Auf Englisch lesen

Freigeben über


Microsoft.KeyVault Vaults 2023-02-01

Auswählen einer Bereitstellungssprache

Bicep-Ressourcendefinition

Der Ressourcentyp "Vaults" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.

Bemerkungen

Anleitungen zur Verwendung von Schlüsseltresorn für sichere Werte finden Sie unter Verwalten von geheimen Schlüsseln mithilfe von Bicep.

Eine Schnellstartanleitung zum Erstellen eines geheimen Schlüssels finden Sie unter Schnellstart: Festlegen und Abrufen eines geheimen Schlüssels aus Azure Key Vault mithilfe einer ARM-Vorlage.

Eine Schnellstartanleitung zum Erstellen eines Schlüssels finden Sie unter Schnellstart: Erstellen eines Azure-Schlüsseltresors und eines Schlüssels mithilfe der ARM-Vorlage.

Ressourcenformat

Um eine Microsoft.KeyVault/Vaults-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Bicep hinzu.

resource symbolicname 'Microsoft.KeyVault/vaults@2023-02-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    publicNetworkAccess: 'string'
    sku: {
      family: 'A'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
}

Eigenschaftswerte

Gewölbe

Name Beschreibung Wert
Name Der Ressourcenname Zeichenfolge (erforderlich)

Zeichenlimit: 3-24

Gültige Zeichen:
Alphanumerische und Bindestriche.

Beginnen Sie mit dem Buchstaben. Enden sie mit Buchstabe oder Ziffer. Keine aufeinander folgenden Bindestriche enthalten.

Der Ressourcenname muss in Azure eindeutig sein.
Ort Der unterstützte Azure-Speicherort, an dem der Schlüsseltresor erstellt werden soll. Zeichenfolge (erforderlich)
Schilder Die Tags, die dem Schlüsseltresor zugewiesen werden. Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen
Eigenschaften Eigenschaften des Tresors VaultProperties- (erforderlich)

VaultProperties

Name Beschreibung Wert
accessPolicies Ein Array von 0 bis 1024 Identitäten, die Zugriff auf den Schlüsseltresor haben. Alle Identitäten im Array müssen dieselbe Mandanten-ID wie die Mandanten-ID des Schlüsseltresors verwenden. Wenn createMode auf recoverfestgelegt ist, sind Zugriffsrichtlinien nicht erforderlich. Andernfalls sind Zugriffsrichtlinien erforderlich. AccessPolicyEntry-[]
createMode Der Erstellungsmodus des Tresors, um anzugeben, ob der Tresor wiederhergestellt werden muss oder nicht. "Standard"
"Wiederherstellen"
enabledForDeployment Eigenschaft, um anzugeben, ob Azure Virtual Machines zertifikate abrufen dürfen, die als geheime Schlüssel aus dem Schlüsseltresor gespeichert sind. Bool
enabledForDiskEncryption Eigenschaft, um anzugeben, ob die Azure Disk Encryption geheime Schlüssel aus dem Tresor abrufen und Schlüssel entschlüsselt. Bool
enabledForTemplateDeployment Eigenschaft, um anzugeben, ob Azure Resource Manager geheime Schlüssel aus dem Schlüsseltresor abrufen darf. Bool
enablePurgeProtection Eigenschaft, die angibt, ob der Schutz vor Löschvorgängen für diesen Tresor aktiviert ist. Wenn Sie diese Eigenschaft auf "true" festlegen, wird der Schutz vor Löschvorgängen für diesen Tresor und deren Inhalt aktiviert. Nur der Key Vault-Dienst kann einen schwierigen, unwiederbringlichen Löschvorgang initiieren. Die Einstellung ist nur wirksam, wenn auch das vorläufige Löschen aktiviert ist. Das Aktivieren dieser Funktionalität ist unumkehrbar – d. h. die Eigenschaft akzeptiert "false" nicht als Wert. Bool
enableRbacAuthorization Eigenschaft, die steuert, wie Datenaktionen autorisiert werden. Wenn true, verwendet der Schlüsseltresor die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) für die Autorisierung von Datenaktionen, und die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien werden ignoriert. Wenn "false" verwendet der Schlüsseltresor die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien, und alle in Azure Resource Manager gespeicherten Richtlinien werden ignoriert. Wenn null oder nicht angegeben wird, wird der Tresor mit dem Standardwert "false" erstellt. Beachten Sie, dass Verwaltungsaktionen immer mit RBAC autorisiert sind. Bool
enableSoftDelete Eigenschaft, die angibt, ob die Funktion "Vorläufiges Löschen" für diesen Schlüsseltresor aktiviert ist. Wenn er beim Erstellen eines neuen Schlüsseltresors nicht auf einen Wert (wahr oder falsch) festgelegt ist, wird er standardmäßig auf "true" festgelegt. Sobald dieser Wert auf "true" festgelegt ist, kann er nicht auf "false" zurückgesetzt werden. Bool
networkAcls Regeln für die Barrierefreiheit des Schlüsseltresors von bestimmten Netzwerkstandorten. NetworkRuleSet-
provisioningState Bereitstellungsstatus des Tresors. 'RegistrationDns'
"Erfolgreich"
publicNetworkAccess Eigenschaft, um anzugeben, ob der Tresor Datenverkehr aus dem öffentlichen Internet akzeptiert. Bei Festlegung auf "deaktiviert" wird der gesamte Datenverkehr außer privatem Endpunktdatenverkehr blockiert, der von vertrauenswürdigen Diensten stammt. Dadurch werden die festgelegten Firewallregeln außer Kraft gesetzt, was bedeutet, dass auch wenn die Firewallregeln vorhanden sind, die Regeln nicht berücksichtigt werden. Schnur
Sku SKU-Details Sku- (erforderlich)
softDeleteRetentionInDays SoftDelete-Datenaufbewahrungstage. Sie akzeptiert >=7 und <=90. Int
tenantId Die Azure Active Directory-Mandanten-ID, die für die Authentifizierung von Anforderungen an den Schlüsseltresor verwendet werden soll. Zeichenfolge (erforderlich)

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri Der URI des Tresors zum Ausführen von Vorgängen für Schlüssel und geheime Schlüssel. Schnur

AccessPolicyEntry

Name Beschreibung Wert
applicationId Anwendungs-ID des Clients, der eine Anforderung im Auftrag eines Prinzipals durchführt Schnur

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Die Objekt-ID eines Benutzers, eines Dienstprinzipals oder einer Sicherheitsgruppe im Azure Active Directory-Mandanten für den Tresor. Die Objekt-ID muss für die Liste der Zugriffsrichtlinien eindeutig sein. Zeichenfolge (erforderlich)
Erlaubnisse Berechtigungen, die die Identität für Schlüssel, geheime Schlüssel und Zertifikate hat. Berechtigungen (erforderlich)
tenantId Die Azure Active Directory-Mandanten-ID, die für die Authentifizierung von Anforderungen an den Schlüsseltresor verwendet werden soll. Zeichenfolge (erforderlich)

