Microsoft.Storage StorageAccounts 2021-08-01
Bicep-Ressourcendefinition
Der Ressourcentyp storageAccounts kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Bereitstellungsbefehle für Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie im Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Storage/storageAccounts-Ressource zu erstellen, fügen Sie ihrer Vorlage den folgenden Bicep hinzu.
resource symbolicname 'Microsoft.Storage/storageAccounts@2021-08-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
sku: {
name: 'string'
}
kind: 'string'
extendedLocation: {
name: 'string'
type: 'EdgeZone'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
accessTier: 'string'
allowBlobPublicAccess: bool
allowCrossTenantReplication: bool
allowedCopyScope: 'string'
allowSharedKeyAccess: bool
azureFilesIdentityBasedAuthentication: {
activeDirectoryProperties: {
accountType: 'string'
azureStorageSid: 'string'
domainGuid: 'string'
domainName: 'string'
domainSid: 'string'
forestName: 'string'
netBiosDomainName: 'string'
samAccountName: 'string'
}
defaultSharePermission: 'string'
directoryServiceOptions: 'string'
}
customDomain: {
name: 'string'
useSubDomainName: bool
}
defaultToOAuthAuthentication: bool
encryption: {
identity: {
federatedIdentityClientId: 'string'
userAssignedIdentity: 'string'
}
keySource: 'string'
keyvaultproperties: {
keyname: 'string'
keyvaulturi: 'string'
keyversion: 'string'
}
requireInfrastructureEncryption: bool
services: {
blob: {
enabled: bool
keyType: 'string'
}
file: {
enabled: bool
keyType: 'string'
}
queue: {
enabled: bool
keyType: 'string'
}
table: {
enabled: bool
keyType: 'string'
}
}
}
immutableStorageWithVersioning: {
enabled: bool
immutabilityPolicy: {
allowProtectedAppendWrites: bool
immutabilityPeriodSinceCreationInDays: int
state: 'string'
}
}
isHnsEnabled: bool
isLocalUserEnabled: bool
isNfsV3Enabled: bool
isSftpEnabled: bool
keyPolicy: {
keyExpirationPeriodInDays: int
}
largeFileSharesState: 'string'
minimumTlsVersion: 'string'
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
action: 'Allow'
value: 'string'
}
]
resourceAccessRules: [
{
resourceId: 'string'
tenantId: 'string'
}
]
virtualNetworkRules: [
{
action: 'Allow'
id: 'string'
state: 'string'
}
]
}
publicNetworkAccess: 'string'
routingPreference: {
publishInternetEndpoints: bool
publishMicrosoftEndpoints: bool
routingChoice: 'string'
}
sasPolicy: {
expirationAction: 'Log'
sasExpirationPeriod: 'string'
}
supportsHttpsTrafficOnly: bool
}
}
Eigenschaftswerte
storageAccounts
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 3-24 Gültige Zeichen: Kleinbuchstaben und Zahlen. Der Ressourcenname muss in Azure eindeutig sein. |
location | Erforderlich. Ruft den Speicherort der Ressource ab oder legt ihn fest. Dies ist eine der unterstützten und registrierten Azure-Georegionen (z. B. USA, Westen, USA, Osten, Asien, Südosten usw.). Der geografische Bereich einer Ressource kann nach der Erstellung nicht mehr geändert werden, aber wenn beim Aktualisieren ein identischer geografischer Bereich angegeben wird, wird die Anforderung erfolgreich ausgeführt. | Zeichenfolge (erforderlich) |
tags | Ruft eine Liste von Schlüsselwertpaaren ab, die die Ressource beschreiben, oder legt diese fest. Diese Tags können zum Anzeigen und Gruppieren dieser Ressource (ressourcengruppenübergreifend) verwendet werden. Für eine Ressource können maximal 15 Tags bereitgestellt werden. Jedes Tag muss über einen Schlüssel mit einer Länge von nicht mehr als 128 Zeichen und einen Wert mit einer Länge von nicht mehr als 256 Zeichen verfügen. | Wörterbuch der Tagnamen und -werte. Weitere Informationen finden Sie unter Tags in Vorlagen. |
sku | Erforderlich. Ruft den SKU-Namen ab oder legt den Namen fest. | SKU (erforderlich) |
kind | Erforderlich. Gibt den Typ des Speicherkontos an. | "BlobStorage" 'BlockBlobStorage' 'FileStorage' 'Storage' "StorageV2" (erforderlich) |
extendedLocation | Optional. Legen Sie den erweiterten Speicherort der Ressource fest. Wenn nicht festgelegt, wird das Speicherkonto in der Azure Standard Region erstellt. Andernfalls wird es am angegebenen erweiterten Speicherort erstellt. | ExtendedLocation |
Identität | Die Identität der Ressource. | Identität |
properties | Die Parameter, die zum Erstellen des Speicherkontos verwendet werden. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Der Name des erweiterten Speicherorts. | Zeichenfolge |
type | Der Typ des erweiterten Speicherorts. | "EdgeZone" |
Identity
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Identitätstyp. | "Keine" "SystemAssigned" 'SystemAssigned,UserAssigned' "UserAssigned" (erforderlich) |
userAssignedIdentities | Ruft eine Liste von Schlüsselwertpaaren ab, die die Gruppe der benutzerseitig zugewiesenen Identitäten beschreiben, die mit diesem Speicherkonto verwendet werden, oder legt diese fest. Der Schlüssel ist der ARM-Ressourcenbezeichner der Identität. Hier ist nur 1 benutzerseitig zugewiesene Identität zulässig. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
Name | BESCHREIBUNG | Wert |
---|---|---|
{angepasste Eigenschaft} | UserAssignedIdentity |
UserAssignedIdentity
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
Name | BESCHREIBUNG | Wert |
---|---|---|
accessTier | Erforderlich für Speicherkonten, wobei Art = BlobStorage. Die für die Abrechnung verwendete Zugriffsebene. | "Cool" "Heiß" |
allowBlobPublicAccess | Zulassen oder Verweigern des öffentlichen Zugriffs auf alle Blobs oder Container im Speicherkonto. Die Standardinterpretation ist true für diese Eigenschaft. | bool |
allowCrossTenantReplication | Die AAD-Mandantenobjektreplikation zulassen oder nicht zulassen. Die Standardinterpretation ist true für diese Eigenschaft. | bool |
allowedCopyScope | Schränken Sie das Kopieren auf und aus Speicherkonten innerhalb eines AAD-Mandanten oder mit privaten Links in dasselbe VNet ein. | "AAD" "PrivateLink" |
allowSharedKeyAccess | Gibt an, ob das Speicherkonto die Autorisierung von Anforderungen mit dem Kontozugriffsschlüssel über gemeinsam genutzten Schlüssel zulässt. Wenn false, müssen alle Anforderungen, einschließlich Shared Access Signatures, mit Azure Active Directory (Azure AD) autorisiert werden. Der Standardwert ist NULL, was true entspricht. | bool |
azureFilesIdentityBasedAuthentication | Stellt die identitätsbasierten Authentifizierungseinstellungen für Azure Files bereit. | AzureFilesIdentityBasedAuthentication |
customDomain | Benutzerdomäne, die dem Speicherkonto zugewiesen ist. Name ist die CNAME-Quelle. Derzeit wird pro Speicherkonto nur eine benutzerdefinierte Domäne unterstützt. Um die vorhandene benutzerdefinierte Domäne zu löschen, verwenden Sie eine leere Zeichenfolge für die benutzerdefinierte Domänennameneigenschaft. | CustomDomain |
defaultToOAuthAuthentication | Ein boolesches Flag, das angibt, ob die Standardauthentifizierung OAuth ist oder nicht. Die Standardinterpretation ist false für diese Eigenschaft. | bool |
Verschlüsselung | Verschlüsselungseinstellungen, die für die serverseitige Verschlüsselung für das Speicherkonto verwendet werden sollen. | Verschlüsselung |
immutableStorageWithVersioning | Die Eigenschaft ist unveränderlich und kann nur zum Zeitpunkt der Kontoerstellung auf TRUE festgelegt werden. Wenn dieser Wert auf TRUE festgelegt ist, wird standardmäßig die Unveränderlichkeit auf Objektebene für alle neuen Container im Konto aktiviert. | ImmutableStorageAccount |
isHnsEnabled | Konto hierarchischerNamespace aktiviert, wenn auf TRUE festgelegt ist. | bool |
isLocalUserEnabled | Aktiviert das Feature "Lokale Benutzer", wenn auf "true" festgelegt ist. | bool |
isNfsV3Enabled | NfS 3.0-Protokollunterstützung aktiviert, wenn auf TRUE festgelegt. | bool |
isSftpEnabled | Aktiviert das Secure File Transfer Protocol, wenn auf TRUE festgelegt ist. | bool |
