Trezory Microsoft.KeyVault 2018-02-14-preview
Definice prostředku Bicep
Typ prostředku trezorů je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků – viz příkazy pro nasazení skupin prostředků.
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Poznámky
Pokyny k používání trezorů klíčů pro zabezpečené hodnoty najdete v tématu Správa tajných kódů pomocí nástroje Bicep.
Rychlý start k vytvoření tajného klíče najdete v tématu Rychlý start: Nastavení a načtení tajného klíče z Azure Key Vault pomocí šablony ARM.
Rychlý start k vytvoření klíče najdete v tématu Rychlý start: Vytvoření trezoru klíčů Azure a klíče pomocí šablony ARM.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující bicep.
resource symbolicname 'Microsoft.KeyVault/vaults@2018-02-14-preview' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
}
]
}
sku: {
family: 'A'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
}
Hodnoty vlastností
Klenby
Název | Description | Hodnota |
---|---|---|
name | Název prostředku | string (povinné) Omezení počtu znaků: 3–24 Platné znaky: Alfanumerické znaky a pomlčky. Začněte písmenem. Končí písmenem nebo číslicí. Nemůže obsahovat po sobě jdoucí pomlčky. Název prostředku musí být v rámci Azure jedinečný. |
location | Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. | string (povinné) |
tags | Značky, které budou přiřazeny k trezoru klíčů. | Slovník názvů a hodnot značek. Zobrazit značky v šablonách |
properties | Vlastnosti trezoru | Vlastnosti trezoru (povinné) |
Vlastnosti trezoru
Název | Description | Hodnota |
---|---|---|
accessPolicies | Pole 0 až 1024 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. | AccessPolicyEntry[] |
createMode | Režim vytváření trezoru, který označuje, jestli je potřeba trezor obnovit, nebo ne. | 'výchozí' 'obnovit' |
enabledForDeployment | Vlastnost určuje, jestli mají Virtual Machines Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. | bool |
enabledForDiskEncryption | Vlastnost určuje, jestli má služba Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalovat klíče. | bool |
enabledForTemplateDeployment | Vlastnost určuje, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. | bool |
enablePurgeProtection | Vlastnost určující, zda je pro tento trezor povolena ochrana před vymazáním. Nastavení této vlastnosti na hodnotu true aktivuje ochranu před vymazáním tohoto trezoru a jeho obsahu – pouze služba Key Vault může zahájit tvrdé a neopravitelné odstranění. Nastavení platí jenom v případě, že je povolené i obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako svou hodnotu. | bool |
enableSoftDelete | Vlastnost určuje, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Nepřijme hodnotu false. | bool |
seznam síťových seznamů | Kolekce pravidel, která řídí přístupnost trezoru z konkrétních síťových umístění. | Sada pravidel sítě |
Sku | Podrobnosti o SKU | Skladová položka (povinné) |
ID tenanta | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků do trezoru klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Vzor = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
identifikátor VAULTURI | Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči | řetězec |
AccessPolicyEntry
Název | Description | Hodnota |
---|---|---|
applicationId | ID aplikace klienta, který žádá jménem objektu zabezpečení | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. | string (povinné) |
oprávnění | Oprávnění, která identita má pro klíče, tajné kódy a certifikáty. | Oprávnění (povinné) |
id tenanta | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků na trezor klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Oprávnění
Název | Description | Hodnota |
---|---|---|
certifikáty | Oprávnění k certifikátům | Pole řetězců obsahující některou z těchto možností: 'backup' "vytvořit" "delete" (odstranit) 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageisuers' "vyprázdnění" 'obnovit' 'obnovit' 'setissuers' 'aktualizovat' |
keys | Oprávnění ke klíčům | Pole řetězců obsahující některou z těchto možností: 'backup' "vytvořit" Dešifrování "delete" (odstranit) 'šifrovat' 'get' 'import' 'list' "vyprázdnění" 'obnovit' 'obnovit' 'sign' (sign) UnwrapKey 'aktualizovat' 'verify' (ověřit) 'wrapKey' |
Tajemství | Oprávnění k tajným kódům | Pole řetězců obsahující některou z těchto možností: 'backup' "delete" (odstranit) 'get' 'list' "vyprázdnění" 'obnovit' 'obnovit' 'set' |
úložiště | Oprávnění k účtům úložiště | Pole řetězců obsahující některou z těchto možností: 'backup' "delete" (odstranit) Deletesas 'get' 'getsas' 'list' 'listsas' "vyprázdnění" 'obnovit' 'regeneratekey' 'obnovit' 'set' 'setsas' 'aktualizovat' |
NetworkRuleSet
Název | Description | Hodnota |
---|---|---|
Vynechání | Říká, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud není zadaný, výchozí hodnota je AzureServices. | AzureServices 'Žádný' |
výchozí akce | Výchozí akce, když se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Použije se až po vyhodnocení vlastnosti bypass. | 'Povolit' 'Odepřít' |
pravidla ipRules | Seznam pravidel IP adres. | Pravidla IP[] |
virtualNetworkRules | Seznam pravidel virtuální sítě. | VirtualNetworkRule[] |
Pravidla PROTOKOLU IP
Název | Description | Hodnota |
---|---|---|
hodnota | Rozsah adres IPv4 v zápisu CIDR, například "124.56.78.91" (jednoduchá IP adresa) nebo "124.56.78.0/24" (všechny adresy, které začínají 124.56.78). | string (povinné) |
VirtualNetworkRule
Název | Description | Hodnota |
---|---|---|
id | Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. | string (povinné) |
Skladová jednotka (SKU)
Název | Description | Hodnota |
---|---|---|
family | Název rodiny skladové položky | "A" (povinné) |
name | Název skladové položky ( SKU) – určuje, jestli je trezor klíčů trezorem úrovně Standard nebo trezorem úrovně Premium. | "premium" "standard" (povinné) |
Šablony pro rychlý start
Následující šablony pro rychlý start nasadí tento typ prostředku.
