مخازن Microsoft.KeyVault 2023-07-01
تعريف مورد Bicep
يمكن نشر نوع مورد المخازن مع العمليات التي تستهدف:
- مجموعات الموارد - راجع أوامر نشر مجموعة الموارد
للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.
الملاحظات
للحصول على إرشادات حول استخدام مخازن المفاتيح للقيم الآمنة، راجع إدارة الأسرار باستخدام Bicep.
لبدء التشغيل السريع حول إنشاء سر، راجع التشغيل السريع: تعيين بيانات سرية واستردادها من Azure Key Vault باستخدام قالب ARM.
لبدء التشغيل السريع حول إنشاء مفتاح، راجع التشغيل السريع: إنشاء مخزن مفاتيح Azure ومفتاح باستخدام قالب ARM.
تنسيق المورد
لإنشاء مورد Microsoft.KeyVault/vaults، أضف Bicep التالي إلى القالب الخاص بك.
resource symbolicname 'Microsoft.KeyVault/vaults@2023-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
قيم Property
المخازن
الاسم | الوصف | القيمة |
---|---|---|
الاسم | اسم المورد | سلسلة (مطلوب) حد الحرف: 3-24 أحرف صالحة: الأبجدية الرقمية والواصلات. ابدأ ”بحرف“. تنتهي بحرف أو رقم. لا يمكن أن تحتوي على الواصلات المتتالية. يجب أن يكون اسم المورد فريدا عبر Azure. |
الموقع | موقع Azure المدعوم حيث يجب إنشاء مخزن المفاتيح. | سلسلة (مطلوب) |
العلامات | العلامات التي سيتم تعيينها إلى مخزن المفاتيح. | قاموس أسماء العلامات والقيم. راجع العلامات في القوالب |
خصائص | خصائص المخزن | VaultProperties (مطلوب) |
VaultProperties
الاسم | الوصف | القيمة |
---|---|---|
نهج الوصول | صفيف من 0 إلى 1024 هوية لديها حق الوصول إلى مخزن المفاتيح. يجب أن تستخدم جميع الهويات في الصفيف نفس معرف المستأجر مثل معرف مستأجر مخزن المفاتيح. عندما createMode يتم تعيين إلى recover ، لا تكون نهج الوصول مطلوبة. وإلا، فإن نهج الوصول مطلوبة. |
AccessPolicyEntry[] |
createMode | وضع إنشاء المخزن للإشارة إلى ما إذا كان المخزن بحاجة إلى استرداد أم لا. | "افتراضي" "استرداد" |
enabledForDeployment | خاصية لتحديد ما إذا كان يسمح لأجهزة Azure الظاهرية باسترداد الشهادات المخزنة كأسرار من مخزن المفاتيح. | Bool |
enabledForDiskEncryption | خاصية لتحديد ما إذا كان يسمح لتشفير قرص Azure باسترداد البيانات السرية من المخزن ومفاتيح إلغاء التضمين. | Bool |
enabledForTemplateDeployment | خاصية لتحديد ما إذا كان يسمح ل Azure Resource Manager باسترداد البيانات السرية من مخزن المفاتيح. | Bool |
تمكينPurgeProtection | خاصية تحدد ما إذا كانت الحماية من التطهير ممكنة لهذا المخزن. يؤدي تعيين هذه الخاصية إلى true إلى تنشيط الحماية من التطهير لهذا المخزن ومحتواه - قد تبدأ خدمة Key Vault فقط عملية حذف صعبة وغير قابلة للاسترداد. يكون الإعداد فعالا فقط إذا تم تمكين الحذف المبدئي أيضا. تمكين هذه الوظيفة لا رجعة فيه - أي أن الخاصية لا تقبل خطأ كقيمة لها. | Bool |
enableRbacAuthorization | الخاصية التي تتحكم في كيفية تفويض إجراءات البيانات. عندما يكون صحيحا، سيستخدم مخزن المفاتيح التحكم في الوصول المستند إلى الدور (RBAC) لتخويل إجراءات البيانات، وسيتم تجاهل نهج الوصول المحددة في خصائص المخزن. عند الخطأ، سيستخدم مخزن المفاتيح نهج الوصول المحددة في خصائص المخزن، وسيتم تجاهل أي نهج مخزن على Azure Resource Manager. إذا كانت خالية أو لم يتم تحديدها، يتم إنشاء المخزن بالقيمة الافتراضية false. لاحظ أن إجراءات الإدارة مخولة دائما باستخدام التحكم في الوصول استنادا إلى الدور. | Bool |
تمكين MicrosoftDelete | خاصية لتحديد ما إذا كانت وظيفة "الحذف المبدئي" ممكنة لمخزن المفاتيح هذا. إذا لم يتم تعيينه إلى أي قيمة (صواب أو خطأ) عند إنشاء مخزن مفاتيح جديد، فسيتم تعيينه إلى true بشكل افتراضي. بمجرد تعيينه إلى صحيح، لا يمكن إرجاعه إلى خطأ. | Bool |
networkAcls | القواعد التي تحكم إمكانية الوصول إلى مخزن المفاتيح من مواقع شبكة معينة. | NetworkRuleSet |
provisioningState | حالة توفير المخزن. | "RegisteringDns" "نجح" |
publicNetworkAccess | خاصية لتحديد ما إذا كان المخزن سيقبل نسبة استخدام الشبكة من الإنترنت العام. إذا تم تعيينه إلى "معطل" سيتم حظر جميع نسبة استخدام الشبكة باستثناء حركة مرور نقطة النهاية الخاصة والتي تنشأ من خدمات موثوق بها. سيؤدي هذا إلى تجاوز قواعد جدار الحماية المحددة، ما يعني أنه حتى إذا كانت قواعد جدار الحماية موجودة، فلن نحترم القواعد. | سلسلة |
sku | تفاصيل SKU | Sku (مطلوب) |
softDeleteRetentionInDays | أيام استبقاء البيانات softDelete. يقبل >=7 و <=90. | int |
معرّف المستأجر | معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. | سلسلة (مطلوب) القيود: الحد الأدنى للطول = 36 الحد الأقصى للطول = 36 النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI للمخزن لتنفيذ العمليات على المفاتيح والأسرار. | سلسلة |
AccessPolicyEntry
الاسم | الوصف | القيمة |
---|---|---|
applicationId | معرف التطبيق للعميل الذي يقدم طلبا نيابة عن كيان | سلسلة القيود: الحد الأدنى للطول = 36 الحد الأقصى للطول = 36 النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | معرف العنصر لمستخدم أو كيان خدمة أو مجموعة أمان في مستأجر Azure Active Directory للمخزن. يجب أن يكون معرف العنصر فريداً لقائمة نُهج الوصول. | سلسلة (مطلوب) |
الأذونات | الأذونات التي تمتلكها الهوية للمفاتيح والأسرار والشهادات. | الأذونات (مطلوبة) |
معرّف المستأجر | معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. | سلسلة (مطلوب) القيود: الحد الأدنى للطول = 36 الحد الأقصى للطول = 36 النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
الأذونات
الاسم | الوصف | القيمة |
---|---|---|