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Erlaubnisse

Name Beschreibung Wert
Atteste Berechtigungen für Zertifikate Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"create"
"delete"
"deleteissuers"
"get"
'getissuers'
"import"
"list"
"listissuers"
'managecontacts'
"manageissuers"
"Löschen"
"Wiederherstellen"
"Wiederherstellen"
'setissuers'
"Update"
Tasten Berechtigungen für Schlüssel Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"create"
"entschlüsseln"
"delete"
"verschlüsseln"
"get"
'getrotationpolicy'
"import"
"list"
"Löschen"
"Wiederherstellen"
"Release"
"Wiederherstellen"
"drehen"
'setrotationpolicy'
"Zeichen"
"unwrapKey"
"Update"
"verify"
"wrapKey"
Geheimnisse Berechtigungen für geheime Schlüssel Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"delete"
"get"
"list"
"Löschen"
"Wiederherstellen"
"Wiederherstellen"
"set"
Lagerung Berechtigungen für Speicherkonten Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"delete"
"deletesas"
"get"
"getsas"
"list"
"listsas"
"Löschen"
"Wiederherstellen"
"Regeneratekey"
"Wiederherstellen"
"set"
"setsas"
"Update"

NetworkRuleSet

Name Beschreibung Wert
Umgehungsstraße Gibt an, welcher Datenverkehr Netzwerkregeln umgehen kann. Dies kann 'AzureServices' oder 'None' sein. Wenn nicht angegeben, lautet der Standardwert "AzureServices". "AzureServices"
'None'
defaultAction Die Standardaktion, wenn keine Regel von "ipRules" und "virtualNetworkRules" übereinstimmen. Dies wird nur verwendet, nachdem die Umgehungseigenschaft ausgewertet wurde. "Zulassen"
"Ablehnen"
ipRules Die Liste der IP-Adressregeln. IPRule-[]
virtualNetworkRules Die Liste der Regeln für virtuelle Netzwerke. VirtualNetworkRule[]

IPRule

Name Beschreibung Wert
Wert Ein IPv4-Adressbereich in CIDR-Notation, z. B. "124.56.78.91" (einfache IP-Adresse) oder "124.56.78.0/24" (alle Adressen, die mit 124.56.78 beginnen). Zeichenfolge (erforderlich)

VirtualNetworkRule

Name Beschreibung Wert
id Vollständige Ressourcen-ID eines vnet-Subnetzes, z. B. "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". Zeichenfolge (erforderlich)
ignoreMissingVnetServiceEndpoint Eigenschaft, um anzugeben, ob nrP die Überprüfung ignoriert, ob das übergeordnete Subnetz "serviceEndpoints" konfiguriert ist. Bool

Sku

Name Beschreibung Wert
Familie SKU-Familienname "A" (erforderlich)
Name SKU-Name, um anzugeben, ob der Schlüsseltresor ein Standardtresor oder ein Premium Vault ist. "Premium"
"Standard" (erforderlich)

Schnellstartvorlagen

Die folgenden Schnellstartvorlagen stellen diesen Ressourcentyp bereit.

Schablone Beschreibung
AKS-Cluster mit einem NAT-Gateway und einem Anwendungsgateway-

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit NAT-Gateway für ausgehende Verbindungen und ein Anwendungsgateway für eingehende Verbindungen bereitstellen.
Erstellen eines privaten AKS-Clusters mit einer öffentlichen DNS-Zone

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie einen privaten AKS-Cluster mit einer öffentlichen DNS-Zone bereitstellen.
Bereitstellen der Sports Analytics auf azure Architecture

Bereitstellen in Azure
Erstellt ein Azure-Speicherkonto mit aktiviertem ADLS Gen 2, einer Azure Data Factory-Instanz mit verknüpften Diensten für das Speicherkonto (eine Azure SQL-Datenbank, sofern bereitgestellt) und eine Azure Databricks-Instanz. Die AAD-Identität für den Benutzer, der die Vorlage bereitstellt, und die verwaltete Identität für die ADF-Instanz wird der Rolle "Mitwirkender von Speicher-BLOB-Daten" für das Speicherkonto gewährt. Es gibt auch Optionen zum Bereitstellen einer Azure Key Vault-Instanz, einer Azure SQL-Datenbank und eines Azure Event Hub (für Streaming-Anwendungsfälle). Wenn ein Azure Key Vault bereitgestellt wird, erhalten die vom Datenfactory verwaltete Identität und die AAD-Identität für den Benutzer, der die Vorlage bereitstellt, die Rolle "Key Vault Secrets User".
Azure Machine Learning Workspace

Bereitstellen in Azure
Diese Vorlage erstellt einen neuen Azure Machine Learning Workspace zusammen mit einem verschlüsselten Speicherkonto, KeyVault und Applications Insights Logging
Erstellen eines KeyVault-

Bereitstellen in Azure
Dieses Modul erstellt eine KeyVault-Ressource mit apiVersion 2019-09-01.
Erstellen eines API-Verwaltungsdiensts mit SSL von KeyVault

Bereitstellen in Azure
Diese Vorlage stellt einen API-Verwaltungsdienst bereit, der mit der vom Benutzer zugewiesenen Identität konfiguriert ist. Sie verwendet diese Identität, um SSL-Zertifikat von KeyVault abzurufen und es alle 4 Stunden zu aktualisieren.
Erstellt eine Dapr pub-sub servicebus-App mit Container-Apps

Bereitstellen in Azure
Erstellen Sie eine Dapr pub-sub servicebus-App mit Container-Apps.
erstellt einen Azure Stack HCI 23H2-Cluster-

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Stack HCI 23H2-Cluster mit einer ARM-Vorlage.
erstellt einen Azure Stack HCI 23H2-Cluster-

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Stack HCI 23H2-Cluster mithilfe einer ARM-Vorlage mit benutzerdefinierter Speicher-IP
erstellt einen Azure Stack HCI 23H2-Cluster im Switchless-Dual-Link-Netzwerkmodus

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Stack HCI 23H2-Cluster mit einer ARM-Vorlage.
erstellt einen Azure Stack HCI 23H2-Cluster im Switchless-SingleLink Netzwerkmodus

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Stack HCI 23H2-Cluster mit einer ARM-Vorlage.
Erstellen einer neuen verschlüsselten Windows-VM aus Katalogimage-

