Microsoft.KeyVault-Tresore
Bicep-Ressourcendefinition
Der Tresorressourcentyp kann in Folgendem bereitgestellt werden:
- Ressourcengruppen : Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Hinweise
Anleitungen zur Verwendung von Schlüsseltresoren für sichere Werte finden Sie unter Verwalten von Geheimnissen mit Bicep.
Einen Schnellstart zum Erstellen eines Geheimnisses finden Sie unter Schnellstart: Festlegen und Abrufen eines Geheimnisses aus Azure Key Vault mithilfe einer ARM-Vorlage.
Einen Schnellstart zum Erstellen eines Schlüssels finden Sie unter Schnellstart: Erstellen eines Azure-Schlüsseltresors und eines Schlüssels mithilfe der ARM-Vorlage.
Ressourcenformat
Um eine Microsoft.KeyVault/vaults-Ressource zu erstellen, fügen Sie der Vorlage den folgenden Bicep hinzu.
resource symbolicname 'Microsoft.KeyVault/vaults@2022-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Eigenschaftswerte
vaults
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 3-24 Gültige Zeichen: Alphanumerische Zeichen und Bindestriche. Beginnen Sie mit einem Buchstaben. Enden Sie mit einem Buchstaben oder einer Ziffer. Darf keine aufeinanderfolgenden Bindestriche enthalten. Der Ressourcenname muss in Azure eindeutig sein. |
| location | Der unterstützte Azure-Speicherort, an dem der Schlüsseltresor erstellt werden soll. | Zeichenfolge (erforderlich) |
| tags | Die Tags, die dem Schlüsseltresor zugewiesen werden. | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
| properties | Eigenschaften des Tresors | VaultProperties (erforderlich) |
VaultProperties
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| accessPolicies | Ein Array von 0 bis 1024 Identitäten, die Zugriff auf den Schlüsseltresor haben. Alle Identitäten im Array müssen dieselbe Mandanten-ID wie die Mandanten-ID des Schlüsseltresors verwenden. Wenn createMode auf recoverfestgelegt ist, sind Zugriffsrichtlinien nicht erforderlich. Andernfalls sind Zugriffsrichtlinien erforderlich. |
AccessPolicyEntry[] |
| createMode | Der Erstellungsmodus des Tresors, um anzugeben, ob der Tresor wiederhergestellt werden muss oder nicht. | "Standard" "Wiederherstellen" |
| enabledForDeployment | Eigenschaft, um anzugeben, ob Azure Virtual Machines zertifikate abrufen dürfen, die als Geheimnisse aus dem Schlüsseltresor gespeichert sind. | bool |
| enabledForDiskEncryption | Eigenschaft, um anzugeben, ob Azure Disk Encryption Geheimnisse aus dem Tresor abrufen und Schlüssel entpacken darf. | bool |
| enabledForTemplateDeployment | Eigenschaft, um anzugeben, ob Azure Resource Manager Geheimnisse aus dem Schlüsseltresor abrufen darf. | bool |
| enablePurgeProtection | Eigenschaft, die angibt, ob der Schutz vor Bereinigung für diesen Tresor aktiviert ist. Wenn Sie diese Eigenschaft auf true festlegen, wird der Schutz vor der Bereinigung für diesen Tresor und seinen Inhalt aktiviert. Nur der Key Vault-Dienst kann ein hartes, unwiederbringliches Löschen initiieren. Die Einstellung ist nur wirksam, wenn das vorläufige Löschen ebenfalls aktiviert ist. Das Aktivieren dieser Funktion ist nicht rückgängig gemacht, d. h. die Eigenschaft akzeptiert false nicht als Wert. | bool |
| enableRbacAuthorization | Eigenschaft, die steuert, wie Datenaktionen autorisiert werden. Bei true verwendet der Schlüsseltresor rollenbasierte Access Control (RBAC) für die Autorisierung von Datenaktionen, und die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien werden ignoriert. Bei false verwendet der Schlüsseltresor die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien, und alle in Azure Resource Manager gespeicherten Richtlinien werden ignoriert. Wenn NULL oder nicht angegeben ist, wird der Tresor mit dem Standardwert false erstellt. Beachten Sie, dass Verwaltungsaktionen immer mit RBAC autorisiert werden. | bool |
| enableSoftDelete | Eigenschaft, um anzugeben, ob die Funktion "vorläufiges Löschen" für diesen Schlüsseltresor aktiviert ist. Wenn beim Erstellen eines neuen Schlüsseltresors kein Wert (true oder false) festgelegt ist, wird er standardmäßig auf TRUE festgelegt. Sobald sie auf TRUE festgelegt wurde, kann sie nicht auf false zurückgesetzt werden. | bool |
| networkAcls | Regeln für die Barrierefreiheit des Schlüsseltresors von bestimmten Netzwerkstandorten aus. | NetworkRuleSet |
| provisioningState | Bereitstellungsstatus des Tresors. | "RegistrierungDns" "Erfolgreich" |
| publicNetworkAccess | Eigenschaft, um anzugeben, ob der Tresor Datenverkehr aus dem öffentlichen Internet akzeptiert. Wenn auf "deaktiviert" festgelegt ist, wird der gesamte Datenverkehr mit Ausnahme des privaten Endpunktdatenverkehrs, der von vertrauenswürdigen Diensten stammt, blockiert. Dadurch werden die festgelegten Firewallregeln außer Kraft gesetzt, was bedeutet, dass wir die Regeln nicht einhalten, auch wenn die Firewallregeln vorhanden sind. | Zeichenfolge |
| sku | SKU-Details | Sku (erforderlich) |
| softDeleteRetentionInDays | softDelete Datenaufbewahrungstage. Sie akzeptiert >=7 und <=90. | INT |
| tenantId | Die Azure Active Directory-Mandanten-ID, die zum Authentifizieren von Anforderungen an den Schlüsseltresor verwendet werden soll. | Zeichenfolge (erforderlich) |
| vaultUri | Der URI des Tresors zum Ausführen von Vorgängen für Schlüssel und Geheimnisse. | Zeichenfolge |
AccessPolicyEntry
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| applicationId | Anwendungs-ID des Clients, der eine Anforderung im Auftrag eines Prinzipals stellt | Zeichenfolge |
| objectId | Die Objekt-ID eines Benutzers, Eines Dienstprinzipals oder einer Sicherheitsgruppe im Azure Active Directory-Mandanten für den Tresor. Die Objekt-ID muss für die Liste der Zugriffsrichtlinien eindeutig sein. | Zeichenfolge (erforderlich) |