الشهادات | أذونات الشهادات | صفيف سلسلة يحتوي على أي من: 'الكل' "النسخ الاحتياطي" "إنشاء" "حذف" 'deleteissuers' "الحصول" 'getissuers' "استيراد" "قائمة" 'listissuers' 'managecontacts' "manageissuers" "إزالة" "استرداد" "استعادة" 'setissuers' "تحديث" |
المفاتيح | أذونات المفاتيح | صفيف سلسلة يحتوي على أي من: 'الكل' "النسخ الاحتياطي" "إنشاء" "فك التشفير" "حذف" "تشفير" "الحصول" "سياسة الاختلاس" "استيراد" "قائمة" "إزالة" "استرداد" "الإصدار" "استعادة" "تدوير" "نهج تعيين" "علامة" 'unwrapKey' "تحديث" "التحقق" "wrapKey" |
بيانات سرية | أذونات الأسرار | صفيف سلسلة يحتوي على أي من: 'الكل' "النسخ الاحتياطي" "حذف" "الحصول" "قائمة" "إزالة" "استرداد" "استعادة" "تعيين" |
التخزين | أذونات لحسابات التخزين | صفيف سلسلة يحتوي على أي من: 'الكل' "النسخ الاحتياطي" "حذف" "deletesas" "الحصول" 'getas' "قائمة" "قوائم" "إزالة" "استرداد" "إعادة إنشاء مفتاح" "استعادة" "تعيين" 'setsas' "تحديث" |
NetworkRuleSet
الاسم | الوصف | القيمة |
---|---|---|
تجاوز | يخبرك بنسبة استخدام الشبكة التي يمكنها تجاوز قواعد الشبكة. يمكن أن يكون هذا "AzureServices" أو "None". إذا لم يتم تحديد الافتراضي هو "AzureServices". | "AzureServices" 'بلا' |
defaultAction | الإجراء الافتراضي عندما لا تتطابق أي قاعدة من ipRules ومن virtualNetworkRules. يتم استخدام هذا فقط بعد تقييم خاصية التجاوز. | "السماح" "رفض" |
ipRules | قائمة قواعد عنوان IP. | IPRule[] |
VirtualNetworkRules | قائمة قواعد الشبكة الظاهرية. | VirtualNetworkRule[] |
IPRule
الاسم | الوصف | القيمة |
---|---|---|
القيمة | نطاق عناوين IPv4 في رمز CIDR، مثل '124.56.78.91' (عنوان IP بسيط) أو '124.56.78.0/24' (جميع العناوين التي تبدأ ب 124.56.78). | سلسلة (مطلوبة) |
VirtualNetworkRule
الاسم | الوصف | القيمة |
---|---|---|
المعرف | معرف المورد الكامل لشبكة vnet الفرعية، مثل '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | سلسلة (مطلوبة) |
ignoreMissingVnetServiceEndpoint | خاصية لتحديد ما إذا كان NRP سيتجاهل التحقق مما إذا كانت الشبكة الفرعية الأصل تحتوي على نقاط نهاية الخدمة التي تم تكوينها. | Bool |
Sku
الاسم | الوصف | القيمة |
---|---|---|
الاسره | اسم عائلة SKU | 'A' (مطلوب) |
الاسم | اسم SKU لتحديد ما إذا كان مخزن المفاتيح مخزنا قياسيا أو مخزنا متميزا. | "متميز" "قياسي" (مطلوب) |
قوالب التشغيل السريع
تنشر قوالب التشغيل السريع التالية نوع المورد هذا.
قالب | الوصف |
---|---|
قالب التشغيل السريع SAS 9.4 و Viya ل Azure |
يقوم قالب SAS® 9.4 و Viya QuickStart ل Azure بتوزيع هذه المنتجات على السحابة: SAS® Enterprise BI Server 9.4 و SAS® Enterprise Miner 15.1 و SAS® Visual Analytics 8.5 على Linux و SAS® Visual Data Mining و Machine Learning 8.5 على Linux for Viya. هذا التشغيل السريع هو بنية مرجعية للمستخدمين الذين يرغبون في نشر مجموعة SAS® 9.4 و Viya على Azure باستخدام تقنيات صديقة للسحابة. من خلال نشر النظام الأساسي SAS® على Azure، تحصل على بيئة متكاملة من بيئات SAS® 9.4 وViya حتى تتمكن من الاستفادة من كلا العالمين. SAS® Viya هو محرك تحليلات في الذاكرة يدعم السحابة. ويستخدم معالجة مرنة وقابلة للتطوير ومتسامحة مع الأخطاء لمعالجة التحديات التحليلية المعقدة. يوفر SAS® Viya معالجة أسرع للتحليات باستخدام قاعدة تعليمات برمجية موحدة تدعم البرمجة في SAS® وPython وR وJava وLua. كما أنه يدعم البيئات السحابية أو المحلية أو المختلطة وينشر بسلاسة في أي بنية أساسية أو نظام بيئي للتطبيق. |
نظام مجموعة AKS مع بوابة NAT وبوابة تطبيق |
يوضح هذا النموذج كيفية توزيع نظام مجموعة AKS مع بوابة NAT للاتصالات الصادرة وبوابة التطبيق للاتصالات الواردة. |
إنشاء نظام مجموعة AKS خاص مع منطقة DNS عامة |
يوضح هذا النموذج كيفية توزيع مجموعة AKS خاصة مع منطقة DNS عامة. |
توزيع Sports Analytics على Azure Architecture |
إنشاء حساب تخزين Azure مع تمكين ADLS Gen 2، ومثيل Azure Data Factory مع خدمات مرتبطة لحساب التخزين (قاعدة بيانات Azure SQL إذا تم نشرها)، ومثيل Azure Databricks. سيتم منح هوية AAD للمستخدم الذي ينشر القالب والهوية المدارة لمثيل ADF دور Storage Blob Data Contributor على حساب التخزين. هناك أيضا خيارات لنشر مثيل Azure Key Vault وقاعدة بيانات Azure SQL ومركز أحداث Azure (لحالات استخدام الدفق). عند توزيع Key Vault Azure، سيتم منح الهوية المدارة لمصنع البيانات وهوية AAD للمستخدم الذي ينشر القالب دور مستخدم البيانات السرية Key Vault. |
مساحة عمل التعلم الآلي من Microsoft Azure |
ينشئ هذا القالب مساحة عمل جديدة للتعلم الآلي من Microsoft Azure، جنبا إلى جنب مع حساب تخزين مشفر وKeyVault وتسجيل Applications Insights |
إنشاء KeyVault |
تنشئ هذه الوحدة مورد KeyVault مع apiVersion 2019-09-01. |
إنشاء خدمة APIM باستخدام SSL من KeyVault |
ينشر هذا القالب خدمة إدارة واجهة برمجة التطبيقات التي تم تكوينها باستخدام الهوية المعينة من قبل المستخدم. يستخدم هذه الهوية لإحضار شهادة SSL من KeyVault والاحتفاظ بها محدثة عن طريق التحقق كل 4 ساعات. |
إنشاء تطبيق Dapr pub-sub servicebus باستخدام تطبيقات الحاوية |
إنشاء تطبيق Dapr pub-sub servicebus باستخدام تطبيقات الحاوية. |
إنشاء نظام مجموعة Azure Stack HCI 23H2 |
ينشئ هذا القالب مجموعة Azure Stack HCI 23H2 باستخدام قالب ARM. |
إنشاء windows vm مشفر جديد من صورة المعرض |
ينشئ هذا القالب جهازا ظاهريا جديدا للنوافذ المشفرة باستخدام صورة معرض الخادم 2k12. |
إنشاء أقراص مدارة مشفرة جديدة win-vm من صورة المعرض |
ينشئ هذا القالب أقراصا مدارة مشفرة جديدة تعمل بنظام windows vm باستخدام صورة معرض الخادم 2k12. |
يقوم هذا القالب بتشفير Windows VMSS قيد التشغيل |
يتيح هذا القالب التشفير على مجموعة مقياس جهاز ظاهري تعمل بنظام Windows |
