Freigeben über


Microsoft.Storage StorageAccounts 2021-08-01

Bicep-Ressourcendefinition

Der Ressourcentyp storageAccounts kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie im Änderungsprotokoll.

Ressourcenformat

Um eine Microsoft.Storage/storageAccounts-Ressource zu erstellen, fügen Sie ihrer Vorlage den folgenden Bicep hinzu.

resource symbolicname 'Microsoft.Storage/storageAccounts@2021-08-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  sku: {
    name: 'string'
  }
  kind: 'string'
  extendedLocation: {
    name: 'string'
    type: 'EdgeZone'
  }
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  properties: {
    accessTier: 'string'
    allowBlobPublicAccess: bool
    allowCrossTenantReplication: bool
    allowedCopyScope: 'string'
    allowSharedKeyAccess: bool
    azureFilesIdentityBasedAuthentication: {
      activeDirectoryProperties: {
        accountType: 'string'
        azureStorageSid: 'string'
        domainGuid: 'string'
        domainName: 'string'
        domainSid: 'string'
        forestName: 'string'
        netBiosDomainName: 'string'
        samAccountName: 'string'
      }
      defaultSharePermission: 'string'
      directoryServiceOptions: 'string'
    }
    customDomain: {
      name: 'string'
      useSubDomainName: bool
    }
    defaultToOAuthAuthentication: bool
    encryption: {
      identity: {
        federatedIdentityClientId: 'string'
        userAssignedIdentity: 'string'
      }
      keySource: 'string'
      keyvaultproperties: {
        keyname: 'string'
        keyvaulturi: 'string'
        keyversion: 'string'
      }
      requireInfrastructureEncryption: bool
      services: {
        blob: {
          enabled: bool
          keyType: 'string'
        }
        file: {
          enabled: bool
          keyType: 'string'
        }
        queue: {
          enabled: bool
          keyType: 'string'
        }
        table: {
          enabled: bool
          keyType: 'string'
        }
      }
    }
    immutableStorageWithVersioning: {
      enabled: bool
      immutabilityPolicy: {
        allowProtectedAppendWrites: bool
        immutabilityPeriodSinceCreationInDays: int
        state: 'string'
      }
    }
    isHnsEnabled: bool
    isLocalUserEnabled: bool
    isNfsV3Enabled: bool
    isSftpEnabled: bool
    keyPolicy: {
      keyExpirationPeriodInDays: int
    }
    largeFileSharesState: 'string'
    minimumTlsVersion: 'string'
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          action: 'Allow'
          value: 'string'
        }
      ]
      resourceAccessRules: [
        {
          resourceId: 'string'
          tenantId: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          action: 'Allow'
          id: 'string'
          state: 'string'
        }
      ]
    }
    publicNetworkAccess: 'string'
    routingPreference: {
      publishInternetEndpoints: bool
      publishMicrosoftEndpoints: bool
      routingChoice: 'string'
    }
    sasPolicy: {
      expirationAction: 'Log'
      sasExpirationPeriod: 'string'
    }
    supportsHttpsTrafficOnly: bool
  }
}

Eigenschaftswerte

storageAccounts

Name BESCHREIBUNG Wert
name Der Ressourcenname Zeichenfolge (erforderlich)

Zeichenlimit: 3-24

Gültige Zeichen:
Kleinbuchstaben und Zahlen.

Der Ressourcenname muss in Azure eindeutig sein.
location Erforderlich. Ruft den Speicherort der Ressource ab oder legt ihn fest. Dies ist eine der unterstützten und registrierten Azure-Georegionen (z. B. USA, Westen, USA, Osten, Asien, Südosten usw.). Der geografische Bereich einer Ressource kann nach der Erstellung nicht mehr geändert werden, aber wenn beim Aktualisieren ein identischer geografischer Bereich angegeben wird, wird die Anforderung erfolgreich ausgeführt. Zeichenfolge (erforderlich)
tags Ruft eine Liste von Schlüsselwertpaaren ab, die die Ressource beschreiben, oder legt diese fest. Diese Tags können zum Anzeigen und Gruppieren dieser Ressource (ressourcengruppenübergreifend) verwendet werden. Für eine Ressource können maximal 15 Tags bereitgestellt werden. Jedes Tag muss über einen Schlüssel mit einer Länge von nicht mehr als 128 Zeichen und einen Wert mit einer Länge von nicht mehr als 256 Zeichen verfügen. Wörterbuch der Tagnamen und -werte. Weitere Informationen finden Sie unter Tags in Vorlagen.
sku Erforderlich. Ruft den SKU-Namen ab oder legt den Namen fest. SKU (erforderlich)
kind Erforderlich. Gibt den Typ des Speicherkontos an. "BlobStorage"
'BlockBlobStorage'
'FileStorage'
'Storage'
"StorageV2" (erforderlich)
extendedLocation Optional. Legen Sie den erweiterten Speicherort der Ressource fest. Wenn nicht festgelegt, wird das Speicherkonto in der Azure Standard Region erstellt. Andernfalls wird es am angegebenen erweiterten Speicherort erstellt. ExtendedLocation
Identität Die Identität der Ressource. Identität
properties Die Parameter, die zum Erstellen des Speicherkontos verwendet werden. StorageAccountPropertiesCreateParametersOrStorageAcc...

ExtendedLocation

Name BESCHREIBUNG Wert
name Der Name des erweiterten Speicherorts. Zeichenfolge
type Der Typ des erweiterten Speicherorts. "EdgeZone"

Identity

Name BESCHREIBUNG Wert
type Der Identitätstyp. "Keine"
"SystemAssigned"
'SystemAssigned,UserAssigned'
"UserAssigned" (erforderlich)
userAssignedIdentities Ruft eine Liste von Schlüsselwertpaaren ab, die die Gruppe der benutzerseitig zugewiesenen Identitäten beschreiben, die mit diesem Speicherkonto verwendet werden, oder legt diese fest. Der Schlüssel ist der ARM-Ressourcenbezeichner der Identität. Hier ist nur 1 benutzerseitig zugewiesene Identität zulässig. IdentityUserAssignedIdentities

IdentityUserAssignedIdentities

Name BESCHREIBUNG Wert
{angepasste Eigenschaft} UserAssignedIdentity

UserAssignedIdentity

Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.