Bereitstellen in Azure
Diese Vorlage erstellt eine neue verschlüsselte Windows-VM mit dem Server 2k12-Katalogimage.
Erstellen neuer verschlüsselter verwalteter Datenträger vom Katalogimage

Bereitstellen in Azure
Diese Vorlage erstellt eine neue verschlüsselte verwaltete Datenträger-VM mit dem Server 2k12-Katalogimage.
Diese Vorlage verschlüsselt eine ausgeführte Windows VMSS-

Bereitstellen in Azure
Diese Vorlage aktiviert die Verschlüsselung für einen ausgeführten Windows-VM-Skalierungssatz.
Aktivieren der Verschlüsselung auf einer ausgeführten Windows-VM-

Bereitstellen in Azure
Diese Vorlage aktiviert die Verschlüsselung auf einer ausgeführten Windows-VM.
Erstellen und Verschlüsseln einer neuen Windows-VMSS mit Jumpbox-

Bereitstellen in Azure
Mit dieser Vorlage können Sie einen einfachen VM Scale Set von Windows-VMs mithilfe der letzten gepatchten Version von serveralen Windows-Versionen bereitstellen. Diese Vorlage stellt auch einen Jumpbox mit einer öffentlichen IP-Adresse im selben virtuellen Netzwerk bereit. Sie können über diese öffentliche IP-Adresse eine Verbindung mit dem Jumpbox herstellen und dann über private IP-Adressen eine Verbindung mit virtuellen Computern herstellen. Diese Vorlage aktiviert die Verschlüsselung für den VM-Skalierungssatz von Windows-VMs.
Erstellen eines Azure Key Vault und eines geheimen

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Key Vault und einen geheimen Schlüssel.
Erstellen eines Azure Key Vault mit RBAC und einem geheimen

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Key Vault und einen geheimen Schlüssel. Anstatt sich auf Zugriffsrichtlinien zu verlassen, nutzt sie Azure RBAC zum Verwalten der Autorisierung für geheime Schlüssel
Erstellen von Schlüsseltresor, verwalteter Identität und Rollenzuweisung

Bereitstellen in Azure
Diese Vorlage erstellt einen Schlüsseltresor, eine verwaltete Identität und rollenzuweisung.
Herstellen einer Verbindung mit einem Key Vault über private Endpunkte

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie ein virtuelles Netzwerk und eine private DNS-Zone für den Zugriff auf Key Vault über einen privaten Endpunkt verwenden.
Erstellen eines Schlüsseltresors und einer Liste mit geheimen Schlüsseln

Bereitstellen in Azure
Diese Vorlage erstellt einen Schlüsseltresor und eine Liste der geheimen Schlüssel im Schlüsseltresor, die zusammen mit den Parametern übergeben werden.
Erstellen eines Schlüsseltresors mit aktivierter Protokollierung

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Key Vault und ein Azure Storage-Konto, das für die Protokollierung verwendet wird. Sie erstellt optional Ressourcensperren, um Ihre Key Vault- und Speicherressourcen zu schützen.
Azure AI Studio – grundlegende Einrichtung

Bereitstellen in Azure
Dieser Satz von Vorlagen veranschaulicht, wie Sie Azure AI Studio mit dem grundlegenden Setup einrichten, was bedeutet, dass der öffentliche Internetzugriff aktiviert ist, von Microsoft verwaltete Schlüssel für verschlüsselung und von Microsoft verwaltete Identitätskonfiguration für die KI-Ressource.
Azure AI Studio – grundlegende Einrichtung

Bereitstellen in Azure
Dieser Satz von Vorlagen veranschaulicht, wie Sie Azure AI Studio mit dem grundlegenden Setup einrichten, was bedeutet, dass der öffentliche Internetzugriff aktiviert ist, von Microsoft verwaltete Schlüssel für verschlüsselung und von Microsoft verwaltete Identitätskonfiguration für die KI-Ressource.
Azure AI Studio mit Microsoft Entra ID-Authentifizierung

Bereitstellen in Azure
Dieser Satz von Vorlagen veranschaulicht, wie Sie Azure AI Studio mit der Microsoft Entra ID-Authentifizierung für abhängige Ressourcen einrichten, z. B. Azure AI Services und Azure Storage.
Erstellen eines AML-Arbeitsbereichs mit mehreren Datasets & Datenspeichern

Bereitstellen in Azure
Diese Vorlage erstellt den Azure Machine Learning-Arbeitsbereich mit mehreren Datasets & Datenspeichern.
Von Azure Machine Learning end-to-End-Setup

Bereitstellen in Azure
Diese Gruppe von Bicep-Vorlagen veranschaulicht, wie Azure Machine Learning end-to-End in einer sicheren Einrichtung eingerichtet wird. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, eine Computeinstanz und einen angefügten privaten AKS-Cluster.
end-to-End-Setup (Legacy) von Azure Machine Learning

Bereitstellen in Azure
Diese Gruppe von Bicep-Vorlagen veranschaulicht, wie Azure Machine Learning end-to-End in einer sicheren Einrichtung eingerichtet wird. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, eine Computeinstanz und einen angefügten privaten AKS-Cluster.
Erstellen eines AKS-Computeziels mit einer privaten IP-Adresse

Bereitstellen in Azure
Diese Vorlage erstellt ein AKS-Computeziel in einem bestimmten Azure Machine Learning-Dienstarbeitsbereich mit einer privaten IP-Adresse.
Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs

Bereitstellen in Azure
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt den minimalen Satz von Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning benötigen.
Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (CMK)

Bereitstellen in Azure
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Das Beispiel zeigt, wie Sie Azure Machine Learning für die Verschlüsselung mit einem vom Kunden verwalteten Verschlüsselungsschlüssel konfigurieren.
Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (CMK)

Bereitstellen in Azure
Diese Bereitstellungsvorlage gibt an, wie Sie einen Azure Machine Learning-Arbeitsbereich mit dienstseitiger Verschlüsselung mit Ihren Verschlüsselungsschlüsseln erstellen.
Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (vnet)

Bereitstellen in Azure
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt den Satz von Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning in einem isolierten Netzwerk benötigen.
Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (Legacy)

Bereitstellen in Azure
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt den Satz von Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning in einem isolierten Netzwerk benötigen.
AKS-Cluster mit dem Application Gateway Ingress Controller-

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics und Key Vault bereitstellen.
Erstellen eines Anwendungsgateways V2 mit Key Vault-

Bereitstellen in Azure
Diese Vorlage stellt ein Anwendungsgateway V2 in einem virtuellen Netzwerk, einer benutzerdefinierten Identität, einem Schlüsseltresor, einem geheimen Schlüssel (Zertifikatdaten) und einer Zugriffsrichtlinie für Key Vault und Anwendungsgateway bereit.
Testumgebung für Azure Firewall Premium