تمكين التشفير على جهاز ظاهري يعمل بنظام Windows |
يتيح هذا القالب التشفير على جهاز ظاهري يعمل بنظام التشغيل windows. |
إنشاء Windows VMSS جديد وتشفيره باستخدام jumpbox |
يسمح لك هذا القالب بنشر مجموعة مقياس جهاز ظاهري بسيطة لأجهزة Windows الظاهرية باستخدام أحدث إصدار مصحح من إصدارات Windows الخادمية. ينشر هذا القالب أيضا مربع انتقال بعنوان IP عام في نفس الشبكة الظاهرية. يمكنك الاتصال ب jumpbox عبر عنوان IP العام هذا، ثم الاتصال من هناك بالأجهزة الظاهرية في مجموعة المقياس عبر عناوين IP الخاصة. يتيح هذا القالب التشفير على مجموعة مقياس الجهاز الظاهري لأجهزة Windows الظاهرية. |
إنشاء مخزن Azure الأساسي وسره |
ينشئ هذا القالب Key Vault Azure وسرا. |
إنشاء Key Vault Azure باستخدام التحكم في الوصول استنادا إلى الدور وسر |
ينشئ هذا القالب Key Vault Azure وسرا. بدلا من الاعتماد على نهج الوصول، فإنه يستفيد من Azure RBAC لإدارة التخويل على الأسرار |
إنشاء مخزن رئيسي، وهوية مُدارة، وتعيين دور |
ينشئ هذا القالب مخزن مفاتيح وهوية مدارة وتعيين دور. |
الاتصال Key Vault عبر نقطة نهاية خاصة |
يوضح هذا النموذج كيفية استخدام تكوين شبكة ظاهرية ومنطقة DNS خاصة للوصول إلى Key Vault عبر نقطة النهاية الخاصة. |
إنشاء مخزن أساسي وقائمة بالأسرار |
ينشئ هذا القالب Key Vault وقائمة من الأسرار داخل مخزن المفاتيح كما تم تمريرها مع المعلمات |
إنشاء Key Vault مع تمكين التسجيل |
ينشئ هذا القالب Key Vault Azure وحساب تخزين Azure المستخدم للتسجيل. يقوم بشكل اختياري بإنشاء تأمينات الموارد لحماية موارد Key Vault والتخزين. |
إنشاء مساحة عمل AML باستخدام مجموعات بيانات متعددة & Datastores |
ينشئ هذا القالب مساحة عمل التعلم الآلي من Microsoft Azure مع مجموعات بيانات متعددة & مخازن البيانات. |
إعداد آمن شامل للتعلم الآلي من Azure |
توضح هذه المجموعة من قوالب Bicep كيفية إعداد التعلم الآلي من Azure من طرف إلى طرف في إعداد آمن. يتضمن هذا التنفيذ المرجعي مساحة العمل، ومجموعة الحوسبة، ومثيل الحساب، ومجموعة AKS الخاصة المرفقة. |
إعداد آمن شامل (قديم) للتعلم الآلي من Microsoft Azure |
توضح هذه المجموعة من قوالب Bicep كيفية إعداد التعلم الآلي من Azure من طرف إلى طرف في إعداد آمن. يتضمن هذا التنفيذ المرجعي مساحة العمل، ومجموعة الحوسبة، ومثيل الحساب، ومجموعة AKS الخاصة المرفقة. |
إنشاء هدف حساب AKS بعنوان IP خاص |
ينشئ هذا القالب هدف حساب AKS في مساحة عمل خدمة التعلم الآلي من Microsoft Azure مع عنوان IP خاص. |
إنشاء مساحة عمل خدمة التعلم الآلي من Microsoft Azure |
يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Microsoft Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين الحد الأدنى من مجموعة الموارد التي تحتاجها لبدء استخدام التعلم الآلي من Microsoft Azure. |
إنشاء مساحة عمل خدمة التعلم الآلي من Microsoft Azure (CMK) |
يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Microsoft Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يوضح المثال كيفية تكوين التعلم الآلي من Microsoft Azure للتشفير باستخدام مفتاح تشفير يديره العميل. |
إنشاء مساحة عمل خدمة التعلم الآلي من Microsoft Azure (vnet) |
يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Microsoft Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين مجموعة الموارد التي تحتاجها لبدء استخدام التعلم الآلي من Microsoft Azure في إعداد شبكة معزولة. |
إنشاء مساحة عمل خدمة التعلم الآلي من Microsoft Azure (قديمة) |
يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Microsoft Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين مجموعة الموارد التي تحتاجها لبدء استخدام التعلم الآلي من Microsoft Azure في إعداد شبكة معزولة. |
نظام مجموعة AKS مع وحدة تحكم دخول بوابة التطبيق |
يوضح هذا النموذج كيفية نشر نظام مجموعة AKS مع Application Gateway ووحدة تحكم دخول بوابة التطبيق وسجل حاويات Azure وتحليلات السجل Key Vault |
إنشاء Application Gateway V2 باستخدام Key Vault |
ينشر هذا القالب Application Gateway V2 في شبكة ظاهرية، وهوية معرفة من قبل المستخدم، Key Vault، وسر (بيانات الشهادة)، ونهج الوصول على Key Vault وبوابة التطبيق. |
بيئة الاختبار ل Azure Firewall Premium |
ينشئ هذا القالب Azure Firewall Premium ونهج جدار الحماية مع ميزات متميزة مثل Intrusion Inspection Detection (IDPS) وفحص TLS وتصفية فئة الويب |
إنشاء Application Gateway باستخدام الشهادات |
يوضح هذا القالب كيفية إنشاء شهادات موقعة ذاتيا Key Vault، ثم الرجوع من بوابة التطبيق. |
تشفير حساب تخزين Azure باستخدام مفتاح يديره العميل |
ينشر هذا القالب حساب تخزين مع مفتاح يديره العميل للتشفير الذي يتم إنشاؤه ووضعه داخل Key Vault. |
App Service Environment مع خلفية Azure SQL |
ينشئ هذا القالب App Service Environment مع خلفية Azure SQL جنبا إلى جنب مع نقاط النهاية الخاصة جنبا إلى جنب مع الموارد المقترنة المستخدمة عادة في بيئة خاصة/معزولة. |
تطبيق Azure Function ودالة مشغلة من HTTP |
ينشر هذا المثال تطبيق Azure Function ودالة مشغلة من HTTP مضمنة في القالب. كما أنه ينشر Key Vault ويملأ سرا بمفتاح مضيف تطبيق الوظائف. |
بوابة التطبيق مع إدارة واجهة برمجة التطبيقات الداخلية وتطبيق الويب |
توجيه حركة مرور الإنترنت لبوابة التطبيق إلى مثيل APIM للشبكة الظاهرية (الوضع الداخلي) الذي خدمات واجهة برمجة تطبيقات الويب المستضافة في Azure Web App. |
تعريف مورد قالب ARM
يمكن نشر نوع مورد المخازن مع العمليات التي تستهدف:
- مجموعات الموارد - راجع أوامر نشر مجموعة الموارد
للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.