Template (Šablona) | Description |
---|---|
Šablona rychlého startu SAS 9.4 a Viya pro Azure |
Šablona SAS® 9.4 a Viya Pro rychlý start pro Azure nasazuje v cloudu tyto produkty: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 a SAS® Visual Analytics 8.5 v Linuxu a SAS® Visual Data Mining a Machine Learning 8.5 v Linuxu pro Viya. Tento rychlý start je referenční architektura pro uživatele, kteří chtějí nasadit kombinaci SAS® 9.4 a Viya v Azure s využitím technologií vhodných pro cloud. Nasazením platformy SAS® v Azure získáte integrované prostředí prostředí SAS® 9.4 a Viya, abyste mohli využít výhod obou světů. SAS® Viya je cloudový analytický modul v paměti. K řešení složitých analytických problémů využívá elastické, škálovatelné zpracování odolné proti chybám. SAS® Viya poskytuje rychlejší zpracování analýz pomocí standardizovaného základu kódu, který podporuje programování v SAS®, Pythonu, R, Javě a Lua. Podporuje také cloudová, místní nebo hybridní prostředí a bezproblémově se nasazuje do libovolné infrastruktury nebo ekosystému aplikací. |
Cluster AKS se službou NAT Gateway a Application Gateway |
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a Application Gateway pro příchozí připojení. |
Vytvoření privátního clusteru AKS s veřejnou zónou DNS |
Tato ukázka ukazuje, jak nasadit privátní cluster AKS s veřejnou zónou DNS. |
Nasazení sportovní analýzy v architektuře Azure |
Vytvoří účet úložiště Azure s povolenou službou ADLS Gen2, instanci Azure Data Factory s propojenými službami pro účet úložiště (pokud je nasazená Azure SQL Database) a instanci Azure Databricks. Identitě AAD uživatele, který šablonu nasazuje, a spravované identitě pro instanci ADF se udělí role Přispěvatel dat v objektech blob služby Storage v účtu úložiště. K dispozici jsou také možnosti nasazení instance azure Key Vault, Azure SQL Database a centra událostí Azure (pro případy použití streamování). Po nasazení Key Vault Azure se spravované identitě datové továrny a identitě AAD pro uživatele, který šablonu nasazuje, udělí role uživatele Key Vault tajné kódy. |
Pracovní prostor služby Azure Machine Learning |
Tato šablona vytvoří nový pracovní prostor Azure Machine Learning spolu se šifrovaným účtem úložiště, službou KeyVault a protokolováním Application Insights. |
Vytvoření trezoru klíčů |
Tento modul vytvoří prostředek KeyVault s apiVersion 2019-09-01. |
Vytvoření služby API Management s protokolem SSL ze služby KeyVault |
Tato šablona nasadí službu API Management s nakonfigurovanou identitou přiřazenou uživatelem. Tuto identitu používá k načtení certifikátu SSL ze služby KeyVault a aktualizuje ho kontrolou každé 4 hodiny. |
Vytvoří aplikaci Dapr pub-sub servicebus pomocí aplikací kontejneru. |
Vytvořte aplikaci Dapr pub-sub servicebus pomocí aplikací kontejneru. |
vytvoří cluster Azure Stack HCI 23H2. |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
Vytvoření nového šifrovaného virtuálního počítače s Windows z image galerie |
Tato šablona vytvoří nový šifrovaný virtuální počítač s Windows pomocí image galerie serveru 2k12. |
Vytvoření nových šifrovaných spravovaných disků win-vm z image galerie |
Tato šablona vytvoří nový zašifrovaný virtuální počítač se spravovanými disky s Windows pomocí image galerie serveru 2k12. |
Tato šablona šifruje spuštěnou škálovací sadu virtuálních počítačů s Windows. |
Tato šablona umožňuje šifrování ve spuštěné škálovací sadě virtuálních počítačů s Windows. |
Povolení šifrování na spuštěném virtuálním počítači s Windows |
Tato šablona umožňuje šifrování na spuštěném virtuálním počítači s Windows. |
Vytvoření a šifrování nové škálovací sady virtuálních počítačů s Windows pomocí jumpboxu |
Tato šablona umožňuje nasadit jednoduchou škálovací sadu virtuálních počítačů s Windows pomocí poslední opravené verze serverových verzí Windows. Tato šablona také nasadí jumpbox s veřejnou IP adresou ve stejné virtuální síti. Přes tuto veřejnou IP adresu se můžete připojit k jumpboxu a pak se přes privátní IP adresy připojit k virtuálním počítačům ve škálovací sadě. Tato šablona umožňuje šifrování ve škálovací sadě virtuálních počítačů s Windows. |
Vytvoření Key Vault Azure a tajného klíče |
Tato šablona vytvoří Key Vault Azure a tajný klíč. |
Vytvoření Key Vault Azure s využitím RBAC a tajného klíče |
