مشاركة عبر

خزائن Microsoft.KeyVault

  • مقالة

تعريف مورد Bicep

يمكن نشر نوع مورد الخزائن مع العمليات التي تستهدف:

  • مجموعات الموارد - راجع أوامر نشر مجموعة الموارد

للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير .

ملاحظات

للحصول على إرشادات حول استخدام خزائن المفاتيح للقيم الآمنة، راجع إدارة الأسرار باستخدامBicep .

لبدء التشغيل السريع حول إنشاء سر، راجع التشغيل السريع: تعيين سر واسترداده من Azure Key Vault باستخدام قالب ARM.

للحصول على بداية سريعة حول إنشاء مفتاح، راجع التشغيل السريع: إنشاء مخزن مفاتيح Azure ومفتاح باستخدام قالب ARM.

تنسيق المورد

لإنشاء مورد Microsoft.KeyVault/vaults، أضف Bicep التالي إلى القالب الخاص بك.

resource symbolicname 'Microsoft.KeyVault/vaults@2023-07-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    publicNetworkAccess: 'string'
    sku: {
      family: 'A'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
}

قيم الخصائص

خزائن

اسم وصف قيمة
اسم اسم المورد سلسلة (مطلوب)

حد الحرف: 3-24

الأحرف الصالحة:
الأبجدية الرقمية والواصلات.

ابدأ بالحرف. ينتهي بحرف أو رقم. لا يمكن أن يحتوي على واصلات متتالية.

يجب أن يكون اسم المورد فريدا عبر Azure.
مكان موقع Azure المدعوم حيث يجب إنشاء مخزن المفاتيح. سلسلة (مطلوب)
العلامات العلامات التي سيتم تعيينها إلى مخزن المفاتيح. قاموس أسماء العلامات والقيم. راجع العلامات في القوالب
خصائص خصائص المخزن VaultProperties (مطلوب)

خصائص Vault

اسم وصف قيمة
نهج الوصول صفيف من 0 إلى 1024 هوية لديها حق الوصول إلى مخزن المفاتيح. يجب أن تستخدم جميع الهويات في الصفيف نفس معرف المستأجر كمعرف مستأجر مخزن المفاتيح. عند تعيين createMode إلى recover، لا تكون نهج الوصول مطلوبة. وإلا، فإن نهج الوصول مطلوبة. AccessPolicyEntry[]
createMode وضع إنشاء المخزن للإشارة إلى ما إذا كان المخزن بحاجة إلى استرداد أم لا. "افتراضي"
"استرداد"
enabledForDeployment خاصية لتحديد ما إذا كان يسمح لأجهزة Azure الظاهرية باسترداد الشهادات المخزنة كأسرار من مخزن المفاتيح. قيمة منطقية
enabledForDiskEncryption خاصية لتحديد ما إذا كان يسمح لتشفير قرص Azure باسترداد الأسرار من المخزن وفك المفاتيح. قيمة منطقية
enabledForTemplateDeployment خاصية لتحديد ما إذا كان يسمح ل Azure Resource Manager باسترداد الأسرار من مخزن المفاتيح. قيمة منطقية
تمكين الحماية من الأغراض خاصية تحدد ما إذا كان يتم تمكين الحماية من التطهير لهذا المخزن. يؤدي تعيين هذه الخاصية إلى true إلى تنشيط الحماية من التطهير لهذا المخزن ومحتواه - قد تبدأ خدمة Key Vault فقط عملية حذف صعبة وغير قابلة للاسترداد. يكون الإعداد فعالا فقط إذا تم تمكين الحذف المبدئي أيضا. تمكين هذه الوظيفة لا رجعة فيه - أي أن الخاصية لا تقبل خطأ كقيمة لها. قيمة منطقية
enableRbacAuthorization الخاصية التي تتحكم في كيفية تفويض إجراءات البيانات. عندما يكون صحيحا، سيستخدم مخزن المفاتيح التحكم في الوصول المستند إلى الدور (RBAC) لتخويل إجراءات البيانات، وسيتم تجاهل نهج الوصول المحددة في خصائص المخزن. عند خطأ، سيستخدم مخزن المفاتيح نهج الوصول المحددة في خصائص المخزن، وسيتم تجاهل أي نهج مخزن على Azure Resource Manager. إذا كانت قيمة فارغة أو غير محددة، يتم إنشاء المخزن بالقيمة الافتراضية false. لاحظ أن إجراءات الإدارة مخولة دائما مع RBAC. قيمة منطقية
تمكين MicrosoftDelete خاصية لتحديد ما إذا كانت وظيفة "الحذف المبدئي" ممكنة لمخزن المفاتيح هذا. إذا لم يتم تعيينه إلى أي قيمة (صواب أو خطأ) عند إنشاء مخزن مفاتيح جديد، تعيينه إلى true بشكل افتراضي. بمجرد التعيين إلى صحيح، لا يمكن إرجاعه إلى خطأ. قيمة منطقية
networkAcls القواعد التي تحكم إمكانية وصول ذوي الاحتياجات الخاصة إلى key vault من مواقع شبكة معينة. NetworkRuleSet
حالة التوفير حالة توفير المخزن. 'RegisteringDns'
"نجح"
publicNetworkAccess خاصية لتحديد ما إذا كان المخزن سيقبل نسبة استخدام الشبكة من الإنترنت العام. إذا تم تعيينه على "معطل" سيتم حظر كافة نسبة استخدام الشبكة باستثناء حركة مرور نقطة النهاية الخاصة والتي تنشأ من خدمات موثوق بها. سيؤدي هذا إلى تجاوز قواعد جدار الحماية المحددة، مما يعني أنه حتى إذا كانت قواعد جدار الحماية موجودة، فلن نحترم القواعد. خيط
سكو تفاصيل SKU Sku (مطلوب)
softDeleteRetentionInDays حذف أيام استبقاء البيانات. يقبل >=7 و <=90. الباحث
معرف المستأجر معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. سلسلة (مطلوب)

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri عنوان URI للمخزن لتنفيذ العمليات على المفاتيح والأسرار. خيط

نهج الوصول

اسم وصف قيمة
معرف التطبيق معرف التطبيق للعميل الذي يقدم طلبا نيابة عن كيان خيط

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
معرف الكائن معرف الكائن لمستخدم أو كيان خدمة أو مجموعة أمان في مستأجر Azure Active Directory للمخزن. يجب أن يكون معرف الكائن فريدا لقائمة نهج الوصول. سلسلة (مطلوب)
اذونات الأذونات التي تمتلكها الهوية للمفاتيح والأسرار والشهادات. أذونات (مطلوب)
معرف المستأجر معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. سلسلة (مطلوب)