keyPolicy | Dem Speicherkonto zugewiesene KeyPolicy. | KeyPolicy |
largeFileSharesState | Lassen Sie große Dateifreigaben zu, wenn aktiviert ist. Es kann nicht deaktiviert werden, sobald es aktiviert ist. | "Deaktiviert" "Aktiviert" |
minimumTlsVersion | Legen Sie die TLS-Mindestversion fest, die für Anforderungen auf Speicher zulässig sein soll. Die Standardinterpretation ist TLS 1.0 für diese Eigenschaft. | "TLS1_0" "TLS1_1" "TLS1_2" |
networkAcls | Netzwerkregelsatz | NetworkRuleSet |
publicNetworkAccess | Zulassen oder Verweigern des Zugriffs auf das Speicherkonto durch öffentliche Netzwerke. Der Wert ist optional, aber wenn er übergeben wird, muss "Aktiviert" oder "Deaktiviert" sein. | "Deaktiviert" "Aktiviert" |
routingPreference | Verwaltet Informationen zur Netzwerkroutingauswahl, die vom Benutzer für die Datenübertragung ausgewählt wurde | RoutingPreference |
sasPolicy | SasPolicy, die dem Speicherkonto zugewiesen ist. | SasPolicy |
supportsHttpsTrafficOnly | Lässt HTTPS-Datenverkehr nur an den Speicherdienst zu, wenn auf TRUE festgelegt ist. Der Standardwert ist true seit API-Version 2019-04-01. | bool |
AzureFilesIdentityBasedAuthentication
Name | BESCHREIBUNG | Wert |
---|---|---|
activeDirectoryProperties | Erforderlich, wenn Sie AD auswählen. | ActiveDirectoryProperties |
defaultSharePermission | Die Standardfreigabeberechtigung für Benutzer, die die Kerberos-Authentifizierung verwenden, wenn die RBAC-Rolle nicht zugewiesen ist. | "Keine" "StorageFileDataSmbShareContributor" "StorageFileDataSmbShareElevatedContributor" "StorageFileDataSmbShareReader" |
directoryServiceOptions | Gibt den verwendeten Verzeichnisdienst an. | "AADDS" "AD" "Keine" (erforderlich) |
ActiveDirectoryProperties
Name | BESCHREIBUNG | Wert |
---|---|---|
accountType | Gibt den Active Directory-Kontotyp für Azure Storage an. | "Computer" "Benutzer" |
azureStorageSid | Gibt den Sicherheitsbezeichner (Security Identifier, SID) für Azure Storage an. | Zeichenfolge (erforderlich) |
domainGuid | Gibt die Domänen-GUID an. | Zeichenfolge (erforderlich) |
domainName | Gibt die primäre Domäne an, für die der AD DNS-Server autoritativ ist. | Zeichenfolge (erforderlich) |
domainSid | Gibt den Sicherheitsbezeichner (SID) an. | Zeichenfolge (erforderlich) |
forestName | Gibt die abzurufende Active Directory-Gesamtstruktur an. | Zeichenfolge (erforderlich) |
netBiosDomainName | Gibt den NetBIOS-Domänennamen an. | Zeichenfolge (erforderlich) |
samAccountName | Gibt den Active Directory SAMAccountName für Azure Storage an. | Zeichenfolge |
CustomDomain
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Ruft den benutzerdefinierten Domänennamen ab, der dem Speicherkonto zugewiesen ist, oder legt diesen fest. Name ist die CNAME-Quelle. | Zeichenfolge (erforderlich) |
useSubDomainName | Gibt an, ob die indirekte CName-Überprüfung aktiviert ist. Der Standardwert ist „false“. Dies sollte nur bei Updates festgelegt werden. | bool |
Verschlüsselung
Name | BESCHREIBUNG | Wert |
---|---|---|
Identität | Die Identität, die mit dienstseitiger Verschlüsselung im Ruhezustand verwendet werden soll. | EncryptionIdentity |
keySource | Die VerschlüsselungsschlüsselQuelle (Anbieter). Mögliche Werte (ohne Beachtung der Groß-/Kleinschreibung): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" (erforderlich) |
keyvaultproperties | Vom Schlüsseltresor bereitgestellte Eigenschaften. | KeyVaultProperties |
requireInfrastructureEncryption | Ein boolescher Wert, der angibt, ob der Dienst eine sekundäre Verschlüsselungsebene mit plattformverwalteten Schlüsseln für ruhende Daten anwendet oder nicht. | bool |
services | Liste der Dienste, die die Verschlüsselung unterstützen. | EncryptionServices |
EncryptionIdentity
Name | BESCHREIBUNG | Wert |
---|---|---|
federatedIdentityClientId | ClientId der mehrinstanzenfähigen Anwendung, die in Verbindung mit der benutzerseitig zugewiesenen Identität für die mandantenübergreifende serverseitige Verschlüsselung von kundenseitig verwalteten Schlüsseln im Speicherkonto verwendet werden soll. | Zeichenfolge |
userAssignedIdentity | Ressourcenbezeichner der UserAssigned-Identität, die der serverseitigen Verschlüsselung im Speicherkonto zugeordnet werden soll. | Zeichenfolge |
KeyVaultProperties
Name | BESCHREIBUNG | Wert |
---|---|---|
Keyname | Der Name des KeyVault-Schlüssels. | Zeichenfolge |
keyvaulturi | Der URI von KeyVault. | Zeichenfolge |
keyversion | Die Version des KeyVault-Schlüssels. | Zeichenfolge |
EncryptionServices
Name | BESCHREIBUNG | Wert |
---|---|---|
Blob | Die Verschlüsselungsfunktion des Blobspeicherdiensts. | EncryptionService |
file | Die Verschlüsselungsfunktion des Dateispeicherdiensts. | EncryptionService |
queue | Die Verschlüsselungsfunktion des Warteschlangenspeicherdiensts. | EncryptionService |
table | Die Verschlüsselungsfunktion des Tabellenspeicherdiensts. | EncryptionService |
EncryptionService
Name | BESCHREIBUNG | Wert |
---|---|---|
enabled | Ein boolescher Wert, der angibt, ob der Dienst die Daten beim Speichern verschlüsselt oder nicht. Die Verschlüsselung ruhender Daten ist heute standardmäßig aktiviert und kann nicht deaktiviert werden. | bool |
keyType | Verschlüsselungsschlüsseltyp, der für den Verschlüsselungsdienst verwendet werden soll. Der Schlüsseltyp "Konto" impliziert, dass ein kontobezogener Verschlüsselungsschlüssel verwendet wird. Der Schlüsseltyp "Dienst" impliziert, dass ein Standarddienstschlüssel verwendet wird. | "Konto" "Dienst" |
ImmutableStorageAccount
Name | BESCHREIBUNG | Wert |
---|---|---|
enabled | Ein boolesches Flag, das Unveränderlichkeit auf Kontoebene ermöglicht. Für alle Container unter einem solchen Konto ist standardmäßig unveränderliche Unveränderlichkeit auf Objektebene aktiviert. | bool |
immutabilityPolicy | Gibt die Standardrichtlinie für unveränderliche Unveränderlichkeit auf Kontoebene an, die geerbt und auf Objekte angewendet wird, die keine explizite Unveränderlichkeitsrichtlinie auf Objektebene besitzen. Die Unveränderlichkeitsrichtlinie auf Objektebene hat eine höhere Priorität als die Unveränderlichkeitsrichtlinie auf Containerebene, die eine höhere Priorität hat als die Unveränderlichkeitsrichtlinie auf Kontoebene. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
Name | BESCHREIBUNG | Wert |
---|---|---|
allowProtectedAppendWrites | Diese Eigenschaft kann nur für deaktivierte und entsperrte zeitbasierte Aufbewahrungsrichtlinien geändert werden. Wenn diese Option aktiviert ist, können neue Blöcke in ein Anfügeblob geschrieben werden, wobei unveränderlichen Schutz und Konformität beibehalten werden. Es können nur neue Blöcke hinzugefügt werden. Vorhandene Blöcke können nicht geändert oder gelöscht werden. | bool |
UnveränderlichkeitPeriodSinceCreationInDays | Der Unveränderlichkeitszeitraum für die Blobs im Container seit der Richtlinienerstellung in Tagen. | INT Einschränkungen: Min-Wert = 1 Maximaler Wert = 146000 |
state | Der Status ImmutabilityPolicy definiert den Modus der Richtlinie. Der deaktivierte Zustand deaktiviert die Richtlinie, der entsperrte Zustand ermöglicht die Erhöhung und Verringerung der Unveränderlichkeitsdauer und ermöglicht auch das Umschalten der allowProtectedAppendWrites-Eigenschaft, der gesperrte Zustand erlaubt nur die Erhöhung der Unveränderlichkeitsdauer. Eine Richtlinie kann nur im Zustand Deaktiviert oder Entsperrt erstellt werden und kann zwischen den beiden Zuständen umgeschaltet werden. Nur eine Richtlinie im Status "Gesperrt" kann in den Zustand Gesperrt übergehen, der nicht wiederhergestellt werden kann. | "Deaktiviert" "Gesperrt" "Entsperrt" |
KeyPolicy
Name | BESCHREIBUNG | Wert |
---|---|---|
keyExpirationPeriodInDays | Der Ablaufzeitraum des Schlüssels in Tagen. | int (erforderlich) |
NetworkRuleSet
Name | BESCHREIBUNG | Wert |
---|---|---|