| Berechtigungen | Berechtigungen, über die die Identität für Schlüssel, Geheimnisse und Zertifikate verfügt. | Berechtigungen (erforderlich) |
| tenantId | Die Azure Active Directory-Mandanten-ID, die zum Authentifizieren von Anforderungen an den Schlüsseltresor verwendet werden soll. | Zeichenfolge (erforderlich) |
Berechtigungen
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| certificates | Berechtigungen für Zertifikate | Zeichenfolgenarray, das folgendes enthält: 'all' "Sicherung" "Erstellen" "löschen" "deleteissuers" "get" "getissuers" "Import" "list" "listissuers" "managecontacts" "manageissuers" "Bereinigen" "Wiederherstellen" "Wiederherstellung" 'setissuers' "Update" |
| keys | Berechtigungen für Schlüssel | Zeichenfolgenarray, das folgendes enthält: 'all' "Sicherung" "Erstellen" "Entschlüsseln" "löschen" "Verschlüsseln" "get" 'getrotationpolicy' "Import" "list" "Bereinigen" "Wiederherstellen" "Release" "Wiederherstellung" "Rotieren" "setrotationpolicy" "Sign" "unwrapKey" "Update" "Überprüfen" 'wrapKey' |
| secrets | Berechtigungen für Geheimnisse | Zeichenfolgenarray, das folgendes enthält: 'all' "Sicherung" "löschen" "get" "list" "Bereinigen" "Wiederherstellen" "Wiederherstellung" "set" |
| storage | Berechtigungen für Speicherkonten | Zeichenfolgenarray, das folgendes enthält: 'all' "Sicherung" "löschen" "deletesas" "get" "getsas" "List" "listsas" "Bereinigen" "wiederherstellen" "regeneratekey" "Wiederherstellung" "set" "setsas" "Update" |
NetworkRuleSet
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Umgehung | Gibt an, welcher Datenverkehr Netzwerkregeln umgehen kann. Dies kann "AzureServices" oder "None" sein. Wenn nicht angegeben, ist der Standardwert "AzureServices". | "AzureServices" "Keine" |
| Defaultaction | Die Standardaktion, wenn keine Regel von ipRules und virtualNetworkRules übereinstimmen. Dies wird erst verwendet, nachdem die Umgehungseigenschaft ausgewertet wurde. | "Zulassen" "Verweigern" |
| ipRules | Die Liste der IP-Adressregeln. | IPRule[] |
| virtualNetworkRules | Die Liste der Regeln für virtuelle Netzwerke. | VirtualNetworkRule[] |
IPRule
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| value | Ein IPv4-Adressbereich in CIDR-Notation, z. B. "124.56.78.91" (einfache IP-Adresse) oder "124.56.78.0/24" (alle Adressen, die mit 124.56.78 beginnen). | Zeichenfolge (erforderlich) |
VirtualNetworkRule
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| id | Vollständige Ressourcen-ID eines VNET-Subnetzes, z. B. "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | Zeichenfolge (erforderlich) |
| ignoreMissingVnetServiceEndpoint | Eigenschaft, um anzugeben, ob NRP die Überprüfung ignoriert, ob für das übergeordnete Subnetz serviceEndpoints konfiguriert ist. | bool |
Sku
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| family | SKU-Familienname | "A" (erforderlich) |
| name | SKU-Name, um anzugeben, ob der Schlüsseltresor ein Standardtresor oder ein Premium-Tresor ist. | "Premium" "Standard" (erforderlich) |
Schnellstartvorlagen
In den folgenden Schnellstartvorlagen wird dieser Ressourcentyp bereitgestellt.
| Vorlage | BESCHREIBUNG |
|---|---|
SAS 9.4- und Viya-Schnellstartvorlage für Azure |
Die SAS® 9.4- und Viya-Schnellstartvorlage für Azure stellen diese Produkte in der Cloud bereit: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 und SAS® Visual Analytics 8.5 für Linux und SAS® Visual Data Mining und Machine Learning 8.5 unter Linux für Viya. Diese Schnellstartanleitung ist eine Referenzarchitektur für Benutzer, die die Kombination aus SAS® 9.4 und Viya in Azure mithilfe cloudfreundlicher Technologien bereitstellen möchten. Durch die Bereitstellung der SAS-Plattform® in Azure erhalten Sie eine integrierte Umgebung aus SAS® 9.4- und Viya-Umgebungen, damit Sie beide Welten nutzen können. SAS® Viya ist eine cloudfähige In-Memory-Analyse-Engine. Es verwendet elastische, skalierbare und fehlertolerante Verarbeitung, um komplexe analytische Herausforderungen zu bewältigen. SAS® Viya ermöglicht eine schnellere Verarbeitung für Analysen mithilfe einer standardisierten Codebasis, die die Programmierung in SAS®, Python, R, Java und Lua unterstützt. Darüber hinaus werden Cloud-, lokale oder Hybridumgebungen unterstützt und nahtlos in allen Infrastruktur- oder Anwendungsökosystemen bereitgestellt. |
| AKS-Cluster mit einem NAT-Gateway und einem Application Gateway |
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit NAT Gateway für ausgehende Verbindungen und eine Application Gateway für eingehende Verbindungen bereitstellen. |
| Erstellen eines privaten AKS-Clusters mit einer öffentlichen DNS-Zone |
In diesem Beispiel wird gezeigt, wie Sie einen privaten AKS-Cluster mit einer öffentlichen DNS-Zone bereitstellen. |
| Bereitstellen der Sports Analytics-Architektur in Azure |
Erstellt ein Azure-Speicherkonto mit aktiviertem ADLS Gen2, eine Azure Data Factory instance mit verknüpften Diensten für das Speicherkonto (bei Bereitstellung der Azure SQL-Datenbank) und eine Azure Databricks-instance. Der AAD-Identität für den Benutzer, der die Vorlage bereitstellt, und der verwalteten Identität für die ADF-instance wird die Rolle Mitwirkender an Storage-Blobdaten für das Speicherkonto zugewiesen. Es gibt auch Optionen zum Bereitstellen eines Azure Key Vault instance, einer Azure SQL-Datenbank und einer Azure Event Hub-Instanz (für Streaminganwendungsfälle). Wenn ein Azure Key Vault bereitgestellt wird, wird der verwalteten Data Factory-Identität und der AAD-Identität für den Benutzer, der die Vorlage bereitstellt, die Rolle Key Vault Geheimnisbenutzer zugewiesen. |