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

اذونات

اسم وصف قيمة
الشهادات أذونات الشهادات صفيف سلسلة يحتوي على أي من:
'الكل'
"النسخ الاحتياطي"
"إنشاء"
"حذف"
'deleteissuers'
"الحصول"
'getissuers'
"استيراد"
"قائمة"
'listissuers'
'managecontacts'
"manageissuers"
"التطهير"
"استرداد"
"استعادة"
'setissuers'
"تحديث"
المفاتيح أذونات المفاتيح صفيف سلسلة يحتوي على أي من:
'الكل'
"النسخ الاحتياطي"
"إنشاء"
"فك التشفير"
"حذف"
"تشفير"
"الحصول"
"سياسة الاكتروبات"
"استيراد"
"قائمة"
"التطهير"
"استرداد"
"إصدار"
"استعادة"
"استدارة"
"نهج تعيين"
"توقيع"
'unwrapKey'
"تحديث"
"التحقق"
"wrapKey"
اسرار أذونات للبيانات السرية صفيف سلسلة يحتوي على أي من:
'الكل'
"النسخ الاحتياطي"
"حذف"
"الحصول"
"قائمة"
"التطهير"
"استرداد"
"استعادة"
"تعيين"
خزن أذونات لحسابات التخزين صفيف سلسلة يحتوي على أي من:
'الكل'
"النسخ الاحتياطي"
"حذف"
'deletesas'
"الحصول"
'getas'
"قائمة"
"قوائم"
"التطهير"
"استرداد"
"إعادة إنشاء مفتاح"
"استعادة"
"تعيين"
'مجموعات'
"تحديث"

NetworkRuleSet

اسم وصف قيمة
تجاوز يوضح حركة المرور التي يمكنها تجاوز قواعد الشبكة. يمكن أن يكون هذا "AzureServices" أو "None". إذا لم يتم تحديد الافتراضي هو "AzureServices". "AzureServices"
"بلا"
القيمة الافتراضية الإجراء الافتراضي عندما لا تتطابق أي قاعدة من ipRules ومن virtualNetworkRules. يتم استخدام هذا فقط بعد تقييم خاصية التجاوز. "السماح"
"رفض"
قواعد ip قائمة قواعد عنوان IP. IPRule []
قواعد الشبكة الظاهرية قائمة قواعد الشبكة الظاهرية. VirtualNetworkRule []

IPRule

اسم وصف قيمة
قيمة نطاق عناوين IPv4 في رمز CIDR، مثل '124.56.78.91' (عنوان IP بسيط) أو '124.56.78.0/24' (جميع العناوين التي تبدأ ب 124.56.78). سلسلة (مطلوب)

VirtualNetworkRule

اسم وصف قيمة
معرف معرف المورد الكامل لشبكة vnet الفرعية، مثل '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. سلسلة (مطلوب)
ignoreMissingVnetServiceEndpoint الخاصية لتحديد ما إذا كان NRP سيتجاهل التحقق مما إذا كانت الشبكة الفرعية الأصل تحتوي على نقاط نهاية الخدمة التي تم تكوينها. قيمة منطقية

سكو

اسم وصف قيمة
أسرة اسم عائلة SKU 'A' (مطلوب)
اسم اسم SKU لتحديد ما إذا كان مخزن المفاتيح هو مخزن قياسي أو مخزن متميز. 'premium'
'قياسي' (مطلوب)

قوالب التشغيل السريع

تنشر قوالب التشغيل السريع التالية نوع المورد هذا.

قالب وصف
نظام مجموعة AKS مع بوابة NAT وApplication Gateway

Deploy to Azure 		يوضح هذا النموذج كيفية نشر نظام مجموعة AKS مع بوابة NAT للاتصالات الصادرة وبوابة تطبيق للاتصالات الواردة.
إنشاء مجموعة AKS خاصة مع منطقة DNS عامة

Deploy to Azure 		يوضح هذا النموذج كيفية نشر نظام مجموعة AKS خاص مع منطقة DNS عامة.
نشر التحليلات الرياضية على تصميم Azure

Deploy to Azure 		إنشاء حساب تخزين Azure مع تمكين ADLS Gen 2، ومثيل Azure Data Factory مع خدمات مرتبطة لحساب التخزين (قاعدة بيانات Azure SQL إذا تم نشرها)، ومثيل Azure Databricks. سيتم منح هوية AAD للمستخدم الذي ينشر القالب والهوية المدارة لمثيل ADF دور Storage Blob Data Contributor على حساب التخزين. هناك أيضا خيارات لنشر مثيل Azure Key Vault وقاعدة بيانات Azure SQL ومركز أحداث Azure (لحالات استخدام البث). عند نشر Azure Key Vault، سيتم منح الهوية المدارة لمصنع البيانات وهوية AAD للمستخدم الذي ينشر القالب دور مستخدم Key Vault Secrets.
مساحة عمل التعلم الآلي من Azure

Deploy to Azure 		ينشئ هذا القالب مساحة عمل جديدة للتعلم الآلي من Azure، جنبا إلى جنب مع حساب تخزين مشفر، وKeyVault وتسجيل Applications Insights
إنشاء KeyVault

Deploy to Azure 		تنشئ هذه الوحدة مورد KeyVault مع apiVersion 2019-09-01.
إنشاء خدمة APIM باستخدام SSL من KeyVault

Deploy to Azure 		ينشر هذا القالب خدمة إدارة واجهة برمجة التطبيقات التي تم تكوينها باستخدام الهوية المعينة من قبل المستخدم. يستخدم هذه الهوية لإحضار شهادة SSL من KeyVault ويحافظ على تحديثها عن طريق التحقق كل 4 ساعات.
إنشاء تطبيق Dapr pub-sub servicebus باستخدام تطبيقات الحاوية

Deploy to Azure 		إنشاء تطبيق Dapr pub-sub servicebus باستخدام Container Apps.
ينشئ مجموعة Azure Stack HCI 23H2

Deploy to Azure 		ينشئ هذا القالب مجموعة Azure Stack HCI 23H2 باستخدام قالب ARM.
ينشئ مجموعة Azure Stack HCI 23H2

Deploy to Azure 		ينشئ هذا القالب مجموعة Azure Stack HCI 23H2 باستخدام قالب ARM، باستخدام عنوان IP للتخزين المخصص
يقوم بإنشاء نظام مجموعة Azure Stack HCI 23H2 في وضع الشبكات بدون ارتباط مزدوج

Deploy to Azure 		ينشئ هذا القالب مجموعة Azure Stack HCI 23H2 باستخدام قالب ARM.
ينشئ مجموعة Azure Stack HCI 23H2 في وضع شبكة Switchless-SingleLink

Deploy to Azure 		ينشئ هذا القالب مجموعة Azure Stack HCI 23H2 باستخدام قالب ARM.
إنشاء جهاز ظاهري جديد يعمل بنظام windows مشفر من صورة المعرض

Deploy to Azure 		ينشئ هذا القالب جهازا ظاهريا جديدا للنوافذ المشفرة باستخدام صورة معرض الخادم 2k12.
إنشاء أقراص مدارة مشفرة جديدة win-vm من صورة المعرض

Deploy to Azure 		ينشئ هذا القالب أقراصا مدارة مشفرة جديدة windows vm باستخدام صورة معرض الخادم 2k12.
يقوم هذا القالب بتشفير Windows VMSS قيد التشغيل