Umgehung | Gibt an, ob Datenverkehr für Protokollierung/Metriken/AzureServices umgangen wird. Mögliche Werte sind eine beliebige Kombination aus Protokollierung, Metriken, AzureServices (z. B. "Protokollierung, Metriken") oder Keine, um keinen dieser Datenverkehrsvorgänge zu umgehen. | "AzureServices" "Protokollierung" "Metriken" "Keine" |
Defaultaction | Gibt die Standardaktion zulassen oder verweigern an, wenn keine anderen Regeln übereinstimmen. | "Zulassen" "Verweigern" (erforderlich) |
ipRules | Legt die IP-ACL-Regeln fest. | IPRule[] |
resourceAccessRules | Legt die Ressourcenzugriffsregeln fest | ResourceAccessRule[] |
virtualNetworkRules | Legt die Regeln für virtuelle Netzwerke fest. | VirtualNetworkRule[] |
IPRule
Name | BESCHREIBUNG | Wert |
---|---|---|
action | Die Aktion der IP-ACL-Regel. | "Zulassen" |
value | Gibt den IP- oder IP-Bereich im CIDR-Format an. Nur IPV4-Adresse ist zulässig. | Zeichenfolge (erforderlich) |
ResourceAccessRule
Name | BESCHREIBUNG | Wert |
---|---|---|
resourceId | Ressourcen-ID | Zeichenfolge |
tenantId | Mandanten-ID | Zeichenfolge |
VirtualNetworkRule
Name | BESCHREIBUNG | Wert |
---|---|---|
action | Die Aktion der Regel für virtuelle Netzwerke. | "Zulassen" |
id | Ressourcen-ID eines Subnetzes, z. B. /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | Zeichenfolge (erforderlich) |
state | Ruft den Status der Regel für virtuelle Netzwerke ab. | "Bereitstellung aufheben" "Fehler" 'NetworkSourceDeleted' "Bereitstellung" "Erfolgreich" |
RoutingPreference
Name | BESCHREIBUNG | Wert |
---|---|---|
publishInternetEndpoints | Ein boolesches Flag, das angibt, ob Internetrouting-Speicherendpunkte veröffentlicht werden sollen. | bool |
publishMicrosoftEndpoints | Ein boolesches Flag, das angibt, ob Microsoft-Routingspeicherendpunkte veröffentlicht werden sollen. | bool |
routingChoice | Routing Choice definiert die Art des vom Benutzer gewählten Netzwerkroutings. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
Name | BESCHREIBUNG | Wert |
---|---|---|
expirationAction | Die SAS-Ablaufaktion. Kann nur Protokoll sein. | "Protokoll" (erforderlich) |
sasExpirationPeriod | Der SAS-Ablaufzeitraum, DD.HH:MM:SS. | Zeichenfolge (erforderlich) |
Sku
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Der SKU-Name. Erforderlich für die Kontoerstellung; optional für das Update. Beachten Sie, dass in älteren Versionen der SKU-Name accountType genannt wurde. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (erforderlich) |
Schnellstartvorlagen
Diesen Ressourcentyp werden in den folgenden Schnellstartvorlagen bereitgestellt.
Vorlage | BESCHREIBUNG |
---|---|
Herstellen einer Verbindung mit einem Speicherkonto über einen virtuellen Computer über einen privaten Endpunkt |
In diesem Beispiel wird gezeigt, wie Sie mithilfe einer Verbindung mit einem virtuellen Netzwerk auf ein Blobspeicherkonto über einen privaten Endpunkt zugreifen. |
Herstellen einer Verbindung mit einer Azure-Dateifreigabe über einen privaten Endpunkt |
In diesem Beispiel wird gezeigt, wie Sie ein virtuelles Netzwerk und eine private DNS-Zone konfigurieren, um über einen privaten Endpunkt auf eine Azure-Dateifreigabe zuzugreifen. |
Erstellen eines Standardspeicherkontos |
Mit dieser Vorlage wird ein Standardspeicherkonto erstellt. |
Erstellen eines Speicherkontos mit SSE |
Mit dieser Vorlage wird ein Speicherkonto mit Speicherdienstverschlüsselung für ruhende Daten erstellt. |
Speicherkonto mit Advanced Threat Protection |
Mit dieser Vorlage können Sie ein Azure Storage-Konto mit aktiviertem Advanced Threat Protection bereitstellen. |
Erstellen eines Azure Storage-Kontos und eines Blobcontainers in Azure |
Mit dieser Vorlage werden ein Azure Storage-Konto und ein Blobcontainer erstellt. |
Speicherkonto mit Aufbewahrungsrichtlinie für SSE und Bloblöschung |
Mit dieser Vorlage wird ein Speicherkonto mit Speicherdienstverschlüsselung und einer Aufbewahrungsrichtlinie zum Löschen von Blobs erstellt. |
Azure Storage-Kontoverschlüsselung mit kundenseitig verwaltetem Schlüssel |
Diese Vorlage stellt ein Speicherkonto mit einem kundenseitig verwalteten Schlüssel für die Verschlüsselung bereit, der generiert und in einem Key Vault platziert wird. |
Erstellen eines Speicherkontos mit Dateifreigabe |
Mit dieser Vorlage werden ein Azure-Speicherkonto und eine Dateifreigabe erstellt. |
Erstellen eines Speicherkontos mit mehreren Blob-Containern |
Erstellt ein Azure-Speicherkonto und mehrere Blobcontainer. |
Erstellen eines Speicherkontos mit mehreren Dateifreigaben |
Erstellt ein Azure-Speicherkonto und mehrere Dateifreigaben. |
Erstellen eines Speicherkontos mit aktiviertem SFTP |
Erstellt ein Azure Storage-Konto und einen Blobcontainer, auf den mithilfe des SFTP-Protokolls zugegriffen werden kann. Der Zugriff kann auf Kennwort- oder Aufschlüsselbasis erfolgen. |
Stellt eine statische Website bereit. |
Stellt eine statische Website mit einem Sicherungsspeicherkonto bereit. |
Ressourcendefinition mit einer ARM-Vorlage
Der Ressourcentyp storageAccounts kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Bereitstellungsbefehle für Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie im Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Storage/storageAccounts-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2021-08-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"sku": {
"name": "string"
},
"kind": "string",
"extendedLocation": {
"name": "string",
"type": "EdgeZone"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"accessTier": "string",
"allowBlobPublicAccess": "bool",
"allowCrossTenantReplication": "bool",
"allowedCopyScope": "string",
"allowSharedKeyAccess": "bool",
"azureFilesIdentityBasedAuthentication": {
"activeDirectoryProperties": {
"accountType": "string",
"azureStorageSid": "string",
"domainGuid": "string",
"domainName": "string",
"domainSid": "string",
"forestName": "string",
"netBiosDomainName": "string",
"samAccountName": "string"
},
"defaultSharePermission": "string",
"directoryServiceOptions": "string"
},
"customDomain": {
"name": "string",
"useSubDomainName": "bool"
},
"defaultToOAuthAuthentication": "bool",
"encryption": {
"identity": {
"federatedIdentityClientId": "string",
"userAssignedIdentity": "string"
},
"keySource": "string",
"keyvaultproperties": {
"keyname": "string",
"keyvaulturi": "string",
"keyversion": "string"
},
"requireInfrastructureEncryption": "bool",
"services": {
"blob": {
"enabled": "bool",
"keyType": "string"
},
"file": {
"enabled": "bool",
"keyType": "string"
},
"queue": {
"enabled": "bool",
"keyType": "string"
},
"table": {
"enabled": "bool",
"keyType": "string"
}
}
},
"immutableStorageWithVersioning": {
"enabled": "bool",
"immutabilityPolicy": {
"allowProtectedAppendWrites": "bool",
"immutabilityPeriodSinceCreationInDays": "int",
"state": "string"
}
},
"isHnsEnabled": "bool",
"isLocalUserEnabled": "bool",
"isNfsV3Enabled": "bool",
"isSftpEnabled": "bool",
"keyPolicy": {
"keyExpirationPeriodInDays": "int"
},
"largeFileSharesState": "string",
"minimumTlsVersion": "string",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"action": "Allow",
"value": "string"
}
],
"resourceAccessRules": [
{
"resourceId": "string",
"tenantId": "string"
}
],
"virtualNetworkRules": [
{
"action": "Allow",
"id": "string",
"state": "string"
}
]
},
"publicNetworkAccess": "string",
"routingPreference": {
"publishInternetEndpoints": "bool",
"publishMicrosoftEndpoints": "bool",
"routingChoice": "string"
},
"sasPolicy": {
"expirationAction": "Log",
"sasExpirationPeriod": "string"
},
"supportsHttpsTrafficOnly": "bool"
}
}
Eigenschaftswerte
storageAccounts
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Ressourcentyp | "Microsoft.Storage/storageAccounts" |
apiVersion | Die Version der Ressourcen-API | '2021-08-01' |
name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 3-24 Gültige Zeichen: Kleinbuchstaben und Zahlen. Der Ressourcenname muss in Azure eindeutig sein. |