StorageAccountPropertiesCreateParametersOrStorageAcc...

Name BESCHREIBUNG Wert
accessTier Erforderlich für Speicherkonten, wobei Art = BlobStorage. Die für die Abrechnung verwendete Zugriffsebene. "Cool"
"Heiß"
allowBlobPublicAccess Zulassen oder Verweigern des öffentlichen Zugriffs auf alle Blobs oder Container im Speicherkonto. Die Standardinterpretation ist true für diese Eigenschaft. bool
allowCrossTenantReplication Die AAD-Mandantenobjektreplikation zulassen oder nicht zulassen. Die Standardinterpretation ist true für diese Eigenschaft. bool
allowedCopyScope Schränken Sie das Kopieren auf und aus Speicherkonten innerhalb eines AAD-Mandanten oder mit privaten Links in dasselbe VNet ein. "AAD"
"PrivateLink"
allowSharedKeyAccess Gibt an, ob das Speicherkonto die Autorisierung von Anforderungen mit dem Kontozugriffsschlüssel über gemeinsam genutzten Schlüssel zulässt. Wenn false, müssen alle Anforderungen, einschließlich Shared Access Signatures, mit Azure Active Directory (Azure AD) autorisiert werden. Der Standardwert ist NULL, was true entspricht. bool
azureFilesIdentityBasedAuthentication Stellt die identitätsbasierten Authentifizierungseinstellungen für Azure Files bereit. AzureFilesIdentityBasedAuthentication
customDomain Benutzerdomäne, die dem Speicherkonto zugewiesen ist. Name ist die CNAME-Quelle. Derzeit wird pro Speicherkonto nur eine benutzerdefinierte Domäne unterstützt. Um die vorhandene benutzerdefinierte Domäne zu löschen, verwenden Sie eine leere Zeichenfolge für die benutzerdefinierte Domänennameneigenschaft. CustomDomain
defaultToOAuthAuthentication Ein boolesches Flag, das angibt, ob die Standardauthentifizierung OAuth ist oder nicht. Die Standardinterpretation ist false für diese Eigenschaft. bool
Verschlüsselung Verschlüsselungseinstellungen, die für die serverseitige Verschlüsselung für das Speicherkonto verwendet werden sollen. Verschlüsselung
immutableStorageWithVersioning Die Eigenschaft ist unveränderlich und kann nur zum Zeitpunkt der Kontoerstellung auf TRUE festgelegt werden. Wenn dieser Wert auf TRUE festgelegt ist, wird standardmäßig die Unveränderlichkeit auf Objektebene für alle neuen Container im Konto aktiviert. ImmutableStorageAccount
isHnsEnabled Konto hierarchischerNamespace aktiviert, wenn auf TRUE festgelegt ist. bool
isLocalUserEnabled Aktiviert das Feature "Lokale Benutzer", wenn auf "true" festgelegt ist. bool
isNfsV3Enabled NfS 3.0-Protokollunterstützung aktiviert, wenn auf TRUE festgelegt. bool
isSftpEnabled Aktiviert das Secure File Transfer Protocol, wenn auf TRUE festgelegt ist. bool
keyPolicy Dem Speicherkonto zugewiesene KeyPolicy. KeyPolicy
largeFileSharesState Lassen Sie große Dateifreigaben zu, wenn aktiviert ist. Es kann nicht deaktiviert werden, sobald es aktiviert ist. "Deaktiviert"
"Aktiviert"
minimumTlsVersion Legen Sie die TLS-Mindestversion fest, die für Anforderungen auf Speicher zulässig sein soll. Die Standardinterpretation ist TLS 1.0 für diese Eigenschaft. "TLS1_0"
"TLS1_1"
"TLS1_2"
networkAcls Netzwerkregelsatz NetworkRuleSet
publicNetworkAccess Zulassen oder Verweigern des Zugriffs auf das Speicherkonto durch öffentliche Netzwerke. Der Wert ist optional, aber wenn er übergeben wird, muss "Aktiviert" oder "Deaktiviert" sein. "Deaktiviert"
"Aktiviert"
routingPreference Verwaltet Informationen zur Netzwerkroutingauswahl, die vom Benutzer für die Datenübertragung ausgewählt wurde RoutingPreference
sasPolicy SasPolicy, die dem Speicherkonto zugewiesen ist. SasPolicy
supportsHttpsTrafficOnly Lässt HTTPS-Datenverkehr nur an den Speicherdienst zu, wenn auf TRUE festgelegt ist. Der Standardwert ist true seit API-Version 2019-04-01. bool

AzureFilesIdentityBasedAuthentication

Name BESCHREIBUNG Wert
activeDirectoryProperties Erforderlich, wenn Sie AD auswählen. ActiveDirectoryProperties
defaultSharePermission Die Standardfreigabeberechtigung für Benutzer, die die Kerberos-Authentifizierung verwenden, wenn die RBAC-Rolle nicht zugewiesen ist. "Keine"
"StorageFileDataSmbShareContributor"
"StorageFileDataSmbShareElevatedContributor"
"StorageFileDataSmbShareReader"
directoryServiceOptions Gibt den verwendeten Verzeichnisdienst an. "AADDS"
"AD"
"Keine" (erforderlich)

ActiveDirectoryProperties

Name BESCHREIBUNG Wert
accountType Gibt den Active Directory-Kontotyp für Azure Storage an. "Computer"
"Benutzer"
azureStorageSid Gibt den Sicherheitsbezeichner (Security Identifier, SID) für Azure Storage an. Zeichenfolge (erforderlich)
domainGuid Gibt die Domänen-GUID an. Zeichenfolge (erforderlich)
domainName Gibt die primäre Domäne an, für die der AD DNS-Server autoritativ ist. Zeichenfolge (erforderlich)
domainSid Gibt den Sicherheitsbezeichner (SID) an. Zeichenfolge (erforderlich)
forestName Gibt die abzurufende Active Directory-Gesamtstruktur an. Zeichenfolge (erforderlich)
netBiosDomainName Gibt den NetBIOS-Domänennamen an. Zeichenfolge (erforderlich)
samAccountName Gibt den Active Directory SAMAccountName für Azure Storage an. Zeichenfolge