Deploy to Azure 		يتيح هذا القالب التشفير على مجموعة تحجيم Windows VM قيد التشغيل
تمكين التشفير على جهاز ظاهري يعمل بنظام Windows

Deploy to Azure 		يتيح هذا القالب التشفير على windows vm قيد التشغيل.
إنشاء Windows VMSS جديد وتشفيره باستخدام jumpbox

Deploy to Azure 		يسمح لك هذا القالب بنشر مجموعة تحجيم جهاز ظاهري بسيطة من أجهزة Windows الظاهرية باستخدام أحدث إصدار مصحح من إصدارات Windows الخادمية. ينشر هذا القالب أيضا مربع انتقال مع عنوان IP عام في نفس الشبكة الظاهرية. يمكنك الاتصال ب jumpbox عبر عنوان IP العام هذا، ثم الاتصال من هناك إلى الأجهزة الظاهرية في مجموعة المقياس عبر عناوين IP الخاصة. يتيح هذا القالب التشفير على مجموعة مقياس الجهاز الظاهري لأجهزة Windows الظاهرية.
إنشاء Azure Key Vault سري

Deploy to Azure 		ينشئ هذا القالب Azure Key Vault وسرا.
إنشاء Azure Key Vault باستخدام RBAC سري

Deploy to Azure 		ينشئ هذا القالب Azure Key Vault وسرا. بدلا من الاعتماد على نهج الوصول، فإنه يستفيد من Azure RBAC لإدارة التخويل على الأسرار
إنشاء key vault والهوية المدارة وتعيين الدور

Deploy to Azure 		ينشئ هذا القالب مخزن مفاتيح وهوية مدارة وتعيين دور.
الاتصال ب Key Vault عبر نقطة النهاية الخاصة

Deploy to Azure 		يوضح هذا النموذج كيفية استخدام تكوين شبكة ظاهرية ومنطقة DNS خاصة للوصول إلى Key Vault عبر نقطة النهاية الخاصة.
إنشاء Key Vault وقائمة أسرار

Deploy to Azure 		ينشئ هذا القالب Key Vault وقائمة من الأسرار داخل key vault كما تم تمريرها مع المعلمات
إنشاء Key Vault مع تمكين تسجيل الدخول

Deploy to Azure 		ينشئ هذا القالب Azure Key Vault وحساب Azure Storage المستخدم للتسجيل. يقوم اختياريا بإنشاء تأمينات الموارد لحماية Key Vault وموارد التخزين.
الإعداد الأساسي ل Azure الذكاء الاصطناعي Studio

Deploy to Azure 		توضح هذه المجموعة من القوالب كيفية إعداد Azure الذكاء الاصطناعي Studio مع الإعداد الأساسي، بمعنى تمكين الوصول العام إلى الإنترنت، والمفاتيح المدارة من قبل Microsoft للتشفير وتكوين الهوية المدارة من قبل Microsoft لمورد الذكاء الاصطناعي.
الإعداد الأساسي ل Azure الذكاء الاصطناعي Studio

Deploy to Azure 		توضح هذه المجموعة من القوالب كيفية إعداد Azure الذكاء الاصطناعي Studio مع الإعداد الأساسي، بمعنى تمكين الوصول العام إلى الإنترنت، والمفاتيح المدارة من قبل Microsoft للتشفير وتكوين الهوية المدارة من قبل Microsoft لمورد الذكاء الاصطناعي.
Azure الذكاء الاصطناعي Studio مع مصادقة معرف Microsoft Entra

Deploy to Azure 		توضح هذه المجموعة من القوالب كيفية إعداد Azure الذكاء الاصطناعي Studio باستخدام مصادقة معرف Microsoft Entra للموارد التابعة، مثل Azure الذكاء الاصطناعي Services وAzure Storage.
إنشاء مساحة عمل AML مع مجموعات بيانات متعددة & مخازن البيانات

Deploy to Azure 		ينشئ هذا القالب مساحة عمل التعلم الآلي من Azure مع مجموعات بيانات متعددة & مخازن البيانات.
الإعداد الآمن الشامل للتعلم الآلي من Azure

Deploy to Azure 		توضح هذه المجموعة من قوالب Bicep كيفية إعداد التعلم الآلي من Azure من طرف إلى طرف في إعداد آمن. يتضمن هذا التنفيذ المرجعي مساحة العمل، نظام مجموعة الحوسبة، مثيل الحوسبة، نظام مجموعة AKS الخاص المرفق.
الإعداد الآمن الشامل (القديم) للتعلم الآلي من Azure

Deploy to Azure 		توضح هذه المجموعة من قوالب Bicep كيفية إعداد التعلم الآلي من Azure من طرف إلى طرف في إعداد آمن. يتضمن هذا التنفيذ المرجعي مساحة العمل، نظام مجموعة الحوسبة، مثيل الحوسبة، نظام مجموعة AKS الخاص المرفق.
إنشاء هدف حساب AKS باستخدام عنوان IP خاص

Deploy to Azure 		ينشئ هذا القالب هدف حساب AKS في مساحة عمل خدمة التعلم الآلي من Azure مع عنوان IP خاص.
إنشاء مساحة عمل لخدمة التعلم الآلي من Azure

Deploy to Azure 		يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين الحد الأدنى من مجموعة الموارد التي تحتاجها للبدء في التعلم الآلي من Azure.
إنشاء مساحة عمل خدمة التعلم الآلي من Azure (CMK)

Deploy to Azure 		يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يوضح المثال كيفية تكوين التعلم الآلي من Azure للتشفير باستخدام مفتاح تشفير يديره العميل.
إنشاء مساحة عمل خدمة التعلم الآلي من Azure (CMK)

Deploy to Azure 		يحدد قالب النشر هذا كيفية إنشاء مساحة عمل التعلم الآلي من Azure باستخدام التشفير من جانب الخدمة باستخدام مفاتيح التشفير الخاصة بك.
إنشاء مساحة عمل خدمة التعلم الآلي من Azure (vnet)

Deploy to Azure 		يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين مجموعة الموارد التي تحتاجها للبدء في التعلم الآلي من Azure في إعداد شبكة معزولة.
إنشاء مساحة عمل خدمة التعلم الآلي من Azure (قديمة)

Deploy to Azure 		يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين مجموعة الموارد التي تحتاجها للبدء في التعلم الآلي من Azure في إعداد شبكة معزولة.
نظام مجموعة AKS مع وحدة تحكم دخول بوابة التطبيق

Deploy to Azure 		يوضح هذا النموذج كيفية نشر مجموعة AKS مع Application Gateway ووحدة تحكم دخول بوابة التطبيق وسجل حاويات Azure وتحليلات السجل وKey Vault
إنشاء Application Gateway V2 باستخدام Key Vault

Deploy to Azure 		ينشر هذا القالب Application Gateway V2 في شبكة ظاهرية، وهوية معرفة من قبل المستخدم، وKey Vault، وسرية (بيانات الشهادة)، ونهج الوصول على Key Vault وApplication Gateway.
بيئة اختبار لجدار حماية Azure Premium