location | Erforderlich. Ruft den Speicherort der Ressource ab oder legt ihn fest. Dies ist eine der unterstützten und registrierten Azure-Georegionen (z. B. USA, Westen, USA, Osten, Asien, Südosten usw.). Der geografische Bereich einer Ressource kann nach der Erstellung nicht mehr geändert werden, aber wenn beim Aktualisieren ein identischer geografischer Bereich angegeben wird, wird die Anforderung erfolgreich ausgeführt. | Zeichenfolge (erforderlich) |
tags | Ruft eine Liste von Schlüsselwertpaaren ab, die die Ressource beschreiben, oder legt diese fest. Diese Tags können zum Anzeigen und Gruppieren dieser Ressource (ressourcengruppenübergreifend) verwendet werden. Für eine Ressource können maximal 15 Tags bereitgestellt werden. Jedes Tag muss über einen Schlüssel mit einer Länge von nicht mehr als 128 Zeichen und einen Wert mit einer Länge von nicht mehr als 256 Zeichen verfügen. | Wörterbuch der Tagnamen und -werte. Weitere Informationen finden Sie unter Tags in Vorlagen. |
sku | Erforderlich. Ruft den SKU-Namen ab oder legt den Namen fest. | SKU (erforderlich) |
kind | Erforderlich. Gibt den Typ des Speicherkontos an. | "BlobStorage" 'BlockBlobStorage' 'FileStorage' 'Storage' "StorageV2" (erforderlich) |
extendedLocation | Optional. Legen Sie den erweiterten Speicherort der Ressource fest. Wenn nicht festgelegt, wird das Speicherkonto in der Azure Standard Region erstellt. Andernfalls wird es am angegebenen erweiterten Speicherort erstellt. | ExtendedLocation |
Identität | Die Identität der Ressource. | Identität |
properties | Die Parameter, die zum Erstellen des Speicherkontos verwendet werden. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Der Name des erweiterten Speicherorts. | Zeichenfolge |
type | Der Typ des erweiterten Speicherorts. | "EdgeZone" |
Identity
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Identitätstyp. | "Keine" "SystemAssigned" 'SystemAssigned,UserAssigned' "UserAssigned" (erforderlich) |
userAssignedIdentities | Ruft eine Liste von Schlüsselwertpaaren ab, die die Gruppe der benutzerseitig zugewiesenen Identitäten beschreiben, die mit diesem Speicherkonto verwendet werden, oder legt diese fest. Der Schlüssel ist der ARM-Ressourcenbezeichner der Identität. Hier ist nur 1 benutzerseitig zugewiesene Identität zulässig. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
Name | BESCHREIBUNG | Wert |
---|---|---|
{angepasste Eigenschaft} | UserAssignedIdentity |
UserAssignedIdentity
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
Name | BESCHREIBUNG | Wert |
---|---|---|
accessTier | Erforderlich für Speicherkonten, wobei Art = BlobStorage. Die für die Abrechnung verwendete Zugriffsebene. | "Cool" "Heiß" |
allowBlobPublicAccess | Zulassen oder Verweigern des öffentlichen Zugriffs auf alle Blobs oder Container im Speicherkonto. Die Standardinterpretation ist true für diese Eigenschaft. | bool |
allowCrossTenantReplication | Die AAD-Mandantenobjektreplikation zulassen oder nicht zulassen. Die Standardinterpretation ist true für diese Eigenschaft. | bool |
allowedCopyScope | Schränken Sie das Kopieren auf und aus Speicherkonten innerhalb eines AAD-Mandanten oder mit privaten Links in dasselbe VNet ein. | "AAD" "PrivateLink" |
allowSharedKeyAccess | Gibt an, ob das Speicherkonto die Autorisierung von Anforderungen mit dem Kontozugriffsschlüssel über gemeinsam genutzten Schlüssel zulässt. Wenn false, müssen alle Anforderungen, einschließlich Shared Access Signatures, mit Azure Active Directory (Azure AD) autorisiert werden. Der Standardwert ist NULL, was true entspricht. | bool |
azureFilesIdentityBasedAuthentication | Stellt die identitätsbasierten Authentifizierungseinstellungen für Azure Files bereit. | AzureFilesIdentityBasedAuthentication |
customDomain | Benutzerdomäne, die dem Speicherkonto zugewiesen ist. Name ist die CNAME-Quelle. Derzeit wird pro Speicherkonto nur eine benutzerdefinierte Domäne unterstützt. Um die vorhandene benutzerdefinierte Domäne zu löschen, verwenden Sie eine leere Zeichenfolge für die benutzerdefinierte Domänennameneigenschaft. | CustomDomain |
defaultToOAuthAuthentication | Ein boolesches Flag, das angibt, ob die Standardauthentifizierung OAuth ist oder nicht. Die Standardinterpretation ist false für diese Eigenschaft. | bool |
Verschlüsselung | Verschlüsselungseinstellungen, die für die serverseitige Verschlüsselung für das Speicherkonto verwendet werden sollen. | Verschlüsselung |
immutableStorageWithVersioning | Die Eigenschaft ist unveränderlich und kann nur zum Zeitpunkt der Kontoerstellung auf TRUE festgelegt werden. Wenn dieser Wert auf TRUE festgelegt ist, wird standardmäßig die Unveränderlichkeit auf Objektebene für alle neuen Container im Konto aktiviert. | ImmutableStorageAccount |
isHnsEnabled | Konto hierarchischerNamespace aktiviert, wenn auf TRUE festgelegt ist. | bool |
isLocalUserEnabled | Aktiviert das Feature "Lokale Benutzer", wenn auf "true" festgelegt ist. | bool |
isNfsV3Enabled | NfS 3.0-Protokollunterstützung aktiviert, wenn auf TRUE festgelegt. | bool |
isSftpEnabled | Aktiviert das Secure File Transfer Protocol, wenn auf TRUE festgelegt ist. | bool |
keyPolicy | Dem Speicherkonto zugewiesene KeyPolicy. | KeyPolicy |
largeFileSharesState | Lassen Sie große Dateifreigaben zu, wenn aktiviert ist. Es kann nicht deaktiviert werden, sobald es aktiviert ist. | "Deaktiviert" "Aktiviert" |
minimumTlsVersion | Legen Sie die TLS-Mindestversion fest, die für Anforderungen auf Speicher zulässig sein soll. Die Standardinterpretation ist TLS 1.0 für diese Eigenschaft. | "TLS1_0" "TLS1_1" "TLS1_2" |
networkAcls | Netzwerkregelsatz | NetworkRuleSet |
publicNetworkAccess | Zulassen oder Verweigern des Zugriffs auf das Speicherkonto durch öffentliche Netzwerke. Der Wert ist optional, aber wenn er übergeben wird, muss "Aktiviert" oder "Deaktiviert" sein. | "Deaktiviert" "Aktiviert" |
routingPreference | Verwaltet Informationen zur Netzwerkroutingauswahl, die vom Benutzer für die Datenübertragung ausgewählt wurde | RoutingPreference |
sasPolicy | SasPolicy, die dem Speicherkonto zugewiesen ist. | SasPolicy |
supportsHttpsTrafficOnly | Lässt HTTPS-Datenverkehr nur an den Speicherdienst zu, wenn auf TRUE festgelegt ist. Der Standardwert ist true seit API-Version 2019-04-01. | bool |
AzureFilesIdentityBasedAuthentication
Name | BESCHREIBUNG | Wert |
---|---|---|
activeDirectoryProperties | Erforderlich, wenn Sie AD auswählen. | ActiveDirectoryProperties |
defaultSharePermission | Standardfreigabeberechtigung für Benutzer mit Kerberos-Authentifizierung, wenn die RBAC-Rolle nicht zugewiesen ist. | "Keine" "StorageFileDataSmbShareContributor" "StorageFileDataSmbShareElevatedContributor" "StorageFileDataSmbShareReader" |
directoryServiceOptions | Gibt den verwendeten Verzeichnisdienst an. | "AADDS" "AD" "Keine" (erforderlich) |
ActiveDirectoryProperties
Name | BESCHREIBUNG | Wert |
---|---|---|
accountType | Gibt den Active Directory-Kontotyp für Azure Storage an. | "Computer" "Benutzer" |
azureStorageSid | Gibt die Sicherheits-ID (SID) für Azure Storage an. | Zeichenfolge (erforderlich) |
domainGuid | Gibt die Domänen-GUID an. | Zeichenfolge (erforderlich) |
domainName | Gibt die primäre Domäne an, für die der AD-DNS-Server autoritativ ist. | Zeichenfolge (erforderlich) |
domainSid | Gibt die Sicherheits-ID (SID) an. | Zeichenfolge (erforderlich) |
forestName | Gibt die abzurufende Active Directory-Gesamtstruktur an. | Zeichenfolge (erforderlich) |
netBiosDomainName | Gibt den NetBIOS-Domänennamen an. | Zeichenfolge (erforderlich) |
samAccountName | Gibt den Active Directory-SAMAccountName für Azure Storage an. | Zeichenfolge |
CustomDomain