Tato šablona vytvoří Key Vault Azure a tajný klíč. Místo spoléhá na zásady přístupu ke správě autorizace tajných kódů azure RBAC. |
Vytvoření trezoru klíčů, spravované identity a přiřazení role |
Tato šablona vytvoří trezor klíčů, spravovanou identitu a přiřazení role. |
Připojení k Key Vault přes privátní koncový bod |
Tato ukázka ukazuje, jak nakonfigurovat virtuální síť a privátní zónu DNS pro přístup k Key Vault přes privátní koncový bod. |
Vytvoření Key Vault a seznamu tajných kódů |
Tato šablona vytvoří Key Vault a seznam tajných kódů v rámci trezoru klíčů, jak jsou předány společně s parametry. |
Vytvoření Key Vault s povoleným protokolováním |
Tato šablona vytvoří Key Vault Azure a účet Azure Storage, který se používá k protokolování. Volitelně vytváří zámky prostředků, které chrání vaše Key Vault a prostředky úložiště. |
Vytvoření pracovního prostoru AML s několika datovými sadami & úložišti dat |
Tato šablona vytvoří pracovní prostor Azure Machine Learning s několika datovými sadami & úložištích dat. |
Kompletní zabezpečené nastavení služby Azure Machine Learning |
Tato sada šablon Bicep ukazuje, jak v zabezpečeném nastavení nastavit kompletní službu Azure Machine Learning. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
Kompletní zabezpečené nastavení služby Azure Machine Learning (starší verze) |
Tato sada šablon Bicep ukazuje, jak v zabezpečeném nastavení nastavit kompletní službu Azure Machine Learning. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
Vytvoření cílového výpočetního objektu AKS s privátní IP adresou |
Tato šablona vytvoří cílový výpočetní objekt AKS v daném pracovním prostoru služby Azure Machine Learning s privátní IP adresou. |
Vytvoření pracovního prostoru služby Azure Machine Learning Service |
Tato šablona nasazení určuje pracovní prostor Služby Azure Machine Learning a jeho přidružené prostředky, včetně Azure Key Vault, Azure Storage, Aplikace Azure Insights a Azure Container Registry. Tato konfigurace popisuje minimální sadu prostředků, které potřebujete, abyste mohli začít se službou Azure Machine Learning. |
Vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) |
Tato šablona nasazení určuje pracovní prostor Služby Azure Machine Learning a jeho přidružené prostředky, včetně Azure Key Vault, Azure Storage, Aplikace Azure Insights a Azure Container Registry. Příklad ukazuje, jak nakonfigurovat službu Azure Machine Learning pro šifrování pomocí šifrovacího klíče spravovaného zákazníkem. |
Vytvoření pracovního prostoru služby Azure Machine Learning Service (virtuální síť) |
Tato šablona nasazení určuje pracovní prostor Služby Azure Machine Learning a jeho přidružené prostředky, včetně Azure Key Vault, Azure Storage, Aplikace Azure Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti. |
Vytvoření pracovního prostoru služby Azure Machine Learning (starší verze) |
Tato šablona nasazení určuje pracovní prostor Služby Azure Machine Learning a jeho přidružené prostředky, včetně Azure Key Vault, Azure Storage, Aplikace Azure Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti. |
Cluster AKS s kontrolerem příchozího přenosu dat Application Gateway |
Tato ukázka ukazuje, jak nasadit cluster AKS s Application Gateway, kontrolerem příchozího přenosu dat Application Gateway, Azure Container Registry, Log Analytics a Key Vault |
Vytvoření Application Gateway V2 pomocí Key Vault |
Tato šablona nasadí Application Gateway V2 do Virtual Network, uživatelem definovanou identitu, Key Vault, tajný kód (data certifikátů) a zásady přístupu na Key Vault a Application Gateway. |
Testovací prostředí pro Azure Firewall Premium |
Tato šablona vytvoří Azure Firewall Premium a zásady brány firewall s prémiovými funkcemi, jako je detekce kontroly vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
Vytvoření Application Gateway s certifikáty |
Tato šablona ukazuje, jak vygenerovat Key Vault certifikáty podepsané svým držitelem a pak odkazovat z Application Gateway. |
Šifrování účtu služby Azure Storage s využitím klíče spravovaného zákazníkem |
Tato šablona nasadí účet úložiště s klíčem spravovaným zákazníkem pro šifrování, které se vygeneruje a umístí do Key Vault. |
App Service Environment s back-endem Azure SQL |