| Azure Machine Learning-Arbeitsbereich |
Mit dieser Vorlage wird ein neuer Azure Machine Learning-Arbeitsbereich zusammen mit einem verschlüsselten Speicherkonto, KeyVault und Applications Insights-Protokollierung erstellt. |
| Erstellen eines KeyVault |
In diesem Modul wird eine KeyVault-Ressource mit apiVersion 2019-09-01 erstellt. |
| Erstellen eines API Management-Diensts mit SSL aus KeyVault |
Diese Vorlage stellt einen API Management-Dienst bereit, der mit benutzerseitig zugewiesener Identität konfiguriert ist. Diese Identität wird verwendet, um ein SSL-Zertifikat aus KeyVault abzurufen, und es wird aktualisiert, indem es alle 4 Stunden überprüft wird. |
| Erstellt eine Dapr pub-sub Servicebus-App mit Container Apps |
Erstellen Sie eine Dapr pub-sub servicebus-App mit Container Apps. |
| erstellt einen Azure Stack HCI 23H2-Cluster. |
Mit dieser Vorlage wird ein Azure Stack HCI 23H2-Cluster mithilfe einer ARM-Vorlage erstellt. |
| Erstellen einer neuen verschlüsselten Windows-VM aus dem Katalogimage |
Diese Vorlage erstellt eine neue verschlüsselte Windows-VM mithilfe des Server 2k12-Katalogimages. |
| Erstellen neuer verschlüsselter verwalteter Datenträger win-vm aus dem Katalogimage |
Diese Vorlage erstellt eine neue verschlüsselte verwaltete Datenträger-Windows-VM mithilfe des Server 2k12-Katalogimages. |
| Diese Vorlage verschlüsselt eine ausgeführte Windows-VMSS |
Diese Vorlage ermöglicht die Verschlüsselung auf einer ausgeführten Windows-VM-Skalierungsgruppe. |
| Aktivieren der Verschlüsselung auf einer ausgeführten Windows-VM |
Diese Vorlage aktiviert die Verschlüsselung auf einer ausgeführten Windows-VM. |
| Erstellen und Verschlüsseln einer neuen Windows-VMSS mit Jumpbox |
Mit dieser Vorlage können Sie eine einfache VM-Skalierungsgruppe von Windows-VMs mit der zuletzt gepatchten Version serveraler Windows-Versionen bereitstellen. Diese Vorlage stellt auch eine Jumpbox mit einer öffentlichen IP-Adresse im selben virtuellen Netzwerk bereit. Sie können über diese öffentliche IP-Adresse eine Verbindung mit der Jumpbox herstellen und dann über private IP-Adressen eine Verbindung mit VMs in der Skalierungsgruppe herstellen. Diese Vorlage ermöglicht die Verschlüsselung auf der VM-Skalierungsgruppe von Windows-VMs. |
| Erstellen einer Azure Key Vault und eines Geheimnisses |
Mit dieser Vorlage werden ein Azure Key Vault und ein Geheimnis erstellt. |
| Erstellen einer Azure Key Vault mit RBAC und einem Geheimnis |
Mit dieser Vorlage werden ein Azure Key Vault und ein Geheimnis erstellt. Anstatt sich auf Zugriffsrichtlinien zu verlassen, nutzt es Azure RBAC, um die Autorisierung für Geheimnisse zu verwalten. |
| Erstellen von Schlüsseltresor, verwalteter Identität und Rollenzuweisung |
Diese Vorlage erstellt einen Schlüsseltresor, eine verwaltete Identität und eine Rollenzuweisung. |
| Herstellen einer Verbindung mit einem Key Vault über einen privaten Endpunkt |
In diesem Beispiel wird gezeigt, wie Sie ein virtuelles Netzwerk und eine private DNS-Zone konfigurieren, um über einen privaten Endpunkt auf Key Vault zuzugreifen. |
| Erstellen einer Azure Key Vault und einer Liste von Geheimnissen |
Diese Vorlage erstellt eine Key Vault und eine Liste von Geheimnissen im Schlüsseltresor, die zusammen mit den Parametern übergeben werden. |
| Erstellen von Key Vault mit aktivierter Protokollierung |
Diese Vorlage erstellt ein Azure Key Vault und ein Azure Storage-Konto, das für die Protokollierung verwendet wird. Optional werden Ressourcensperren erstellt, um Ihre Key Vault- und Speicherressourcen zu schützen. |
| Erstellen eines AML-Arbeitsbereichs mit mehreren Datasets & Datenspeichern |
Mit dieser Vorlage wird ein Azure Machine Learning-Arbeitsbereich mit mehreren Datasets & Datenspeichern erstellt. |
| Sichere End-to-End-Einrichtung von Azure Machine Learning |
Dieser Satz von Bicep-Vorlagen veranschaulicht, wie Sie Azure Machine Learning end-to-end in einer sicheren Einrichtung einrichten. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, compute instance und angefügten privaten AKS-Cluster. |
| Sicheres End-to-End-Setup von Azure Machine Learning (Legacy) |
Dieser Satz von Bicep-Vorlagen veranschaulicht, wie Sie Azure Machine Learning end-to-end in einer sicheren Einrichtung einrichten. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, compute instance und angefügten privaten AKS-Cluster. |
| Erstellen eines AKS-Computeziels mit einer privaten IP-Adresse |
Diese Vorlage erstellt ein AKS-Computeziel in einem bestimmten Azure Machine Learning-Dienstarbeitsbereich mit einer privaten IP-Adresse. |
| Erstellen eines Azure Machine Learning Service-Arbeitsbereichs |
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure-Anwendung Insights und Azure Container Registry. Diese Konfiguration beschreibt die minimalen Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning benötigen. |
| Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (CMK) |
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure-Anwendung Insights und Azure Container Registry. Das Beispiel zeigt, wie Sie Azure Machine Learning für die Verschlüsselung mit einem kundenseitig verwalteten Verschlüsselungsschlüssel konfigurieren. |
| Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (vNET) |
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure-Anwendung Insights und Azure Container Registry. Diese Konfiguration beschreibt die Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning in einer isolierten Netzwerkkonfiguration benötigen. |
| Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (Legacy) |
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure-Anwendung Insights und Azure Container Registry. Diese Konfiguration beschreibt die Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning in einer isolierten Netzwerkkonfiguration benötigen. |
| AKS-Cluster mit Application Gateway Eingangscontroller |
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit Application Gateway, Application Gateway Eingangscontroller, Azure Container Registry, Log Analytics und Key Vault |
| Erstellen eines Application Gateway V2 mit Key Vault |
Diese Vorlage stellt eine Application Gateway V2 in einer Virtual Network, einer benutzerdefinierten Identität, Key Vault, einem Geheimnis (Zertifikatdaten) und einer Zugriffsrichtlinie für Key Vault und Application Gateway bereit. |
| Testumgebung für Azure Firewall Premium |
Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie IdPS (Intrusion Inspection Detection), TLS-Überprüfung und Webkategoriefilterung. |
| Erstellen von Application Gateway mit Zertifikaten |
Diese Vorlage zeigt, wie sie Key Vault selbstsignierten Zertifikate generieren und dann auf Application Gateway verweisen. |
| Azure Storage-Kontoverschlüsselung mit kundenseitig verwaltetem Schlüssel |
Diese Vorlage stellt ein Speicherkonto mit einem kundenseitig verwalteten Schlüssel für die Verschlüsselung bereit, der generiert und in einem Key Vault platziert wird. |
| App Service-Umgebung mit Azure SQL Back-End |
Diese Vorlage erstellt eine App Service-Umgebung mit einem Azure SQL Back-End zusammen mit privaten Endpunkten und zugeordneten Ressourcen, die normalerweise in einer privaten/isolierten Umgebung verwendet werden. |
| Azure Function-App und eine von HTTP ausgelöste Funktion |
In diesem Beispiel werden eine Azure Function-App und eine von HTTP ausgelöste Funktion inline in der Vorlage bereitgestellt. Außerdem wird ein Key Vault bereitgestellt und ein Geheimnis mit dem Hostschlüssel der Funktions-App aufgefüllt. |
| Application Gateway mit internen API Management und Web-App |
Application Gateway Das Weiterleiten von Internetdatenverkehr an ein virtuelles Netzwerk (interner Modus) API Management instance welche Dienste eine Web-API in einer Azure-Web-App hostet. |
Ressourcendefinition mit einer ARM-Vorlage
Der Tresorressourcentyp kann in Folgendem bereitgestellt werden:
- Ressourcengruppen : Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Hinweise
Anleitungen zur Verwendung von Schlüsseltresoren für sichere Werte finden Sie unter Verwalten von Geheimnissen mit Bicep.
Einen Schnellstart zum Erstellen eines Geheimnisses finden Sie unter Schnellstart: Festlegen und Abrufen eines Geheimnisses aus Azure Key Vault mithilfe einer ARM-Vorlage.
Einen Schnellstart zum Erstellen eines Schlüssels finden Sie unter Schnellstart: Erstellen eines Azure-Schlüsseltresors und eines Schlüssels mithilfe der ARM-Vorlage.
Ressourcenformat
Um eine Microsoft.KeyVault/vaults-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2022-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Eigenschaftswerte
vaults
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| type | Ressourcentyp | "Microsoft.KeyVault/vaults" |
| apiVersion | Die Ressourcen-API-Version | '2022-07-01' |
| name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 3-24 Gültige Zeichen: Alphanumerische Zeichen und Bindestriche. Beginnen Sie mit einem Buchstaben. Enden Sie mit einem Buchstaben oder einer Ziffer. Darf keine aufeinanderfolgenden Bindestriche enthalten. Der Ressourcenname muss in Azure eindeutig sein. |
| location | Der unterstützte Azure-Speicherort, an dem der Schlüsseltresor erstellt werden soll. | Zeichenfolge (erforderlich) |
| tags | Die Tags, die dem Schlüsseltresor zugewiesen werden. | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
| properties | Eigenschaften des Tresors | VaultProperties (erforderlich) |
VaultProperties
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| accessPolicies | Ein Array von 0 bis 1024 Identitäten, die Zugriff auf den Schlüsseltresor haben. Alle Identitäten im Array müssen dieselbe Mandanten-ID wie die Mandanten-ID des Schlüsseltresors verwenden. Wenn createMode auf recoverfestgelegt ist, sind Zugriffsrichtlinien nicht erforderlich. Andernfalls sind Zugriffsrichtlinien erforderlich. |
AccessPolicyEntry[] |
| createMode | Der Erstellungsmodus des Tresors, um anzugeben, ob der Tresor wiederhergestellt werden muss oder nicht. | "Standard" "Wiederherstellen" |
| enabledForDeployment | Eigenschaft, um anzugeben, ob Azure Virtual Machines zertifikate abrufen dürfen, die als Geheimnisse aus dem Schlüsseltresor gespeichert sind. | bool |
| enabledForDiskEncryption | Eigenschaft, um anzugeben, ob Azure Disk Encryption Geheimnisse aus dem Tresor abrufen und Schlüssel entpacken darf. | bool |
| enabledForTemplateDeployment | Eigenschaft, um anzugeben, ob Azure Resource Manager Geheimnisse aus dem Schlüsseltresor abrufen darf. | bool |
| enablePurgeProtection | Eigenschaft, die angibt, ob der Schutz vor Bereinigung für diesen Tresor aktiviert ist. Wenn Sie diese Eigenschaft auf true festlegen, wird der Schutz vor der Bereinigung für diesen Tresor und seinen Inhalt aktiviert. Nur der Key Vault-Dienst kann ein hartes, unwiederbringliches Löschen initiieren. Die Einstellung ist nur wirksam, wenn das vorläufige Löschen ebenfalls aktiviert ist. Das Aktivieren dieser Funktion ist nicht rückgängig gemacht, d. h. die Eigenschaft akzeptiert false nicht als Wert. | bool |