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Ruft den benutzerdefinierten Domänennamen ab, der dem Speicherkonto zugewiesen ist, oder legt diesen fest. Name ist die CNAME-Quelle. | Zeichenfolge (erforderlich) |
useSubDomainName | Gibt an, ob die indirekte CName-Überprüfung aktiviert ist. Der Standardwert ist „false“. Dies sollte nur bei Updates festgelegt werden. | bool |
Verschlüsselung
Name | BESCHREIBUNG | Wert |
---|---|---|
Identität | Die Identität, die mit dienstseitiger Verschlüsselung im Ruhezustand verwendet werden soll. | EncryptionIdentity |
keySource | Die Verschlüsselungsschlüsselquelle (Anbieter). Mögliche Werte (ohne Berücksichtigung der Groß-/Kleinschreibung): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" (erforderlich) |
keyvaultproperties | Vom Schlüsseltresor bereitgestellte Eigenschaften. | KeyVaultProperties |
requireInfrastructureEncryption | Ein boolescher Wert, der angibt, ob der Dienst eine sekundäre Verschlüsselungsebene mit plattformseitig verwalteten Schlüsseln für ruhende Daten anwendet oder nicht. | bool |
services | Liste der Dienste, die die Verschlüsselung unterstützen. | EncryptionServices |
EncryptionIdentity
Name | BESCHREIBUNG | Wert |
---|---|---|
federatedIdentityClientId | ClientId der mehrinstanzenfähigen Anwendung, die in Verbindung mit der benutzerseitig zugewiesenen Identität für die serverseitige Verschlüsselung von kundenübergreifenden kundenseitig verwalteten Schlüsseln im Speicherkonto verwendet werden soll. | Zeichenfolge |
userAssignedIdentity | Ressourcenbezeichner der UserAssigned-Identität, die der serverseitigen Verschlüsselung im Speicherkonto zugeordnet werden soll. | Zeichenfolge |
KeyVaultProperties
Name | BESCHREIBUNG | Wert |
---|---|---|
Keyname | Der Name des KeyVault-Schlüssels. | Zeichenfolge |
keyvaulturi | Der URI von KeyVault. | Zeichenfolge |
keyversion | Die Version des KeyVault-Schlüssels. | Zeichenfolge |
EncryptionServices
Name | BESCHREIBUNG | Wert |
---|---|---|
Blob | Die Verschlüsselungsfunktion des Blob Storage-Diensts. | EncryptionService |
file | Die Verschlüsselungsfunktion des Dateispeicherdiensts. | EncryptionService |
queue | Die Verschlüsselungsfunktion des Warteschlangenspeicherdiensts. | EncryptionService |
table | Die Verschlüsselungsfunktion des Tabellenspeicherdiensts. | EncryptionService |
EncryptionService
Name | BESCHREIBUNG | Wert |
---|---|---|
enabled | Ein boolescher Wert, der angibt, ob der Dienst die Daten während der Speicherung verschlüsselt. Die Verschlüsselung ruhender Daten ist heute standardmäßig aktiviert und kann nicht deaktiviert werden. | bool |
keyType | Verschlüsselungsschlüsseltyp, der für den Verschlüsselungsdienst verwendet werden soll. Der Schlüsseltyp "Konto" impliziert, dass ein verschlüsselungsschlüssel im Kontobereich verwendet wird. Der Schlüsseltyp "Dienst" impliziert, dass ein Standarddienstschlüssel verwendet wird. | "Konto" "Dienst" |
ImmutableStorageAccount
Name | BESCHREIBUNG | Wert |
---|---|---|
enabled | Ein boolesches Flag, das die Unveränderlichkeit auf Kontoebene ermöglicht. Für alle Container unter einem solchen Konto ist standardmäßig unveränderliche Unveränderlichkeit auf Objektebene aktiviert. | bool |
immutabilityPolicy | Gibt die Standardmäßige Unveränderlichkeitsrichtlinie auf Kontoebene an, die geerbt und auf Objekte angewendet wird, die auf Objektebene keine explizite Unveränderlichkeitsrichtlinie besitzen. Die Unveränderlichkeitsrichtlinie auf Objektebene hat eine höhere Priorität als die Unveränderlichkeitsrichtlinie auf Containerebene, die eine höhere Priorität hat als die Unveränderlichkeitsrichtlinie auf Kontoebene. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
Name | BESCHREIBUNG | Wert |
---|---|---|
allowProtectedAppendWrites | Diese Eigenschaft kann nur für deaktivierte und entsperrte zeitbasierte Aufbewahrungsrichtlinien geändert werden. Wenn diese Option aktiviert ist, können neue Blöcke in ein Anfügeblob geschrieben werden, wobei der Unveränderlichkeitsschutz und die Konformität beibehalten werden. Es können nur neue Blöcke hinzugefügt werden. Vorhandene Blöcke können nicht geändert oder gelöscht werden. | bool |
immutabilityPeriodSinceCreationInDays | Der Unveränderlichkeitszeitraum für die Blobs im Container seit der Richtlinienerstellung in Tagen. | INT Einschränkungen: Minimaler Wert = 1 Maximaler Wert = 146000 |
state | Der Status ImmutabilityPolicy definiert den Modus der Richtlinie. Der Status "Deaktiviert" deaktiviert die Richtlinie, der Status "Entsperrt" ermöglicht eine Erhöhung und Verminderung der Unveränderlichkeit der Aufbewahrungszeit und ermöglicht auch das Umschalten der allowProtectedAppendWrites-Eigenschaft, der Gesperrte Zustand ermöglicht nur die Erhöhung der Unveränderlichkeitsaufbewahrungszeit. Eine Richtlinie kann nur im Status Deaktiviert oder Entsperrt erstellt werden und kann zwischen den beiden Zuständen umgeschaltet werden. Nur eine Richtlinie im Status Entsperrt kann in den Status Gesperrt übergehen, der nicht wiederhergestellt werden kann. | "Deaktiviert" "Gesperrt" "Entsperrt" |
KeyPolicy
Name | BESCHREIBUNG | Wert |
---|---|---|
keyExpirationPeriodInDays | Der Schlüsselablaufzeitraum in Tagen. | int (erforderlich) |
NetworkRuleSet
Name | BESCHREIBUNG | Wert |
---|---|---|
Umgehung | Gibt an, ob Datenverkehr für Protokollierung/Metriken/AzureServices umgangen wird. Mögliche Werte sind eine beliebige Kombination aus Protokollierung, Metriken, AzureServices (z. B. "Protokollierung, Metriken") oder Keine, um keinen dieser Datenverkehr zu umgehen. | "AzureServices" "Protokollierung" "Metriken" "Keine" |
Defaultaction | Gibt die Standardaktion zulassen oder verweigern an, wenn keine anderen Regeln übereinstimmen. | "Zulassen" "Verweigern" (erforderlich) |
ipRules | Legt die IP-ACL-Regeln fest. | IPRule[] |
resourceAccessRules | Legt die Ressourcenzugriffsregeln fest. | ResourceAccessRule[] |
virtualNetworkRules | Legt die Regeln für virtuelle Netzwerke fest. | VirtualNetworkRule[] |
IPRule
Name | BESCHREIBUNG | Wert |
---|---|---|
action | Die Aktion der IP-ACL-Regel. | "Zulassen" |
value | Gibt den IP- oder IP-Bereich im CIDR-Format an. Nur IPV4-Adresse ist zulässig. | Zeichenfolge (erforderlich) |
ResourceAccessRule
Name | BESCHREIBUNG | Wert |
---|---|---|
resourceId | Ressourcen-ID | Zeichenfolge |
tenantId | Mandanten-ID | Zeichenfolge |
VirtualNetworkRule
Name | BESCHREIBUNG | Wert |
---|---|---|
action | Die Aktion der Regel für virtuelle Netzwerke. | "Zulassen" |
id | Ressourcen-ID eines Subnetzes, z. B.: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | Zeichenfolge (erforderlich) |
state | Ruft den Status der Regel für virtuelle Netzwerke ab. | "Aufhebung der Bereitstellung" "Fehler" "NetworkSourceDeleted" "Bereitstellung" "Erfolgreich" |
RoutingPreference
Name | BESCHREIBUNG | Wert |
---|---|---|
publishInternetEndpoints | Ein boolesches Flag, das angibt, ob Internetrouting-Speicherendpunkte veröffentlicht werden sollen. | bool |
publishMicrosoftEndpoints | Ein boolesches Flag, das angibt, ob Microsoft-Routingspeicherendpunkte veröffentlicht werden sollen. | bool |
routingChoice | Routing Choice definiert die Art des vom Benutzer gewählten Netzwerkroutings. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
Name | BESCHREIBUNG | Wert |
---|---|---|
expirationAction | Die SAS-Ablaufaktion. Kann nur Protokoll sein. | "Protokoll" (erforderlich) |
sasExpirationPeriod | Der SAS-Ablaufzeitraum, DD.HH:MM:SS. | Zeichenfolge (erforderlich) |
Sku
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Der SKU-Name. Erforderlich für die Kontoerstellung; optional für das Update. Beachten Sie, dass in älteren Versionen der SKU-Name accountType genannt wurde. | "Premium_LRS" "Premium_ZRS" Standard_GRS "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (erforderlich) |
Schnellstartvorlagen
In den folgenden Schnellstartvorlagen wird dieser Ressourcentyp bereitgestellt.