Tato šablona vytvoří App Service Environment s back-endem Azure SQL spolu s privátními koncovými body spolu s přidruženými prostředky, které se obvykle používají v privátním nebo izolovaném prostředí. |
Aplikace funkcí Azure a funkce aktivovaná protokolem HTTP |
Tento příklad nasadí aplikaci Funkcí Azure a funkci aktivovanou protokolem HTTP vloženou do šablony. Nasadí také Key Vault a naplní tajný kód klíčem hostitele aplikace funkcí. |
Application Gateway s interními API Management a webovou aplikací |
Application Gateway směrování internetového provozu do virtuální sítě (v interním režimu) API Management instance, která obsluhuje webové rozhraní API hostované ve webové aplikaci Azure. |
Definice prostředku šablony ARM
Typ prostředku trezorů je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků – viz příkazy pro nasazení skupin prostředků.
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Poznámky
Pokyny k používání trezorů klíčů pro zabezpečené hodnoty najdete v tématu Správa tajných kódů pomocí nástroje Bicep.
Rychlý start k vytvoření tajného klíče najdete v tématu Rychlý start: Nastavení a načtení tajného klíče z Azure Key Vault pomocí šablony ARM.
Rychlý start k vytvoření klíče najdete v tématu Rychlý start: Vytvoření trezoru klíčů Azure a klíče pomocí šablony ARM.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující kód JSON.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2018-02-14-preview",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string"
}
]
},
"sku": {
"family": "A",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
}
}
Hodnoty vlastností
Klenby
Název | Description | Hodnota |
---|---|---|
typ | Typ prostředku | Microsoft.KeyVault/vaults |
apiVersion | Verze rozhraní API prostředku | 2018-02-14-preview |
name | Název prostředku | string (povinné) Limit počtu znaků: 3–24 Platné znaky: Alfanumerické znaky a spojovníky. Začněte písmenem. Končí písmenem nebo číslicí. Nemůže obsahovat po sobě jdoucí pomlčky. Název prostředku musí být v rámci Azure jedinečný. |
location | Podporované umístění Azure, ve kterém by se měl trezor klíčů vytvořit. | string (povinné) |
tags | Značky, které budou přiřazeny k trezoru klíčů. | Slovník názvů značek a hodnot. Viz Značky v šablonách |
properties | Vlastnosti trezoru | Vlastnosti trezoru (povinné) |
Vlastnosti trezoru
Název | Description | Hodnota |
---|---|---|
accessPolicies | Pole identit 0 až 1024, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. | AccessPolicyEntry[] |
createMode | Režim vytvoření trezoru označuje, jestli je potřeba trezor obnovit, nebo ne. | 'výchozí' 'obnovit' |
enabledForDeployment | Vlastnost určuje, jestli mají azure Virtual Machines povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. | bool |
enabledForDiskEncryption | Vlastnost určuje, jestli má služba Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalovat klíče. | bool |
enabledForTemplateDeployment | Vlastnost určuje, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. | bool |
enablePurgeProtection | Vlastnost určující, zda je pro tento trezor povolena ochrana před vymazáním. Nastavením této vlastnosti na true aktivujete ochranu před vymazáním tohoto trezoru a jeho obsahu – pouze služba Key Vault může zahájit tvrdé a neodstranitelné odstranění. Nastavení je platné pouze v případě, že je povolené také obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako svou hodnotu. | bool |
enableSoftDelete | Vlastnost určuje, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Nepřijímá hodnotu false. | bool |
networkAcls | Kolekce pravidel, která řídí přístupnost trezoru z konkrétních síťových umístění. | NetworkRuleSet |
Sku | Podrobnosti o skladové pořidce | Skladová položka (povinné) |
id tenanta | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků na trezor klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči | řetězec |
AccessPolicyEntry
Název | Description | Hodnota |
---|---|---|
applicationId | ID aplikace klienta, který žádá jménem objektu zabezpečení | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. | string (povinné) |
oprávnění | Oprávnění, která identita má pro klíče, tajné kódy a certifikáty. | Oprávnění (povinné) |
id tenanta | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků na trezor klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Oprávnění
