ソブリン ランディング ゾーンの概要
ソブリン ランディング ゾーン (SLZ) は、高度なソブリン コントロールを必要とする組織向けのエンタープライズ規模の Azure ランディングゾーン の一種です。 SLZ は、Azure ネイティブの コードとしてのインフラ (IaC) および コードとしてのポリシー (PaC) 機能を通じて、これらの組織が規制コンプライアンス要件を満たすのを支援します。 構成可能なランディング ゾーンを使用することで、Azure Policy で作成されたポリシーに準拠するようにリソースを強制することで、主権のニーズに対処するためのツールが組織に提供されます。
なぜソブリン ランディング ゾーンを利用するのか?
データの主権を維持できるのは、所有者がそのデータを排他的に管理しているときだけです。 Azure では、排他的制御とは次のような意味を持ちます:
ユーザーやワークロードがデータにアクセスし、処理するために必要な権限を付与できる唯一のエンティティであること。
ワークロードを展開できるリージョンの承認。
不正なデータアクセスを防ぐ技術的な管理は、あらゆるレベルで必要です。 したがって、クラウドおよびマネージド サービス プロバイダーのオペレーターへのアクセス権の付与も明示的に行う必要があります。
SLZ は、単一の構成ファイルによって構成され、単一のスクリプトによって完全に展開可能でありながら、組織の主権ニーズを満たすことを可能にする意見アーキテクチャを提供します。 これらの主権ニーズは次のように満たされます:
クラウド導入フレームワーク との連携による採用の簡素化。
ソブリン ベースライン ポリシーの取り組みなど、ポリシー ポートフォリオ によって提供される技術的ガードレールを導入します。
組織がデータ主権のニーズに対応できるようにすることで、ポリシーの構成を可能にします。
Azure 機密コンピューティング サービスの利用を効率化します。
SLZ の展開と構成の詳細については、GitHub の ソブリン ランディング ゾーン ドキュメントを参照してください。
Azure ランディング ゾーンの代わりにソブリン ランディング ゾーンを使用するタイミングは?
ソブリン ランディング ゾーン (SLZ) は、Azure Landing Zone (ALZ) の Bicep リポジトリ の一種で、ランディング ゾーン管理グループとポリシー割り当てが追加されています。 詳細については、要件を満たす Azure ランディング ゾーン アーキテクチャの調整 のガイダンスをご参照ください。
SLZ は ALZ Bicep と同じコード ベースを使用しており、以下のものが付属しています:
- オーケストレーションと展開の自動化機能の追加
- データ主権と機密コンピューティングの要件に対応したオピニオン ランディングゾーン設計
- Azure Policy Initiatives とポリシー割り当ての追加により、公共部門の顧客、パートナー、ISVの 主権要件を満たすことができます
SLZ に関連するよくある質問は、組織がどのような場合に一方の着陸帯を他方の着陸帯より使用すべきか、というものです。 ALZ と SLZ の両チームは、以下のガイダンスを推奨しています:
優先順位をつけるときには ALZ を使用します:
- さまざまな業種におけるほとんどの顧客の既定オプション
- 環境全体にわたる詳細な構成とカスタマイズ オプション
- Portal、Bicep、Terraform を含む複数の 展開オプション
優先順位をつけるときには SLZ を使用します:
- デジタル主権要件を重視する公共部門のお客様
- ポリシーと Azure 機密コンピューティング によって実施される合理化されたデータ ガバナンス機能
- 地域固有のポリシー イニシアチブ を利用する場合の展開の簡素化
- ソブリン移行の取り組みを促進する ワークロード テンプレート の展開