CustomDomain

Name BESCHREIBUNG Wert
name Ruft den benutzerdefinierten Domänennamen ab, der dem Speicherkonto zugewiesen ist, oder legt diesen fest. Name ist die CNAME-Quelle. Zeichenfolge (erforderlich)
useSubDomainName Gibt an, ob die indirekte CName-Überprüfung aktiviert ist. Der Standardwert ist „false“. Dies sollte nur bei Updates festgelegt werden. bool

Verschlüsselung

Name BESCHREIBUNG Wert
Identität Die Identität, die mit dienstseitiger Verschlüsselung im Ruhezustand verwendet werden soll. EncryptionIdentity
keySource Die VerschlüsselungsschlüsselQuelle (Anbieter). Mögliche Werte (ohne Beachtung der Groß-/Kleinschreibung): Microsoft.Storage, Microsoft.Keyvault "Microsoft.Keyvault"
"Microsoft.Storage" (erforderlich)
keyvaultproperties Vom Schlüsseltresor bereitgestellte Eigenschaften. KeyVaultProperties
requireInfrastructureEncryption Ein boolescher Wert, der angibt, ob der Dienst eine sekundäre Verschlüsselungsebene mit plattformverwalteten Schlüsseln für ruhende Daten anwendet oder nicht. bool
services Liste der Dienste, die die Verschlüsselung unterstützen. EncryptionServices

EncryptionIdentity

Name BESCHREIBUNG Wert
federatedIdentityClientId ClientId der mehrinstanzenfähigen Anwendung, die in Verbindung mit der benutzerseitig zugewiesenen Identität für die mandantenübergreifende serverseitige Verschlüsselung von kundenseitig verwalteten Schlüsseln im Speicherkonto verwendet werden soll. Zeichenfolge
userAssignedIdentity Ressourcenbezeichner der UserAssigned-Identität, die der serverseitigen Verschlüsselung im Speicherkonto zugeordnet werden soll. Zeichenfolge

KeyVaultProperties

Name BESCHREIBUNG Wert
Keyname Der Name des KeyVault-Schlüssels. Zeichenfolge
keyvaulturi Der URI von KeyVault. Zeichenfolge
keyversion Die Version des KeyVault-Schlüssels. Zeichenfolge

EncryptionServices

Name BESCHREIBUNG Wert
Blob Die Verschlüsselungsfunktion des Blobspeicherdiensts. EncryptionService
file Die Verschlüsselungsfunktion des Dateispeicherdiensts. EncryptionService
queue Die Verschlüsselungsfunktion des Warteschlangenspeicherdiensts. EncryptionService
table Die Verschlüsselungsfunktion des Tabellenspeicherdiensts. EncryptionService

EncryptionService

Name BESCHREIBUNG Wert
enabled Ein boolescher Wert, der angibt, ob der Dienst die Daten beim Speichern verschlüsselt oder nicht. Die Verschlüsselung ruhender Daten ist heute standardmäßig aktiviert und kann nicht deaktiviert werden. bool
keyType Verschlüsselungsschlüsseltyp, der für den Verschlüsselungsdienst verwendet werden soll. Der Schlüsseltyp "Konto" impliziert, dass ein kontobezogener Verschlüsselungsschlüssel verwendet wird. Der Schlüsseltyp "Dienst" impliziert, dass ein Standarddienstschlüssel verwendet wird. "Konto"
"Dienst"

ImmutableStorageAccount

Name BESCHREIBUNG Wert
enabled Ein boolesches Flag, das Unveränderlichkeit auf Kontoebene ermöglicht. Für alle Container unter einem solchen Konto ist standardmäßig unveränderliche Unveränderlichkeit auf Objektebene aktiviert. bool
immutabilityPolicy Gibt die Standardrichtlinie für unveränderliche Unveränderlichkeit auf Kontoebene an, die geerbt und auf Objekte angewendet wird, die keine explizite Unveränderlichkeitsrichtlinie auf Objektebene besitzen. Die Unveränderlichkeitsrichtlinie auf Objektebene hat eine höhere Priorität als die Unveränderlichkeitsrichtlinie auf Containerebene, die eine höhere Priorität hat als die Unveränderlichkeitsrichtlinie auf Kontoebene. AccountImmutabilityPolicyProperties

AccountImmutabilityPolicyProperties

Name BESCHREIBUNG Wert
allowProtectedAppendWrites Diese Eigenschaft kann nur für deaktivierte und entsperrte zeitbasierte Aufbewahrungsrichtlinien geändert werden. Wenn diese Option aktiviert ist, können neue Blöcke in ein Anfügeblob geschrieben werden, wobei unveränderlichen Schutz und Konformität beibehalten werden. Es können nur neue Blöcke hinzugefügt werden. Vorhandene Blöcke können nicht geändert oder gelöscht werden. bool
UnveränderlichkeitPeriodSinceCreationInDays Der Unveränderlichkeitszeitraum für die Blobs im Container seit der Richtlinienerstellung in Tagen. INT

Einschränkungen:
Min-Wert = 1
Maximaler Wert = 146000
state Der Status ImmutabilityPolicy definiert den Modus der Richtlinie. Der deaktivierte Zustand deaktiviert die Richtlinie, der entsperrte Zustand ermöglicht die Erhöhung und Verringerung der Unveränderlichkeitsdauer und ermöglicht auch das Umschalten der allowProtectedAppendWrites-Eigenschaft, der gesperrte Zustand erlaubt nur die Erhöhung der Unveränderlichkeitsdauer. Eine Richtlinie kann nur im Zustand Deaktiviert oder Entsperrt erstellt werden und kann zwischen den beiden Zuständen umgeschaltet werden. Nur eine Richtlinie im Status "Gesperrt" kann in den Zustand Gesperrt übergehen, der nicht wiederhergestellt werden kann. "Deaktiviert"
"Gesperrt"
"Entsperrt"

