Azure Landing Zone
AZ-305Azure
Diseña una base de suscripciones y controles: grupos de administración, políticas, identidad y red. Enfocado a decisiones de diseño del examen AZ‑305.
Qué es una Landing Zone
Una Landing Zone es el conjunto de suscripciones, grupos de administración, políticas, identidad, red y automatización que establecen una base segura y gobernada para desplegar cargas en Azure.
Componentes clave
- Management Groups para heredar políticas y segmentar entornos (corp, online, sandbox).
- Azure Policy e iniciativas para deny, audit y deployIfNotExists.
- Identidad: Azure AD, PIM, RBAC con grupos y roles personalizados.
- Red: topología hub-spoke o Virtual WAN, control de salida con Azure Firewall.
- Automatización: Bicep/Terraform, CI/CD, policy-as-code.
Diagrama (hub-spoke)
Blueprint de políticas mínimas para el examen (AZ‑305)
| Requisito | Policy/Acción | Motivo de examen |
|---|---|---|
| Etiquetas obligatorias | Enforce tag and its value | Coste y gobierno |
| Regiones permitidas | Allowed locations | Residencia de datos |
| TPM/Encriptación | Require disk encryption | Seguridad de datos |
| Logs centralizados | DeployIfNotExists → DCR a workspace | Monitorización |
EXAM TIP: te preguntarán dónde aplicar políticas para que afecten a varias suscripciones: Management Group.
Governance-as-Code (Bicep) express
module policy './modules/policy.bicep' = {
name: 'lz-policy'
params: { assignmentScope: managementGroup().id }
}Publica las definiciones en un repo y usa pipelines para validar y asignar en entornos (dev, qa, prod).