Trezory Služby Microsoft.KeyVault
- nejnovější
-
2023-07-01 - 2023-02-01
- 11. 11. 2022
-
2022-07-07 -
2022-022-01-preview -
11. 11. 2021 ve verzi Preview - 10. 10. 2021
-
2021-06-01-preview -
2021-04-01-preview -
2020-04-01-preview -
2019-09-09 - 2018-02-14
-
2018-02-14-preview - 10. 10. 2016
-
06.06.2015
Definice prostředku Bicep
Typ prostředku trezorů je možné nasadit s operacemi, které cílí:
- skupiny prostředků – viz příkazy nasazení skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Poznámky
Pokyny k používání trezorů klíčů pro zabezpečené hodnoty najdete v tématu Správa tajných kódů pomocíBicep .
Rychlý start k vytvoření tajného kódu najdete v tématu Rychlý start: Nastavení a načtení tajného kódu ze služby Azure Key Vault pomocí šablony ARM.
Rychlý start k vytvoření klíče najdete v tématu Rychlý start: Vytvoření trezoru klíčů Azure a klíče pomocí šablony ARM.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující bicep.
resource symbolicname 'Microsoft.KeyVault/vaults@2023-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Hodnoty vlastností
trezory
| Jméno | Popis | Hodnota |
|---|---|---|
| Jméno | Název prostředku | string (povinné) Limit znaků: 3–24 Platné znaky: Alfanumerické znaky a spojovníky Začněte písmenem. Končí písmenem nebo číslicí. Nemůže obsahovat po sobě jdoucí pomlčky. Název prostředku musí být v Rámci Azure jedinečný. |
| umístění | Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. | string (povinné) |
| visačky | Značky, které budou přiřazeny k trezoru klíčů. | Slovník názvů a hodnot značek Viz Značky v šablonách |
| vlastnosti | Vlastnosti trezoru | VaultProperties (povinné) |
VaultProperties
| Jméno | Popis | Hodnota |
|---|---|---|
| accessPolicies | Pole 0 až 1024 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. Pokud je createMode nastavená na recover, zásady přístupu se nevyžadují. V opačném případě se vyžadují zásady přístupu. |
AccessPolicyEntry[] |
| createMode | Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. | Výchozí "obnovit" |
| enabledForDeployment | Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. | Bool |
| enabledForDiskEncryption | Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. | Bool |
| enabledForTemplateDeployment | Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. | Bool |
| enablePurgeProtection | Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. | Bool |
| enableRbacAuthorization | Vlastnost, která určuje, jak jsou akce dat autorizované. Pokud je hodnota true, trezor klíčů použije řízení přístupu na základě role (RBAC) k autorizaci akcí dat a zásady přístupu zadané ve vlastnostech trezoru budou ignorovány. Pokud je hodnota false, trezor klíčů použije zásady přístupu zadané ve vlastnostech trezoru a všechny zásady uložené v Azure Resource Manageru se budou ignorovat. Pokud není zadána hodnota null nebo není zadána, trezor se vytvoří s výchozí hodnotou false. Mějte na paměti, že akce správy jsou vždy autorizované pomocí RBAC. | Bool |
| enableSoftDelete | Vlastnost určující, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Pokud při vytváření nového trezoru klíčů není nastavená na žádnou hodnotu (true nebo false), nastaví se ve výchozím nastavení na hodnotu True. Jakmile nastavíte hodnotu true, nedá se vrátit na hodnotu false. | Bool |
| networkAcls | Pravidla, která řídí přístupnost trezoru klíčů z konkrétních síťových umístění. | NetworkRuleSet |
| provisioningState | Stav zřizování trezoru | RegisteringDns Úspěch |
| publicNetworkAccess | Vlastnost určující, zda trezor bude přijímat provoz z veřejného internetu. Pokud je nastavená možnost Zakázat veškerý provoz s výjimkou provozu privátního koncového bodu a který pochází z důvěryhodných služeb, bude blokovaný. Tím se přepíše nastavená pravidla brány firewall, což znamená, že i když jsou pravidla brány firewall k dispozici, nebudeme dodržovat pravidla. | řetězec |
| sku | Podrobnosti skladové položky | skladové položky (povinné) |
| softDeleteRetentionInDays | softDelete data retention days. Přijímá >=7 a <=90. | Int |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. | řetězec |
AccessPolicyEntry
| Jméno | Popis | Hodnota |
|---|---|---|
| applicationId | ID aplikace klienta provádějícího žádost jménem objektu zabezpečení | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. | string (povinné) |
| dovolení | Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty | oprávnění (povinné) |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Dovolení