KeyPolicy

Name BESCHREIBUNG Wert
keyExpirationPeriodInDays Der Ablaufzeitraum des Schlüssels in Tagen. int (erforderlich)

NetworkRuleSet

Name BESCHREIBUNG Wert
Umgehung Gibt an, ob Datenverkehr für Protokollierung/Metriken/AzureServices umgangen wird. Mögliche Werte sind eine beliebige Kombination aus Protokollierung, Metriken, AzureServices (z. B. "Protokollierung, Metriken") oder Keine, um keinen dieser Datenverkehrsvorgänge zu umgehen. "AzureServices"
"Protokollierung"
"Metriken"
"Keine"
Defaultaction Gibt die Standardaktion zulassen oder verweigern an, wenn keine anderen Regeln übereinstimmen. "Zulassen"
"Verweigern" (erforderlich)
ipRules Legt die IP-ACL-Regeln fest. IPRule[]
resourceAccessRules Legt die Ressourcenzugriffsregeln fest ResourceAccessRule[]
virtualNetworkRules Legt die Regeln für virtuelle Netzwerke fest. VirtualNetworkRule[]

IPRule

Name BESCHREIBUNG Wert
action Die Aktion der IP-ACL-Regel. "Zulassen"
value Gibt den IP- oder IP-Bereich im CIDR-Format an. Nur IPV4-Adresse ist zulässig. Zeichenfolge (erforderlich)

ResourceAccessRule

Name BESCHREIBUNG Wert
resourceId Ressourcen-ID Zeichenfolge
tenantId Mandanten-ID Zeichenfolge

VirtualNetworkRule

Name BESCHREIBUNG Wert
action Die Aktion der Regel für virtuelle Netzwerke. "Zulassen"
id Ressourcen-ID eines Subnetzes, z. B. /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. Zeichenfolge (erforderlich)
state Ruft den Status der Regel für virtuelle Netzwerke ab. "Bereitstellung aufheben"
"Fehler"
'NetworkSourceDeleted'
"Bereitstellung"
"Erfolgreich"

RoutingPreference

Name BESCHREIBUNG Wert
publishInternetEndpoints Ein boolesches Flag, das angibt, ob Internetrouting-Speicherendpunkte veröffentlicht werden sollen. bool
publishMicrosoftEndpoints Ein boolesches Flag, das angibt, ob Microsoft-Routingspeicherendpunkte veröffentlicht werden sollen. bool
routingChoice Routing Choice definiert die Art des vom Benutzer gewählten Netzwerkroutings. "InternetRouting"
"MicrosoftRouting"

SasPolicy

Name BESCHREIBUNG Wert
expirationAction Die SAS-Ablaufaktion. Kann nur Protokoll sein. "Protokoll" (erforderlich)
sasExpirationPeriod Der SAS-Ablaufzeitraum, DD.HH:MM:SS. Zeichenfolge (erforderlich)

Sku

Name BESCHREIBUNG Wert
name Der SKU-Name. Erforderlich für die Kontoerstellung; optional für das Update. Beachten Sie, dass in älteren Versionen der SKU-Name accountType genannt wurde. "Premium_LRS"
"Premium_ZRS"
"Standard_GRS"
"Standard_GZRS"
"Standard_LRS"
"Standard_RAGRS"
"Standard_RAGZRS"
"Standard_ZRS" (erforderlich)

Schnellstartvorlagen

Diesen Ressourcentyp werden in den folgenden Schnellstartvorlagen bereitgestellt.

Vorlage BESCHREIBUNG
Herstellen einer Verbindung mit einem Speicherkonto über einen virtuellen Computer über einen privaten Endpunkt

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie mithilfe einer Verbindung mit einem virtuellen Netzwerk auf ein Blobspeicherkonto über einen privaten Endpunkt zugreifen.
Herstellen einer Verbindung mit einer Azure-Dateifreigabe über einen privaten Endpunkt

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie ein virtuelles Netzwerk und eine private DNS-Zone konfigurieren, um über einen privaten Endpunkt auf eine Azure-Dateifreigabe zuzugreifen.
Erstellen eines Standardspeicherkontos

Bereitstellen in Azure
Mit dieser Vorlage wird ein Standardspeicherkonto erstellt.
Erstellen eines Speicherkontos mit SSE

Bereitstellen in Azure
Mit dieser Vorlage wird ein Speicherkonto mit Speicherdienstverschlüsselung für ruhende Daten erstellt.
Speicherkonto mit Advanced Threat Protection

Bereitstellen in Azure
Mit dieser Vorlage können Sie ein Azure Storage-Konto mit aktiviertem Advanced Threat Protection bereitstellen.
Erstellen eines Azure Storage-Kontos und eines Blobcontainers in Azure

Bereitstellen in Azure
Mit dieser Vorlage werden ein Azure Storage-Konto und ein Blobcontainer erstellt.
Speicherkonto mit Aufbewahrungsrichtlinie für SSE und Bloblöschung

Bereitstellen in Azure
Mit dieser Vorlage wird ein Speicherkonto mit Speicherdienstverschlüsselung und einer Aufbewahrungsrichtlinie zum Löschen von Blobs erstellt.
Azure Storage-Kontoverschlüsselung mit kundenseitig verwaltetem Schlüssel

Bereitstellen in Azure
Diese Vorlage stellt ein Speicherkonto mit einem kundenseitig verwalteten Schlüssel für die Verschlüsselung bereit, der generiert und in einem Key Vault platziert wird.
Erstellen eines Speicherkontos mit Dateifreigabe

Bereitstellen in Azure
Mit dieser Vorlage werden ein Azure-Speicherkonto und eine Dateifreigabe erstellt.
Erstellen eines Speicherkontos mit mehreren Blob-Containern

Bereitstellen in Azure
Erstellt ein Azure-Speicherkonto und mehrere Blobcontainer.
Erstellen eines Speicherkontos mit mehreren Dateifreigaben

Bereitstellen in Azure
Erstellt ein Azure-Speicherkonto und mehrere Dateifreigaben.
Erstellen eines Speicherkontos mit aktiviertem SFTP

Bereitstellen in Azure
Erstellt ein Azure Storage-Konto und einen Blobcontainer, auf den mithilfe des SFTP-Protokolls zugegriffen werden kann. Der Zugriff kann auf Kennwort- oder Aufschlüsselbasis erfolgen.
Stellt eine statische Website bereit.