Vorlage | BESCHREIBUNG |
---|---|
Herstellen einer Verbindung mit einem Speicherkonto von einem virtuellen Computer über einen privaten Endpunkt |
In diesem Beispiel wird gezeigt, wie Sie eine Verbindung mit einem virtuellen Netzwerk verwenden, um über einen privaten Endpunkt auf ein Blobspeicherkonto zuzugreifen. |
Herstellen einer Verbindung mit einer Azure-Dateifreigabe über einen privaten Endpunkt |
In diesem Beispiel wird gezeigt, wie Sie ein virtuelles Netzwerk und eine private DNS-Zone konfigurieren, um über einen privaten Endpunkt auf eine Azure-Dateifreigabe zuzugreifen. |
Erstellen eines Standardspeicherkontos |
Mit dieser Vorlage wird ein Standardspeicherkonto erstellt. |
Erstellen eines Speicherkontos mit SSE |
Diese Vorlage erstellt ein Speicherkonto mit Speicherdienstverschlüsselung für ruhende Daten. |
Speicherkonto mit Advanced Threat Protection |
Mit dieser Vorlage können Sie ein Azure Storage-Konto mit aktiviertem Advanced Threat Protection bereitstellen. |
Erstellen eines Azure Storage-Kontos und eines Blobcontainers in Azure |
Mit dieser Vorlage werden ein Azure Storage-Konto und ein Blobcontainer erstellt. |
Speicherkonto mit Aufbewahrungsrichtlinie für SSE und Bloblöschung |
Mit dieser Vorlage wird ein Speicherkonto mit Speicherdienstverschlüsselung und einer Aufbewahrungsrichtlinie zum Löschen von Blobs erstellt. |
Azure Storage-Kontoverschlüsselung mit kundenseitig verwaltetem Schlüssel |
Diese Vorlage stellt ein Speicherkonto mit einem kundenseitig verwalteten Schlüssel für die Verschlüsselung bereit, der generiert und in einem Key Vault platziert wird. |
Erstellen eines Speicherkontos mit Dateifreigabe |
Mit dieser Vorlage wird ein Azure-Speicherkonto und eine Dateifreigabe erstellt. |
Erstellen eines Speicherkontos mit mehreren Blob-Containern |
Erstellt ein Azure-Speicherkonto und mehrere Blobcontainer. |
Erstellen eines Speicherkontos mit mehreren Dateifreigaben |
Erstellt ein Azure-Speicherkonto und mehrere Dateifreigaben. |
Erstellen eines Speicherkontos mit aktiviertem SFTP |
Erstellt ein Azure Storage-Konto und einen Blobcontainer, auf den mithilfe des SFTP-Protokolls zugegriffen werden kann. Der Zugriff kann kennwortbasiert oder auf öffentlichem Schlüssel basieren. |
Stellt eine statische Website bereit |
Stellt eine statische Website mit einem Sicherungsspeicherkonto bereit |
Terraform (AzAPI-Anbieter) Ressourcendefinition
Der Ressourcentyp storageAccounts kann mit Vorgängen bereitgestellt werden, die Folgendes zum Ziel haben:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Storage/storageAccounts-Ressource zu erstellen, fügen Sie Der Vorlage die folgende Terraform-Ressource hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Storage/storageAccounts@2021-08-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
accessTier = "string"
allowBlobPublicAccess = bool
allowCrossTenantReplication = bool
allowedCopyScope = "string"
allowSharedKeyAccess = bool
azureFilesIdentityBasedAuthentication = {
activeDirectoryProperties = {
accountType = "string"
azureStorageSid = "string"
domainGuid = "string"
domainName = "string"
domainSid = "string"
forestName = "string"
netBiosDomainName = "string"
samAccountName = "string"
}
defaultSharePermission = "string"
directoryServiceOptions = "string"
}
customDomain = {
name = "string"
useSubDomainName = bool
}
defaultToOAuthAuthentication = bool
encryption = {
identity = {
federatedIdentityClientId = "string"
userAssignedIdentity = "string"
}
keySource = "string"
keyvaultproperties = {
keyname = "string"
keyvaulturi = "string"
keyversion = "string"
}
requireInfrastructureEncryption = bool
services = {
blob = {
enabled = bool
keyType = "string"
}
file = {
enabled = bool
keyType = "string"
}
queue = {
enabled = bool
keyType = "string"
}
table = {
enabled = bool
keyType = "string"
}
}
}
immutableStorageWithVersioning = {
enabled = bool
immutabilityPolicy = {
allowProtectedAppendWrites = bool
immutabilityPeriodSinceCreationInDays = int
state = "string"
}
}
isHnsEnabled = bool
isLocalUserEnabled = bool
isNfsV3Enabled = bool
isSftpEnabled = bool
keyPolicy = {
keyExpirationPeriodInDays = int
}
largeFileSharesState = "string"
minimumTlsVersion = "string"
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
action = "Allow"
value = "string"
}
]
resourceAccessRules = [
{
resourceId = "string"
tenantId = "string"
}
]
virtualNetworkRules = [
{
action = "Allow"
id = "string"
state = "string"
}
]
}
publicNetworkAccess = "string"
routingPreference = {
publishInternetEndpoints = bool
publishMicrosoftEndpoints = bool
routingChoice = "string"
}
sasPolicy = {
expirationAction = "Log"
sasExpirationPeriod = "string"
}
supportsHttpsTrafficOnly = bool
}
sku = {
name = "string"
}
kind = "string"
extendedLocation = {
name = "string"
type = "EdgeZone"
}
})
}
Eigenschaftswerte
storageAccounts
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Ressourcentyp | "Microsoft.Storage/storageAccounts@2021-08-01" |
name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 3-24 Gültige Zeichen: Kleinbuchstaben und Zahlen. Der Ressourcenname muss in Azure eindeutig sein. |
location | Erforderlich. Ruft den Speicherort der Ressource ab oder legt ihn fest. Dies ist eine der unterstützten und registrierten Azure-Georegionen (z. B. USA, Westen, USA, Osten, Asien, Südosten usw.). Die Georegion einer Ressource kann nicht geändert werden, sobald sie erstellt wurde, aber wenn beim Aktualisieren eine identische Georegion angegeben wird, wird die Anforderung erfolgreich ausgeführt. | Zeichenfolge (erforderlich) |
parent_id | Verwenden Sie zum Bereitstellen in einer Ressourcengruppe die ID dieser Ressourcengruppe. | Zeichenfolge (erforderlich) |
tags | Ruft eine Liste von Schlüsselwertpaaren ab, die die Ressource beschreiben, oder legt sie fest. Diese Tags können zum Anzeigen und Gruppieren dieser Ressource (ressourcenübergreifend) verwendet werden. Für eine Ressource können maximal 15 Tags bereitgestellt werden. Jedes Tag muss einen Schlüssel mit einer Länge von höchstens 128 Zeichen und einen Wert mit einer Länge von nicht mehr als 256 Zeichen aufweisen. | Wörterbuch der Tagnamen und -werte. |
sku | Erforderlich. Ruft den SKU-Namen ab oder legt diese fest. | Sku (erforderlich) |
kind | Erforderlich. Gibt den Typ des Speicherkontos an. | "BlobStorage" "BlockBlobStorage" "FileStorage" "Speicher" "StorageV2" (erforderlich) |
extendedLocation | Optional. Legen Sie den erweiterten Speicherort der Ressource fest. Falls nicht festgelegt, wird das Speicherkonto in azure Standard Region erstellt. Andernfalls wird es am angegebenen erweiterten Speicherort erstellt. | ExtendedLocation |
Identität | Die Identität der Ressource. | Identität |
properties | Die Parameter, die zum Erstellen des Speicherkontos verwendet werden. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Der Name des erweiterten Speicherorts. | Zeichenfolge |