الملاحظات
للحصول على إرشادات حول استخدام مخازن المفاتيح للقيم الآمنة، راجع إدارة الأسرار باستخدام Bicep.
لبدء التشغيل السريع حول إنشاء سر، راجع التشغيل السريع: تعيين بيانات سرية واستردادها من Azure Key Vault باستخدام قالب ARM.
لبدء التشغيل السريع حول إنشاء مفتاح، راجع التشغيل السريع: إنشاء مخزن مفاتيح Azure ومفتاح باستخدام قالب ARM.
تنسيق المورد
لإنشاء مورد Microsoft.KeyVault/vaults، أضف JSON التالي إلى القالب الخاص بك.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
قيم Property
المخازن
الاسم | الوصف | القيمة |
---|---|---|
النوع | نوع المورد | 'Microsoft.KeyVault/vaults' |
apiVersion | إصدار واجهة برمجة تطبيقات المورد | '2023-07-01' |
الاسم | اسم المورد | سلسلة (مطلوب) حد الحرف: 3-24 أحرف صالحة: الأبجدية الرقمية والواصلات. ابدأ ”بحرف“. تنتهي بحرف أو رقم. لا يمكن أن تحتوي على الواصلات المتتالية. يجب أن يكون اسم المورد فريدا عبر Azure. |
الموقع | موقع Azure المدعوم حيث يجب إنشاء مخزن المفاتيح. | سلسلة (مطلوب) |
العلامات | العلامات التي سيتم تعيينها إلى مخزن المفاتيح. | قاموس أسماء العلامات والقيم. راجع العلامات في القوالب |
خصائص | خصائص المخزن | VaultProperties (مطلوب) |
VaultProperties
الاسم | الوصف | القيمة |
---|---|---|
نهج الوصول | صفيف من 0 إلى 1024 هوية لديها حق الوصول إلى مخزن المفاتيح. يجب أن تستخدم جميع الهويات في الصفيف نفس معرف المستأجر مثل معرف مستأجر مخزن المفاتيح. عندما createMode يتم تعيين إلى recover ، لا تكون نهج الوصول مطلوبة. وإلا، فإن نهج الوصول مطلوبة. |
AccessPolicyEntry[] |
createMode | وضع إنشاء المخزن للإشارة إلى ما إذا كان المخزن بحاجة إلى استرداد أم لا. | "افتراضي" "استرداد" |
enabledForDeployment | خاصية لتحديد ما إذا كان يسمح لأجهزة Azure الظاهرية باسترداد الشهادات المخزنة كأسرار من مخزن المفاتيح. | Bool |
enabledForDiskEncryption | خاصية لتحديد ما إذا كان يسمح لتشفير قرص Azure باسترداد البيانات السرية من المخزن ومفاتيح إلغاء التضمين. | Bool |
enabledForTemplateDeployment | خاصية لتحديد ما إذا كان يسمح ل Azure Resource Manager باسترداد البيانات السرية من مخزن المفاتيح. | Bool |
تمكينPurgeProtection | خاصية تحدد ما إذا كانت الحماية من التطهير ممكنة لهذا المخزن. يؤدي تعيين هذه الخاصية إلى true إلى تنشيط الحماية من التطهير لهذا المخزن ومحتواه - قد تبدأ خدمة Key Vault فقط عملية حذف صعبة وغير قابلة للاسترداد. يكون الإعداد فعالا فقط إذا تم تمكين الحذف المبدئي أيضا. تمكين هذه الوظيفة لا رجعة فيه - أي أن الخاصية لا تقبل خطأ كقيمة لها. | Bool |
enableRbacAuthorization | الخاصية التي تتحكم في كيفية تفويض إجراءات البيانات. عندما يكون صحيحا، سيستخدم مخزن المفاتيح التحكم في الوصول المستند إلى الدور (RBAC) لتخويل إجراءات البيانات، وسيتم تجاهل نهج الوصول المحددة في خصائص المخزن. عند الخطأ، سيستخدم مخزن المفاتيح نهج الوصول المحددة في خصائص المخزن، وسيتم تجاهل أي نهج مخزن على Azure Resource Manager. إذا كانت خالية أو لم يتم تحديدها، يتم إنشاء المخزن بالقيمة الافتراضية false. لاحظ أن إجراءات الإدارة مخولة دائما باستخدام التحكم في الوصول استنادا إلى الدور. | Bool |
تمكين MicrosoftDelete | خاصية لتحديد ما إذا كانت وظيفة "الحذف المبدئي" ممكنة لمخزن المفاتيح هذا. إذا لم يتم تعيينه إلى أي قيمة (صواب أو خطأ) عند إنشاء مخزن مفاتيح جديد، فسيتم تعيينه إلى true بشكل افتراضي. بمجرد تعيينه إلى صحيح، لا يمكن إرجاعه إلى خطأ. | Bool |
networkAcls | القواعد التي تحكم إمكانية الوصول إلى مخزن المفاتيح من مواقع شبكة معينة. | NetworkRuleSet |
provisioningState | حالة توفير المخزن. | "RegisteringDns" "نجح" |
publicNetworkAccess | خاصية لتحديد ما إذا كان المخزن سيقبل نسبة استخدام الشبكة من الإنترنت العام. إذا تم تعيينه إلى "معطل" سيتم حظر جميع نسبة استخدام الشبكة باستثناء حركة مرور نقطة النهاية الخاصة والتي تنشأ من خدمات موثوق بها. سيؤدي هذا إلى تجاوز قواعد جدار الحماية المحددة، ما يعني أنه حتى إذا كانت قواعد جدار الحماية موجودة، فلن نحترم القواعد. | سلسلة |