Bereitstellen in Azure
Stellt eine statische Website mit einem Sicherungsspeicherkonto bereit.

Ressourcendefinition mit einer ARM-Vorlage

Der Ressourcentyp storageAccounts kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie im Änderungsprotokoll.

Ressourcenformat

Um eine Microsoft.Storage/storageAccounts-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.

{
  "type": "Microsoft.Storage/storageAccounts",
  "apiVersion": "2021-08-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "sku": {
    "name": "string"
  },
  "kind": "string",
  "extendedLocation": {
    "name": "string",
    "type": "EdgeZone"
  },
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {}
    }
  },
  "properties": {
    "accessTier": "string",
    "allowBlobPublicAccess": "bool",
    "allowCrossTenantReplication": "bool",
    "allowedCopyScope": "string",
    "allowSharedKeyAccess": "bool",
    "azureFilesIdentityBasedAuthentication": {
      "activeDirectoryProperties": {
        "accountType": "string",
        "azureStorageSid": "string",
        "domainGuid": "string",
        "domainName": "string",
        "domainSid": "string",
        "forestName": "string",
        "netBiosDomainName": "string",
        "samAccountName": "string"
      },
      "defaultSharePermission": "string",
      "directoryServiceOptions": "string"
    },
    "customDomain": {
      "name": "string",
      "useSubDomainName": "bool"
    },
    "defaultToOAuthAuthentication": "bool",
    "encryption": {
      "identity": {
        "federatedIdentityClientId": "string",
        "userAssignedIdentity": "string"
      },
      "keySource": "string",
      "keyvaultproperties": {
        "keyname": "string",
        "keyvaulturi": "string",
        "keyversion": "string"
      },
      "requireInfrastructureEncryption": "bool",
      "services": {
        "blob": {
          "enabled": "bool",
          "keyType": "string"
        },
        "file": {
          "enabled": "bool",
          "keyType": "string"
        },
        "queue": {
          "enabled": "bool",
          "keyType": "string"
        },
        "table": {
          "enabled": "bool",
          "keyType": "string"
        }
      }
    },
    "immutableStorageWithVersioning": {
      "enabled": "bool",
      "immutabilityPolicy": {
        "allowProtectedAppendWrites": "bool",
        "immutabilityPeriodSinceCreationInDays": "int",
        "state": "string"
      }
    },
    "isHnsEnabled": "bool",
    "isLocalUserEnabled": "bool",
    "isNfsV3Enabled": "bool",
    "isSftpEnabled": "bool",
    "keyPolicy": {
      "keyExpirationPeriodInDays": "int"
    },
    "largeFileSharesState": "string",
    "minimumTlsVersion": "string",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "action": "Allow",
          "value": "string"
        }
      ],
      "resourceAccessRules": [
        {
          "resourceId": "string",
          "tenantId": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "action": "Allow",
          "id": "string",
          "state": "string"
        }
      ]
    },
    "publicNetworkAccess": "string",
    "routingPreference": {
      "publishInternetEndpoints": "bool",
      "publishMicrosoftEndpoints": "bool",
      "routingChoice": "string"
    },
    "sasPolicy": {
      "expirationAction": "Log",
      "sasExpirationPeriod": "string"
    },
    "supportsHttpsTrafficOnly": "bool"
  }
}

Eigenschaftswerte

storageAccounts

Name BESCHREIBUNG Wert
type Der Ressourcentyp "Microsoft.Storage/storageAccounts"
apiVersion Die Version der Ressourcen-API '2021-08-01'
name Der Ressourcenname Zeichenfolge (erforderlich)

Zeichenlimit: 3-24

Gültige Zeichen:
Kleinbuchstaben und Zahlen.

Der Ressourcenname muss in Azure eindeutig sein.
location Erforderlich. Ruft den Speicherort der Ressource ab oder legt ihn fest. Dies ist eine der unterstützten und registrierten Azure-Georegionen (z. B. USA, Westen, USA, Osten, Asien, Südosten usw.). Der geografische Bereich einer Ressource kann nach der Erstellung nicht mehr geändert werden, aber wenn beim Aktualisieren ein identischer geografischer Bereich angegeben wird, wird die Anforderung erfolgreich ausgeführt. Zeichenfolge (erforderlich)
tags Ruft eine Liste von Schlüsselwertpaaren ab, die die Ressource beschreiben, oder legt diese fest. Diese Tags können zum Anzeigen und Gruppieren dieser Ressource (ressourcengruppenübergreifend) verwendet werden. Für eine Ressource können maximal 15 Tags bereitgestellt werden. Jedes Tag muss über einen Schlüssel mit einer Länge von nicht mehr als 128 Zeichen und einen Wert mit einer Länge von nicht mehr als 256 Zeichen verfügen. Wörterbuch der Tagnamen und -werte. Weitere Informationen finden Sie unter Tags in Vorlagen.
sku Erforderlich. Ruft den SKU-Namen ab oder legt den Namen fest. SKU (erforderlich)
kind Erforderlich. Gibt den Typ des Speicherkontos an. "BlobStorage"
'BlockBlobStorage'
'FileStorage'
'Storage'
"StorageV2" (erforderlich)
extendedLocation Optional. Legen Sie den erweiterten Speicherort der Ressource fest. Wenn nicht festgelegt, wird das Speicherkonto in der Azure Standard Region erstellt. Andernfalls wird es am angegebenen erweiterten Speicherort erstellt. ExtendedLocation
Identität Die Identität der Ressource. Identität
properties Die Parameter, die zum Erstellen des Speicherkontos verwendet werden. StorageAccountPropertiesCreateParametersOrStorageAcc...