Deploy to Azure 		ينشئ هذا القالب Azure Firewall Premium ونهج جدار الحماية مع ميزات متميزة مثل Intrusion Inspection Detection (IDPS) وفحص TLS وتصفية فئة الويب
إنشاء مورد نقطة نهاية خاصة عبر المستأجرين

Deploy to Azure 		يسمح لك هذا القالب بإنشاء مورد نقطة نهاية Priavate داخل نفس البيئة أو عبر المستأجرين وإضافة تكوين منطقة dns.
إنشاء بوابة تطبيق باستخدام الشهادات

Deploy to Azure 		يوضح هذا القالب كيفية إنشاء شهادات موقعة ذاتيا في Key Vault، ثم الرجوع من بوابة التطبيق.
تشفير حساب تخزين Azure باستخدام المفتاح المدار بواسطة العميل

Deploy to Azure 		ينشر هذا القالب حساب تخزين بمفتاح يديره العميل للتشفير الذي يتم إنشاؤه ووضعه داخل Key Vault.
App Service Environment مع الخلفية ل Azure SQL

Deploy to Azure 		ينشئ هذا القالب بيئة خدمة التطبيقات مع خلفية Azure SQL جنبا إلى جنب مع نقاط النهاية الخاصة جنبا إلى جنب مع الموارد المقترنة المستخدمة عادة في بيئة خاصة/معزولة.
تطبيق Azure Function ووظيفة مشغلة من HTTP

Deploy to Azure 		ينشر هذا المثال تطبيق Azure Function ودالة مشغلة من HTTP مضمنة في القالب. كما أنه ينشر Key Vault ويملأ سرا بمفتاح مضيف تطبيق الوظائف.
Application Gateway مع إدارة واجهة برمجة التطبيقات الداخلية وتطبيق الويب

Deploy to Azure 		توجيه حركة مرور الإنترنت لبوابة التطبيق إلى مثيل APIM للشبكة الظاهرية (الوضع الداخلي) الذي يقوم بخدمات واجهة برمجة تطبيقات الويب المستضافة في Azure Web App.

تعريف مورد قالب ARM

يمكن نشر نوع مورد الخزائن مع العمليات التي تستهدف:

  • مجموعات الموارد - راجع أوامر نشر مجموعة الموارد

للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير .

ملاحظات

للحصول على إرشادات حول استخدام خزائن المفاتيح للقيم الآمنة، راجع إدارة الأسرار باستخدامBicep .

لبدء التشغيل السريع حول إنشاء سر، راجع التشغيل السريع: تعيين سر واسترداده من Azure Key Vault باستخدام قالب ARM.

للحصول على بداية سريعة حول إنشاء مفتاح، راجع التشغيل السريع: إنشاء مخزن مفاتيح Azure ومفتاح باستخدام قالب ARM.

تنسيق المورد

لإنشاء مورد Microsoft.KeyVault/vaults، أضف JSON التالي إلى القالب الخاص بك.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2023-07-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "publicNetworkAccess": "string",
    "sku": {
      "family": "A",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  }
}

قيم الخصائص

خزائن

اسم وصف قيمة
نوع نوع المورد 'Microsoft.KeyVault/vaults'
apiVersion إصدار واجهة برمجة تطبيقات المورد '2023-07-01'
اسم اسم المورد سلسلة (مطلوب)

حد الحرف: 3-24

الأحرف الصالحة:
الأبجدية الرقمية والواصلات.

ابدأ بالحرف. ينتهي بحرف أو رقم. لا يمكن أن يحتوي على واصلات متتالية.

يجب أن يكون اسم المورد فريدا عبر Azure.
مكان موقع Azure المدعوم حيث يجب إنشاء مخزن المفاتيح. سلسلة (مطلوب)
العلامات العلامات التي سيتم تعيينها إلى مخزن المفاتيح. قاموس أسماء العلامات والقيم. راجع العلامات في القوالب
خصائص خصائص المخزن VaultProperties (مطلوب)

خصائص Vault

اسم وصف قيمة
نهج الوصول صفيف من 0 إلى 1024 هوية لديها حق الوصول إلى مخزن المفاتيح. يجب أن تستخدم جميع الهويات في الصفيف نفس معرف المستأجر كمعرف مستأجر مخزن المفاتيح. عند تعيين createMode إلى recover، لا تكون نهج الوصول مطلوبة. وإلا، فإن نهج الوصول مطلوبة. AccessPolicyEntry[]
createMode وضع إنشاء المخزن للإشارة إلى ما إذا كان المخزن بحاجة إلى استرداد أم لا. "افتراضي"
"استرداد"
enabledForDeployment خاصية لتحديد ما إذا كان يسمح لأجهزة Azure الظاهرية باسترداد الشهادات المخزنة كأسرار من مخزن المفاتيح. قيمة منطقية
enabledForDiskEncryption خاصية لتحديد ما إذا كان يسمح لتشفير قرص Azure باسترداد الأسرار من المخزن وفك المفاتيح. قيمة منطقية
enabledForTemplateDeployment خاصية لتحديد ما إذا كان يسمح ل Azure Resource Manager باسترداد الأسرار من مخزن المفاتيح. قيمة منطقية
تمكين الحماية من الأغراض خاصية تحدد ما إذا كان يتم تمكين الحماية من التطهير لهذا المخزن. يؤدي تعيين هذه الخاصية إلى true إلى تنشيط الحماية من التطهير لهذا المخزن ومحتواه - قد تبدأ خدمة Key Vault فقط عملية حذف صعبة وغير قابلة للاسترداد. يكون الإعداد فعالا فقط إذا تم تمكين الحذف المبدئي أيضا. تمكين هذه الوظيفة لا رجعة فيه - أي أن الخاصية لا تقبل خطأ كقيمة لها. قيمة منطقية
enableRbacAuthorization الخاصية التي تتحكم في كيفية تفويض إجراءات البيانات. عندما يكون صحيحا، سيستخدم مخزن المفاتيح التحكم في الوصول المستند إلى الدور (RBAC) لتخويل إجراءات البيانات، وسيتم تجاهل نهج الوصول المحددة في خصائص المخزن. عند خطأ، سيستخدم مخزن المفاتيح نهج الوصول المحددة في خصائص المخزن، وسيتم تجاهل أي نهج مخزن على Azure Resource Manager. إذا كانت قيمة فارغة أو غير محددة، يتم إنشاء المخزن بالقيمة الافتراضية false. لاحظ أن إجراءات الإدارة مخولة دائما مع RBAC. قيمة منطقية
تمكين MicrosoftDelete خاصية لتحديد ما إذا كانت وظيفة "الحذف المبدئي" ممكنة لمخزن المفاتيح هذا. إذا لم يتم تعيينه إلى أي قيمة (صواب أو خطأ) عند إنشاء مخزن مفاتيح جديد، تعيينه إلى true بشكل افتراضي. بمجرد التعيين إلى صحيح، لا يمكن إرجاعه إلى خطأ. قيمة منطقية
networkAcls القواعد التي تحكم إمكانية وصول ذوي الاحتياجات الخاصة إلى key vault من مواقع شبكة معينة. NetworkRuleSet
حالة التوفير حالة توفير المخزن. 'RegisteringDns'
"نجح"
publicNetworkAccess خاصية لتحديد ما إذا كان المخزن سيقبل نسبة استخدام الشبكة من الإنترنت العام. إذا تم تعيينه على "معطل" سيتم حظر كافة نسبة استخدام الشبكة باستثناء حركة مرور نقطة النهاية الخاصة والتي تنشأ من خدمات موثوق بها. سيؤدي هذا إلى تجاوز قواعد جدار الحماية المحددة، مما يعني أنه حتى إذا كانت قواعد جدار الحماية موجودة، فلن نحترم القواعد. خيط
سكو تفاصيل SKU Sku (مطلوب)
softDeleteRetentionInDays حذف أيام استبقاء البيانات. يقبل >=7 و <=90. الباحث
معرف المستأجر معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. سلسلة (مطلوب)

