摘要

• 2 分鐘

當您從程式碼部署「所有」基礎結構，並使用管線將部署流程自動化時，將您的基礎結構定義為程式碼可讓您受益最大。

在本課程模組中，您已了解如何規劃環境，讓您能夠以策略方式將控制項鎖定在其具有最大影響的位置。 然後，因為部署管線和程式碼非常重要，所以您已了解如何將控制項套用至管線和存放庫。 最後，您已了解如何設定 Azure 環境，以確保使用您核准的流程來部署所有變更，同時仍然允許緊急存取。

本課程模組的目的是要提高您對 Azure 部署的信賴度及其安全性。 本課程模組已協助您確保變更遵循一致的流程、進行稽核和記錄，而且只能由授權的使用者執行。

更多資源

• 深入瞭解平台自動化的考量因素。
• 若要深入了解部署程序的治理，請參閱：
  • 使用 CI/CD 時，Azure 中的端對端治理
  • 適用於 Azure 的雲端採用架構中的 DevOps 考量因素。
• 深入了解 Azure 登陸區域。
• 如需使用 Bicep 部署 Azure 資源的指引，請參閱：
  • 使用 Bicep 建立 Azure RBAC 資源
  • 使用 Bicep 管理祕密
  • 使用 Bicep 建立虛擬網路資源

保護您的存放庫和管線

若要深入了解如何保護和強化您的 Azure DevOps 和 GitHub 環境，請檢閱下列資源：

• 管理使用者、群組和權限：
  • 條件式存取
  • 多重要素驗證
  • Microsoft Entra SSO 與 GitHub Enterprise Cloud 組織整合
• 保護重要的程式碼分支：
  • Azure Repos 分支原則
  • GitHub 中受保護的分支
• 保護管線的服務主體：
  • 受控識別
  • 工作負載身分識別同盟
  • GitHub Actions 工作流程的工作負載身分識別同盟
  • Azure DevOps 安全性
• 使用 Azure DevOps 中的稽核記錄
• 保護 Azure Pipelines
• 使用協力廠商動作
• 使用 GitHub 安全性功能：
  • 針對 GitHub Actions 強化的安全性
  • Dependabot
  • 祕密掃描
  • GitHub 安全性概觀

保護您的 Azure 環境

Azure 安全性和治理包含許多元素。 下列連結提供本課程模組所簡介主題的詳細資訊：

• Microsoft Entra ID 中的緊急帳戶
• Microsoft Entra Privileged Identity Management
  • 什麼是 Privileged Identity Management，以及為何要加以使用? (部落格)
  • Privileged Identity Management 文件
• Microsoft Sentinel