Bereitstellen in Azure
Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Webkategoriefilterung
Erstellt eine mandantenübergreifende private Endpunktressource

Bereitstellen in Azure
Mit dieser Vorlage können Sie priavate Endpoint-Ressource innerhalb derselben oder mandantenübergreifenden Umgebung erstellen und dns-Zonenkonfiguration hinzufügen.
Erstellen eines Anwendungsgateways mit Zertifikaten

Bereitstellen in Azure
Diese Vorlage zeigt, wie Sie selbstsignierte Key Vault-Zertifikate generieren und dann vom Anwendungsgateway referenzieren.
Azure Storage-Kontoverschlüsselung mit vom Kunden verwalteten Schlüsseln

Bereitstellen in Azure
Diese Vorlage stellt ein Speicherkonto mit einem vom Kunden verwalteten Schlüssel für die Verschlüsselung bereit, die generiert und in einem Key Vault platziert wird.
App Service Environment mit Azure SQL-Back-End-

Bereitstellen in Azure
Diese Vorlage erstellt eine App Service-Umgebung mit einem Azure SQL-Back-End zusammen mit privaten Endpunkten sowie zugeordneten Ressourcen, die normalerweise in einer privaten/isolierten Umgebung verwendet werden.
Azure Function-App und eine http-ausgelöste Funktion

Bereitstellen in Azure
In diesem Beispiel wird eine Azure Function-App und eine HTTP-ausgelöste Funktion inline in der Vorlage bereitgestellt. Außerdem wird ein Schlüsseltresor bereitgestellt und ein Geheimschlüssel mit dem Hostschlüssel der Funktions-App aufgefüllt.
Anwendungsgateway mit interner API-Verwaltung und Web App-

Bereitstellen in Azure
Das Anwendungsgateway routingt Internetdatenverkehr an eine API-Verwaltungsinstanz für virtuelle Netzwerke (interner Modus), die eine in einer Azure Web App gehostete Web-API verwendet.

ARM-Vorlagenressourcendefinition

Der Ressourcentyp "Vaults" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.

Bemerkungen

Anleitungen zur Verwendung von Schlüsseltresorn für sichere Werte finden Sie unter Verwalten von geheimen Schlüsseln mithilfe von Bicep.

Eine Schnellstartanleitung zum Erstellen eines geheimen Schlüssels finden Sie unter Schnellstart: Festlegen und Abrufen eines geheimen Schlüssels aus Azure Key Vault mithilfe einer ARM-Vorlage.

Eine Schnellstartanleitung zum Erstellen eines Schlüssels finden Sie unter Schnellstart: Erstellen eines Azure-Schlüsseltresors und eines Schlüssels mithilfe der ARM-Vorlage.

Ressourcenformat

Um eine Microsoft.KeyVault/Vaults-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2023-02-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "publicNetworkAccess": "string",
    "sku": {
      "family": "A",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  }
}

Eigenschaftswerte

Gewölbe

Name Beschreibung Wert
Art Der Ressourcentyp "Microsoft.KeyVault/Vaults"
apiVersion Die Ressourcen-API-Version '2023-02-01'
Name Der Ressourcenname Zeichenfolge (erforderlich)

Zeichenlimit: 3-24

Gültige Zeichen:
Alphanumerische und Bindestriche.

Beginnen Sie mit dem Buchstaben. Enden sie mit Buchstabe oder Ziffer. Keine aufeinander folgenden Bindestriche enthalten.

Der Ressourcenname muss in Azure eindeutig sein.
Ort Der unterstützte Azure-Speicherort, an dem der Schlüsseltresor erstellt werden soll. Zeichenfolge (erforderlich)
Schilder Die Tags, die dem Schlüsseltresor zugewiesen werden. Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen
Eigenschaften Eigenschaften des Tresors VaultProperties- (erforderlich)

VaultProperties

Name Beschreibung Wert
accessPolicies Ein Array von 0 bis 1024 Identitäten, die Zugriff auf den Schlüsseltresor haben. Alle Identitäten im Array müssen dieselbe Mandanten-ID wie die Mandanten-ID des Schlüsseltresors verwenden. Wenn createMode auf recoverfestgelegt ist, sind Zugriffsrichtlinien nicht erforderlich. Andernfalls sind Zugriffsrichtlinien erforderlich. AccessPolicyEntry-[]
createMode Der Erstellungsmodus des Tresors, um anzugeben, ob der Tresor wiederhergestellt werden muss oder nicht. "Standard"
"Wiederherstellen"
enabledForDeployment Eigenschaft, um anzugeben, ob Azure Virtual Machines zertifikate abrufen dürfen, die als geheime Schlüssel aus dem Schlüsseltresor gespeichert sind. Bool
enabledForDiskEncryption Eigenschaft, um anzugeben, ob die Azure Disk Encryption geheime Schlüssel aus dem Tresor abrufen und Schlüssel entschlüsselt. Bool
enabledForTemplateDeployment Eigenschaft, um anzugeben, ob Azure Resource Manager geheime Schlüssel aus dem Schlüsseltresor abrufen darf. Bool
enablePurgeProtection Eigenschaft, die angibt, ob der Schutz vor Löschvorgängen für diesen Tresor aktiviert ist. Wenn Sie diese Eigenschaft auf "true" festlegen, wird der Schutz vor Löschvorgängen für diesen Tresor und deren Inhalt aktiviert. Nur der Key Vault-Dienst kann einen schwierigen, unwiederbringlichen Löschvorgang initiieren. Die Einstellung ist nur wirksam, wenn auch das vorläufige Löschen aktiviert ist. Das Aktivieren dieser Funktionalität ist unumkehrbar – d. h. die Eigenschaft akzeptiert "false" nicht als Wert. Bool
enableRbacAuthorization Eigenschaft, die steuert, wie Datenaktionen autorisiert werden. Wenn true, verwendet der Schlüsseltresor die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) für die Autorisierung von Datenaktionen, und die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien werden ignoriert. Wenn "false" verwendet der Schlüsseltresor die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien, und alle in Azure Resource Manager gespeicherten Richtlinien werden ignoriert. Wenn null oder nicht angegeben wird, wird der Tresor mit dem Standardwert "false" erstellt. Beachten Sie, dass Verwaltungsaktionen immer mit RBAC autorisiert sind. Bool
enableSoftDelete Eigenschaft, die angibt, ob die Funktion "Vorläufiges Löschen" für diesen Schlüsseltresor aktiviert ist. Wenn er beim Erstellen eines neuen Schlüsseltresors nicht auf einen Wert (wahr oder falsch) festgelegt ist, wird er standardmäßig auf "true" festgelegt. Sobald dieser Wert auf "true" festgelegt ist, kann er nicht auf "false" zurückgesetzt werden. Bool
networkAcls Regeln für die Barrierefreiheit des Schlüsseltresors von bestimmten Netzwerkstandorten. NetworkRuleSet-
provisioningState Bereitstellungsstatus des Tresors. 'RegistrationDns'
"Erfolgreich"
publicNetworkAccess Eigenschaft, um anzugeben, ob der Tresor Datenverkehr aus dem öffentlichen Internet akzeptiert. Bei Festlegung auf "deaktiviert" wird der gesamte Datenverkehr außer privatem Endpunktdatenverkehr blockiert, der von vertrauenswürdigen Diensten stammt. Dadurch werden die festgelegten Firewallregeln außer Kraft gesetzt, was bedeutet, dass auch wenn die Firewallregeln vorhanden sind, die Regeln nicht berücksichtigt werden. Schnur
Sku SKU-Details Sku- (erforderlich)
softDeleteRetentionInDays SoftDelete-Datenaufbewahrungstage. Sie akzeptiert >=7 und <=90. Int
tenantId Die Azure Active Directory-Mandanten-ID, die für die Authentifizierung von Anforderungen an den Schlüsseltresor verwendet werden soll. Zeichenfolge (erforderlich)