type | Der Typ des erweiterten Speicherorts. | "EdgeZone" |
Identity
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Identitätstyp. | "SystemAssigned" "SystemAssigned,UserAssigned" "UserAssigned" (erforderlich) |
identity_ids | Ruft eine Liste von Schlüsselwertpaaren ab, die die Gruppe der benutzerseitig zugewiesenen Identitäten beschreiben, die mit diesem Speicherkonto verwendet werden, oder legt diese fest. Der Schlüssel ist der ARM-Ressourcenbezeichner der Identität. Hier ist nur 1 benutzerseitig zugewiesene Identität zulässig. | Array von Benutzeridentitäts-IDs. |
IdentityUserAssignedIdentities
Name | BESCHREIBUNG | Wert |
---|---|---|
{angepasste Eigenschaft} | UserAssignedIdentity |
UserAssignedIdentity
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
Name | BESCHREIBUNG | Wert |
---|---|---|
accessTier | Erforderlich für Speicherkonten, wobei art = BlobStorage. Die Zugriffsebene, die für die Abrechnung verwendet wird. | "Cool" "Heiß" |
allowBlobPublicAccess | Zulassen oder Verweigern des öffentlichen Zugriffs auf alle Blobs oder Container im Speicherkonto. Die Standardinterpretation ist true für diese Eigenschaft. | bool |
allowCrossTenantReplication | Zulassen oder Verweigern der replizierten AAD-Mandantenobjektreplikation. Die Standardinterpretation ist true für diese Eigenschaft. | bool |
allowedCopyScope | Schränken Sie das Kopieren in und aus Speicherkonten innerhalb eines AAD-Mandanten oder mit privaten Links auf dasselbe VNET ein. | "AAD" "PrivateLink" |
allowSharedKeyAccess | Gibt an, ob das Speicherkonto die Autorisierung von Anforderungen mit dem Kontozugriffsschlüssel über shared Key zulässt. Wenn false, müssen alle Anforderungen, einschließlich Shared Access Signaturen, mit Azure Active Directory (Azure AD) autorisiert werden. Der Standardwert ist NULL, was true entspricht. | bool |
azureFilesIdentityBasedAuthentication | Stellt die identitätsbasierten Authentifizierungseinstellungen für Azure Files bereit. | AzureFilesIdentityBasedAuthentication |
customDomain | Benutzerdomäne, die dem Speicherkonto zugewiesen ist. Name ist die CNAME-Quelle. Derzeit wird nur eine benutzerdefinierte Domäne pro Speicherkonto unterstützt. Um die vorhandene benutzerdefinierte Domäne zu löschen, verwenden Sie eine leere Zeichenfolge für die eigenschaft benutzerdefinierte Domänenname. | CustomDomain |
defaultToOAuthAuthentication | Ein boolesches Flag, das angibt, ob die Standardauthentifizierung OAuth ist oder nicht. Die Standardinterpretation ist false für diese Eigenschaft. | bool |
Verschlüsselung | Verschlüsselungseinstellungen, die für die serverseitige Verschlüsselung für das Speicherkonto verwendet werden sollen. | Verschlüsselung |
immutableStorageWithVersioning | Die Eigenschaft ist unveränderlich und kann nur zum Zeitpunkt der Kontoerstellung auf true festgelegt werden. Wenn sie auf true festgelegt ist, wird standardmäßig die Unveränderlichkeit auf Objektebene für alle neuen Container im Konto aktiviert. | ImmutableStorageAccount |
isHnsEnabled | Account HierarchicalNamespace aktiviert, wenn auf true festgelegt ist. | bool |
isLocalUserEnabled | Aktiviert das Feature "lokale Benutzer", wenn auf "true" festgelegt ist | bool |
isNfsV3Enabled | NFS 3.0-Protokollunterstützung aktiviert, wenn auf TRUE festgelegt ist. | bool |
isSftpEnabled | Aktiviert das Protokoll für die sichere Dateiübertragung, wenn auf true festgelegt ist. | bool |
keyPolicy | KeyPolicy, die dem Speicherkonto zugewiesen ist. | KeyPolicy |
largeFileSharesState | Lassen Sie große Dateifreigaben zu, wenn aktiviert ist. Sie kann nicht deaktiviert werden, sobald sie aktiviert ist. | "Deaktiviert" "Aktiviert" |
minimumTlsVersion | Legen Sie die TLS-Mindestversion fest, die für Anforderungen an den Speicher zulässig ist. Die Standardinterpretation ist TLS 1.0 für diese Eigenschaft. | "TLS1_0" "TLS1_1" "TLS1_2" |
networkAcls | Netzwerkregelsatz | NetworkRuleSet |
publicNetworkAccess | Zulassen oder Verweigern des Zugriffs auf das Speicherkonto für öffentliche Netzwerke Der Wert ist optional, muss aber bei Übergabe "Aktiviert" oder "Deaktiviert" sein. | "Deaktiviert" "Aktiviert" |
routingPreference | Verwaltet Informationen zur Netzwerkroutingauswahl, die vom Benutzer für die Datenübertragung ausgewählt wurde | RoutingPreference |
sasPolicy | SasPolicy ist dem Speicherkonto zugewiesen. | SasPolicy |
supportsHttpsTrafficOnly | Lässt https-Datenverkehr nur für den Speicherdienst zu, wenn auf true festgelegt ist. Der Standardwert ist true seit API-Version 2019-04-01. | bool |
AzureFilesIdentityBasedAuthentication
Name | BESCHREIBUNG | Wert |
---|---|---|
activeDirectoryProperties | Erforderlich, wenn Sie AD auswählen. | ActiveDirectoryProperties |
defaultSharePermission | Die Standardfreigabeberechtigung für Benutzer, die die Kerberos-Authentifizierung verwenden, wenn die RBAC-Rolle nicht zugewiesen ist. | "None" "StorageFileDataSmbShareContributor" "StorageFileDataSmbShareElevatedContributor" "StorageFileDataSmbShareReader" |
directoryServiceOptions | Gibt den verwendeten Verzeichnisdienst an. | "AADDS" "AD" "Keine" (erforderlich) |
ActiveDirectoryProperties
Name | BESCHREIBUNG | Wert |
---|---|---|
accountType | Gibt den Active Directory-Kontotyp für Azure Storage an. | „Computer“ User |
azureStorageSid | Gibt den Sicherheitsbezeichner (Security Identifier, SID) für Azure Storage an. | Zeichenfolge (erforderlich) |
domainGuid | Gibt die Domänen-GUID an. | Zeichenfolge (erforderlich) |
domainName | Gibt die primäre Domäne an, für die der AD DNS-Server autoritativ ist. | Zeichenfolge (erforderlich) |
domainSid | Gibt den Sicherheitsbezeichner (SID) an. | Zeichenfolge (erforderlich) |
forestName | Gibt die abzurufende Active Directory-Gesamtstruktur an. | Zeichenfolge (erforderlich) |
netBiosDomainName | Gibt den NetBIOS-Domänennamen an. | Zeichenfolge (erforderlich) |
samAccountName | Gibt den Active Directory SAMAccountName für Azure Storage an. | Zeichenfolge |
CustomDomain
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Ruft den benutzerdefinierten Domänennamen ab, der dem Speicherkonto zugewiesen ist, oder legt diesen fest. Name ist die CNAME-Quelle. | Zeichenfolge (erforderlich) |
useSubDomainName | Gibt an, ob die indirekte CName-Überprüfung aktiviert ist. Der Standardwert ist „false“. Dies sollte nur bei Updates festgelegt werden. | bool |
Verschlüsselung
Name | BESCHREIBUNG | Wert |
---|---|---|
Identität | Die Identität, die mit dienstseitiger Verschlüsselung im Ruhezustand verwendet werden soll. | EncryptionIdentity |
keySource | Die VerschlüsselungsschlüsselQuelle (Anbieter). Mögliche Werte (ohne Beachtung der Groß-/Kleinschreibung): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" (erforderlich) |
keyvaultproperties | Vom Schlüsseltresor bereitgestellte Eigenschaften. | KeyVaultProperties |