| Jméno | Popis | Hodnota |
|---|---|---|
| certifikáty | Oprávnění k certifikátům | Řetězcové pole obsahující některou z těchto možností: "all" (vše) "zálohování" Vytvořit Odstranit Deleteissuers "get" Getissuers Import 'list' 'listissuers' 'managecontacts' Manageissuers "Vyprázdnit" "obnovit" "restore" "setissuers" "update" |
| klíče | Oprávnění ke klíčům | Řetězcové pole obsahující některou z těchto možností: "all" (vše) "zálohování" Vytvořit Dešifrování Odstranit Šifrovat "get" Getrotationpolicy Import 'list' "Vyprázdnit" "obnovit" "release" "restore" "otočit" Setrotationpolicy "sign" (znaménko) UnwrapKey "update" "verify" (ověřit) WrapKey |
| tajemství | Oprávnění k tajným kódům | Řetězcové pole obsahující některou z těchto možností: "all" (vše) "zálohování" Odstranit "get" 'list' "Vyprázdnit" "obnovit" "restore" 'set' |
| skladování | Oprávnění k účtům úložiště | Řetězcové pole obsahující některou z těchto možností: "all" (vše) "zálohování" Odstranit Deletesas "get" "getsas" 'list' "listsas" "Vyprázdnit" "obnovit" Znovu vygenerovat klíč "restore" 'set' 'setsas' "update" |
NetworkRuleSet
| Jméno | Popis | Hodnota |
|---|---|---|
| obejít | Udává, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud nezadáte výchozí hodnotu AzureServices. | AzureServices None (Žádný) |
| defaultAction | Výchozí akce, pokud se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Tento parametr se použije až po vyhodnocení vlastnosti bypass. | Povolit "Odepřít" |
| IpRules | Seznam pravidel IP adres. | IPRule [] |
| VirtualNetworkRules | Seznam pravidel virtuální sítě | VirtualNetworkRule[] |
IpRule
| Jméno | Popis | Hodnota |
|---|---|---|
| hodnota | Rozsah adres IPv4 v zápisu CIDR, například 124.56.78.91 (jednoduchá IP adresa) nebo 124.56.78.0/24 (všechny adresy začínající 124.56.78). | string (povinné) |
VirtualNetworkRule
| Jméno | Popis | Hodnota |
|---|---|---|
| id | Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. | string (povinné) |
| ignoreMissingVnetServiceEndpoint | Vlastnost určující, jestli NRP bude ignorovat kontrolu, jestli má nadřazená podsíť nakonfigurované body serviceEndpoints. | Bool |
Sku
| Jméno | Popis | Hodnota |
|---|---|---|
| Rodina | Jméno rodiny skladové položky | "A" (povinné) |
| Jméno | Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. | Premium "standard" (povinné) |
Šablony pro rychlý start
Následující šablony pro rychlý start nasazují tento typ prostředku.
| Šablona | Popis |
|---|---|
|
clusterU AKS se službou NAT Gateway a služby Application Gateway nasazení  |
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a službu Application Gateway pro příchozí připojení. |
|
vytvoření privátního clusteru AKS s veřejnou zónou DNS nasazení |
Tato ukázka ukazuje, jak nasadit privátní cluster AKS s veřejnou zónou DNS. |
|
nasazení analýzy sportů v architektuře Azure nasazení |
Vytvoří účet úložiště Azure s povoleným ADLS Gen2, instancí služby Azure Data Factory s propojenými službami pro účet úložiště (pokud je nasazená služba Azure SQL Database) a instancí Azure Databricks. Identita AAD pro uživatele, který nasazuje šablonu, a spravovanou identitu instance ADF se udělí roli Přispěvatel dat objektů blob služby Storage v účtu úložiště. K dispozici jsou také možnosti nasazení instance služby Azure Key Vault, Azure SQL Database a centra událostí Azure (pro případy použití streamování). Po nasazení služby Azure Key Vault se spravované identitě datové továrny a identitě AAD pro uživatele, který šablonu nasazuje, udělí roli uživatele tajných kódů služby Key Vault. |
|
pracovního prostoru Azure Machine Learning nasazení |
Tato šablona vytvoří nový pracovní prostor služby Azure Machine Learning společně s šifrovaným účtem úložiště, službou KeyVault a protokolováním Application Insights. |
|
vytvoření služby KeyVault nasazení |
Tento modul vytvoří prostředek KeyVault s apiVersion 2019-09-01. |
|
vytvoření služby API Management s protokolem SSL ze služby KeyVault nasazení |
Tato šablona nasadí službu API Management nakonfigurovanou s identitou přiřazenou uživatelem. Tato identita používá k načtení certifikátu SSL ze služby KeyVault a udržuje ji aktualizovanou kontrolou každých 4 hodin. |
|
vytvoří aplikaci Dapr pub-sub servicebus pomocí služby Container Apps nasazení |
Vytvořte aplikaci Dapr pub-sub servicebus pomocí Container Apps. |
|
vytvoří cluster Azure Stack HCI 23H2 nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
|