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri Der URI des Tresors zum Ausführen von Vorgängen für Schlüssel und geheime Schlüssel. Schnur

AccessPolicyEntry

Name Beschreibung Wert
applicationId Anwendungs-ID des Clients, der eine Anforderung im Auftrag eines Prinzipals durchführt Schnur

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Die Objekt-ID eines Benutzers, eines Dienstprinzipals oder einer Sicherheitsgruppe im Azure Active Directory-Mandanten für den Tresor. Die Objekt-ID muss für die Liste der Zugriffsrichtlinien eindeutig sein. Zeichenfolge (erforderlich)
Erlaubnisse Berechtigungen, die die Identität für Schlüssel, geheime Schlüssel und Zertifikate hat. Berechtigungen (erforderlich)
tenantId Die Azure Active Directory-Mandanten-ID, die für die Authentifizierung von Anforderungen an den Schlüsseltresor verwendet werden soll. Zeichenfolge (erforderlich)

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Erlaubnisse

Name Beschreibung Wert
Atteste Berechtigungen für Zertifikate Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"create"
"delete"
"deleteissuers"
"get"
'getissuers'
"import"
"list"
"listissuers"
'managecontacts'
"manageissuers"
"Löschen"
"Wiederherstellen"
"Wiederherstellen"
'setissuers'
"Update"
Tasten Berechtigungen für Schlüssel Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"create"
"entschlüsseln"
"delete"
"verschlüsseln"
"get"
'getrotationpolicy'
"import"
"list"
"Löschen"
"Wiederherstellen"
"Release"
"Wiederherstellen"
"drehen"
'setrotationpolicy'
"Zeichen"
"unwrapKey"
"Update"
"verify"
"wrapKey"
Geheimnisse Berechtigungen für geheime Schlüssel Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"delete"
"get"
"list"
"Löschen"
"Wiederherstellen"
"Wiederherstellen"
"set"
Lagerung Berechtigungen für Speicherkonten Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"delete"
"deletesas"
"get"
"getsas"
"list"
"listsas"
"Löschen"
"Wiederherstellen"
"Regeneratekey"
"Wiederherstellen"
"set"
"setsas"
"Update"

NetworkRuleSet

Name Beschreibung Wert
Umgehungsstraße Gibt an, welcher Datenverkehr Netzwerkregeln umgehen kann. Dies kann 'AzureServices' oder 'None' sein. Wenn nicht angegeben, lautet der Standardwert "AzureServices". "AzureServices"
'None'
defaultAction Die Standardaktion, wenn keine Regel von "ipRules" und "virtualNetworkRules" übereinstimmen. Dies wird nur verwendet, nachdem die Umgehungseigenschaft ausgewertet wurde. "Zulassen"
"Ablehnen"
ipRules Die Liste der IP-Adressregeln. IPRule-[]
virtualNetworkRules Die Liste der Regeln für virtuelle Netzwerke. VirtualNetworkRule[]

IPRule

Name Beschreibung Wert
Wert Ein IPv4-Adressbereich in CIDR-Notation, z. B. "124.56.78.91" (einfache IP-Adresse) oder "124.56.78.0/24" (alle Adressen, die mit 124.56.78 beginnen). Zeichenfolge (erforderlich)

VirtualNetworkRule

Name Beschreibung Wert
id Vollständige Ressourcen-ID eines vnet-Subnetzes, z. B. "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". Zeichenfolge (erforderlich)
ignoreMissingVnetServiceEndpoint Eigenschaft, um anzugeben, ob nrP die Überprüfung ignoriert, ob das übergeordnete Subnetz "serviceEndpoints" konfiguriert ist. Bool

Sku

Name Beschreibung Wert
Familie SKU-Familienname "A" (erforderlich)
Name SKU-Name, um anzugeben, ob der Schlüsseltresor ein Standardtresor oder ein Premium Vault ist. "Premium"
"Standard" (erforderlich)

Schnellstartvorlagen

Die folgenden Schnellstartvorlagen stellen diesen Ressourcentyp bereit.

Schablone Beschreibung
AKS-Cluster mit einem NAT-Gateway und einem Anwendungsgateway-

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit NAT-Gateway für ausgehende Verbindungen und ein Anwendungsgateway für eingehende Verbindungen bereitstellen.
Erstellen eines privaten AKS-Clusters mit einer öffentlichen DNS-Zone

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie einen privaten AKS-Cluster mit einer öffentlichen DNS-Zone bereitstellen.
Bereitstellen der Sports Analytics auf azure Architecture

Bereitstellen in Azure
Erstellt ein Azure-Speicherkonto mit aktiviertem ADLS Gen 2, einer Azure Data Factory-Instanz mit verknüpften Diensten für das Speicherkonto (eine Azure SQL-Datenbank, sofern bereitgestellt) und eine Azure Databricks-Instanz. Die AAD-Identität für den Benutzer, der die Vorlage bereitstellt, und die verwaltete Identität für die ADF-Instanz wird der Rolle "Mitwirkender von Speicher-BLOB-Daten" für das Speicherkonto gewährt. Es gibt auch Optionen zum Bereitstellen einer Azure Key Vault-Instanz, einer Azure SQL-Datenbank und eines Azure Event Hub (für Streaming-Anwendungsfälle). Wenn ein Azure Key Vault bereitgestellt wird, erhalten die vom Datenfactory verwaltete Identität und die AAD-Identität für den Benutzer, der die Vorlage bereitstellt, die Rolle "Key Vault Secrets User".
Azure Machine Learning Workspace