Název | Description | Hodnota |
---|---|---|
certifikáty | Oprávnění k certifikátům | Pole řetězců obsahující některou z těchto možností: 'backup' "vytvořit" "delete" (odstranit) 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' managecontacts 'manageissuers' "vyprázdnění" 'obnovit' Obnovit 'setissuers' 'aktualizovat' |
keys | Oprávnění ke klíčům | Pole řetězců obsahující některou z těchto možností: Zálohování 'vytvořit' 'decrypt' (dešifrovat) "odstranit" 'encrypt' 'get' 'import' 'list' "vyprázdnění" 'obnovit' Obnovit 'sign' unwrapKey 'aktualizovat' 'verify' (ověřit) 'wrapKey' |
Tajemství | Oprávnění k tajným kódům | Pole řetězců obsahující některou z těchto možností: Zálohování "odstranit" 'get' 'list' "vyprázdnění" 'obnovit' Obnovit 'set' |
úložiště | Oprávnění k účtům úložiště | Pole řetězců obsahující některou z těchto možností: Zálohování "odstranit" Deletesas 'get' 'getsas' 'list' 'listsas' "vyprázdnění" 'obnovit' regeneratekey Obnovit 'set' 'setsas' 'aktualizovat' |
Sada pravidel sítě
Název | Description | Hodnota |
---|---|---|
Vynechání | Říká, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud není zadaný, výchozí hodnota je AzureServices. | AzureServices 'Žádný' |
výchozí akce | Výchozí akce, když se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Použije se až po vyhodnocení vlastnosti bypass. | 'Povolit' 'Odepřít' |
pravidla ipRules | Seznam pravidel IP adres. | Pravidla IP[] |
virtualNetworkRules | Seznam pravidel virtuální sítě. | VirtualNetworkRule[] |
Pravidla PROTOKOLU IP
Název | Description | Hodnota |
---|---|---|
hodnota | Rozsah adres IPv4 v zápisu CIDR, například "124.56.78.91" (jednoduchá IP adresa) nebo "124.56.78.0/24" (všechny adresy, které začínají 124.56.78). | string (povinné) |
VirtualNetworkRule
Název | Description | Hodnota |
---|---|---|
id | Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. | string (povinné) |
Skladová jednotka (SKU)
Název | Description | Hodnota |
---|---|---|
family | Název rodiny skladové položky | "A" (povinné) |
name | Název skladové položky ( SKU) – určuje, jestli je trezor klíčů trezorem úrovně Standard nebo trezorem úrovně Premium. | "premium" "standard" (povinné) |
Šablony pro rychlý start
Následující šablony pro rychlý start nasadí tento typ prostředku.
Template (Šablona) | Description |
---|---|
Šablona rychlého startu SAS 9.4 a Viya pro Azure |
Šablona SAS® 9.4 a Viya Pro rychlý start pro Azure nasazuje v cloudu tyto produkty: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 a SAS® Visual Analytics 8.5 v Linuxu a SAS® Visual Data Mining a Machine Learning 8.5 v Linuxu pro Viya. Tento rychlý start je referenční architektura pro uživatele, kteří chtějí nasadit kombinaci SAS® 9.4 a Viya v Azure s využitím technologií vhodných pro cloud. Nasazením platformy SAS® v Azure získáte integrované prostředí prostředí SAS® 9.4 a Viya, abyste mohli využít výhod obou světů. SAS® Viya je cloudový analytický modul v paměti. K řešení složitých analytických problémů využívá elastické, škálovatelné zpracování odolné proti chybám. SAS® Viya poskytuje rychlejší zpracování analýz pomocí standardizovaného základu kódu, který podporuje programování v SAS®, Pythonu, R, Javě a Lua. Podporuje také cloudová, místní nebo hybridní prostředí a bezproblémově se nasazuje do libovolné infrastruktury nebo ekosystému aplikací. |
Cluster AKS se službou NAT Gateway a Application Gateway |
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a Application Gateway pro příchozí připojení. |
Vytvoření privátního clusteru AKS s veřejnou zónou DNS |
Tato ukázka ukazuje, jak nasadit privátní cluster AKS s veřejnou zónou DNS. |
Nasazení sportovní analýzy v architektuře Azure |
Vytvoří účet úložiště Azure s povolenou službou ADLS Gen2, instanci Azure Data Factory s propojenými službami pro účet úložiště (pokud je nasazená Azure SQL Database) a instanci Azure Databricks. Identitě AAD uživatele, který šablonu nasazuje, a spravované identitě pro instanci ADF se udělí role Přispěvatel dat v objektech blob služby Storage v účtu úložiště. K dispozici jsou také možnosti nasazení instance azure Key Vault, Azure SQL Database a centra událostí Azure (pro případy použití streamování). Po nasazení Key Vault Azure se spravované identitě datové továrny a identitě AAD pro uživatele, který šablonu nasazuje, udělí role uživatele Key Vault tajné kódy. |