vytvoří cluster Azure Stack HCI 23H2 nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM pomocí vlastní IP adresy úložiště. |
|
vytvoří cluster Azure Stack HCI 23H2 v bezpínacím režimu sítě s duálním propojením nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
|
vytvoří cluster Azure Stack HCI 23H2 v Switchless-SingleLink síťovém režimu nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
|
Vytvoření nového šifrovaného virtuálního počítače s Windows z image galerie nasazení |
Tato šablona vytvoří nový šifrovaný virtuální počítač s Windows pomocí image galerie serveru 2k12. |
|
Vytvoření nových šifrovaných spravovaných disků win-vm z image galerie nasazení |
Tato šablona vytvoří nový šifrovaný virtuální počítač se spravovanými disky s Windows pomocí image galerie serveru 2k12. |
|
Tato šablona šifruje spuštěnou VMSS s Windows. nasazení |
Tato šablona umožňuje šifrování na spuštěné škálovací sadě virtuálních počítačů s Windows. |
|
Povolení šifrování na spuštěném virtuálním počítači s Windows nasazení |
Tato šablona umožňuje šifrování na spuštěném virtuálním počítači s Windows. |
|
Vytvoření a šifrování nové sady VMSS s Windows pomocí jumpboxu nasazení |
Tato šablona umožňuje nasadit jednoduchou škálovací sadu virtuálních počítačů s Windows pomocí nejnovější opravené verze serverových verzí Windows. Tato šablona také nasadí jumpbox s veřejnou IP adresou ve stejné virtuální síti. K jumpboxu se můžete připojit přes tuto veřejnou IP adresu a pak se odtud připojit k virtuálním počítačům ve škálovací sadě prostřednictvím privátních IP adres. Tato šablona umožňuje šifrování na škálovací sadě virtuálních počítačů s Windows. |
|
vytvoření služby Azure Key Vault a tajného kódu nasazení |
Tato šablona vytvoří službu Azure Key Vault a tajný klíč. |
|
vytvoření služby Azure Key Vault pomocí RBAC a tajného nasazení |
Tato šablona vytvoří službu Azure Key Vault a tajný klíč. Místo spoléhání na zásady přístupu využívá Azure RBAC ke správě autorizace tajných kódů. |
|
vytvoření trezoru klíčů, spravované identity a přiřazení rolí nasazení |
Tato šablona vytvoří trezor klíčů, spravovanou identitu a přiřazení role. |
|
připojení ke službě Key Vault prostřednictvím privátního koncového bodu nasazení |
Tato ukázka ukazuje, jak použít konfiguraci virtuální sítě a privátní zóny DNS pro přístup ke službě Key Vault prostřednictvím privátního koncového bodu. |
|
Vytvoření služby Key Vault a seznam tajných kódů nasazení |
Tato šablona vytvoří službu Key Vault a seznam tajných kódů v trezoru klíčů, jak je předáno, spolu s parametry. |
|
vytvoření služby Key Vault s povoleným protokolováním nasazení |
Tato šablona vytvoří službu Azure Key Vault a účet služby Azure Storage, který se používá k protokolování. Volitelně vytvoří zámky prostředků pro ochranu prostředků služby Key Vault a prostředků úložiště. |
|
základní nastavení sady Azure AI Studio nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
|
základní nastavení sady Azure AI Studio nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
|
Azure AI Studio s ověřováním Microsoft Entra ID nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio s ověřováním Microsoft Entra ID pro závislé prostředky, jako jsou služby Azure AI a Azure Storage. |
|
vytvoření pracovního prostoru AML s více datovými sadami & úložiště dat nasazení |
Tato šablona vytvoří pracovní prostor Azure Machine Learning s více datovými sadami & úložišti dat. |
|
komplexní nastavení služby Azure Machine Learning nasazení |
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
|
kompletního zabezpečeného nastavení služby Azure Machine Learning (starší verze) nasazení |
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
|
Vytvoření cílového výpočetního objektu AKS s privátní IP adresou nasazení |
Tato šablona vytvoří cílový výpočetní objekt AKS v daném pracovním prostoru služby Azure Machine Learning s privátní IP adresou. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje minimální sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Příklad ukazuje, jak nakonfigurovat Službu Azure Machine Learning pro šifrování pomocí šifrovacího klíče spravovaného zákazníkem. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) nasazení |
Tato šablona nasazení určuje, jak vytvořit pracovní prostor Azure Machine Learning s šifrováním na straně služby pomocí šifrovacích klíčů. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service (virtuální síť) nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti. |
|