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri عنوان URI للمخزن لتنفيذ العمليات على المفاتيح والأسرار. خيط

نهج الوصول

اسم وصف قيمة
معرف التطبيق معرف التطبيق للعميل الذي يقدم طلبا نيابة عن كيان خيط

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
معرف الكائن معرف الكائن لمستخدم أو كيان خدمة أو مجموعة أمان في مستأجر Azure Active Directory للمخزن. يجب أن يكون معرف الكائن فريدا لقائمة نهج الوصول. سلسلة (مطلوب)
اذونات الأذونات التي تمتلكها الهوية للمفاتيح والأسرار والشهادات. أذونات (مطلوب)
معرف المستأجر معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. سلسلة (مطلوب)

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

اذونات

اسم وصف قيمة
الشهادات أذونات الشهادات صفيف سلسلة يحتوي على أي من:
'الكل'
"النسخ الاحتياطي"
"إنشاء"
"حذف"
'deleteissuers'
"الحصول"
'getissuers'
"استيراد"
"قائمة"
'listissuers'
'managecontacts'
"manageissuers"
"التطهير"
"استرداد"
"استعادة"
'setissuers'
"تحديث"
المفاتيح أذونات المفاتيح صفيف سلسلة يحتوي على أي من:
'الكل'
"النسخ الاحتياطي"
"إنشاء"
"فك التشفير"
"حذف"
"تشفير"
"الحصول"
"سياسة الاكتروبات"
"استيراد"
"قائمة"
"التطهير"
"استرداد"
"إصدار"
"استعادة"
"استدارة"
"نهج تعيين"
"توقيع"
'unwrapKey'
"تحديث"
"التحقق"
"wrapKey"
اسرار أذونات للبيانات السرية صفيف سلسلة يحتوي على أي من:
'الكل'
"النسخ الاحتياطي"
"حذف"
"الحصول"
"قائمة"
"التطهير"
"استرداد"
"استعادة"
"تعيين"
خزن أذونات لحسابات التخزين صفيف سلسلة يحتوي على أي من:
'الكل'
"النسخ الاحتياطي"
"حذف"
'deletesas'
"الحصول"
'getas'
"قائمة"
"قوائم"
"التطهير"
"استرداد"
"إعادة إنشاء مفتاح"
"استعادة"
"تعيين"
'مجموعات'
"تحديث"

NetworkRuleSet

اسم وصف قيمة
تجاوز يوضح حركة المرور التي يمكنها تجاوز قواعد الشبكة. يمكن أن يكون هذا "AzureServices" أو "None". إذا لم يتم تحديد الافتراضي هو "AzureServices". "AzureServices"
"بلا"
القيمة الافتراضية الإجراء الافتراضي عندما لا تتطابق أي قاعدة من ipRules ومن virtualNetworkRules. يتم استخدام هذا فقط بعد تقييم خاصية التجاوز. "السماح"
"رفض"
قواعد ip قائمة قواعد عنوان IP. IPRule []
قواعد الشبكة الظاهرية قائمة قواعد الشبكة الظاهرية. VirtualNetworkRule []

IPRule

اسم وصف قيمة
قيمة نطاق عناوين IPv4 في رمز CIDR، مثل '124.56.78.91' (عنوان IP بسيط) أو '124.56.78.0/24' (جميع العناوين التي تبدأ ب 124.56.78). سلسلة (مطلوب)

VirtualNetworkRule

اسم وصف قيمة
معرف معرف المورد الكامل لشبكة vnet الفرعية، مثل '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. سلسلة (مطلوب)
ignoreMissingVnetServiceEndpoint الخاصية لتحديد ما إذا كان NRP سيتجاهل التحقق مما إذا كانت الشبكة الفرعية الأصل تحتوي على نقاط نهاية الخدمة التي تم تكوينها. قيمة منطقية

سكو

اسم وصف قيمة
أسرة اسم عائلة SKU 'A' (مطلوب)
اسم اسم SKU لتحديد ما إذا كان مخزن المفاتيح هو مخزن قياسي أو مخزن متميز. 'premium'
'قياسي' (مطلوب)

قوالب التشغيل السريع

تنشر قوالب التشغيل السريع التالية نوع المورد هذا.

قالب وصف
نظام مجموعة AKS مع بوابة NAT وApplication Gateway

Deploy to Azure 		يوضح هذا النموذج كيفية نشر نظام مجموعة AKS مع بوابة NAT للاتصالات الصادرة وبوابة تطبيق للاتصالات الواردة.
إنشاء مجموعة AKS خاصة مع منطقة DNS عامة

Deploy to Azure 		يوضح هذا النموذج كيفية نشر نظام مجموعة AKS خاص مع منطقة DNS عامة.
نشر التحليلات الرياضية على تصميم Azure

Deploy to Azure 		إنشاء حساب تخزين Azure مع تمكين ADLS Gen 2، ومثيل Azure Data Factory مع خدمات مرتبطة لحساب التخزين (قاعدة بيانات Azure SQL إذا تم نشرها)، ومثيل Azure Databricks. سيتم منح هوية AAD للمستخدم الذي ينشر القالب والهوية المدارة لمثيل ADF دور Storage Blob Data Contributor على حساب التخزين. هناك أيضا خيارات لنشر مثيل Azure Key Vault وقاعدة بيانات Azure SQL ومركز أحداث Azure (لحالات استخدام البث). عند نشر Azure Key Vault، سيتم منح الهوية المدارة لمصنع البيانات وهوية AAD للمستخدم الذي ينشر القالب دور مستخدم Key Vault Secrets.
مساحة عمل التعلم الآلي من Azure

Deploy to Azure 		ينشئ هذا القالب مساحة عمل جديدة للتعلم الآلي من Azure، جنبا إلى جنب مع حساب تخزين مشفر، وKeyVault وتسجيل Applications Insights
إنشاء KeyVault

Deploy to Azure 		تنشئ هذه الوحدة مورد KeyVault مع apiVersion 2019-09-01.
إنشاء خدمة APIM باستخدام SSL من KeyVault