Bereitstellen in Azure
Diese Vorlage erstellt einen neuen Azure Machine Learning Workspace zusammen mit einem verschlüsselten Speicherkonto, KeyVault und Applications Insights Logging
Erstellen eines KeyVault-

Bereitstellen in Azure
Dieses Modul erstellt eine KeyVault-Ressource mit apiVersion 2019-09-01.
Erstellen eines API-Verwaltungsdiensts mit SSL von KeyVault

Bereitstellen in Azure
Diese Vorlage stellt einen API-Verwaltungsdienst bereit, der mit der vom Benutzer zugewiesenen Identität konfiguriert ist. Sie verwendet diese Identität, um SSL-Zertifikat von KeyVault abzurufen und es alle 4 Stunden zu aktualisieren.
Erstellt eine Dapr pub-sub servicebus-App mit Container-Apps

Bereitstellen in Azure
Erstellen Sie eine Dapr pub-sub servicebus-App mit Container-Apps.
erstellt einen Azure Stack HCI 23H2-Cluster-

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Stack HCI 23H2-Cluster mit einer ARM-Vorlage.
erstellt einen Azure Stack HCI 23H2-Cluster-

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Stack HCI 23H2-Cluster mithilfe einer ARM-Vorlage mit benutzerdefinierter Speicher-IP
erstellt einen Azure Stack HCI 23H2-Cluster im Switchless-Dual-Link-Netzwerkmodus

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Stack HCI 23H2-Cluster mit einer ARM-Vorlage.
erstellt einen Azure Stack HCI 23H2-Cluster im Switchless-SingleLink Netzwerkmodus

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Stack HCI 23H2-Cluster mit einer ARM-Vorlage.
Erstellen einer neuen verschlüsselten Windows-VM aus Katalogimage-

Bereitstellen in Azure
Diese Vorlage erstellt eine neue verschlüsselte Windows-VM mit dem Server 2k12-Katalogimage.
Erstellen neuer verschlüsselter verwalteter Datenträger vom Katalogimage

Bereitstellen in Azure
Diese Vorlage erstellt eine neue verschlüsselte verwaltete Datenträger-VM mit dem Server 2k12-Katalogimage.
Diese Vorlage verschlüsselt eine ausgeführte Windows VMSS-

Bereitstellen in Azure
Diese Vorlage aktiviert die Verschlüsselung für einen ausgeführten Windows-VM-Skalierungssatz.
Aktivieren der Verschlüsselung auf einer ausgeführten Windows-VM-

Bereitstellen in Azure
Diese Vorlage aktiviert die Verschlüsselung auf einer ausgeführten Windows-VM.
Erstellen und Verschlüsseln einer neuen Windows-VMSS mit Jumpbox-

Bereitstellen in Azure
Mit dieser Vorlage können Sie einen einfachen VM Scale Set von Windows-VMs mithilfe der letzten gepatchten Version von serveralen Windows-Versionen bereitstellen. Diese Vorlage stellt auch einen Jumpbox mit einer öffentlichen IP-Adresse im selben virtuellen Netzwerk bereit. Sie können über diese öffentliche IP-Adresse eine Verbindung mit dem Jumpbox herstellen und dann über private IP-Adressen eine Verbindung mit virtuellen Computern herstellen. Diese Vorlage aktiviert die Verschlüsselung für den VM-Skalierungssatz von Windows-VMs.
Erstellen eines Azure Key Vault und eines geheimen

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Key Vault und einen geheimen Schlüssel.
Erstellen eines Azure Key Vault mit RBAC und einem geheimen

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Key Vault und einen geheimen Schlüssel. Anstatt sich auf Zugriffsrichtlinien zu verlassen, nutzt sie Azure RBAC zum Verwalten der Autorisierung für geheime Schlüssel
Erstellen von Schlüsseltresor, verwalteter Identität und Rollenzuweisung

Bereitstellen in Azure
Diese Vorlage erstellt einen Schlüsseltresor, eine verwaltete Identität und rollenzuweisung.
Herstellen einer Verbindung mit einem Key Vault über private Endpunkte

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie ein virtuelles Netzwerk und eine private DNS-Zone für den Zugriff auf Key Vault über einen privaten Endpunkt verwenden.
Erstellen eines Schlüsseltresors und einer Liste mit geheimen Schlüsseln

Bereitstellen in Azure
Diese Vorlage erstellt einen Schlüsseltresor und eine Liste der geheimen Schlüssel im Schlüsseltresor, die zusammen mit den Parametern übergeben werden.
Erstellen eines Schlüsseltresors mit aktivierter Protokollierung

Bereitstellen in Azure
Diese Vorlage erstellt einen Azure Key Vault und ein Azure Storage-Konto, das für die Protokollierung verwendet wird. Sie erstellt optional Ressourcensperren, um Ihre Key Vault- und Speicherressourcen zu schützen.
Azure AI Studio – grundlegende Einrichtung

Bereitstellen in Azure
Dieser Satz von Vorlagen veranschaulicht, wie Sie Azure AI Studio mit dem grundlegenden Setup einrichten, was bedeutet, dass der öffentliche Internetzugriff aktiviert ist, von Microsoft verwaltete Schlüssel für verschlüsselung und von Microsoft verwaltete Identitätskonfiguration für die KI-Ressource.
Azure AI Studio – grundlegende Einrichtung

Bereitstellen in Azure
Dieser Satz von Vorlagen veranschaulicht, wie Sie Azure AI Studio mit dem grundlegenden Setup einrichten, was bedeutet, dass der öffentliche Internetzugriff aktiviert ist, von Microsoft verwaltete Schlüssel für verschlüsselung und von Microsoft verwaltete Identitätskonfiguration für die KI-Ressource.
Azure AI Studio mit Microsoft Entra ID-Authentifizierung

Bereitstellen in Azure
Dieser Satz von Vorlagen veranschaulicht, wie Sie Azure AI Studio mit der Microsoft Entra ID-Authentifizierung für abhängige Ressourcen einrichten, z. B. Azure AI Services und Azure Storage.
Erstellen eines AML-Arbeitsbereichs mit mehreren Datasets & Datenspeichern

Bereitstellen in Azure
Diese Vorlage erstellt den Azure Machine Learning-Arbeitsbereich mit mehreren Datasets & Datenspeichern.
Von Azure Machine Learning end-to-End-Setup

Bereitstellen in Azure
Diese Gruppe von Bicep-Vorlagen veranschaulicht, wie Azure Machine Learning end-to-End in einer sicheren Einrichtung eingerichtet wird. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, eine Computeinstanz und einen angefügten privaten AKS-Cluster.
end-to-End-Setup (Legacy) von Azure Machine Learning