sku | تفاصيل SKU | Sku (مطلوب) |
softDeleteRetentionInDays | أيام استبقاء البيانات softDelete. يقبل >=7 و <=90. | int |
معرّف المستأجر | معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. | سلسلة (مطلوب) القيود: الحد الأدنى للطول = 36 الحد الأقصى للطول = 36 النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI للمخزن لتنفيذ العمليات على المفاتيح والأسرار. | سلسلة |
AccessPolicyEntry
الاسم | الوصف | القيمة |
---|---|---|
applicationId | معرف التطبيق للعميل الذي يقدم طلبا نيابة عن كيان | سلسلة القيود: الحد الأدنى للطول = 36 الحد الأقصى للطول = 36 النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | معرف العنصر لمستخدم أو كيان خدمة أو مجموعة أمان في مستأجر Azure Active Directory للمخزن. يجب أن يكون معرف العنصر فريداً لقائمة نُهج الوصول. | سلسلة (مطلوب) |
الأذونات | الأذونات التي تمتلكها الهوية للمفاتيح والأسرار والشهادات. | الأذونات (مطلوبة) |
معرّف المستأجر | معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. | سلسلة (مطلوب) القيود: الحد الأدنى للطول = 36 الحد الأقصى للطول = 36 النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
الأذونات
الاسم | الوصف | القيمة |
---|---|---|
الشهادات | أذونات الشهادات | صفيف سلسلة يحتوي على أي من: 'الكل' "النسخ الاحتياطي" "إنشاء" "حذف" 'deleteissuers' "الحصول" 'getissuers' "استيراد" "قائمة" 'listissuers' 'managecontacts' "manageissuers" "إزالة" "استرداد" "استعادة" 'setissuers' "تحديث" |
المفاتيح | أذونات المفاتيح | صفيف سلسلة يحتوي على أي من: 'الكل' "النسخ الاحتياطي" "إنشاء" "فك التشفير" "حذف" "تشفير" "الحصول" "سياسة الاختلاس" "استيراد" "قائمة" "إزالة" "استرداد" "الإصدار" "استعادة" "تدوير" "نهج تعيين" "علامة" 'unwrapKey' "تحديث" "التحقق" "wrapKey" |
بيانات سرية | أذونات الأسرار | صفيف سلسلة يحتوي على أي من: 'الكل' "النسخ الاحتياطي" "حذف" "الحصول" "قائمة" "إزالة" "استرداد" "استعادة" "تعيين" |
التخزين | أذونات حسابات التخزين | صفيف سلسلة يحتوي على أي من: 'الكل' "النسخ الاحتياطي" "حذف" 'deletesas' "الحصول" 'getas' "قائمة" 'listsas' "إزالة" "استرداد" "إعادة إنشاء مفتاح" "استعادة" "تعيين" 'مجموعات' "تحديث" |
NetworkRuleSet
الاسم | الوصف | القيمة |
---|---|---|
تجاوز | يخبرك بنسبة استخدام الشبكة التي يمكن أن تتجاوز قواعد الشبكة. يمكن أن يكون هذا "AzureServices" أو "None". إذا لم يتم تحديد الافتراضي هو "AzureServices". | "AzureServices" 'بلا' |
defaultAction | الإجراء الافتراضي عندما لا تتطابق أي قاعدة من ipRules ومن virtualNetworkRules. يتم استخدام هذا فقط بعد تقييم خاصية التجاوز. | "السماح" "رفض" |
ipRules | قائمة قواعد عنوان IP. | IPRule[] |
virtualNetworkRules | قائمة قواعد الشبكة الظاهرية. | VirtualNetworkRule[] |
IPRule
الاسم | الوصف | القيمة |
---|---|---|
القيمة | نطاق عناوين IPv4 في رمز CIDR، مثل '124.56.78.91' (عنوان IP بسيط) أو '124.56.78.0/24' (جميع العناوين التي تبدأ ب 124.56.78). | سلسلة (مطلوب) |
VirtualNetworkRule
الاسم | الوصف | القيمة |
---|---|---|
المعرف | معرف المورد الكامل لشبكة vnet الفرعية، مثل '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | سلسلة (مطلوب) |
ignoreMissingVnetServiceEndpoint | خاصية لتحديد ما إذا كان NRP سيتجاهل التحقق مما إذا كانت الشبكة الفرعية الأصل تحتوي على نقاط الخدمة المكونة. | Bool |
Sku
الاسم | الوصف | القيمة |
---|---|---|
الاسره | اسم عائلة SKU | 'A' (مطلوب) |
الاسم | اسم SKU لتحديد ما إذا كان مخزن المفاتيح هو مخزن قياسي أو مخزن متميز. | "متميز" 'قياسي' (مطلوب) |
قوالب التشغيل السريع
تنشر قوالب التشغيل السريع التالية نوع المورد هذا.