Deploy to Azure 		ينشر هذا القالب خدمة إدارة واجهة برمجة التطبيقات التي تم تكوينها باستخدام الهوية المعينة من قبل المستخدم. يستخدم هذه الهوية لإحضار شهادة SSL من KeyVault ويحافظ على تحديثها عن طريق التحقق كل 4 ساعات.
إنشاء تطبيق Dapr pub-sub servicebus باستخدام تطبيقات الحاوية

Deploy to Azure 		إنشاء تطبيق Dapr pub-sub servicebus باستخدام Container Apps.
ينشئ مجموعة Azure Stack HCI 23H2

Deploy to Azure 		ينشئ هذا القالب مجموعة Azure Stack HCI 23H2 باستخدام قالب ARM.
ينشئ مجموعة Azure Stack HCI 23H2

Deploy to Azure 		ينشئ هذا القالب مجموعة Azure Stack HCI 23H2 باستخدام قالب ARM، باستخدام عنوان IP للتخزين المخصص
يقوم بإنشاء نظام مجموعة Azure Stack HCI 23H2 في وضع الشبكات بدون ارتباط مزدوج

Deploy to Azure 		ينشئ هذا القالب مجموعة Azure Stack HCI 23H2 باستخدام قالب ARM.
ينشئ مجموعة Azure Stack HCI 23H2 في وضع شبكة Switchless-SingleLink

Deploy to Azure 		ينشئ هذا القالب مجموعة Azure Stack HCI 23H2 باستخدام قالب ARM.
إنشاء جهاز ظاهري جديد يعمل بنظام windows مشفر من صورة المعرض

Deploy to Azure 		ينشئ هذا القالب جهازا ظاهريا جديدا للنوافذ المشفرة باستخدام صورة معرض الخادم 2k12.
إنشاء أقراص مدارة مشفرة جديدة win-vm من صورة المعرض

Deploy to Azure 		ينشئ هذا القالب أقراصا مدارة مشفرة جديدة windows vm باستخدام صورة معرض الخادم 2k12.
يقوم هذا القالب بتشفير Windows VMSS قيد التشغيل

Deploy to Azure 		يتيح هذا القالب التشفير على مجموعة تحجيم Windows VM قيد التشغيل
تمكين التشفير على جهاز ظاهري يعمل بنظام Windows

Deploy to Azure 		يتيح هذا القالب التشفير على windows vm قيد التشغيل.
إنشاء Windows VMSS جديد وتشفيره باستخدام jumpbox

Deploy to Azure 		يسمح لك هذا القالب بنشر مجموعة تحجيم جهاز ظاهري بسيطة من أجهزة Windows الظاهرية باستخدام أحدث إصدار مصحح من إصدارات Windows الخادمية. ينشر هذا القالب أيضا مربع انتقال مع عنوان IP عام في نفس الشبكة الظاهرية. يمكنك الاتصال ب jumpbox عبر عنوان IP العام هذا، ثم الاتصال من هناك إلى الأجهزة الظاهرية في مجموعة المقياس عبر عناوين IP الخاصة. يتيح هذا القالب التشفير على مجموعة مقياس الجهاز الظاهري لأجهزة Windows الظاهرية.
إنشاء Azure Key Vault سري

Deploy to Azure 		ينشئ هذا القالب Azure Key Vault وسرا.
إنشاء Azure Key Vault باستخدام RBAC سري

Deploy to Azure 		ينشئ هذا القالب Azure Key Vault وسرا. بدلا من الاعتماد على نهج الوصول، فإنه يستفيد من Azure RBAC لإدارة التخويل على الأسرار
إنشاء key vault والهوية المدارة وتعيين الدور

Deploy to Azure 		ينشئ هذا القالب مخزن مفاتيح وهوية مدارة وتعيين دور.
الاتصال ب Key Vault عبر نقطة النهاية الخاصة

Deploy to Azure 		يوضح هذا النموذج كيفية استخدام تكوين شبكة ظاهرية ومنطقة DNS خاصة للوصول إلى Key Vault عبر نقطة النهاية الخاصة.
إنشاء Key Vault وقائمة أسرار

Deploy to Azure 		ينشئ هذا القالب Key Vault وقائمة من الأسرار داخل key vault كما تم تمريرها مع المعلمات
إنشاء Key Vault مع تمكين تسجيل الدخول

Deploy to Azure 		ينشئ هذا القالب Azure Key Vault وحساب Azure Storage المستخدم للتسجيل. يقوم اختياريا بإنشاء تأمينات الموارد لحماية Key Vault وموارد التخزين.
الإعداد الأساسي ل Azure الذكاء الاصطناعي Studio

Deploy to Azure 		توضح هذه المجموعة من القوالب كيفية إعداد Azure الذكاء الاصطناعي Studio مع الإعداد الأساسي، بمعنى تمكين الوصول العام إلى الإنترنت، والمفاتيح المدارة من قبل Microsoft للتشفير وتكوين الهوية المدارة من قبل Microsoft لمورد الذكاء الاصطناعي.
الإعداد الأساسي ل Azure الذكاء الاصطناعي Studio

Deploy to Azure 		توضح هذه المجموعة من القوالب كيفية إعداد Azure الذكاء الاصطناعي Studio مع الإعداد الأساسي، بمعنى تمكين الوصول العام إلى الإنترنت، والمفاتيح المدارة من قبل Microsoft للتشفير وتكوين الهوية المدارة من قبل Microsoft لمورد الذكاء الاصطناعي.
Azure الذكاء الاصطناعي Studio مع مصادقة معرف Microsoft Entra

Deploy to Azure 		توضح هذه المجموعة من القوالب كيفية إعداد Azure الذكاء الاصطناعي Studio باستخدام مصادقة معرف Microsoft Entra للموارد التابعة، مثل Azure الذكاء الاصطناعي Services وAzure Storage.
إنشاء مساحة عمل AML مع مجموعات بيانات متعددة & مخازن البيانات

Deploy to Azure 		ينشئ هذا القالب مساحة عمل التعلم الآلي من Azure مع مجموعات بيانات متعددة & مخازن البيانات.
الإعداد الآمن الشامل للتعلم الآلي من Azure

Deploy to Azure 		توضح هذه المجموعة من قوالب Bicep كيفية إعداد التعلم الآلي من Azure من طرف إلى طرف في إعداد آمن. يتضمن هذا التنفيذ المرجعي مساحة العمل، نظام مجموعة الحوسبة، مثيل الحوسبة، نظام مجموعة AKS الخاص المرفق.
الإعداد الآمن الشامل (القديم) للتعلم الآلي من Azure

Deploy to Azure 		توضح هذه المجموعة من قوالب Bicep كيفية إعداد التعلم الآلي من Azure من طرف إلى طرف في إعداد آمن. يتضمن هذا التنفيذ المرجعي مساحة العمل، نظام مجموعة الحوسبة، مثيل الحوسبة، نظام مجموعة AKS الخاص المرفق.
إنشاء هدف حساب AKS باستخدام عنوان IP خاص