Vytvoření pracovního prostoru služby Azure Machine Learning Service (starší verze) nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti. |
|
clusterU AKS s kontrolerem příchozího přenosu dat služby Application Gateway nasazení |
Tato ukázka ukazuje, jak nasadit cluster AKS se službou Application Gateway, kontrolerem příchozího přenosu dat služby Application Gateway, službou Azure Container Registry, Log Analytics a službou Key Vault. |
|
vytvoření služby Application Gateway V2 se službou Key Vault nasazení |
Tato šablona nasadí službu Application Gateway V2 ve virtuální síti, identitu definovanou uživatelem, službu Key Vault, tajný klíč (data certifikátu) a zásadu přístupu ve službě Key Vault a službě Application Gateway. |
|
Testovací prostředí pro službu Azure Firewall Premium nasazení |
Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
|
vytvoří prostředek privátního koncového bodu mezi tenanty nasazení |
Tato šablona umožňuje vytvořit prostředek koncového bodu Priavate ve stejném prostředí nebo v prostředí mezi tenanty a přidat konfiguraci zóny DNS. |
|
vytvoření služby Application Gateway s certifikáty nasazení |
Tato šablona ukazuje, jak vygenerovat certifikáty podepsané svým držitelem služby Key Vault a pak odkazovat ze služby Application Gateway. |
|
šifrování účtu služby Azure Storage s využitím klíče spravovaného zákazníkem nasazení |
Tato šablona nasadí účet úložiště s klíčem spravovaným zákazníkem pro šifrování, které se vygeneruje a umístí do služby Key Vault. |
|
App Service Environment s back-endovým Azure SQL nasazení |
Tato šablona vytvoří službu App Service Environment s back-endem Azure SQL spolu s privátními koncovými body spolu s přidruženými prostředky, které se obvykle používají v privátním nebo izolovaném prostředí. |
|
aplikaci Funkcí Azure a funkci aktivovanou protokolem HTTP nasazení |
Tento příklad nasadí aplikaci Funkcí Azure a vloženou funkci aktivovanou protokolem HTTP v šabloně. Nasadí také službu Key Vault a naplní tajný kód klíčem hostitele aplikace funkcí. |
|
Application Gateway s interní službou API Management a webovou aplikací nasazení |
Služba Application Gateway směruje internetový provoz do instance služby API Management (interní režim), která obsluhuje webové rozhraní API hostované ve webové aplikaci Azure. |
Definice prostředku šablony ARM
Typ prostředku trezorů je možné nasadit s operacemi, které cílí:
- skupiny prostředků – viz příkazy nasazení skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Poznámky
Pokyny k používání trezorů klíčů pro zabezpečené hodnoty najdete v tématu Správa tajných kódů pomocíBicep .
Rychlý start k vytvoření tajného kódu najdete v tématu Rychlý start: Nastavení a načtení tajného kódu ze služby Azure Key Vault pomocí šablony ARM.
Rychlý start k vytvoření klíče najdete v tématu Rychlý start: Vytvoření trezoru klíčů Azure a klíče pomocí šablony ARM.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující JSON.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Hodnoty vlastností
trezory
| Jméno | Popis | Hodnota |
|---|---|---|
| typ | Typ prostředku | Microsoft.KeyVault/vaults |
| apiVersion | Verze rozhraní API prostředku | '2023-07-01' |
| Jméno | Název prostředku | string (povinné) Limit znaků: 3–24 Platné znaky: Alfanumerické znaky a spojovníky Začněte písmenem. Končí písmenem nebo číslicí. Nemůže obsahovat po sobě jdoucí pomlčky. Název prostředku musí být v Rámci Azure jedinečný. |
| umístění | Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. | string (povinné) |
| visačky | Značky, které budou přiřazeny k trezoru klíčů. | Slovník názvů a hodnot značek Viz Značky v šablonách |
| vlastnosti | Vlastnosti trezoru | VaultProperties (povinné) |
VaultProperties
| Jméno | Popis | Hodnota |
|---|---|---|
| accessPolicies | Pole 0 až 1024 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. Pokud je createMode nastavená na recover, zásady přístupu se nevyžadují. V opačném případě se vyžadují zásady přístupu. |
AccessPolicyEntry[] |
| createMode | Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. | Výchozí "obnovit" |
| enabledForDeployment | Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. | Bool |
| enabledForDiskEncryption | Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. | Bool |
| enabledForTemplateDeployment | Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. | Bool |
| enablePurgeProtection | Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. | Bool |