قالب | الوصف |
---|---|
قالب التشغيل السريع SAS 9.4 وViya ل Azure |
يقوم قالب SAS® 9.4 وViya QuickStart ل Azure بتوزيع هذه المنتجات على السحابة: SAS® Enterprise BI Server 9.4 و SAS® Enterprise Miner 15.1 و SAS® Visual Analytics 8.5 على Linux و SAS® Visual Data Mining و Machine Learning 8.5 على Linux for Viya. هذا التشغيل السريع هو بنية مرجعية للمستخدمين الذين يرغبون في نشر مجموعة SAS® 9.4 وViya على Azure باستخدام تقنيات صديقة للسحابة. من خلال نشر النظام الأساسي SAS® على Azure، يمكنك الحصول على بيئة متكاملة من بيئات SAS® 9.4 و Viya حتى تتمكن من الاستفادة من كلا العالمين. SAS® Viya هو محرك تحليلات في الذاكرة يدعم السحابة. ويستخدم معالجة مرنة وقابلة للتطوير ومتسامحة مع الأخطاء لمعالجة التحديات التحليلية المعقدة. يوفر SAS® Viya معالجة أسرع للتحليات باستخدام قاعدة تعليمات برمجية موحدة تدعم البرمجة في SAS® وPython وR وJava وLua. كما أنه يدعم البيئات السحابية أو المحلية أو المختلطة وينشر بسلاسة في أي بنية أساسية أو نظام بيئي للتطبيق. |
نظام مجموعة AKS مع بوابة NAT وبوابة تطبيق |
يوضح هذا النموذج كيفية توزيع نظام مجموعة AKS مع بوابة NAT للاتصالات الصادرة وبوابة التطبيق للاتصالات الواردة. |
إنشاء نظام مجموعة AKS خاص مع منطقة DNS عامة |
يوضح هذا النموذج كيفية توزيع نظام مجموعة AKS خاص مع منطقة DNS عامة. |
توزيع Sports Analytics على Azure Architecture |
إنشاء حساب تخزين Azure مع تمكين ADLS Gen 2، ومثيل Azure Data Factory مع خدمات مرتبطة لحساب التخزين (قاعدة بيانات Azure SQL إذا تم نشرها)، ومثيل Azure Databricks. سيتم منح هوية AAD للمستخدم الذي ينشر القالب والهوية المدارة لمثيل ADF دور Storage Blob Data Contributor على حساب التخزين. هناك أيضا خيارات لنشر مثيل Azure Key Vault وقاعدة بيانات Azure SQL ومركز أحداث Azure (لحالات استخدام الدفق). عند توزيع Key Vault Azure، سيتم منح الهوية المدارة لمصنع البيانات وهوية AAD للمستخدم الذي ينشر القالب دور مستخدم البيانات السرية Key Vault. |
مساحة عمل التعلم الآلي من Microsoft Azure |
ينشئ هذا القالب مساحة عمل جديدة للتعلم الآلي من Microsoft Azure، جنبا إلى جنب مع حساب تخزين مشفر وKeyVault وتسجيل Applications Insights |
إنشاء KeyVault |
تنشئ هذه الوحدة مورد KeyVault مع apiVersion 2019-09-01. |
إنشاء خدمة APIM باستخدام SSL من KeyVault |
ينشر هذا القالب خدمة إدارة واجهة برمجة التطبيقات التي تم تكوينها باستخدام الهوية المعينة من قبل المستخدم. يستخدم هذه الهوية لإحضار شهادة SSL من KeyVault والاحتفاظ بها محدثة عن طريق التحقق كل 4 ساعات. |
إنشاء تطبيق Dapr pub-sub servicebus باستخدام تطبيقات الحاوية |
إنشاء تطبيق Dapr pub-sub servicebus باستخدام تطبيقات الحاوية. |
إنشاء نظام مجموعة Azure Stack HCI 23H2 |
ينشئ هذا القالب مجموعة Azure Stack HCI 23H2 باستخدام قالب ARM. |
إنشاء windows vm مشفر جديد من صورة المعرض |
ينشئ هذا القالب جهازا ظاهريا جديدا للنوافذ المشفرة باستخدام صورة معرض الخادم 2k12. |
إنشاء أقراص مدارة مشفرة جديدة win-vm من صورة المعرض |
ينشئ هذا القالب أقراصا مدارة مشفرة جديدة تعمل بنظام windows vm باستخدام صورة معرض الخادم 2k12. |
يقوم هذا القالب بتشفير Windows VMSS قيد التشغيل |
يتيح هذا القالب التشفير على مجموعة مقياس جهاز ظاهري تعمل بنظام Windows |
تمكين التشفير على جهاز ظاهري يعمل بنظام Windows |
يتيح هذا القالب التشفير على جهاز ظاهري يعمل بنظام التشغيل windows. |
إنشاء Windows VMSS جديد وتشفيره باستخدام jumpbox |
يسمح لك هذا القالب بنشر مجموعة مقياس جهاز ظاهري بسيطة لأجهزة Windows الظاهرية باستخدام أحدث إصدار مصحح من إصدارات Windows الخادمية. ينشر هذا القالب أيضا مربع انتقال بعنوان IP عام في نفس الشبكة الظاهرية. يمكنك الاتصال ب jumpbox عبر عنوان IP العام هذا، ثم الاتصال من هناك بالأجهزة الظاهرية في مجموعة المقياس عبر عناوين IP الخاصة. يتيح هذا القالب التشفير على مجموعة مقياس الجهاز الظاهري لأجهزة Windows الظاهرية. |
إنشاء مخزن Azure الأساسي وسره |
ينشئ هذا القالب Key Vault Azure وسرا. |
إنشاء Key Vault Azure باستخدام التحكم في الوصول استنادا إلى الدور وسر |
ينشئ هذا القالب Key Vault Azure وسرا. بدلا من الاعتماد على نهج الوصول، فإنه يستفيد من Azure RBAC لإدارة التخويل على الأسرار |
إنشاء مخزن رئيسي، وهوية مُدارة، وتعيين دور |
ينشئ هذا القالب مخزن مفاتيح وهوية مدارة وتعيين دور. |
الاتصال Key Vault عبر نقطة نهاية خاصة |
يوضح هذا النموذج كيفية استخدام تكوين شبكة ظاهرية ومنطقة DNS خاصة للوصول إلى Key Vault عبر نقطة النهاية الخاصة. |
إنشاء مخزن أساسي وقائمة بالأسرار |
ينشئ هذا القالب Key Vault وقائمة من الأسرار داخل مخزن المفاتيح كما تم تمريرها مع المعلمات |
إنشاء Key Vault مع تمكين التسجيل |
ينشئ هذا القالب Key Vault Azure وحساب تخزين Azure المستخدم للتسجيل. يقوم بشكل اختياري بإنشاء تأمينات الموارد لحماية موارد Key Vault والتخزين. |
إنشاء مساحة عمل AML باستخدام مجموعات بيانات متعددة & Datastores |
ينشئ هذا القالب مساحة عمل التعلم الآلي من Microsoft Azure مع مجموعات بيانات متعددة & مخازن البيانات. |
إعداد آمن شامل للتعلم الآلي من Azure |
توضح هذه المجموعة من قوالب Bicep كيفية إعداد التعلم الآلي من Azure من طرف إلى طرف في إعداد آمن. يتضمن هذا التنفيذ المرجعي مساحة العمل، ومجموعة الحوسبة، ومثيل الحساب، ومجموعة AKS الخاصة المرفقة. |
إعداد آمن شامل (قديم) للتعلم الآلي من Microsoft Azure |