| enableRbacAuthorization | Eigenschaft, die steuert, wie Datenaktionen autorisiert werden. Bei true verwendet der Schlüsseltresor rollenbasierte Access Control (RBAC) für die Autorisierung von Datenaktionen, und die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien werden ignoriert. Bei false verwendet der Schlüsseltresor die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien, und alle in Azure Resource Manager gespeicherten Richtlinien werden ignoriert. Wenn NULL oder nicht angegeben ist, wird der Tresor mit dem Standardwert false erstellt. Beachten Sie, dass Verwaltungsaktionen immer mit RBAC autorisiert werden. | bool |
| enableSoftDelete | Eigenschaft, um anzugeben, ob die Funktion "vorläufiges Löschen" für diesen Schlüsseltresor aktiviert ist. Wenn beim Erstellen eines neuen Schlüsseltresors kein Wert (true oder false) festgelegt ist, wird er standardmäßig auf TRUE festgelegt. Sobald sie auf TRUE festgelegt wurde, kann sie nicht auf false zurückgesetzt werden. | bool |
| networkAcls | Regeln für die Barrierefreiheit des Schlüsseltresors von bestimmten Netzwerkstandorten aus. | NetworkRuleSet |
| provisioningState | Bereitstellungsstatus des Tresors. | "RegistrierungDns" "Erfolgreich" |
| publicNetworkAccess | Eigenschaft, um anzugeben, ob der Tresor Datenverkehr aus dem öffentlichen Internet akzeptiert. Wenn auf "deaktiviert" festgelegt ist, wird der gesamte Datenverkehr mit Ausnahme des privaten Endpunktdatenverkehrs, der von vertrauenswürdigen Diensten stammt, blockiert. Dadurch werden die festgelegten Firewallregeln außer Kraft gesetzt, was bedeutet, dass wir die Regeln nicht einhalten, auch wenn die Firewallregeln vorhanden sind. | Zeichenfolge |
| sku | SKU-Details | Sku (erforderlich) |
| softDeleteRetentionInDays | softDelete Datenaufbewahrungstage. Sie akzeptiert >=7 und <=90. | INT |
| tenantId | Die Azure Active Directory-Mandanten-ID, die zum Authentifizieren von Anforderungen an den Schlüsseltresor verwendet werden soll. | Zeichenfolge (erforderlich) |
| vaultUri | Der URI des Tresors zum Ausführen von Vorgängen für Schlüssel und Geheimnisse. | Zeichenfolge |
AccessPolicyEntry
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| applicationId | Anwendungs-ID des Clients, der eine Anforderung im Namen eines Prinzipals stellt | Zeichenfolge |
| objectId | Die Objekt-ID eines Benutzers, Eines Dienstprinzipals oder einer Sicherheitsgruppe im Azure Active Directory-Mandanten für den Tresor. Die Objekt-ID muss für die Liste der Zugriffsrichtlinien eindeutig sein. | Zeichenfolge (erforderlich) |
| Berechtigungen | Berechtigungen, über die die Identität für Schlüssel, Geheimnisse und Zertifikate verfügt. | Berechtigungen (erforderlich) |
| tenantId | Die Azure Active Directory-Mandanten-ID, die zum Authentifizieren von Anforderungen an den Schlüsseltresor verwendet werden soll. | Zeichenfolge (erforderlich) |
Berechtigungen
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| certificates | Berechtigungen für Zertifikate | Zeichenfolgenarray, das eines der folgenden Elemente enthält: 'all' "Sicherung" "Erstellen" "löschen" "deleteissuers" "get" "getissuers" "Import" "List" "listissuers" "managecontacts" "manageissuers" "Bereinigen" "wiederherstellen" "Wiederherstellung" "setissuers" "Update" |
| keys | Berechtigungen für Schlüssel | Zeichenfolgenarray, das eines der folgenden Elemente enthält: 'all' "Sicherung" "Erstellen" "entschlüsseln" "löschen" "verschlüsseln" "get" "getrotationpolicy" "Import" "List" "Bereinigen" "wiederherstellen" "Release" "Wiederherstellung" "rotieren" "setrotationpolicy" "Sign" "unwrapKey" "Update" "überprüfen" "wrapKey" |
| secrets | Berechtigungen für Geheimnisse | Zeichenfolgenarray, das eines der folgenden Elemente enthält: 'all' "Sicherung" "löschen" "get" "List" "Bereinigen" "wiederherstellen" "Wiederherstellung" "set" |
| storage | Berechtigungen für Speicherkonten | Zeichenfolgenarray, das eines der folgenden Elemente enthält: 'all' "Sicherung" "löschen" "deletesas" "get" "getsas" "List" "listsas" "Bereinigen" "wiederherstellen" "regeneratekey" "Wiederherstellung" "set" "setsas" "Update" |
NetworkRuleSet
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Umgehung | Gibt an, welcher Datenverkehr Netzwerkregeln umgehen kann. Dies kann "AzureServices" oder "None" sein. Wenn nicht angegeben, ist der Standardwert "AzureServices". | "AzureServices" "Keine" |
| Defaultaction | Die Standardaktion, wenn keine Regel von ipRules und virtualNetworkRules übereinstimmen. Dies wird erst verwendet, nachdem die Umgehungseigenschaft ausgewertet wurde. | "Zulassen" "Verweigern" |
| ipRules | Die Liste der IP-Adressregeln. | IPRule[] |
| virtualNetworkRules | Die Liste der Regeln für virtuelle Netzwerke. | VirtualNetworkRule[] |
IPRule
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| value | Ein IPv4-Adressbereich in CIDR-Notation, z. B. "124.56.78.91" (einfache IP-Adresse) oder "124.56.78.0/24" (alle Adressen, die mit 124.56.78 beginnen). | Zeichenfolge (erforderlich) |
VirtualNetworkRule
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| id | Vollständige Ressourcen-ID eines VNET-Subnetzes, z. B. "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | Zeichenfolge (erforderlich) |
| ignoreMissingVnetServiceEndpoint | Eigenschaft, um anzugeben, ob NRP die Überprüfung ignoriert, ob für das übergeordnete Subnetz serviceEndpoints konfiguriert ist. | bool |
Sku
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| family | SKU-Familienname | "A" (erforderlich) |
| name | SKU-Name, um anzugeben, ob der Schlüsseltresor ein Standardtresor oder ein Premium-Tresor ist. | "Premium" "Standard" (erforderlich) |
Schnellstartvorlagen
In den folgenden Schnellstartvorlagen wird dieser Ressourcentyp bereitgestellt.