Pracovní prostor služby Azure Machine Learning |
Tato šablona vytvoří nový pracovní prostor Azure Machine Learning spolu se šifrovaným účtem úložiště, službou KeyVault a protokolováním Application Insights. |
Vytvoření trezoru klíčů |
Tento modul vytvoří prostředek KeyVault s apiVersion 2019-09-01. |
Vytvoření služby API Management s protokolem SSL ze služby KeyVault |
Tato šablona nasadí službu API Management s nakonfigurovanou identitou přiřazenou uživatelem. Tuto identitu používá k načtení certifikátu SSL ze služby KeyVault a aktualizuje ho kontrolou každé 4 hodiny. |
Vytvoří aplikaci Dapr pub-sub servicebus pomocí aplikací kontejneru. |
Vytvořte aplikaci Dapr pub-sub servicebus pomocí aplikací kontejneru. |
vytvoří cluster Azure Stack HCI 23H2. |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
Vytvoření nového šifrovaného virtuálního počítače s Windows z image galerie |
Tato šablona vytvoří nový šifrovaný virtuální počítač s Windows pomocí image galerie serveru 2k12. |
Vytvoření nových šifrovaných spravovaných disků win-vm z image galerie |
Tato šablona vytvoří nový zašifrovaný virtuální počítač se spravovanými disky s Windows pomocí image galerie serveru 2k12. |
Tato šablona šifruje spuštěnou škálovací sadu virtuálních počítačů s Windows. |
Tato šablona umožňuje šifrování ve spuštěné škálovací sadě virtuálních počítačů s Windows. |
Povolení šifrování na spuštěném virtuálním počítači s Windows |
Tato šablona umožňuje šifrování na spuštěném virtuálním počítači s Windows. |
Vytvoření a šifrování nové škálovací sady virtuálních počítačů s Windows pomocí jumpboxu |
Tato šablona umožňuje nasadit jednoduchou škálovací sadu virtuálních počítačů s Windows pomocí poslední opravené verze serverových verzí Windows. Tato šablona také nasadí jumpbox s veřejnou IP adresou ve stejné virtuální síti. Přes tuto veřejnou IP adresu se můžete připojit k jumpboxu a pak se přes privátní IP adresy připojit k virtuálním počítačům ve škálovací sadě. Tato šablona umožňuje šifrování ve škálovací sadě virtuálních počítačů s Windows. |
Vytvoření Key Vault Azure a tajného klíče |
Tato šablona vytvoří Key Vault Azure a tajný klíč. |
Vytvoření Key Vault Azure s využitím RBAC a tajného klíče |
Tato šablona vytvoří Key Vault Azure a tajný klíč. Místo spoléhá na zásady přístupu ke správě autorizace tajných kódů azure RBAC. |
Vytvoření trezoru klíčů, spravované identity a přiřazení role |
Tato šablona vytvoří trezor klíčů, spravovanou identitu a přiřazení role. |
Připojení k Key Vault přes privátní koncový bod |
Tato ukázka ukazuje, jak nakonfigurovat virtuální síť a privátní zónu DNS pro přístup k Key Vault přes privátní koncový bod. |
Vytvoření Key Vault a seznamu tajných kódů |
Tato šablona vytvoří Key Vault a seznam tajných kódů v rámci trezoru klíčů, jak jsou předány společně s parametry. |
Vytvoření Key Vault s povoleným protokolováním |
Tato šablona vytvoří Key Vault Azure a účet Azure Storage, který se používá k protokolování. Volitelně vytváří zámky prostředků, které chrání vaše Key Vault a prostředky úložiště. |
Vytvoření pracovního prostoru AML s několika datovými sadami & úložišti dat |
Tato šablona vytvoří pracovní prostor Azure Machine Learning s několika datovými sadami & úložištích dat. |
Kompletní zabezpečené nastavení služby Azure Machine Learning |
Tato sada šablon Bicep ukazuje, jak v zabezpečeném nastavení nastavit kompletní službu Azure Machine Learning. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
Kompletní zabezpečené nastavení služby Azure Machine Learning (starší verze) |
Tato sada šablon Bicep ukazuje, jak v zabezpečeném nastavení nastavit kompletní službu Azure Machine Learning. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
Vytvoření cílového výpočetního objektu AKS s privátní IP adresou |
Tato šablona vytvoří cílový výpočetní objekt AKS v daném pracovním prostoru služby Azure Machine Learning s privátní IP adresou. |
Vytvoření pracovního prostoru služby Azure Machine Learning Service |
Tato šablona nasazení určuje pracovní prostor Služby Azure Machine Learning a jeho přidružené prostředky, včetně Azure Key Vault, Azure Storage, Aplikace Azure Insights a Azure Container Registry. Tato konfigurace popisuje minimální sadu prostředků, které potřebujete, abyste mohli začít se službou Azure Machine Learning. |
Vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) |
Tato šablona nasazení určuje pracovní prostor Služby Azure Machine Learning a jeho přidružené prostředky, včetně Azure Key Vault, Azure Storage, Aplikace Azure Insights a Azure Container Registry. Příklad ukazuje, jak nakonfigurovat službu Azure Machine Learning pro šifrování pomocí šifrovacího klíče spravovaného zákazníkem. |
Vytvoření pracovního prostoru služby Azure Machine Learning Service (vnet) |
Tato šablona nasazení určuje pracovní prostor Služby Azure Machine Learning a jeho přidružené prostředky, včetně Azure Key Vault, Azure Storage, Aplikace Azure Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce s Azure Machine Learning v izolované síti. |
Vytvoření pracovního prostoru služby Azure Machine Learning (starší verze) |
Tato šablona nasazení určuje pracovní prostor Služby Azure Machine Learning a jeho přidružené prostředky, včetně Azure Key Vault, Azure Storage, Aplikace Azure Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce s Azure Machine Learning v izolované síti. |
Cluster AKS s kontrolerem příchozího přenosu dat Application Gateway |
Tato ukázka ukazuje, jak nasadit cluster AKS s Application Gateway, kontrolerem příchozího přenosu dat Application Gateway, Azure Container Registry, Log Analytics a Key Vault |
Vytvoření Application Gateway V2 pomocí Key Vault |
Tato šablona nasadí Application Gateway V2 v Virtual Network, identitu definovanou uživatelem, Key Vault, tajný klíč (data certifikátů) a zásady přístupu na Key Vault a Application Gateway. |
Testovací prostředí pro Azure Firewall Premium |
Tato šablona vytvoří Azure Firewall Premium a zásady brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
Vytvoření Application Gateway pomocí certifikátů |
Tato šablona ukazuje, jak vygenerovat Key Vault certifikáty podepsané svým držitelem a pak odkaz z Application Gateway. |
Šifrování účtu služby Azure Storage pomocí klíče spravovaného zákazníkem |
Tato šablona nasadí účet úložiště s klíčem spravovaným zákazníkem pro šifrování, který se vygeneruje a umístí do Key Vault. |
App Service Environment s back-endem Azure SQL |
Tato šablona vytvoří App Service Environment s back-endem Azure SQL spolu s privátními koncovými body spolu s přidruženými prostředky, které se obvykle používají v privátním nebo izolovaném prostředí. |
Aplikace Funkcí Azure a funkce aktivovaná protokolem HTTP |
Tento příklad nasadí aplikaci Funkcí Azure a funkci aktivovanou protokolem HTTP vloženou v šabloně. Nasadí také Key Vault a naplní tajný klíč hostitele aplikace funkcí. |
Application Gateway s interními API Management a webovou aplikací |
Application Gateway směrování internetového provozu do virtuální sítě (interního režimu) API Management instance, která obsluhuje webové rozhraní API hostované ve webové aplikaci Azure. |
Definice prostředku Terraformu (zprostředkovatele AzAPI)
Typ prostředku trezorů je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2018-02-14-preview"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
}
]
}
sku = {
family = "A"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
})
}
Hodnoty vlastností
Klenby
Název | Description | Hodnota |
---|---|---|
typ | Typ prostředku | Microsoft.KeyVault/vaults@2018-02-14-preview |
name | Název prostředku | string (povinné) Limit počtu znaků: 3–24 Platné znaky: Alfanumerické znaky a spojovníky. Začněte písmenem. Končí písmenem nebo číslicí. Nemůže obsahovat po sobě jdoucí pomlčky. Název prostředku musí být v rámci Azure jedinečný. |
location | Podporované umístění Azure, ve kterém by se měl trezor klíčů vytvořit. | string (povinné) |
parent_id | K nasazení do skupiny prostředků použijte ID této skupiny prostředků. | string (povinné) |
tags | Značky, které budou přiřazeny k trezoru klíčů. | Slovník názvů značek a hodnot. |
properties | Vlastnosti trezoru | Vlastnosti trezoru (povinné) |
Vlastnosti trezoru
Název | Description | Hodnota |
---|---|---|
accessPolicies | Pole identit 0 až 1024, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. | AccessPolicyEntry[] |
createMode | Režim vytvoření trezoru označuje, jestli je potřeba trezor obnovit, nebo ne. | "výchozí" "obnovit" |