Deploy to Azure 		ينشئ هذا القالب هدف حساب AKS في مساحة عمل خدمة التعلم الآلي من Azure مع عنوان IP خاص.
إنشاء مساحة عمل لخدمة التعلم الآلي من Azure

Deploy to Azure 		يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين الحد الأدنى من مجموعة الموارد التي تحتاجها للبدء في التعلم الآلي من Azure.
إنشاء مساحة عمل خدمة التعلم الآلي من Azure (CMK)

Deploy to Azure 		يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يوضح المثال كيفية تكوين التعلم الآلي من Azure للتشفير باستخدام مفتاح تشفير يديره العميل.
إنشاء مساحة عمل خدمة التعلم الآلي من Azure (CMK)

Deploy to Azure 		يحدد قالب النشر هذا كيفية إنشاء مساحة عمل التعلم الآلي من Azure باستخدام التشفير من جانب الخدمة باستخدام مفاتيح التشفير الخاصة بك.
إنشاء مساحة عمل خدمة التعلم الآلي من Azure (vnet)

Deploy to Azure 		يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين مجموعة الموارد التي تحتاجها للبدء في التعلم الآلي من Azure في إعداد شبكة معزولة.
إنشاء مساحة عمل خدمة التعلم الآلي من Azure (قديمة)

Deploy to Azure 		يحدد قالب النشر هذا مساحة عمل التعلم الآلي من Azure والموارد المقترنة بها بما في ذلك Azure Key Vault وAzure Storage وAzure Application Insights وAzure Container Registry. يصف هذا التكوين مجموعة الموارد التي تحتاجها للبدء في التعلم الآلي من Azure في إعداد شبكة معزولة.
نظام مجموعة AKS مع وحدة تحكم دخول بوابة التطبيق

Deploy to Azure 		يوضح هذا النموذج كيفية نشر مجموعة AKS مع Application Gateway ووحدة تحكم دخول بوابة التطبيق وسجل حاويات Azure وتحليلات السجل وKey Vault
إنشاء Application Gateway V2 باستخدام Key Vault

Deploy to Azure 		ينشر هذا القالب Application Gateway V2 في شبكة ظاهرية، وهوية معرفة من قبل المستخدم، وKey Vault، وسرية (بيانات الشهادة)، ونهج الوصول على Key Vault وApplication Gateway.
بيئة اختبار لجدار حماية Azure Premium

Deploy to Azure 		ينشئ هذا القالب Azure Firewall Premium ونهج جدار الحماية مع ميزات متميزة مثل Intrusion Inspection Detection (IDPS) وفحص TLS وتصفية فئة الويب
إنشاء مورد نقطة نهاية خاصة عبر المستأجرين

Deploy to Azure 		يسمح لك هذا القالب بإنشاء مورد نقطة نهاية Priavate داخل نفس البيئة أو عبر المستأجرين وإضافة تكوين منطقة dns.
إنشاء بوابة تطبيق باستخدام الشهادات

Deploy to Azure 		يوضح هذا القالب كيفية إنشاء شهادات موقعة ذاتيا في Key Vault، ثم الرجوع من بوابة التطبيق.
تشفير حساب تخزين Azure باستخدام المفتاح المدار بواسطة العميل

Deploy to Azure 		ينشر هذا القالب حساب تخزين بمفتاح يديره العميل للتشفير الذي يتم إنشاؤه ووضعه داخل Key Vault.
App Service Environment مع الخلفية ل Azure SQL

Deploy to Azure 		ينشئ هذا القالب بيئة خدمة التطبيقات مع خلفية Azure SQL جنبا إلى جنب مع نقاط النهاية الخاصة جنبا إلى جنب مع الموارد المقترنة المستخدمة عادة في بيئة خاصة/معزولة.
تطبيق Azure Function ووظيفة مشغلة من HTTP

Deploy to Azure 		ينشر هذا المثال تطبيق Azure Function ودالة مشغلة من HTTP مضمنة في القالب. كما أنه ينشر Key Vault ويملأ سرا بمفتاح مضيف تطبيق الوظائف.
Application Gateway مع إدارة واجهة برمجة التطبيقات الداخلية وتطبيق الويب

Deploy to Azure 		توجيه حركة مرور الإنترنت لبوابة التطبيق إلى مثيل APIM للشبكة الظاهرية (الوضع الداخلي) الذي يقوم بخدمات واجهة برمجة تطبيقات الويب المستضافة في Azure Web App.

تعريف مورد Terraform (موفر AzAPI)

يمكن نشر نوع مورد الخزائن مع العمليات التي تستهدف:

  • مجموعات الموارد

للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير .

تنسيق المورد

لإنشاء مورد Microsoft.KeyVault/vaults، أضف Terraform التالي إلى القالب الخاص بك.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2023-07-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      publicNetworkAccess = "string"
      sku = {
        family = "A"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

قيم الخصائص

خزائن

اسم وصف قيمة
نوع نوع المورد "Microsoft.KeyVault/vaults@2023-07-01"
اسم اسم المورد سلسلة (مطلوب)

حد الحرف: 3-24

الأحرف الصالحة:
الأبجدية الرقمية والواصلات.

ابدأ بالحرف. ينتهي بحرف أو رقم. لا يمكن أن يحتوي على واصلات متتالية.

يجب أن يكون اسم المورد فريدا عبر Azure.
مكان موقع Azure المدعوم حيث يجب إنشاء مخزن المفاتيح. سلسلة (مطلوب)
parent_id للنشر إلى مجموعة موارد، استخدم معرف مجموعة الموارد هذه. سلسلة (مطلوب)
العلامات العلامات التي سيتم تعيينها إلى مخزن المفاتيح. قاموس أسماء العلامات والقيم.
خصائص خصائص المخزن VaultProperties (مطلوب)