| Vorlage | BESCHREIBUNG |
|---|---|
| SAS 9.4- und Viya-Schnellstartvorlage für Azure |
Die SAS® 9.4- und Viya-Schnellstartvorlage für Azure stellen diese Produkte in der Cloud bereit: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 und SAS® Visual Analytics 8.5 für Linux und SAS® Visual Data Mining und Machine Learning 8.5 unter Linux für Viya. Diese Schnellstartanleitung ist eine Referenzarchitektur für Benutzer, die die Kombination aus SAS® 9.4 und Viya in Azure mithilfe cloudfreundlicher Technologien bereitstellen möchten. Durch die Bereitstellung der SAS-Plattform® in Azure erhalten Sie eine integrierte Umgebung aus SAS® 9.4- und Viya-Umgebungen, damit Sie beide Welten nutzen können. SAS® Viya ist eine cloudfähige In-Memory-Analyse-Engine. Es verwendet elastische, skalierbare und fehlertolerante Verarbeitung, um komplexe analytische Herausforderungen zu bewältigen. SAS® Viya ermöglicht eine schnellere Verarbeitung für Analysen mithilfe einer standardisierten Codebasis, die die Programmierung in SAS®, Python, R, Java und Lua unterstützt. Darüber hinaus werden Cloud-, lokale oder Hybridumgebungen unterstützt und nahtlos in allen Infrastruktur- oder Anwendungsökosystemen bereitgestellt. |
| AKS-Cluster mit einem NAT-Gateway und einem Application Gateway |
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit NAT Gateway für ausgehende Verbindungen und eine Application Gateway für eingehende Verbindungen bereitstellen. |
| Erstellen eines privaten AKS-Clusters mit einer öffentlichen DNS-Zone |
In diesem Beispiel wird gezeigt, wie Sie einen privaten AKS-Cluster mit einer öffentlichen DNS-Zone bereitstellen. |
| Bereitstellen der Sports Analytics-Architektur in Azure |
Erstellt ein Azure-Speicherkonto mit aktiviertem ADLS Gen2, eine Azure Data Factory instance mit verknüpften Diensten für das Speicherkonto (bei Bereitstellung der Azure SQL-Datenbank) und eine Azure Databricks-instance. Der AAD-Identität für den Benutzer, der die Vorlage bereitstellt, und der verwalteten Identität für die ADF-instance wird die Rolle Mitwirkender an Storage-Blobdaten für das Speicherkonto zugewiesen. Es gibt auch Optionen zum Bereitstellen eines Azure Key Vault instance, einer Azure SQL-Datenbank und einer Azure Event Hub-Instanz (für Streaminganwendungsfälle). Wenn ein Azure Key Vault bereitgestellt wird, wird der verwalteten Data Factory-Identität und der AAD-Identität für den Benutzer, der die Vorlage bereitstellt, die Rolle Key Vault Geheimnisbenutzer zugewiesen. |
| Azure Machine Learning-Arbeitsbereich |
Mit dieser Vorlage wird ein neuer Azure Machine Learning-Arbeitsbereich zusammen mit einem verschlüsselten Speicherkonto, KeyVault und Applications Insights-Protokollierung erstellt. |
| Erstellen eines KeyVault |
In diesem Modul wird eine KeyVault-Ressource mit apiVersion 2019-09-01 erstellt. |
| Erstellen eines API Management-Diensts mit SSL aus KeyVault |
Diese Vorlage stellt einen API Management-Dienst bereit, der mit benutzerseitig zugewiesener Identität konfiguriert ist. Diese Identität wird verwendet, um ein SSL-Zertifikat aus KeyVault abzurufen, und es wird aktualisiert, indem es alle 4 Stunden überprüft wird. |
| Erstellt eine Dapr pub-sub Servicebus-App mit Container Apps |
Erstellen Sie eine Dapr pub-sub servicebus-App mit Container Apps. |
| erstellt einen Azure Stack HCI 23H2-Cluster. |
Mit dieser Vorlage wird ein Azure Stack HCI 23H2-Cluster mithilfe einer ARM-Vorlage erstellt. |
| Erstellen einer neuen verschlüsselten Windows-VM aus dem Katalogimage |
Diese Vorlage erstellt eine neue verschlüsselte Windows-VM mit dem Server 2k12-Katalogimage. |
| Erstellen neuer verschlüsselter verwalteter Datenträger win-vm aus dem Katalogimage |
Diese Vorlage erstellt eine neue verschlüsselte Verwaltete Datenträger-Windows-VM mithilfe des Server 2k12-Katalogimages. |
| Diese Vorlage verschlüsselt eine ausgeführte Windows-VMSS. |
Diese Vorlage ermöglicht die Verschlüsselung auf einer ausgeführten Windows-VM-Skalierungsgruppe. |
| Aktivieren der Verschlüsselung auf einer ausgeführten Windows-VM |
Diese Vorlage ermöglicht die Verschlüsselung auf einer ausgeführten Windows-VM. |
| Erstellen und Verschlüsseln einer neuen Windows-VMSS mit Jumpbox |
Mit dieser Vorlage können Sie eine einfache VM-Skalierungsgruppe von Windows-VMs mit der zuletzt gepatchten Version serveraler Windows-Versionen bereitstellen. Diese Vorlage stellt auch eine Jumpbox mit einer öffentlichen IP-Adresse im selben virtuellen Netzwerk bereit. Sie können über diese öffentliche IP-Adresse eine Verbindung mit der Jumpbox herstellen und dann über private IP-Adressen eine Verbindung mit VMs in der Skalierungsgruppe herstellen. Diese Vorlage ermöglicht die Verschlüsselung auf der VM-Skalierungsgruppe von Windows-VMs. |
| Erstellen einer Azure Key Vault und eines Geheimnisses |
Mit dieser Vorlage werden ein Azure Key Vault und ein Geheimnis erstellt. |
| Erstellen einer Azure Key Vault mit RBAC und einem Geheimnis |
Mit dieser Vorlage werden ein Azure Key Vault und ein Geheimnis erstellt. Anstatt sich auf Zugriffsrichtlinien zu verlassen, nutzt es Azure RBAC, um die Autorisierung für Geheimnisse zu verwalten. |
| Erstellen von Schlüsseltresor, verwalteter Identität und Rollenzuweisung |
Diese Vorlage erstellt einen Schlüsseltresor, eine verwaltete Identität und eine Rollenzuweisung. |
| Herstellen einer Verbindung mit einem Key Vault über einen privaten Endpunkt |
In diesem Beispiel wird gezeigt, wie Sie ein virtuelles Netzwerk und eine private DNS-Zone konfigurieren, um über einen privaten Endpunkt auf Key Vault zuzugreifen. |
| Erstellen einer Azure Key Vault und einer Liste von Geheimnissen |
Diese Vorlage erstellt eine Key Vault und eine Liste von Geheimnissen im Schlüsseltresor, die zusammen mit den Parametern übergeben werden. |
| Erstellen von Key Vault mit aktivierter Protokollierung |
Diese Vorlage erstellt ein Azure Key Vault und ein Azure Storage-Konto, das für die Protokollierung verwendet wird. Optional werden Ressourcensperren erstellt, um Ihre Key Vault- und Speicherressourcen zu schützen. |
| Erstellen eines AML-Arbeitsbereichs mit mehreren Datasets & Datenspeichern |
Mit dieser Vorlage wird ein Azure Machine Learning-Arbeitsbereich mit mehreren Datasets & Datenspeichern erstellt. |