Bereitstellen in Azure
Diese Gruppe von Bicep-Vorlagen veranschaulicht, wie Azure Machine Learning end-to-End in einer sicheren Einrichtung eingerichtet wird. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, eine Computeinstanz und einen angefügten privaten AKS-Cluster.
Erstellen eines AKS-Computeziels mit einer privaten IP-Adresse

Bereitstellen in Azure
Diese Vorlage erstellt ein AKS-Computeziel in einem bestimmten Azure Machine Learning-Dienstarbeitsbereich mit einer privaten IP-Adresse.
Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs

Bereitstellen in Azure
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt den minimalen Satz von Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning benötigen.
Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (CMK)

Bereitstellen in Azure
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Das Beispiel zeigt, wie Sie Azure Machine Learning für die Verschlüsselung mit einem vom Kunden verwalteten Verschlüsselungsschlüssel konfigurieren.
Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (CMK)

Bereitstellen in Azure
Diese Bereitstellungsvorlage gibt an, wie Sie einen Azure Machine Learning-Arbeitsbereich mit dienstseitiger Verschlüsselung mit Ihren Verschlüsselungsschlüsseln erstellen.
Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (vnet)

Bereitstellen in Azure
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt den Satz von Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning in einem isolierten Netzwerk benötigen.
Erstellen eines Azure Machine Learning-Dienstarbeitsbereichs (Legacy)

Bereitstellen in Azure
Diese Bereitstellungsvorlage gibt einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen an, einschließlich Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt den Satz von Ressourcen, die Sie für die ersten Schritte mit Azure Machine Learning in einem isolierten Netzwerk benötigen.
AKS-Cluster mit dem Application Gateway Ingress Controller-

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics und Key Vault bereitstellen.
Erstellen eines Anwendungsgateways V2 mit Key Vault-

Bereitstellen in Azure
Diese Vorlage stellt ein Anwendungsgateway V2 in einem virtuellen Netzwerk, einer benutzerdefinierten Identität, einem Schlüsseltresor, einem geheimen Schlüssel (Zertifikatdaten) und einer Zugriffsrichtlinie für Key Vault und Anwendungsgateway bereit.
Testumgebung für Azure Firewall Premium

Bereitstellen in Azure
Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Webkategoriefilterung
Erstellt eine mandantenübergreifende private Endpunktressource

Bereitstellen in Azure
Mit dieser Vorlage können Sie priavate Endpoint-Ressource innerhalb derselben oder mandantenübergreifenden Umgebung erstellen und dns-Zonenkonfiguration hinzufügen.
Erstellen eines Anwendungsgateways mit Zertifikaten

Bereitstellen in Azure
Diese Vorlage zeigt, wie Sie selbstsignierte Key Vault-Zertifikate generieren und dann vom Anwendungsgateway referenzieren.
Azure Storage-Kontoverschlüsselung mit vom Kunden verwalteten Schlüsseln

Bereitstellen in Azure
Diese Vorlage stellt ein Speicherkonto mit einem vom Kunden verwalteten Schlüssel für die Verschlüsselung bereit, die generiert und in einem Key Vault platziert wird.
App Service Environment mit Azure SQL-Back-End-

Bereitstellen in Azure
Diese Vorlage erstellt eine App Service-Umgebung mit einem Azure SQL-Back-End zusammen mit privaten Endpunkten sowie zugeordneten Ressourcen, die normalerweise in einer privaten/isolierten Umgebung verwendet werden.
Azure Function-App und eine http-ausgelöste Funktion

Bereitstellen in Azure
In diesem Beispiel wird eine Azure Function-App und eine HTTP-ausgelöste Funktion inline in der Vorlage bereitgestellt. Außerdem wird ein Schlüsseltresor bereitgestellt und ein Geheimschlüssel mit dem Hostschlüssel der Funktions-App aufgefüllt.
Anwendungsgateway mit interner API-Verwaltung und Web App-

Bereitstellen in Azure
Das Anwendungsgateway routingt Internetdatenverkehr an eine API-Verwaltungsinstanz für virtuelle Netzwerke (interner Modus), die eine in einer Azure Web App gehostete Web-API verwendet.

Terraform -Ressourcendefinition (AzAPI-Anbieter)

Der Ressourcentyp "Vaults" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

  • Ressourcengruppen

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.

Ressourcenformat

Um eine Microsoft.KeyVault/Vaults-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2023-02-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      publicNetworkAccess = "string"
      sku = {
        family = "A"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Eigenschaftswerte

Gewölbe

Name Beschreibung Wert
Art Der Ressourcentyp "Microsoft.KeyVault/vaults@2023-02-01"
Name Der Ressourcenname Zeichenfolge (erforderlich)

Zeichenlimit: 3-24

Gültige Zeichen:
Alphanumerische und Bindestriche.

Beginnen Sie mit dem Buchstaben. Enden sie mit Buchstabe oder Ziffer. Keine aufeinander folgenden Bindestriche enthalten.

Der Ressourcenname muss in Azure eindeutig sein.
Ort Der unterstützte Azure-Speicherort, an dem der Schlüsseltresor erstellt werden soll. Zeichenfolge (erforderlich)
parent_id Verwenden Sie die ID dieser Ressourcengruppe, um sie in einer Ressourcengruppe bereitzustellen. Zeichenfolge (erforderlich)
Schilder Die Tags, die dem Schlüsseltresor zugewiesen werden. Wörterbuch der Tagnamen und -werte.
Eigenschaften Eigenschaften des Tresors VaultProperties- (erforderlich)