| enableRbacAuthorization | Vlastnost, která určuje, jak jsou akce dat autorizované. Pokud je hodnota true, trezor klíčů použije řízení přístupu na základě role (RBAC) k autorizaci akcí dat a zásady přístupu zadané ve vlastnostech trezoru budou ignorovány. Pokud je hodnota false, trezor klíčů použije zásady přístupu zadané ve vlastnostech trezoru a všechny zásady uložené v Azure Resource Manageru se budou ignorovat. Pokud není zadána hodnota null nebo není zadána, trezor se vytvoří s výchozí hodnotou false. Mějte na paměti, že akce správy jsou vždy autorizované pomocí RBAC. | Bool |
| enableSoftDelete | Vlastnost určující, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Pokud při vytváření nového trezoru klíčů není nastavená na žádnou hodnotu (true nebo false), nastaví se ve výchozím nastavení na hodnotu True. Jakmile nastavíte hodnotu true, nedá se vrátit na hodnotu false. | Bool |
| networkAcls | Pravidla, která řídí přístupnost trezoru klíčů z konkrétních síťových umístění. | NetworkRuleSet |
| provisioningState | Stav zřizování trezoru | RegisteringDns Úspěch |
| publicNetworkAccess | Vlastnost určující, zda trezor bude přijímat provoz z veřejného internetu. Pokud je nastavená možnost Zakázat veškerý provoz s výjimkou provozu privátního koncového bodu a který pochází z důvěryhodných služeb, bude blokovaný. Tím se přepíše nastavená pravidla brány firewall, což znamená, že i když jsou pravidla brány firewall k dispozici, nebudeme dodržovat pravidla. | řetězec |
| sku | Podrobnosti skladové položky | skladové položky (povinné) |
| softDeleteRetentionInDays | softDelete data retention days. Přijímá >=7 a <=90. | Int |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. | řetězec |
AccessPolicyEntry
| Jméno | Popis | Hodnota |
|---|---|---|
| applicationId | ID aplikace klienta provádějícího žádost jménem objektu zabezpečení | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. | string (povinné) |
| dovolení | Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty | oprávnění (povinné) |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Dovolení
| Jméno | Popis | Hodnota |
|---|---|---|
| certifikáty | Oprávnění k certifikátům | Řetězcové pole obsahující některou z těchto možností: "all" (vše) "zálohování" Vytvořit Odstranit Deleteissuers "get" Getissuers Import 'list' 'listissuers' 'managecontacts' Manageissuers "Vyprázdnit" "obnovit" "restore" "setissuers" "update" |
| klíče | Oprávnění ke klíčům | Řetězcové pole obsahující některou z těchto možností: "all" (vše) "zálohování" Vytvořit Dešifrování Odstranit Šifrovat "get" Getrotationpolicy Import 'list' "Vyprázdnit" "obnovit" "release" "restore" "otočit" Setrotationpolicy "sign" (znaménko) UnwrapKey "update" "verify" (ověřit) WrapKey |
| tajemství | Oprávnění k tajným kódům | Řetězcové pole obsahující některou z těchto možností: "all" (vše) "zálohování" Odstranit "get" 'list' "Vyprázdnit" "obnovit" "restore" 'set' |
| skladování | Oprávnění k účtům úložiště | Řetězcové pole obsahující některou z těchto možností: "all" (vše) "zálohování" Odstranit Deletesas "get" "getsas" 'list' "listsas" "Vyprázdnit" "obnovit" Znovu vygenerovat klíč "restore" 'set' 'setsas' "update" |
NetworkRuleSet
| Jméno | Popis | Hodnota |
|---|---|---|
| obejít | Udává, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud nezadáte výchozí hodnotu AzureServices. | AzureServices None (Žádný) |
| defaultAction | Výchozí akce, pokud se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Tento parametr se použije až po vyhodnocení vlastnosti bypass. | Povolit "Odepřít" |
| IpRules | Seznam pravidel IP adres. | IPRule [] |
| VirtualNetworkRules | Seznam pravidel virtuální sítě | VirtualNetworkRule[] |
IpRule
| Jméno | Popis | Hodnota |
|---|---|---|
| hodnota | Rozsah adres IPv4 v zápisu CIDR, například 124.56.78.91 (jednoduchá IP adresa) nebo 124.56.78.0/24 (všechny adresy začínající 124.56.78). | string (povinné) |
VirtualNetworkRule
| Jméno | Popis | Hodnota |
|---|---|---|
| id | Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. | string (povinné) |
| ignoreMissingVnetServiceEndpoint | Vlastnost určující, jestli NRP bude ignorovat kontrolu, jestli má nadřazená podsíť nakonfigurované body serviceEndpoints. | Bool |
Sku
| Jméno | Popis | Hodnota |
|---|---|---|
| Rodina | Jméno rodiny skladové položky | "A" (povinné) |
| Jméno | Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. | Premium "standard" (povinné) |
Šablony pro rychlý start
Následující šablony pro rychlý start nasazují tento typ prostředku.