ExtendedLocation

Name BESCHREIBUNG Wert
name Der Name des erweiterten Speicherorts. Zeichenfolge
type Der Typ des erweiterten Speicherorts. "EdgeZone"

Identity

Name BESCHREIBUNG Wert
type Der Identitätstyp. "Keine"
"SystemAssigned"
'SystemAssigned,UserAssigned'
"UserAssigned" (erforderlich)
userAssignedIdentities Ruft eine Liste von Schlüsselwertpaaren ab, die die Gruppe der benutzerseitig zugewiesenen Identitäten beschreiben, die mit diesem Speicherkonto verwendet werden, oder legt diese fest. Der Schlüssel ist der ARM-Ressourcenbezeichner der Identität. Hier ist nur 1 benutzerseitig zugewiesene Identität zulässig. IdentityUserAssignedIdentities

IdentityUserAssignedIdentities

Name BESCHREIBUNG Wert
{angepasste Eigenschaft} UserAssignedIdentity

UserAssignedIdentity

Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.

StorageAccountPropertiesCreateParametersOrStorageAcc...

Name BESCHREIBUNG Wert
accessTier Erforderlich für Speicherkonten, wobei Art = BlobStorage. Die für die Abrechnung verwendete Zugriffsebene. "Cool"
"Heiß"
allowBlobPublicAccess Zulassen oder Verweigern des öffentlichen Zugriffs auf alle Blobs oder Container im Speicherkonto. Die Standardinterpretation ist true für diese Eigenschaft. bool
allowCrossTenantReplication Die AAD-Mandantenobjektreplikation zulassen oder nicht zulassen. Die Standardinterpretation ist true für diese Eigenschaft. bool
allowedCopyScope Schränken Sie das Kopieren auf und aus Speicherkonten innerhalb eines AAD-Mandanten oder mit privaten Links in dasselbe VNet ein. "AAD"
"PrivateLink"
allowSharedKeyAccess Gibt an, ob das Speicherkonto die Autorisierung von Anforderungen mit dem Kontozugriffsschlüssel über gemeinsam genutzten Schlüssel zulässt. Wenn false, müssen alle Anforderungen, einschließlich Shared Access Signatures, mit Azure Active Directory (Azure AD) autorisiert werden. Der Standardwert ist NULL, was true entspricht. bool
azureFilesIdentityBasedAuthentication Stellt die identitätsbasierten Authentifizierungseinstellungen für Azure Files bereit. AzureFilesIdentityBasedAuthentication
customDomain Benutzerdomäne, die dem Speicherkonto zugewiesen ist. Name ist die CNAME-Quelle. Derzeit wird pro Speicherkonto nur eine benutzerdefinierte Domäne unterstützt. Um die vorhandene benutzerdefinierte Domäne zu löschen, verwenden Sie eine leere Zeichenfolge für die benutzerdefinierte Domänennameneigenschaft. CustomDomain
defaultToOAuthAuthentication Ein boolesches Flag, das angibt, ob die Standardauthentifizierung OAuth ist oder nicht. Die Standardinterpretation ist false für diese Eigenschaft. bool
Verschlüsselung Verschlüsselungseinstellungen, die für die serverseitige Verschlüsselung für das Speicherkonto verwendet werden sollen. Verschlüsselung
immutableStorageWithVersioning Die Eigenschaft ist unveränderlich und kann nur zum Zeitpunkt der Kontoerstellung auf TRUE festgelegt werden. Wenn dieser Wert auf TRUE festgelegt ist, wird standardmäßig die Unveränderlichkeit auf Objektebene für alle neuen Container im Konto aktiviert. ImmutableStorageAccount
isHnsEnabled Konto hierarchischerNamespace aktiviert, wenn auf TRUE festgelegt ist. bool
isLocalUserEnabled Aktiviert das Feature "Lokale Benutzer", wenn auf "true" festgelegt ist. bool
isNfsV3Enabled NfS 3.0-Protokollunterstützung aktiviert, wenn auf TRUE festgelegt. bool
isSftpEnabled Aktiviert das Secure File Transfer Protocol, wenn auf TRUE festgelegt ist. bool
keyPolicy Dem Speicherkonto zugewiesene KeyPolicy. KeyPolicy
largeFileSharesState Lassen Sie große Dateifreigaben zu, wenn aktiviert ist. Es kann nicht deaktiviert werden, sobald es aktiviert ist. "Deaktiviert"
"Aktiviert"
minimumTlsVersion Legen Sie die TLS-Mindestversion fest, die für Anforderungen auf Speicher zulässig sein soll. Die Standardinterpretation ist TLS 1.0 für diese Eigenschaft. "TLS1_0"
"TLS1_1"
"TLS1_2"
networkAcls Netzwerkregelsatz NetworkRuleSet
publicNetworkAccess Zulassen oder Verweigern des Zugriffs auf das Speicherkonto durch öffentliche Netzwerke. Der Wert ist optional, aber wenn er übergeben wird, muss "Aktiviert" oder "Deaktiviert" sein. "Deaktiviert"
"Aktiviert"
routingPreference Verwaltet Informationen zur Netzwerkroutingauswahl, die vom Benutzer für die Datenübertragung ausgewählt wurde RoutingPreference
sasPolicy SasPolicy, die dem Speicherkonto zugewiesen ist. SasPolicy
supportsHttpsTrafficOnly Lässt HTTPS-Datenverkehr nur an den Speicherdienst zu, wenn auf TRUE festgelegt ist. Der Standardwert ist true seit API-Version 2019-04-01. bool

AzureFilesIdentityBasedAuthentication

Name BESCHREIBUNG Wert
activeDirectoryProperties Erforderlich, wenn Sie AD auswählen. ActiveDirectoryProperties
defaultSharePermission Standardfreigabeberechtigung für Benutzer mit Kerberos-Authentifizierung, wenn die RBAC-Rolle nicht zugewiesen ist. "Keine"
"StorageFileDataSmbShareContributor"
"StorageFileDataSmbShareElevatedContributor"
"StorageFileDataSmbShareReader"
directoryServiceOptions Gibt den verwendeten Verzeichnisdienst an. "AADDS"
"AD"
"Keine" (erforderlich)