| Sichere End-to-End-Einrichtung von Azure Machine Learning |
Dieser Satz von Bicep-Vorlagen veranschaulicht, wie Sie Azure Machine Learning end-to-end in einer sicheren Einrichtung einrichten. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, compute instance und angefügten privaten AKS-Cluster. |
| Sicheres End-to-End-Setup von Azure Machine Learning (Legacy) |
Dieser Satz von Bicep-Vorlagen veranschaulicht, wie Sie Azure Machine Learning end-to-end in einer sicheren Einrichtung einrichten. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, compute instance und angefügten privaten AKS-Cluster. |
| Erstellen eines AKS-Computeziels mit einer privaten IP-Adresse |
Diese Vorlage erstellt ein AKS-Computeziel in einem bestimmten Azure Machine Learning-Dienstarbeitsbereich mit einer privaten IP-Adresse. |
| Erstellen eines Azure Machine Learning Service-Arbeitsbereichs |
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure-Anwendung Insights und Azure Container Registry. Diese Konfiguration beschreibt die minimalen Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning benötigen. |
| Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (CMK) |
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure-Anwendung Insights und Azure Container Registry. Das Beispiel zeigt, wie Sie Azure Machine Learning für die Verschlüsselung mit einem kundenseitig verwalteten Verschlüsselungsschlüssel konfigurieren. |
| Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (vNET) |
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure-Anwendung Insights und Azure Container Registry. Diese Konfiguration beschreibt die Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning in einer isolierten Netzwerkkonfiguration benötigen. |
| Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (Legacy) |
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure-Anwendung Insights und Azure Container Registry. Diese Konfiguration beschreibt die Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning in einer isolierten Netzwerkkonfiguration benötigen. |
| AKS-Cluster mit Application Gateway Eingangscontroller |
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit Application Gateway, Application Gateway Eingangscontroller, Azure Container Registry, Log Analytics und Key Vault |
| Erstellen eines Application Gateway V2 mit Key Vault |
Diese Vorlage stellt eine Application Gateway V2 in einer Virtual Network, einer benutzerdefinierten Identität, Key Vault, einem Geheimnis (Zertifikatdaten) und einer Zugriffsrichtlinie für Key Vault und Application Gateway bereit. |
| Testumgebung für Azure Firewall Premium |
Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie IdPS (Intrusion Inspection Detection), TLS-Überprüfung und Webkategoriefilterung. |
| Erstellen von Application Gateway mit Zertifikaten |
Diese Vorlage zeigt, wie sie Key Vault selbstsignierten Zertifikate generieren und dann auf Application Gateway verweisen. |
| Azure Storage-Kontoverschlüsselung mit kundenseitig verwaltetem Schlüssel |
Diese Vorlage stellt ein Speicherkonto mit einem kundenseitig verwalteten Schlüssel für die Verschlüsselung bereit, der generiert und in einem Key Vault platziert wird. |
| App Service-Umgebung mit Azure SQL Back-End |
Diese Vorlage erstellt eine App Service-Umgebung mit einem Azure SQL Back-End zusammen mit privaten Endpunkten und zugeordneten Ressourcen, die normalerweise in einer privaten/isolierten Umgebung verwendet werden. |
| Azure Function-App und eine von HTTP ausgelöste Funktion |
In diesem Beispiel werden eine Azure Function-App und eine von HTTP ausgelöste Funktion inline in der Vorlage bereitgestellt. Außerdem wird ein Key Vault bereitgestellt und ein Geheimnis mit dem Hostschlüssel der Funktions-App aufgefüllt. |
| Application Gateway mit internen API Management und Web-App |
Application Gateway Das Weiterleiten von Internetdatenverkehr an ein virtuelles Netzwerk (interner Modus) API Management instance welche Dienste eine Web-API in einer Azure-Web-App hostet. |
Terraform (AzAPI-Anbieter) Ressourcendefinition
Der Tresorressourcentyp kann in Folgendem bereitgestellt werden:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.KeyVault/vaults-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform-Ressource hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2022-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Eigenschaftswerte
vaults
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| type | Ressourcentyp | "Microsoft.KeyVault/vaults@2022-07-01" |
| name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 3-24 Gültige Zeichen: Alphanumerische Zeichen und Bindestriche. Beginnen Sie mit einem Buchstaben. Enden Sie mit einem Buchstaben oder einer Ziffer. Darf keine aufeinanderfolgenden Bindestriche enthalten. Der Ressourcenname muss in Azure eindeutig sein. |
| location | Der unterstützte Azure-Speicherort, an dem der Schlüsseltresor erstellt werden soll. | Zeichenfolge (erforderlich) |
| parent_id | Verwenden Sie zum Bereitstellen in einer Ressourcengruppe die ID dieser Ressourcengruppe. | Zeichenfolge (erforderlich) |
| tags | Die Tags, die dem Schlüsseltresor zugewiesen werden. | Wörterbuch der Tagnamen und -werte. |
| properties | Eigenschaften des Tresors | VaultProperties (erforderlich) |
VaultProperties
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| accessPolicies | Ein Array von 0 bis 1024 Identitäten, die Zugriff auf den Schlüsseltresor haben. Alle Identitäten im Array müssen dieselbe Mandanten-ID wie die Mandanten-ID des Schlüsseltresors verwenden. Wenn createMode auf recoverfestgelegt ist, sind keine Zugriffsrichtlinien erforderlich. Andernfalls sind Zugriffsrichtlinien erforderlich. |
AccessPolicyEntry[] |
| createMode | Der Erstellungsmodus des Tresors, um anzugeben, ob der Tresor wiederhergestellt werden muss. | "default" "wiederherstellen" |
| enabledForDeployment | Eigenschaft, um anzugeben, ob Azure Virtual Machines als Geheimnisse gespeicherte Zertifikate aus dem Schlüsseltresor abrufen dürfen. | bool |
| enabledForDiskEncryption | Eigenschaft, um anzugeben, ob Azure Disk Encryption Geheimnisse aus dem Tresor abrufen und Schlüssel entpacken darf. | bool |