VaultProperties

Name Beschreibung Wert
accessPolicies Ein Array von 0 bis 1024 Identitäten, die Zugriff auf den Schlüsseltresor haben. Alle Identitäten im Array müssen dieselbe Mandanten-ID wie die Mandanten-ID des Schlüsseltresors verwenden. Wenn createMode auf recoverfestgelegt ist, sind Zugriffsrichtlinien nicht erforderlich. Andernfalls sind Zugriffsrichtlinien erforderlich. AccessPolicyEntry-[]
createMode Der Erstellungsmodus des Tresors, um anzugeben, ob der Tresor wiederhergestellt werden muss oder nicht. "Standard"
"Wiederherstellen"
enabledForDeployment Eigenschaft, um anzugeben, ob Azure Virtual Machines zertifikate abrufen dürfen, die als geheime Schlüssel aus dem Schlüsseltresor gespeichert sind. Bool
enabledForDiskEncryption Eigenschaft, um anzugeben, ob die Azure Disk Encryption geheime Schlüssel aus dem Tresor abrufen und Schlüssel entschlüsselt. Bool
enabledForTemplateDeployment Eigenschaft, um anzugeben, ob Azure Resource Manager geheime Schlüssel aus dem Schlüsseltresor abrufen darf. Bool
enablePurgeProtection Eigenschaft, die angibt, ob der Schutz vor Löschvorgängen für diesen Tresor aktiviert ist. Wenn Sie diese Eigenschaft auf "true" festlegen, wird der Schutz vor Löschvorgängen für diesen Tresor und deren Inhalt aktiviert. Nur der Key Vault-Dienst kann einen schwierigen, unwiederbringlichen Löschvorgang initiieren. Die Einstellung ist nur wirksam, wenn auch das vorläufige Löschen aktiviert ist. Das Aktivieren dieser Funktionalität ist unumkehrbar – d. h. die Eigenschaft akzeptiert "false" nicht als Wert. Bool
enableRbacAuthorization Eigenschaft, die steuert, wie Datenaktionen autorisiert werden. Wenn true, verwendet der Schlüsseltresor die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) für die Autorisierung von Datenaktionen, und die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien werden ignoriert. Wenn "false" verwendet der Schlüsseltresor die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien, und alle in Azure Resource Manager gespeicherten Richtlinien werden ignoriert. Wenn null oder nicht angegeben wird, wird der Tresor mit dem Standardwert "false" erstellt. Beachten Sie, dass Verwaltungsaktionen immer mit RBAC autorisiert sind. Bool
enableSoftDelete Eigenschaft, die angibt, ob die Funktion "Vorläufiges Löschen" für diesen Schlüsseltresor aktiviert ist. Wenn er beim Erstellen eines neuen Schlüsseltresors nicht auf einen Wert (wahr oder falsch) festgelegt ist, wird er standardmäßig auf "true" festgelegt. Sobald dieser Wert auf "true" festgelegt ist, kann er nicht auf "false" zurückgesetzt werden. Bool
networkAcls Regeln für die Barrierefreiheit des Schlüsseltresors von bestimmten Netzwerkstandorten. NetworkRuleSet-
provisioningState Bereitstellungsstatus des Tresors. "RegistrationDns"
"Erfolgreich"
publicNetworkAccess Eigenschaft, um anzugeben, ob der Tresor Datenverkehr aus dem öffentlichen Internet akzeptiert. Bei Festlegung auf "deaktiviert" wird der gesamte Datenverkehr außer privatem Endpunktdatenverkehr blockiert, der von vertrauenswürdigen Diensten stammt. Dadurch werden die festgelegten Firewallregeln außer Kraft gesetzt, was bedeutet, dass auch wenn die Firewallregeln vorhanden sind, die Regeln nicht berücksichtigt werden. Schnur
Sku SKU-Details Sku- (erforderlich)
softDeleteRetentionInDays SoftDelete-Datenaufbewahrungstage. Sie akzeptiert >=7 und <=90. Int
tenantId Die Azure Active Directory-Mandanten-ID, die für die Authentifizierung von Anforderungen an den Schlüsseltresor verwendet werden soll. Zeichenfolge (erforderlich)

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri Der URI des Tresors zum Ausführen von Vorgängen für Schlüssel und geheime Schlüssel. Schnur

AccessPolicyEntry

Name Beschreibung Wert
applicationId Anwendungs-ID des Clients, der eine Anforderung im Auftrag eines Prinzipals durchführt Schnur

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Die Objekt-ID eines Benutzers, eines Dienstprinzipals oder einer Sicherheitsgruppe im Azure Active Directory-Mandanten für den Tresor. Die Objekt-ID muss für die Liste der Zugriffsrichtlinien eindeutig sein. Zeichenfolge (erforderlich)
Erlaubnisse Berechtigungen, die die Identität für Schlüssel, geheime Schlüssel und Zertifikate hat. Berechtigungen (erforderlich)
tenantId Die Azure Active Directory-Mandanten-ID, die für die Authentifizierung von Anforderungen an den Schlüsseltresor verwendet werden soll. Zeichenfolge (erforderlich)

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Erlaubnisse

Name Beschreibung Wert
Atteste Berechtigungen für Zertifikate Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"create"
"löschen"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"Löschen"
"Wiederherstellen"
"Wiederherstellen"
"setissuers"
"Update"
Tasten Berechtigungen für Schlüssel Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"create"
"Entschlüsseln"
"löschen"
"verschlüsseln"
"get"
"getrotationpolicy"
"import"
"list"
"Löschen"
"Wiederherstellen"
"Release"
"Wiederherstellen"
"drehen"
"setrotationpolicy"
"Zeichen"
"unwrapKey"
"Update"
"verify"
"wrapKey"
Geheimnisse Berechtigungen für geheime Schlüssel Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"löschen"
"get"
"list"
"Löschen"
"Wiederherstellen"
"Wiederherstellen"
"set"
Lagerung Berechtigungen für Speicherkonten Zeichenfolgenarray, das eine der folgenden Elemente enthält:
"alle"
"Sicherung"
"löschen"
"deletesas"
"get"
"getsas"
"list"
"listsas"
"Löschen"
"Wiederherstellen"
"Regeneratekey"
"Wiederherstellen"
"set"
"setsas"
"Update"

NetworkRuleSet

Name Beschreibung Wert
Umgehungsstraße Gibt an, welcher Datenverkehr Netzwerkregeln umgehen kann. Dies kann 'AzureServices' oder 'None' sein. Wenn nicht angegeben, lautet der Standardwert "AzureServices". "AzureServices"
"Keine"
defaultAction Die Standardaktion, wenn keine Regel von "ipRules" und "virtualNetworkRules" übereinstimmen. Dies wird nur verwendet, nachdem die Umgehungseigenschaft ausgewertet wurde. "Zulassen"
"Verweigern"
ipRules Die Liste der IP-Adressregeln. IPRule-[]
virtualNetworkRules Die Liste der Regeln für virtuelle Netzwerke. VirtualNetworkRule[]

IPRule

Name Beschreibung Wert
Wert Ein IPv4-Adressbereich in CIDR-Notation, z. B. "124.56.78.91" (einfache IP-Adresse) oder "124.56.78.0/24" (alle Adressen, die mit 124.56.78 beginnen). Zeichenfolge (erforderlich)

VirtualNetworkRule

Name Beschreibung Wert
id Vollständige Ressourcen-ID eines vnet-Subnetzes, z. B. "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". Zeichenfolge (erforderlich)
ignoreMissingVnetServiceEndpoint Eigenschaft, um anzugeben, ob nrP die Überprüfung ignoriert, ob das übergeordnete Subnetz "serviceEndpoints" konfiguriert ist. Bool

Sku

Name Beschreibung Wert
Familie SKU-Familienname "A" (erforderlich)
Name SKU-Name, um anzugeben, ob der Schlüsseltresor ein Standardtresor oder ein Premium Vault ist. "Premium"
"Standard" (erforderlich)