ActiveDirectoryProperties

Name BESCHREIBUNG Wert
accountType Gibt den Active Directory-Kontotyp für Azure Storage an. "Computer"
"Benutzer"
azureStorageSid Gibt die Sicherheits-ID (SID) für Azure Storage an. Zeichenfolge (erforderlich)
domainGuid Gibt die Domänen-GUID an. Zeichenfolge (erforderlich)
domainName Gibt die primäre Domäne an, für die der AD-DNS-Server autoritativ ist. Zeichenfolge (erforderlich)
domainSid Gibt die Sicherheits-ID (SID) an. Zeichenfolge (erforderlich)
forestName Gibt die abzurufende Active Directory-Gesamtstruktur an. Zeichenfolge (erforderlich)
netBiosDomainName Gibt den NetBIOS-Domänennamen an. Zeichenfolge (erforderlich)
samAccountName Gibt den Active Directory-SAMAccountName für Azure Storage an. Zeichenfolge

CustomDomain

Name BESCHREIBUNG Wert
name Ruft den benutzerdefinierten Domänennamen ab, der dem Speicherkonto zugewiesen ist, oder legt diesen fest. Name ist die CNAME-Quelle. Zeichenfolge (erforderlich)
useSubDomainName Gibt an, ob die indirekte CName-Überprüfung aktiviert ist. Der Standardwert ist „false“. Dies sollte nur bei Updates festgelegt werden. bool

Verschlüsselung

Name BESCHREIBUNG Wert
Identität Die Identität, die mit dienstseitiger Verschlüsselung im Ruhezustand verwendet werden soll. EncryptionIdentity
keySource Die Verschlüsselungsschlüsselquelle (Anbieter). Mögliche Werte (ohne Berücksichtigung der Groß-/Kleinschreibung): Microsoft.Storage, Microsoft.Keyvault "Microsoft.Keyvault"
"Microsoft.Storage" (erforderlich)
keyvaultproperties Vom Schlüsseltresor bereitgestellte Eigenschaften. KeyVaultProperties
requireInfrastructureEncryption Ein boolescher Wert, der angibt, ob der Dienst eine sekundäre Verschlüsselungsebene mit plattformseitig verwalteten Schlüsseln für ruhende Daten anwendet oder nicht. bool
services Liste der Dienste, die die Verschlüsselung unterstützen. EncryptionServices

EncryptionIdentity

Name BESCHREIBUNG Wert
federatedIdentityClientId ClientId der mehrinstanzenfähigen Anwendung, die in Verbindung mit der benutzerseitig zugewiesenen Identität für die serverseitige Verschlüsselung von kundenübergreifenden kundenseitig verwalteten Schlüsseln im Speicherkonto verwendet werden soll. Zeichenfolge
userAssignedIdentity Ressourcenbezeichner der UserAssigned-Identität, die der serverseitigen Verschlüsselung im Speicherkonto zugeordnet werden soll. Zeichenfolge

KeyVaultProperties

Name BESCHREIBUNG Wert
Keyname Der Name des KeyVault-Schlüssels. Zeichenfolge
keyvaulturi Der URI von KeyVault. Zeichenfolge
keyversion Die Version des KeyVault-Schlüssels. Zeichenfolge

EncryptionServices

Name BESCHREIBUNG Wert
Blob Die Verschlüsselungsfunktion des Blob Storage-Diensts. EncryptionService
file Die Verschlüsselungsfunktion des Dateispeicherdiensts. EncryptionService
queue Die Verschlüsselungsfunktion des Warteschlangenspeicherdiensts. EncryptionService
table Die Verschlüsselungsfunktion des Tabellenspeicherdiensts. EncryptionService

EncryptionService

Name BESCHREIBUNG Wert
enabled Ein boolescher Wert, der angibt, ob der Dienst die Daten während der Speicherung verschlüsselt. Die Verschlüsselung ruhender Daten ist heute standardmäßig aktiviert und kann nicht deaktiviert werden. bool
keyType Verschlüsselungsschlüsseltyp, der für den Verschlüsselungsdienst verwendet werden soll. Der Schlüsseltyp "Konto" impliziert, dass ein verschlüsselungsschlüssel im Kontobereich verwendet wird. Der Schlüsseltyp "Dienst" impliziert, dass ein Standarddienstschlüssel verwendet wird. "Konto"
"Dienst"

ImmutableStorageAccount

Name BESCHREIBUNG Wert
enabled Ein boolesches Flag, das die Unveränderlichkeit auf Kontoebene ermöglicht. Für alle Container unter einem solchen Konto ist standardmäßig unveränderliche Unveränderlichkeit auf Objektebene aktiviert. bool
immutabilityPolicy Gibt die Standardmäßige Unveränderlichkeitsrichtlinie auf Kontoebene an, die geerbt und auf Objekte angewendet wird, die auf Objektebene keine explizite Unveränderlichkeitsrichtlinie besitzen. Die Unveränderlichkeitsrichtlinie auf Objektebene hat eine höhere Priorität als die Unveränderlichkeitsrichtlinie auf Containerebene, die eine höhere Priorität hat als die Unveränderlichkeitsrichtlinie auf Kontoebene. AccountImmutabilityPolicyProperties

AccountImmutabilityPolicyProperties

Name BESCHREIBUNG Wert
allowProtectedAppendWrites Diese Eigenschaft kann nur für deaktivierte und entsperrte zeitbasierte Aufbewahrungsrichtlinien geändert werden. Wenn diese Option aktiviert ist, können neue Blöcke in ein Anfügeblob geschrieben werden, wobei der Unveränderlichkeitsschutz und die Konformität beibehalten werden. Es können nur neue Blöcke hinzugefügt werden. Vorhandene Blöcke können nicht geändert oder gelöscht werden. bool
immutabilityPeriodSinceCreationInDays Der Unveränderlichkeitszeitraum für die Blobs im Container seit der Richtlinienerstellung in Tagen. INT

