主權登陸區域概觀
主權登陸區域 (SLZ) 是企業規模 Azure 登陸區域的變體,適用於需要進階主權控制的組織。 SLZ 透過 Azure 原生基礎結構即程式碼 (IaC) 和原則即程式碼 (PaC) 功能協助這些組織滿足其法規遵循需求。 使用可設定的登陸區域讓組織可以使用工具,強制資源遵從 Azure 原則中建立的原則來滿足其主權需求。
為什麼使用主權登陸區域?
Azure 中的數據主權可確保數據擁有者對其數據擁有獨佔控制權,其中包括:
為使用者和工作負載授予訪問和處理數據的許可權。
批准工作負載部署的區域。
實施技術控制措施,保護防止未經授權的數據訪問,包括雲和託管服務提供者運營商的明確訪問。
主權登陸區域是 Azure 登陸區域 (ALZ) 的 變體,這意味著它包括額外的登陸區域管理組和策略分配,有助於滿足公共部門客戶、合作夥伴和獨立軟體變體(ISV) 的主權要求。 SLZ 使用與 ALZ 相同的代碼庫,並帶有額外的編排和部署自動化功能。
SLZ 還提供了一種固執己見的架構,使組織能夠滿足其主權需求,同時通過單個配置檔進行配置,並且完全可以通過單個腳本進行部署。
您的組織可以通過執行以下任務來滿足主權需求:
與 雲採用框架 保持一致以簡化採用。
整合策略組合 提供的技術護欄,包括 Sovereignty Baseline 策略計劃。
使組織有能力滿足其資料主權需求,以啟用原則設定。
簡化 Azure 機密計算服務的使用。
有關如何部署和配置 SLZ 的更多資訊,請參閱 GitHub 上的 Sovereign landing zone 文檔和 定製 Azure landing zone 體系結構以滿足要求。
我應該使用 Bicep 還是 Terraform 部署 Sovereign 登陸區域?
主權登陸區域 (SLZ) 的基於 Bicep 的部署已正式發佈,它是 Azure 登陸區域 (ALZ) Bicep 儲存庫 的變體。 GitHub 上提供了 SLZ 的 Bicep 實現 。
SLZ 基於 Terraform 的部署正在進行公開預覽版,並且基於 Azure 驗證模組。 GitHub 上提供了 SLZ 的 Terraform 實現 。
在正式發佈之前,基於 Terraform 的 SLZ 部署可能不如基於 Bicep 的版本那樣功能完整。 但是,組織可以使用最適合其技能集的部署語言。
何時使用主權登陸區域,而不使用 Azure 登陸區域?
一個與 SLZ 相關的常見問題是,組織何時應使用一個登陸區域而不是另一個登陸區域。 ALZ 和 SLZ 團隊都建議下列指引:
優先考慮下列事項時使用 ALZ:
對於各行各業的大多數客戶來說,這是可以構建的默認選項。
整個環境的詳細配置和自定義選項。
多個 部署選項 ,例如通過 Portal。
優先考慮下列事項時使用 SLZ:
公共部門客戶的數字主權。
通過策略和 Azure 機密計算簡化數據治理。
通過 特定於區域的策略計劃簡化部署。