توضح هذه المجموعة من قوالب Bicep كيفية إعداد التعلم الآلي من Azure من طرف إلى طرف في إعداد آمن. يتضمن هذا التنفيذ المرجعي مساحة العمل، ومجموعة الحوسبة، ومثيل الحساب، ومجموعة AKS الخاصة المرفقة. |
إنشاء هدف حساب AKS بعنوان IP خاص |
ينشئ هذا القالب هدف حساب AKS في مساحة عمل خدمة التعلم الآلي من Microsoft Azure مع عنوان IP خاص. |
إنشاء مساحة عمل خدمة التعلم الآلي من Microsoft Azure |
يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Microsoft Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين الحد الأدنى من مجموعة الموارد التي تحتاجها لبدء استخدام التعلم الآلي من Microsoft Azure. |
إنشاء مساحة عمل خدمة التعلم الآلي من Microsoft Azure (CMK) |
يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Microsoft Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يوضح المثال كيفية تكوين التعلم الآلي من Microsoft Azure للتشفير باستخدام مفتاح تشفير يديره العميل. |
إنشاء مساحة عمل خدمة التعلم الآلي من Microsoft Azure (vnet) |
يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Microsoft Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين مجموعة الموارد التي تحتاجها لبدء استخدام التعلم الآلي من Microsoft Azure في إعداد شبكة معزولة. |
إنشاء مساحة عمل خدمة التعلم الآلي من Microsoft Azure (قديمة) |
يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Microsoft Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين مجموعة الموارد التي تحتاجها لبدء استخدام التعلم الآلي من Microsoft Azure في إعداد شبكة معزولة. |
نظام مجموعة AKS مع وحدة تحكم دخول بوابة التطبيق |
يوضح هذا النموذج كيفية نشر نظام مجموعة AKS مع Application Gateway ووحدة تحكم دخول بوابة التطبيق وسجل حاويات Azure وتحليلات السجل Key Vault |
إنشاء Application Gateway V2 باستخدام Key Vault |
ينشر هذا القالب Application Gateway V2 في شبكة ظاهرية، وهوية معرفة من قبل المستخدم، Key Vault، وسر (بيانات الشهادة)، ونهج الوصول على Key Vault وبوابة التطبيق. |
بيئة الاختبار ل Azure Firewall Premium |
ينشئ هذا القالب Azure Firewall Premium ونهج جدار الحماية مع ميزات متميزة مثل Intrusion Inspection Detection (IDPS) وفحص TLS وتصفية فئة الويب |
إنشاء Application Gateway باستخدام الشهادات |
يوضح هذا القالب كيفية إنشاء شهادات موقعة ذاتيا Key Vault، ثم الرجوع من بوابة التطبيق. |
تشفير حساب تخزين Azure باستخدام مفتاح يديره العميل |
ينشر هذا القالب حساب تخزين مع مفتاح يديره العميل للتشفير الذي يتم إنشاؤه ووضعه داخل Key Vault. |
App Service Environment مع خلفية Azure SQL |
ينشئ هذا القالب App Service Environment مع خلفية Azure SQL جنبا إلى جنب مع نقاط النهاية الخاصة جنبا إلى جنب مع الموارد المقترنة المستخدمة عادة في بيئة خاصة/معزولة. |
تطبيق Azure Function ودالة مشغلة من HTTP |
ينشر هذا المثال تطبيق Azure Function ودالة مشغلة من HTTP مضمنة في القالب. كما أنه ينشر Key Vault ويملأ سرا بمفتاح مضيف تطبيق الوظائف. |
بوابة التطبيق مع إدارة واجهة برمجة التطبيقات الداخلية وتطبيق الويب |
توجيه حركة مرور الإنترنت لبوابة التطبيق إلى مثيل APIM للشبكة الظاهرية (الوضع الداخلي) الذي خدمات واجهة برمجة تطبيقات الويب المستضافة في Azure Web App. |
تعريف مورد Terraform (موفر AzAPI)
يمكن نشر نوع مورد المخازن مع العمليات التي تستهدف:
- مجموعات الموارد
للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.
تنسيق المورد
لإنشاء مورد Microsoft.KeyVault/vaults، أضف Terraform التالي إلى القالب الخاص بك.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2023-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
قيم Property
المخازن
الاسم | الوصف | القيمة |
---|---|---|
النوع | نوع المورد | "Microsoft.KeyVault/vaults@2023-07-01" |
الاسم | اسم المورد | سلسلة (مطلوب) حد الحرف: 3-24 أحرف صالحة: الأبجدية الرقمية والواصلات. ابدأ ”بحرف“. تنتهي بحرف أو رقم. لا يمكن أن تحتوي على الواصلات المتتالية. يجب أن يكون اسم المورد فريدا عبر Azure. |
الموقع | موقع Azure المدعوم حيث يجب إنشاء مخزن المفاتيح. | سلسلة (مطلوب) |
parent_id | للنشر إلى مجموعة موارد، استخدم معرف مجموعة الموارد هذه. | سلسلة (مطلوب) |
العلامات | العلامات التي سيتم تعيينها إلى مخزن المفاتيح. | قاموس أسماء العلامات والقيم. |
خصائص | خصائص المخزن | VaultProperties (مطلوب) |
VaultProperties
الاسم | الوصف | القيمة |
---|---|---|
نهج الوصول | صفيف من 0 إلى 1024 هوية لديها حق الوصول إلى مخزن المفاتيح. يجب أن تستخدم جميع الهويات في الصفيف نفس معرف المستأجر مثل معرف مستأجر مخزن المفاتيح. عندما createMode يتم تعيين إلى recover ، لا تكون نهج الوصول مطلوبة. وإلا، فإن نهج الوصول مطلوبة. |
AccessPolicyEntry[] |
createMode | وضع إنشاء المخزن للإشارة إلى ما إذا كان المخزن بحاجة إلى استرداد أم لا. | "افتراضي" "استرداد" |
enabledForDeployment | خاصية لتحديد ما إذا كان يسمح لأجهزة Azure الظاهرية باسترداد الشهادات المخزنة كأسرار من مخزن المفاتيح. | Bool |
enabledForDiskEncryption | خاصية لتحديد ما إذا كان يسمح لتشفير قرص Azure باسترداد البيانات السرية من المخزن ومفاتيح إلغاء التضمين. | Bool |
enabledForTemplateDeployment | خاصية لتحديد ما إذا كان يسمح ل Azure Resource Manager باسترداد البيانات السرية من مخزن المفاتيح. | Bool |