| Šablona | Popis |
|---|---|
|
clusterU AKS se službou NAT Gateway a služby Application Gateway nasazení |
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a službu Application Gateway pro příchozí připojení. |
|
vytvoření privátního clusteru AKS s veřejnou zónou DNS nasazení |
Tato ukázka ukazuje, jak nasadit privátní cluster AKS s veřejnou zónou DNS. |
|
nasazení analýzy sportů v architektuře Azure nasazení |
Vytvoří účet úložiště Azure s povoleným ADLS Gen2, instancí služby Azure Data Factory s propojenými službami pro účet úložiště (pokud je nasazená služba Azure SQL Database) a instancí Azure Databricks. Identita AAD pro uživatele, který nasazuje šablonu, a spravovanou identitu instance ADF se udělí roli Přispěvatel dat objektů blob služby Storage v účtu úložiště. K dispozici jsou také možnosti nasazení instance služby Azure Key Vault, Azure SQL Database a centra událostí Azure (pro případy použití streamování). Po nasazení služby Azure Key Vault se spravované identitě datové továrny a identitě AAD pro uživatele, který šablonu nasazuje, udělí roli uživatele tajných kódů služby Key Vault. |
|
pracovního prostoru Azure Machine Learning nasazení |
Tato šablona vytvoří nový pracovní prostor služby Azure Machine Learning společně s šifrovaným účtem úložiště, službou KeyVault a protokolováním Application Insights. |
|
vytvoření služby KeyVault nasazení |
Tento modul vytvoří prostředek KeyVault s apiVersion 2019-09-01. |
|
vytvoření služby API Management s protokolem SSL ze služby KeyVault nasazení |
Tato šablona nasadí službu API Management nakonfigurovanou s identitou přiřazenou uživatelem. Tato identita používá k načtení certifikátu SSL ze služby KeyVault a udržuje ji aktualizovanou kontrolou každých 4 hodin. |
|
vytvoří aplikaci Dapr pub-sub servicebus pomocí služby Container Apps nasazení |
Vytvořte aplikaci Dapr pub-sub servicebus pomocí Container Apps. |
|
vytvoří cluster Azure Stack HCI 23H2 nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
|
vytvoří cluster Azure Stack HCI 23H2 nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM pomocí vlastní IP adresy úložiště. |
|
vytvoří cluster Azure Stack HCI 23H2 v bezpínacím režimu sítě s duálním propojením nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
|
vytvoří cluster Azure Stack HCI 23H2 v Switchless-SingleLink síťovém režimu nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
|
Vytvoření nového šifrovaného virtuálního počítače s Windows z image galerie nasazení |
Tato šablona vytvoří nový šifrovaný virtuální počítač s Windows pomocí image galerie serveru 2k12. |
|
Vytvoření nových šifrovaných spravovaných disků win-vm z image galerie nasazení |
Tato šablona vytvoří nový šifrovaný virtuální počítač se spravovanými disky s Windows pomocí image galerie serveru 2k12. |
|
Tato šablona šifruje spuštěnou VMSS s Windows. nasazení |
Tato šablona umožňuje šifrování na spuštěné škálovací sadě virtuálních počítačů s Windows. |
|
Povolení šifrování na spuštěném virtuálním počítači s Windows nasazení |
Tato šablona umožňuje šifrování na spuštěném virtuálním počítači s Windows. |
|
Vytvoření a šifrování nové sady VMSS s Windows pomocí jumpboxu nasazení |
Tato šablona umožňuje nasadit jednoduchou škálovací sadu virtuálních počítačů s Windows pomocí nejnovější opravené verze serverových verzí Windows. Tato šablona také nasadí jumpbox s veřejnou IP adresou ve stejné virtuální síti. K jumpboxu se můžete připojit přes tuto veřejnou IP adresu a pak se odtud připojit k virtuálním počítačům ve škálovací sadě prostřednictvím privátních IP adres. Tato šablona umožňuje šifrování na škálovací sadě virtuálních počítačů s Windows. |
|
vytvoření služby Azure Key Vault a tajného kódu nasazení |
Tato šablona vytvoří službu Azure Key Vault a tajný klíč. |
|
vytvoření služby Azure Key Vault pomocí RBAC a tajného nasazení |
Tato šablona vytvoří službu Azure Key Vault a tajný klíč. Místo spoléhání na zásady přístupu využívá Azure RBAC ke správě autorizace tajných kódů. |
|
vytvoření trezoru klíčů, spravované identity a přiřazení rolí nasazení |
Tato šablona vytvoří trezor klíčů, spravovanou identitu a přiřazení role. |
|
připojení ke službě Key Vault prostřednictvím privátního koncového bodu nasazení |
Tato ukázka ukazuje, jak použít konfiguraci virtuální sítě a privátní zóny DNS pro přístup ke službě Key Vault prostřednictvím privátního koncového bodu. |
|
Vytvoření služby Key Vault a seznam tajných kódů nasazení |
Tato šablona vytvoří službu Key Vault a seznam tajných kódů v trezoru klíčů, jak je předáno, spolu s parametry. |
|
vytvoření služby Key Vault s povoleným protokolováním nasazení |
Tato šablona vytvoří službu Azure Key Vault a účet služby Azure Storage, který se používá k protokolování. Volitelně vytvoří zámky prostředků pro ochranu prostředků služby Key Vault a prostředků úložiště. |