requireInfrastructureEncryption | Ein boolescher Wert, der angibt, ob der Dienst eine sekundäre Verschlüsselungsebene mit plattformverwalteten Schlüsseln für ruhende Daten anwendet oder nicht. | bool |
services | Liste der Dienste, die die Verschlüsselung unterstützen. | EncryptionServices |
EncryptionIdentity
Name | BESCHREIBUNG | Wert |
---|---|---|
federatedIdentityClientId | ClientId der mehrinstanzenfähigen Anwendung, die in Verbindung mit der benutzerseitig zugewiesenen Identität für die mandantenübergreifende serverseitige Verschlüsselung von kundenseitig verwalteten Schlüsseln im Speicherkonto verwendet werden soll. | Zeichenfolge |
userAssignedIdentity | Ressourcenbezeichner der UserAssigned-Identität, die der serverseitigen Verschlüsselung im Speicherkonto zugeordnet werden soll. | Zeichenfolge |
KeyVaultProperties
Name | BESCHREIBUNG | Wert |
---|---|---|
Keyname | Der Name des KeyVault-Schlüssels. | Zeichenfolge |
keyvaulturi | Der URI von KeyVault. | Zeichenfolge |
keyversion | Die Version des KeyVault-Schlüssels. | Zeichenfolge |
EncryptionServices
Name | BESCHREIBUNG | Wert |
---|---|---|
Blob | Die Verschlüsselungsfunktion des Blob Storage-Diensts. | EncryptionService |
file | Die Verschlüsselungsfunktion des Dateispeicherdiensts. | EncryptionService |
queue | Die Verschlüsselungsfunktion des Warteschlangenspeicherdiensts. | EncryptionService |
table | Die Verschlüsselungsfunktion des Tabellenspeicherdiensts. | EncryptionService |
EncryptionService
Name | BESCHREIBUNG | Wert |
---|---|---|
enabled | Ein boolescher Wert, der angibt, ob der Dienst die Daten während der Speicherung verschlüsselt. Die Verschlüsselung ruhender Daten ist heute standardmäßig aktiviert und kann nicht deaktiviert werden. | bool |
keyType | Verschlüsselungsschlüsseltyp, der für den Verschlüsselungsdienst verwendet werden soll. Der Schlüsseltyp "Konto" impliziert, dass ein verschlüsselungsschlüssel im Kontobereich verwendet wird. Der Schlüsseltyp "Dienst" impliziert, dass ein Standarddienstschlüssel verwendet wird. | "Konto" "Dienst" |
ImmutableStorageAccount
Name | BESCHREIBUNG | Wert |
---|---|---|
enabled | Ein boolesches Flag, das die Unveränderlichkeit auf Kontoebene ermöglicht. Für alle Container unter einem solchen Konto ist standardmäßig unveränderliche Unveränderlichkeit auf Objektebene aktiviert. | bool |
immutabilityPolicy | Gibt die Standardmäßige Unveränderlichkeitsrichtlinie auf Kontoebene an, die geerbt und auf Objekte angewendet wird, die auf Objektebene keine explizite Unveränderlichkeitsrichtlinie besitzen. Die Unveränderlichkeitsrichtlinie auf Objektebene hat eine höhere Priorität als die Unveränderlichkeitsrichtlinie auf Containerebene, die eine höhere Priorität hat als die Unveränderlichkeitsrichtlinie auf Kontoebene. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
Name | BESCHREIBUNG | Wert |
---|---|---|
allowProtectedAppendWrites | Diese Eigenschaft kann nur für deaktivierte und entsperrte zeitbasierte Aufbewahrungsrichtlinien geändert werden. Wenn diese Option aktiviert ist, können neue Blöcke in ein Anfügeblob geschrieben werden, wobei der Unveränderlichkeitsschutz und die Konformität beibehalten werden. Es können nur neue Blöcke hinzugefügt werden. Vorhandene Blöcke können nicht geändert oder gelöscht werden. | bool |
immutabilityPeriodSinceCreationInDays | Der Unveränderlichkeitszeitraum für die Blobs im Container seit der Richtlinienerstellung in Tagen. | INT Einschränkungen: Minimaler Wert = 1 Maximaler Wert = 146000 |
state | Der Status ImmutabilityPolicy definiert den Modus der Richtlinie. Der Status "Deaktiviert" deaktiviert die Richtlinie, der Status "Entsperrt" ermöglicht eine Erhöhung und Verminderung der Unveränderlichkeit der Aufbewahrungszeit und ermöglicht auch das Umschalten der allowProtectedAppendWrites-Eigenschaft, der Gesperrte Zustand ermöglicht nur die Erhöhung der Unveränderlichkeitsaufbewahrungszeit. Eine Richtlinie kann nur im Status Deaktiviert oder Entsperrt erstellt werden und kann zwischen den beiden Zuständen umgeschaltet werden. Nur eine Richtlinie im Status Entsperrt kann in den Status Gesperrt übergehen, der nicht wiederhergestellt werden kann. | "Deaktiviert" "Gesperrt" "Entsperrt" |
KeyPolicy
Name | BESCHREIBUNG | Wert |
---|---|---|
keyExpirationPeriodInDays | Der Schlüsselablaufzeitraum in Tagen. | int (erforderlich) |
NetworkRuleSet
Name | BESCHREIBUNG | Wert |
---|---|---|
Umgehung | Gibt an, ob Datenverkehr für Protokollierung/Metriken/AzureServices umgangen wird. Mögliche Werte sind eine beliebige Kombination aus Protokollierung, Metriken, AzureServices (z. B. "Protokollierung, Metriken") oder Keine, um keinen dieser Datenverkehr zu umgehen. | "AzureServices" "Protokollierung" "Metriken" "None" |
Defaultaction | Gibt die Standardaktion zulassen oder verweigern an, wenn keine anderen Regeln übereinstimmen. | "Zulassen" "Verweigern" (erforderlich) |
ipRules | Legt die IP-ACL-Regeln fest. | IPRule[] |
resourceAccessRules | Legt die Ressourcenzugriffsregeln fest | ResourceAccessRule[] |
virtualNetworkRules | Legt die Regeln für virtuelle Netzwerke fest. | VirtualNetworkRule[] |
IPRule
Name | BESCHREIBUNG | Wert |
---|---|---|
action | Die Aktion der IP-ACL-Regel. | "Zulassen" |
value | Gibt den IP- oder IP-Bereich im CIDR-Format an. Nur IPV4-Adresse ist zulässig. | Zeichenfolge (erforderlich) |
ResourceAccessRule
Name | BESCHREIBUNG | Wert |
---|---|---|
resourceId | Ressourcen-ID | Zeichenfolge |
tenantId | Mandanten-ID | Zeichenfolge |
VirtualNetworkRule
Name | BESCHREIBUNG | Wert |
---|---|---|
action | Die Aktion der Regel für virtuelle Netzwerke. | "Zulassen" |
id | Ressourcen-ID eines Subnetzes, z. B. /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | Zeichenfolge (erforderlich) |
state | Ruft den Status der Regel für virtuelle Netzwerke ab. | "Bereitstellung aufheben" "Fehler" "NetworkSourceDeleted" "Bereitstellung" "Erfolgreich" |
RoutingPreference
Name | BESCHREIBUNG | Wert |
---|---|---|
publishInternetEndpoints | Ein boolesches Flag, das angibt, ob Internetrouting-Speicherendpunkte veröffentlicht werden sollen. | bool |
publishMicrosoftEndpoints | Ein boolesches Flag, das angibt, ob Microsoft-Routingspeicherendpunkte veröffentlicht werden sollen. | bool |
routingChoice | Routing Choice definiert die Art des vom Benutzer gewählten Netzwerkroutings. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
Name | BESCHREIBUNG | Wert |
---|---|---|
expirationAction | Die SAS-Ablaufaktion. Kann nur Protokoll sein. | "Protokoll" (erforderlich) |
sasExpirationPeriod | Der SAS-Ablaufzeitraum, DD.HH:MM:SS. | Zeichenfolge (erforderlich) |
Sku
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Der SKU-Name. Erforderlich für die Kontoerstellung; optional für das Update. Beachten Sie, dass in älteren Versionen der SKU-Name accountType genannt wurde. | „Premium_LRS“ "Premium_ZRS" "Standard_GRS" "Standard_GZRS" „Standard_LRS“ "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (erforderlich) |