تمكينPurgeProtection | خاصية تحدد ما إذا كانت الحماية من التطهير ممكنة لهذا المخزن. يؤدي تعيين هذه الخاصية إلى true إلى تنشيط الحماية من التطهير لهذا المخزن ومحتواه - قد تبدأ خدمة Key Vault فقط عملية حذف صعبة وغير قابلة للاسترداد. يكون الإعداد فعالا فقط إذا تم تمكين الحذف المبدئي أيضا. تمكين هذه الوظيفة لا رجعة فيه - أي أن الخاصية لا تقبل خطأ كقيمة لها. | Bool |
enableRbacAuthorization | الخاصية التي تتحكم في كيفية تفويض إجراءات البيانات. عندما يكون صحيحا، سيستخدم مخزن المفاتيح التحكم في الوصول المستند إلى الدور (RBAC) لتخويل إجراءات البيانات، وسيتم تجاهل نهج الوصول المحددة في خصائص المخزن. عند الخطأ، سيستخدم مخزن المفاتيح نهج الوصول المحددة في خصائص المخزن، وسيتم تجاهل أي نهج مخزن على Azure Resource Manager. إذا كانت خالية أو لم يتم تحديدها، يتم إنشاء المخزن بالقيمة الافتراضية false. لاحظ أن إجراءات الإدارة مخولة دائما باستخدام التحكم في الوصول استنادا إلى الدور. | Bool |
تمكين MicrosoftDelete | خاصية لتحديد ما إذا كانت وظيفة "الحذف المبدئي" ممكنة لمخزن المفاتيح هذا. إذا لم يتم تعيينه إلى أي قيمة (صواب أو خطأ) عند إنشاء مخزن مفاتيح جديد، فسيتم تعيينه إلى true بشكل افتراضي. بمجرد تعيينه إلى صحيح، لا يمكن إرجاعه إلى خطأ. | Bool |
networkAcls | القواعد التي تحكم إمكانية الوصول إلى مخزن المفاتيح من مواقع شبكة معينة. | NetworkRuleSet |
provisioningState | حالة توفير المخزن. | "RegisteringDns" "نجح" |
publicNetworkAccess | خاصية لتحديد ما إذا كان المخزن سيقبل نسبة استخدام الشبكة من الإنترنت العام. إذا تم تعيينه إلى "معطل" سيتم حظر جميع نسبة استخدام الشبكة باستثناء حركة مرور نقطة النهاية الخاصة والتي تنشأ من خدمات موثوق بها. سيؤدي هذا إلى تجاوز قواعد جدار الحماية المحددة، ما يعني أنه حتى إذا كانت قواعد جدار الحماية موجودة، فلن نحترم القواعد. | سلسلة |
sku | تفاصيل SKU | Sku (مطلوب) |
softDeleteRetentionInDays | أيام استبقاء البيانات softDelete. يقبل >=7 و <=90. | int |
معرّف المستأجر | معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. | سلسلة (مطلوبة) القيود: الحد الأدنى للطول = 36 الحد الأقصى للطول = 36 النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI للمخزن لتنفيذ العمليات على المفاتيح والأسرار. | سلسلة |
AccessPolicyEntry
الاسم | الوصف | القيمة |
---|---|---|
applicationId | معرف التطبيق للعميل الذي يقدم طلبا نيابة عن كيان | سلسلة القيود: الحد الأدنى للطول = 36 الحد الأقصى للطول = 36 النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | معرف العنصر لمستخدم أو كيان خدمة أو مجموعة أمان في مستأجر Azure Active Directory للمخزن. يجب أن يكون معرف العنصر فريداً لقائمة نُهج الوصول. | سلسلة (مطلوبة) |
الأذونات | الأذونات التي تمتلكها الهوية للمفاتيح والأسرار والشهادات. | الأذونات (مطلوبة) |
معرّف المستأجر | معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. | سلسلة (مطلوبة) القيود: الحد الأدنى للطول = 36 الحد الأقصى للطول = 36 النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
الأذونات
الاسم | الوصف | القيمة |
---|---|---|
الشهادات | أذونات الشهادات | صفيف سلسلة يحتوي على أي من: "الكل" "النسخ الاحتياطي" "إنشاء" "حذف" "deleteissuers" "get" "getissuers" "استيراد" "قائمة" "listissuers" "managecontacts" "manageissuers" "إزالة" "استرداد" "استعادة" "setissuers" "تحديث" |
المفاتيح | أذونات المفاتيح | صفيف سلسلة يحتوي على أي من: "الكل" "النسخ الاحتياطي" "إنشاء" "فك التشفير" "حذف" "تشفير" "get" "getrotationpolicy" "استيراد" "قائمة" "إزالة" "استرداد" "إصدار" "استعادة" "استدارة" "setrotationpolicy" "توقيع" "unwrapKey" "تحديث" "التحقق" "wrapKey" |
بيانات سرية | أذونات البيانات السرية | صفيف سلسلة يحتوي على أي من: "الكل" "النسخ الاحتياطي" "حذف" "get" "قائمة" "إزالة" "استرداد" "استعادة" "تعيين" |
التخزين | أذونات لحسابات التخزين | صفيف سلسلة يحتوي على أي من: "الكل" "النسخ الاحتياطي" "حذف" "deletesas" "get" "getas" "قائمة" "listsas" "إزالة" "استرداد" "إعادة إنشاء مفتاح" "استعادة" "تعيين" "مجموعات" "تحديث" |
NetworkRuleSet
الاسم | الوصف | القيمة |
---|---|---|
تجاوز | يخبرك بنسبة استخدام الشبكة التي يمكنها تجاوز قواعد الشبكة. يمكن أن يكون هذا "AzureServices" أو "None". إذا لم يتم تحديد الافتراضي هو "AzureServices". | "AzureServices" "لا أحد" |
defaultAction | الإجراء الافتراضي عندما لا تتطابق أي قاعدة من ipRules ومن virtualNetworkRules. يتم استخدام هذا فقط بعد تقييم خاصية التجاوز. | "السماح" "رفض" |
ipRules | قائمة قواعد عنوان IP. | IPRule[] |
VirtualNetworkRules | قائمة قواعد الشبكة الظاهرية. | VirtualNetworkRule[] |
IPRule
الاسم | الوصف | القيمة |
---|---|---|
القيمة | نطاق عناوين IPv4 في رمز CIDR، مثل '124.56.78.91' (عنوان IP بسيط) أو '124.56.78.0/24' (جميع العناوين التي تبدأ ب 124.56.78). | سلسلة (مطلوبة) |
VirtualNetworkRule
الاسم | الوصف | القيمة |
---|---|---|
المعرف | معرف المورد الكامل لشبكة vnet الفرعية، مثل '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | سلسلة (مطلوبة) |
ignoreMissingVnetServiceEndpoint | خاصية لتحديد ما إذا كان NRP سيتجاهل التحقق مما إذا كانت الشبكة الفرعية الأصل تحتوي على نقاط نهاية الخدمة التي تم تكوينها. | Bool |
Sku
الاسم | الوصف | القيمة |
---|---|---|
الاسره | اسم عائلة SKU | "A" (مطلوب) |
الاسم | اسم SKU لتحديد ما إذا كان مخزن المفاتيح مخزنا قياسيا أو مخزنا متميزا. | "متميز" "قياسي" (مطلوب) |