|
základní nastavení sady Azure AI Studio nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
|
základní nastavení sady Azure AI Studio nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
|
Azure AI Studio s ověřováním Microsoft Entra ID nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio s ověřováním Microsoft Entra ID pro závislé prostředky, jako jsou služby Azure AI a Azure Storage. |
|
vytvoření pracovního prostoru AML s více datovými sadami & úložiště dat nasazení |
Tato šablona vytvoří pracovní prostor Azure Machine Learning s více datovými sadami & úložišti dat. |
|
komplexní nastavení služby Azure Machine Learning nasazení |
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
|
kompletního zabezpečeného nastavení služby Azure Machine Learning (starší verze) nasazení |
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
|
Vytvoření cílového výpočetního objektu AKS s privátní IP adresou nasazení |
Tato šablona vytvoří cílový výpočetní objekt AKS v daném pracovním prostoru služby Azure Machine Learning s privátní IP adresou. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje minimální sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Příklad ukazuje, jak nakonfigurovat Službu Azure Machine Learning pro šifrování pomocí šifrovacího klíče spravovaného zákazníkem. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) nasazení |
Tato šablona nasazení určuje, jak vytvořit pracovní prostor Azure Machine Learning s šifrováním na straně služby pomocí šifrovacích klíčů. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service (virtuální síť) nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti. |
|
Vytvoření pracovního prostoru služby Azure Machine Learning Service (starší verze) nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti. |
|
clusterU AKS s kontrolerem příchozího přenosu dat služby Application Gateway nasazení |
Tato ukázka ukazuje, jak nasadit cluster AKS se službou Application Gateway, kontrolerem příchozího přenosu dat služby Application Gateway, službou Azure Container Registry, Log Analytics a službou Key Vault. |
|
vytvoření služby Application Gateway V2 se službou Key Vault nasazení |
Tato šablona nasadí službu Application Gateway V2 ve virtuální síti, identitu definovanou uživatelem, službu Key Vault, tajný klíč (data certifikátu) a zásadu přístupu ve službě Key Vault a službě Application Gateway. |
|
Testovací prostředí pro službu Azure Firewall Premium nasazení |
Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
|
vytvoří prostředek privátního koncového bodu mezi tenanty nasazení |
Tato šablona umožňuje vytvořit prostředek koncového bodu Priavate ve stejném prostředí nebo v prostředí mezi tenanty a přidat konfiguraci zóny DNS. |
|
vytvoření služby Application Gateway s certifikáty nasazení |
Tato šablona ukazuje, jak vygenerovat certifikáty podepsané svým držitelem služby Key Vault a pak odkazovat ze služby Application Gateway. |
|
šifrování účtu služby Azure Storage s využitím klíče spravovaného zákazníkem nasazení |
Tato šablona nasadí účet úložiště s klíčem spravovaným zákazníkem pro šifrování, které se vygeneruje a umístí do služby Key Vault. |
|
App Service Environment s back-endovým Azure SQL nasazení |
Tato šablona vytvoří službu App Service Environment s back-endem Azure SQL spolu s privátními koncovými body spolu s přidruženými prostředky, které se obvykle používají v privátním nebo izolovaném prostředí. |
|
aplikaci Funkcí Azure a funkci aktivovanou protokolem HTTP nasazení |
Tento příklad nasadí aplikaci Funkcí Azure a vloženou funkci aktivovanou protokolem HTTP v šabloně. Nasadí také službu Key Vault a naplní tajný kód klíčem hostitele aplikace funkcí. |
|
Application Gateway s interní službou API Management a webovou aplikací nasazení |
Služba Application Gateway směruje internetový provoz do instance služby API Management (interní režim), která obsluhuje webové rozhraní API hostované ve webové aplikaci Azure. |
Definice prostředku Terraformu (poskytovatel AzAPI)
Typ prostředku trezorů je možné nasadit s operacemi, které cílí:
- skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2023-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Hodnoty vlastností
trezory
VaultProperties
| Jméno | Popis | Hodnota |
|---|---|---|
| accessPolicies | Pole 0 až 1024 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. Pokud je createMode nastavená na recover, zásady přístupu se nevyžadují. V opačném případě se vyžadují zásady přístupu. |
AccessPolicyEntry[] |
| createMode | Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. | "default" "obnovit" |