| enabledForTemplateDeployment | Eigenschaft, um anzugeben, ob Azure Resource Manager Geheimnisse aus dem Schlüsseltresor abrufen darf. | bool |
| enablePurgeProtection | Eigenschaft, die angibt, ob der Schutz vor Bereinigung für diesen Tresor aktiviert ist. Wenn Sie diese Eigenschaft auf true festlegen, wird der Schutz vor der Bereinigung für diesen Tresor und seinen Inhalt aktiviert. Nur der Key Vault Dienst kann einen harten, unwiederbringlichen Löschvorgang initiieren. Die Einstellung ist nur wirksam, wenn das vorläufige Löschen ebenfalls aktiviert ist. Das Aktivieren dieser Funktionalität kann nicht rückgängig gemacht werden, d. h., die Eigenschaft akzeptiert nicht false als Wert. | bool |
| enableRbacAuthorization | Eigenschaft, die steuert, wie Datenaktionen autorisiert werden. Bei true verwendet der Schlüsseltresor rollenbasierte Access Control (RBAC) für die Autorisierung von Datenaktionen, und die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien werden ignoriert. Bei false verwendet der Schlüsseltresor die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien, und alle in Azure Resource Manager gespeicherten Richtlinien werden ignoriert. Wenn NULL oder nicht angegeben ist, wird der Tresor mit dem Standardwert false erstellt. Beachten Sie, dass Verwaltungsaktionen immer mit RBAC autorisiert werden. | bool |
| enableSoftDelete | Eigenschaft, um anzugeben, ob die Funktion "vorläufiges Löschen" für diesen Schlüsseltresor aktiviert ist. Wenn beim Erstellen eines neuen Schlüsseltresors kein Wert (true oder false) festgelegt ist, wird er standardmäßig auf true festgelegt. Nach dem Festlegen auf TRUE kann es nicht mehr auf false zurückgesetzt werden. | bool |
| networkAcls | Regeln für den Zugriff auf den Schlüsseltresor von bestimmten Netzwerkstandorten aus. | NetworkRuleSet |
| provisioningState | Bereitstellungsstatus des Tresors. | "RegisteringDns" "Erfolgreich" |
| publicNetworkAccess | Eigenschaft, um anzugeben, ob der Tresor Datenverkehr aus dem öffentlichen Internet akzeptiert. Wenn auf "deaktiviert" festgelegt ist, wird der gesamte Datenverkehr mit Ausnahme des privaten Endpunkts, der von vertrauenswürdigen Diensten stammt, blockiert. Dadurch werden die festgelegten Firewallregeln außer Kraft gesetzt, d. h., selbst wenn die Firewallregeln vorhanden sind, werden die Regeln nicht eingehalten. | Zeichenfolge |
| sku | SKU-Details | SKU (erforderlich) |
| softDeleteRetentionInDays | softDelete Datenaufbewahrungstage. Sie akzeptiert >=7 und <=90. | INT |
| tenantId | Die Azure Active Directory-Mandanten-ID, die zum Authentifizieren von Anforderungen an den Schlüsseltresor verwendet werden soll. | Zeichenfolge (erforderlich) |
| vaultUri | Der URI des Tresors zum Ausführen von Vorgängen für Schlüssel und Geheimnisse. | Zeichenfolge |
AccessPolicyEntry
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| applicationId | Anwendungs-ID des Clients, der eine Anforderung im Namen eines Prinzipals stellt | Zeichenfolge |
| objectId | Die Objekt-ID eines Benutzers, Eines Dienstprinzipals oder einer Sicherheitsgruppe im Azure Active Directory-Mandanten für den Tresor. Die Objekt-ID muss für die Liste der Zugriffsrichtlinien eindeutig sein. | Zeichenfolge (erforderlich) |
| Berechtigungen | Berechtigungen, über die die Identität für Schlüssel, Geheimnisse und Zertifikate verfügt. | Berechtigungen (erforderlich) |
| tenantId | Die Azure Active Directory-Mandanten-ID, die zum Authentifizieren von Anforderungen an den Schlüsseltresor verwendet werden soll. | Zeichenfolge (erforderlich) |
Berechtigungen
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| certificates | Berechtigungen für Zertifikate | Zeichenfolgenarray, das folgendes enthält: "alle" "Sicherung" "Erstellen" "löschen" "deleteissuers" "get" "getissuers" "Import" „Liste“ "listissuers" "managecontacts" "manageissuers" "Bereinigen" "Wiederherstellen" "Wiederherstellung" "setissuers" "update" |
| keys | Berechtigungen für Schlüssel | Zeichenfolgenarray, das folgendes enthält: "alle" "Sicherung" "Erstellen" "Entschlüsseln" "löschen" "Verschlüsseln" "get" "getrotationpolicy" "Import" „Liste“ "Bereinigen" "Wiederherstellen" "Release" "Wiederherstellung" "Rotieren" "setrotationpolicy" "Sign" "unwrapKey" "update" "Überprüfen" "wrapKey" |
| secrets | Berechtigungen für Geheimnisse | Zeichenfolgenarray, das folgendes enthält: "alle" "Sicherung" "löschen" "get" „Liste“ "Bereinigen" "Wiederherstellen" "Wiederherstellung" "set" |
| storage | Berechtigungen für Speicherkonten | Zeichenfolgenarray, das folgendes enthält: "alle" "Sicherung" "löschen" "deletesas" "get" "getsas" „Liste“ "listsas" "Bereinigen" "Wiederherstellen" "regeneratekey" "Wiederherstellung" "set" "setsas" "update" |
NetworkRuleSet
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Umgehung | Gibt an, welcher Datenverkehr Netzwerkregeln umgehen kann. Dies kann "AzureServices" oder "None" sein. Wenn nicht angegeben, lautet der Standardwert "AzureServices". | "AzureServices" "None" |
| Defaultaction | Die Standardaktion, wenn keine Regel von ipRules und virtualNetworkRules übereinstimmen. Dies wird erst verwendet, nachdem die Umgehungseigenschaft ausgewertet wurde. | "Zulassen" "Verweigern" |
| ipRules | Die Liste der IP-Adressregeln. | IPRule[] |
| virtualNetworkRules | Die Liste der Regeln für virtuelle Netzwerke. | VirtualNetworkRule[] |
IPRule
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| value | Ein IPv4-Adressbereich in CIDR-Notation, z. B. "124.56.78.91" (einfache IP-Adresse) oder "124.56.78.0/24" (alle Adressen, die mit 124.56.78 beginnen). | Zeichenfolge (erforderlich) |
VirtualNetworkRule
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| id | Vollständige Ressourcen-ID eines VNET-Subnetzes, z. B. "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | Zeichenfolge (erforderlich) |
| ignoreMissingVnetServiceEndpoint | Eigenschaft, um anzugeben, ob NRP die Überprüfung ignoriert, ob für das übergeordnete Subnetz serviceEndpoints konfiguriert ist. | bool |
Sku
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| family | SKU-Familienname | "A" (erforderlich) |
| name | SKU-Name, um anzugeben, ob der Schlüsseltresor ein Standardtresor oder ein Premium-Tresor ist. | "Premium" "Standard" (erforderlich) |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für