خصائص Vault

اسم وصف قيمة
نهج الوصول صفيف من 0 إلى 1024 هوية لديها حق الوصول إلى مخزن المفاتيح. يجب أن تستخدم جميع الهويات في الصفيف نفس معرف المستأجر كمعرف مستأجر مخزن المفاتيح. عند تعيين createMode إلى recover، لا تكون نهج الوصول مطلوبة. وإلا، فإن نهج الوصول مطلوبة. AccessPolicyEntry[]
createMode وضع إنشاء المخزن للإشارة إلى ما إذا كان المخزن بحاجة إلى استرداد أم لا. "افتراضي"
"استرداد"
enabledForDeployment خاصية لتحديد ما إذا كان يسمح لأجهزة Azure الظاهرية باسترداد الشهادات المخزنة كأسرار من مخزن المفاتيح. قيمة منطقية
enabledForDiskEncryption خاصية لتحديد ما إذا كان يسمح لتشفير قرص Azure باسترداد الأسرار من المخزن وفك المفاتيح. قيمة منطقية
enabledForTemplateDeployment خاصية لتحديد ما إذا كان يسمح ل Azure Resource Manager باسترداد الأسرار من مخزن المفاتيح. قيمة منطقية
تمكين الحماية من الأغراض خاصية تحدد ما إذا كان يتم تمكين الحماية من التطهير لهذا المخزن. يؤدي تعيين هذه الخاصية إلى true إلى تنشيط الحماية من التطهير لهذا المخزن ومحتواه - قد تبدأ خدمة Key Vault فقط عملية حذف صعبة وغير قابلة للاسترداد. يكون الإعداد فعالا فقط إذا تم تمكين الحذف المبدئي أيضا. تمكين هذه الوظيفة لا رجعة فيه - أي أن الخاصية لا تقبل خطأ كقيمة لها. قيمة منطقية
enableRbacAuthorization الخاصية التي تتحكم في كيفية تفويض إجراءات البيانات. عندما يكون صحيحا، سيستخدم مخزن المفاتيح التحكم في الوصول المستند إلى الدور (RBAC) لتخويل إجراءات البيانات، وسيتم تجاهل نهج الوصول المحددة في خصائص المخزن. عند خطأ، سيستخدم مخزن المفاتيح نهج الوصول المحددة في خصائص المخزن، وسيتم تجاهل أي نهج مخزن على Azure Resource Manager. إذا كانت قيمة فارغة أو غير محددة، يتم إنشاء المخزن بالقيمة الافتراضية false. لاحظ أن إجراءات الإدارة مخولة دائما مع RBAC. قيمة منطقية
تمكين MicrosoftDelete خاصية لتحديد ما إذا كانت وظيفة "الحذف المبدئي" ممكنة لمخزن المفاتيح هذا. إذا لم يتم تعيينه إلى أي قيمة (صواب أو خطأ) عند إنشاء مخزن مفاتيح جديد، تعيينه إلى true بشكل افتراضي. بمجرد التعيين إلى صحيح، لا يمكن إرجاعه إلى خطأ. قيمة منطقية
networkAcls القواعد التي تحكم إمكانية وصول ذوي الاحتياجات الخاصة إلى key vault من مواقع شبكة معينة. NetworkRuleSet
حالة التوفير حالة توفير المخزن. "RegisteringDns"
"تم النجاح"
publicNetworkAccess خاصية لتحديد ما إذا كان المخزن سيقبل نسبة استخدام الشبكة من الإنترنت العام. إذا تم تعيينه على "معطل" سيتم حظر كافة نسبة استخدام الشبكة باستثناء حركة مرور نقطة النهاية الخاصة والتي تنشأ من خدمات موثوق بها. سيؤدي هذا إلى تجاوز قواعد جدار الحماية المحددة، مما يعني أنه حتى إذا كانت قواعد جدار الحماية موجودة، فلن نحترم القواعد. خيط
سكو تفاصيل SKU Sku (مطلوب)
softDeleteRetentionInDays حذف أيام استبقاء البيانات. يقبل >=7 و <=90. الباحث
معرف المستأجر معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. سلسلة (مطلوب)

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri عنوان URI للمخزن لتنفيذ العمليات على المفاتيح والأسرار. خيط

نهج الوصول

اسم وصف قيمة
معرف التطبيق معرف التطبيق للعميل الذي يقدم طلبا نيابة عن كيان خيط

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
معرف الكائن معرف الكائن لمستخدم أو كيان خدمة أو مجموعة أمان في مستأجر Azure Active Directory للمخزن. يجب أن يكون معرف الكائن فريدا لقائمة نهج الوصول. سلسلة (مطلوب)
اذونات الأذونات التي تمتلكها الهوية للمفاتيح والأسرار والشهادات. أذونات (مطلوب)
معرف المستأجر معرف مستأجر Azure Active Directory الذي يجب استخدامه لمصادقة الطلبات إلى مخزن المفاتيح. سلسلة (مطلوب)

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

اذونات

اسم وصف قيمة
الشهادات أذونات الشهادات صفيف سلسلة يحتوي على أي من:
"الكل"
"النسخ الاحتياطي"
"إنشاء"
"حذف"
"deleteissuers"
"الحصول على"
"getissuers"
"استيراد"
"قائمة"
"listissuers"
"managecontacts"
"manageissuers"
"إزالة"
"استرداد"
"استعادة"
"setissuers"
"تحديث"
المفاتيح أذونات المفاتيح صفيف سلسلة يحتوي على أي من:
"الكل"
"النسخ الاحتياطي"
"إنشاء"
"فك التشفير"
"حذف"
"تشفير"
"الحصول على"
"سياسة الحصول على"
"استيراد"
"قائمة"
"إزالة"
"استرداد"
"إصدار"
"استعادة"
"استدارة"
"setrotationpolicy"
"توقيع"
"unwrapKey"
"تحديث"
"التحقق"
"wrapKey"
اسرار أذونات للبيانات السرية صفيف سلسلة يحتوي على أي من:
"الكل"
"النسخ الاحتياطي"
"حذف"
"الحصول على"
"قائمة"
"إزالة"
"استرداد"
"استعادة"
"تعيين"
خزن أذونات لحسابات التخزين صفيف سلسلة يحتوي على أي من:
"الكل"
"النسخ الاحتياطي"
"حذف"
"deletesas"
"الحصول على"
"getas"
"قائمة"
"listsas"
"إزالة"
"استرداد"
"إعادة إنشاء مفتاح"
"استعادة"
"تعيين"
"setsas"
"تحديث"

NetworkRuleSet

اسم وصف قيمة
تجاوز يوضح حركة المرور التي يمكنها تجاوز قواعد الشبكة. يمكن أن يكون هذا "AzureServices" أو "None". إذا لم يتم تحديد الافتراضي هو "AzureServices". "AzureServices"
"بلا"
القيمة الافتراضية الإجراء الافتراضي عندما لا تتطابق أي قاعدة من ipRules ومن virtualNetworkRules. يتم استخدام هذا فقط بعد تقييم خاصية التجاوز. "السماح"
"رفض"
قواعد ip قائمة قواعد عنوان IP. IPRule []
قواعد الشبكة الظاهرية قائمة قواعد الشبكة الظاهرية. VirtualNetworkRule []

IPRule

اسم وصف قيمة
قيمة نطاق عناوين IPv4 في رمز CIDR، مثل '124.56.78.91' (عنوان IP بسيط) أو '124.56.78.0/24' (جميع العناوين التي تبدأ ب 124.56.78). سلسلة (مطلوب)

VirtualNetworkRule

اسم وصف قيمة
معرف معرف المورد الكامل لشبكة vnet الفرعية، مثل '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. سلسلة (مطلوب)
ignoreMissingVnetServiceEndpoint الخاصية لتحديد ما إذا كان NRP سيتجاهل التحقق مما إذا كانت الشبكة الفرعية الأصل تحتوي على نقاط نهاية الخدمة التي تم تكوينها. قيمة منطقية

سكو

اسم وصف قيمة
أسرة اسم عائلة SKU "A" (مطلوب)
اسم اسم SKU لتحديد ما إذا كان مخزن المفاتيح هو مخزن قياسي أو مخزن متميز. "premium"
"قياسي" (مطلوب)