관리를 시작하는 자세한 단계를 제공합니다. 프로젝트가 사용자 환경에 적합한지 여부를 결정할 때 다음 요소를 고려합니다.

  • 환경 토폴로지: 여러 테넌트와 복잡한 관리 그룹 구조가 지원됩니다. 여러 팀이 정책을 관리하고 새 정책 배포를 테스트할 수 있도록 토폴로지에 맞게 정책을 코드 배포로 구성하는 방법을 고려합니다.

  • 사용 권한: 특히 역할 및 ID에 대한 배포에 대한 사용 권한을 관리하는 방법을 고려합니다. EPAC는 정책과 역할 할당을 모두 배포하는 여러 단계를 제공하므로 별도의 ID를 사용할 수 있습니다.

  • 기존 정책 배포: 브라운필드 시나리오에서는 EPAC가 배포되는 동안 기본 기존 정책이 있을 수 있습니다. 원하는 상태 전략을 사용하여 EPAC가 정의된 정책만 관리하고 기존 정책을 유지하도록 할 수 있습니다.

  • 배포 방법: EPAC는 정책을 배포하는 데 도움이 되는 Azure DevOps, GitHub Actions 및 PowerShell 모듈을 지원합니다. EPAC 시작 키트에서 샘플 파이프라인을 사용하고 환경 및 요구 사항에 맞게 조정할 수 있습니다.

빠른 시작 가이드따라 사용자 환경에서 정책 개체를 내보내고 EPAC가 Azure Policy를 관리하는 방법을 알아봅니다.

코드 또는 설명서 와 관련된 문제의 경우 GitHub 리포지토리에서 문제를 제출합니다.

기존 정책 배포 솔루션 바꾸기

EPAC는 Azure 랜딩 존 가속기의 정책 배포 기능을 대체합니다. 이러한 액셀러레이터를 사용하는 경우 EPAC가 환경 정책의 원본이므로 Azure Policy를 배포하는 데 사용하면 안 됩니다.

자세한 내용은 Bicep 및 Terraform Azure 랜딩 존 가속기를 사용하여 정책 관리에 대한 다음 리소스를 참조하세요.

다음 단계