enabledForDeployment | Vlastnost určuje, jestli mají azure Virtual Machines povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. | bool |
enabledForDiskEncryption | Vlastnost určuje, jestli má služba Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalovat klíče. | bool |
enabledForTemplateDeployment | Vlastnost určuje, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. | bool |
enablePurgeProtection | Vlastnost určující, zda je pro tento trezor povolena ochrana před vymazáním. Nastavením této vlastnosti na true aktivujete ochranu před vymazáním tohoto trezoru a jeho obsahu – pouze služba Key Vault může zahájit tvrdé a neodstranitelné odstranění. Nastavení je platné pouze v případě, že je povolené také obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako svou hodnotu. | bool |
enableSoftDelete | Vlastnost určuje, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Nepřijme hodnotu false. | bool |
seznam síťových seznamů | Kolekce pravidel, která řídí přístupnost trezoru z konkrétních síťových umístění. | Sada pravidel sítě |
Sku | Podrobnosti o SKU | Skladová položka (povinné) |
ID tenanta | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků do trezoru klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Vzor = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
identifikátor VAULTURI | Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. | řetězec |
AccessPolicyEntry
Název | Description | Hodnota |
---|---|---|
applicationId | ID aplikace klienta, který provádí požadavek jménem objektu zabezpečení | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Vzor = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. | string (povinné) |
oprávnění | Oprávnění, která má identita ke klíčům, tajným klíčům a certifikátům. | Oprávnění (povinné) |
ID tenanta | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků do trezoru klíčů. | string (povinné) Omezení: Minimální délka = 36 Maximální délka = 36 Vzor = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Oprávnění
Název | Description | Hodnota |
---|---|---|
certifikáty | Oprávnění k certifikátům | Pole řetězců obsahující některou z těchto možností: "zálohování" "create" (vytvořit) "delete" (odstranit) "deleteissuers" "get" "getissuers" "import" "list" "listissuers" "managecontacts" "manageisuers" "purge" "obnovit" "obnovit" "setissuers" "update" |
keys | Oprávnění ke klíčům | Pole řetězců obsahující některou z těchto možností: "zálohování" "create" (vytvořit) "decrypt" (dešifrovat) "delete" (odstranit) "encrypt" (šifrovat) "get" "import" "list" "purge" "obnovit" "obnovit" "sign" (sign) "unwrapKey" "update" "verify" (ověřit) "wrapKey" |
Tajemství | Oprávnění k tajným kódům | Pole řetězců obsahující některou z těchto možností: "zálohování" "delete" (odstranit) "get" "list" "purge" "obnovit" "obnovit" "set" |
úložiště | Oprávnění k účtům úložiště | Pole řetězců obsahující některou z těchto možností: "zálohování" "delete" (odstranit) "deletesas" "get" "getsas" "list" "listsas" "purge" "obnovit" "regeneratekey" "obnovit" "set" "setsas" "update" |
Sada pravidel sítě
Název | Description | Hodnota |
---|---|---|
Vynechání | Říká, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud není zadaný, výchozí hodnota je AzureServices. | "AzureServices" "Žádné" |
výchozí akce | Výchozí akce, když se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Použije se až po vyhodnocení vlastnosti bypass. | "Povolit" "Odepřít" |
pravidla ipRules | Seznam pravidel IP adres. | Pravidla IP[] |
virtualNetworkRules | Seznam pravidel virtuální sítě. | VirtualNetworkRule[] |
Pravidla PROTOKOLU IP
Název | Description | Hodnota |
---|---|---|
hodnota | Rozsah adres IPv4 v zápisu CIDR, například "124.56.78.91" (jednoduchá IP adresa) nebo "124.56.78.0/24" (všechny adresy, které začínají 124.56.78). | string (povinné) |
VirtualNetworkRule
Název | Description | Hodnota |
---|---|---|
id | Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. | string (povinné) |
Skladová jednotka (SKU)
Název | Description | Hodnota |
---|---|---|
family | Název rodiny skladové položky | "A" (povinné) |
name | Název skladové položky ( SKU) – určuje, jestli je trezor klíčů trezorem úrovně Standard nebo trezorem úrovně Premium. | "premium" "standard" (povinné) |