| enabledForDeployment | Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. | Bool |
| enabledForDiskEncryption | Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. | Bool |
| enabledForTemplateDeployment | Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. | Bool |
| enablePurgeProtection | Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. | Bool |
| enableRbacAuthorization | Vlastnost, která určuje, jak jsou akce dat autorizované. Pokud je hodnota true, trezor klíčů použije řízení přístupu na základě role (RBAC) k autorizaci akcí dat a zásady přístupu zadané ve vlastnostech trezoru budou ignorovány. Pokud je hodnota false, trezor klíčů použije zásady přístupu zadané ve vlastnostech trezoru a všechny zásady uložené v Azure Resource Manageru se budou ignorovat. Pokud není zadána hodnota null nebo není zadána, trezor se vytvoří s výchozí hodnotou false. Mějte na paměti, že akce správy jsou vždy autorizované pomocí RBAC. | Bool |
| enableSoftDelete | Vlastnost určující, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Pokud při vytváření nového trezoru klíčů není nastavená na žádnou hodnotu (true nebo false), nastaví se ve výchozím nastavení na hodnotu True. Jakmile nastavíte hodnotu true, nedá se vrátit na hodnotu false. | Bool |
| networkAcls | Pravidla, která řídí přístupnost trezoru klíčů z konkrétních síťových umístění. | NetworkRuleSet |
| provisioningState | Stav zřizování trezoru | "RegisteringDns" "Úspěch" |
| publicNetworkAccess | Vlastnost určující, zda trezor bude přijímat provoz z veřejného internetu. Pokud je nastavená možnost Zakázat veškerý provoz s výjimkou provozu privátního koncového bodu a který pochází z důvěryhodných služeb, bude blokovaný. Tím se přepíše nastavená pravidla brány firewall, což znamená, že i když jsou pravidla brány firewall k dispozici, nebudeme dodržovat pravidla. | řetězec |
| sku | Podrobnosti skladové položky | skladové položky (povinné) |
| softDeleteRetentionInDays | softDelete data retention days. Přijímá >=7 a <=90. | Int |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. | řetězec |
AccessPolicyEntry
| Jméno | Popis | Hodnota |
|---|---|---|
| applicationId | ID aplikace klienta provádějícího žádost jménem objektu zabezpečení | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. | string (povinné) |
| dovolení | Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty | oprávnění (povinné) |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Dovolení
| Jméno | Popis | Hodnota |
|---|---|---|
| certifikáty | Oprávnění k certifikátům | Řetězcové pole obsahující některou z těchto možností: "all" "zálohování" "create" "delete" "deleteissuers" "get" "getissuers" "import" "list" "listissuers" "managecontacts" "manageissuers" "Vyprázdnit" "obnovit" "restore" "setissuers" "update" |
| klíče | Oprávnění ke klíčům | Řetězcové pole obsahující některou z těchto možností: "all" "zálohování" "create" "dešifrování" "delete" "encrypt" "get" "getrotationpolicy" "import" "list" "Vyprázdnit" "obnovit" "release" "restore" "otočit" "setrotationpolicy" "podepsat" "unwrapKey" "update" "verify" "wrapKey" |
| tajemství | Oprávnění k tajným kódům | Řetězcové pole obsahující některou z těchto možností: "all" "zálohování" "delete" "get" "list" "Vyprázdnit" "obnovit" "restore" "set" |
| skladování | Oprávnění k účtům úložiště | Řetězcové pole obsahující některou z těchto možností: "all" "zálohování" "delete" "deletesas" "get" "getsas" "list" "listsas" "Vyprázdnit" "obnovit" "regeneratekey" "restore" "set" "setsas" "update" |
NetworkRuleSet
| Jméno | Popis | Hodnota |
|---|---|---|
| obejít | Udává, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud nezadáte výchozí hodnotu AzureServices. | AzureServices "Žádný" |
| defaultAction | Výchozí akce, pokud se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Tento parametr se použije až po vyhodnocení vlastnosti bypass. | "Povolit" "Odepřít" |
| IpRules | Seznam pravidel IP adres. | IPRule [] |
| VirtualNetworkRules | Seznam pravidel virtuální sítě | VirtualNetworkRule[] |
IpRule
| Jméno | Popis | Hodnota |
|---|---|---|
| hodnota | Rozsah adres IPv4 v zápisu CIDR, například 124.56.78.91 (jednoduchá IP adresa) nebo 124.56.78.0/24 (všechny adresy začínající 124.56.78). | string (povinné) |
VirtualNetworkRule
| Jméno | Popis | Hodnota |
|---|---|---|
| id | Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. | string (povinné) |
| ignoreMissingVnetServiceEndpoint | Vlastnost určující, jestli NRP bude ignorovat kontrolu, jestli má nadřazená podsíť nakonfigurované body serviceEndpoints. | Bool |
Sku
| Jméno | Popis | Hodnota |
|---|---|---|
| Rodina | Jméno rodiny skladové položky | "A" (povinné) |
| Jméno | Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. | "Premium" "standard" (povinné) |