Einschränkungen:
Minimaler Wert = 1
Maximaler Wert = 146000
state Der Status ImmutabilityPolicy definiert den Modus der Richtlinie. Der Status "Deaktiviert" deaktiviert die Richtlinie, der Status "Entsperrt" ermöglicht eine Erhöhung und Verminderung der Unveränderlichkeit der Aufbewahrungszeit und ermöglicht auch das Umschalten der allowProtectedAppendWrites-Eigenschaft, der Gesperrte Zustand ermöglicht nur die Erhöhung der Unveränderlichkeitsaufbewahrungszeit. Eine Richtlinie kann nur im Status Deaktiviert oder Entsperrt erstellt werden und kann zwischen den beiden Zuständen umgeschaltet werden. Nur eine Richtlinie im Status Entsperrt kann in den Status Gesperrt übergehen, der nicht wiederhergestellt werden kann. "Deaktiviert"
"Gesperrt"
"Entsperrt"

KeyPolicy

Name BESCHREIBUNG Wert
keyExpirationPeriodInDays Der Schlüsselablaufzeitraum in Tagen. int (erforderlich)

NetworkRuleSet

Name BESCHREIBUNG Wert
Umgehung Gibt an, ob Datenverkehr für Protokollierung/Metriken/AzureServices umgangen wird. Mögliche Werte sind eine beliebige Kombination aus Protokollierung, Metriken, AzureServices (z. B. "Protokollierung, Metriken") oder Keine, um keinen dieser Datenverkehr zu umgehen. "AzureServices"
"Protokollierung"
"Metriken"
"Keine"
Defaultaction Gibt die Standardaktion zulassen oder verweigern an, wenn keine anderen Regeln übereinstimmen. "Zulassen"
"Verweigern" (erforderlich)
ipRules Legt die IP-ACL-Regeln fest. IPRule[]
resourceAccessRules Legt die Ressourcenzugriffsregeln fest. ResourceAccessRule[]
virtualNetworkRules Legt die Regeln für virtuelle Netzwerke fest. VirtualNetworkRule[]

IPRule

Name BESCHREIBUNG Wert
action Die Aktion der IP-ACL-Regel. "Zulassen"
value Gibt den IP- oder IP-Bereich im CIDR-Format an. Nur IPV4-Adresse ist zulässig. Zeichenfolge (erforderlich)

ResourceAccessRule

Name BESCHREIBUNG Wert
resourceId Ressourcen-ID Zeichenfolge
tenantId Mandanten-ID Zeichenfolge

VirtualNetworkRule

Name BESCHREIBUNG Wert
action Die Aktion der Regel für virtuelle Netzwerke. "Zulassen"
id Ressourcen-ID eines Subnetzes, z. B.: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. Zeichenfolge (erforderlich)
state Ruft den Status der Regel für virtuelle Netzwerke ab. "Aufhebung der Bereitstellung"
"Fehler"
"NetworkSourceDeleted"
"Bereitstellung"
"Erfolgreich"

RoutingPreference

Name BESCHREIBUNG Wert
publishInternetEndpoints Ein boolesches Flag, das angibt, ob Internetrouting-Speicherendpunkte veröffentlicht werden sollen. bool
publishMicrosoftEndpoints Ein boolesches Flag, das angibt, ob Microsoft-Routingspeicherendpunkte veröffentlicht werden sollen. bool
routingChoice Routing Choice definiert die Art des vom Benutzer gewählten Netzwerkroutings. "InternetRouting"
"MicrosoftRouting"

SasPolicy

Name BESCHREIBUNG Wert
expirationAction Die SAS-Ablaufaktion. Kann nur Protokoll sein. "Protokoll" (erforderlich)
sasExpirationPeriod Der SAS-Ablaufzeitraum, DD.HH:MM:SS. Zeichenfolge (erforderlich)

Sku

Name BESCHREIBUNG Wert
name Der SKU-Name. Erforderlich für die Kontoerstellung; optional für das Update. Beachten Sie, dass in älteren Versionen der SKU-Name accountType genannt wurde. "Premium_LRS"
"Premium_ZRS"
Standard_GRS
"Standard_GZRS"
"Standard_LRS"
"Standard_RAGRS"
"Standard_RAGZRS"
"Standard_ZRS" (erforderlich)

Schnellstartvorlagen

In den folgenden Schnellstartvorlagen wird dieser Ressourcentyp bereitgestellt.

Vorlage BESCHREIBUNG
Herstellen einer Verbindung mit einem Speicherkonto von einem virtuellen Computer über einen privaten Endpunkt

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie eine Verbindung mit einem virtuellen Netzwerk verwenden, um über einen privaten Endpunkt auf ein Blobspeicherkonto zuzugreifen.
Herstellen einer Verbindung mit einer Azure-Dateifreigabe über einen privaten Endpunkt

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie ein virtuelles Netzwerk und eine private DNS-Zone konfigurieren, um über einen privaten Endpunkt auf eine Azure-Dateifreigabe zuzugreifen.
Erstellen eines Standardspeicherkontos

Bereitstellen in Azure
Mit dieser Vorlage wird ein Standardspeicherkonto erstellt.
Erstellen eines Speicherkontos mit SSE

Bereitstellen in Azure
Diese Vorlage erstellt ein Speicherkonto mit Speicherdienstverschlüsselung für ruhende Daten.
Speicherkonto mit Advanced Threat Protection

Bereitstellen in Azure
Mit dieser Vorlage können Sie ein Azure Storage-Konto mit aktiviertem Advanced Threat Protection bereitstellen.
Erstellen eines Azure Storage-Kontos und eines Blobcontainers in Azure

Bereitstellen in Azure
Mit dieser Vorlage werden ein Azure Storage-Konto und ein Blobcontainer erstellt.
Speicherkonto mit Aufbewahrungsrichtlinie für SSE und Bloblöschung

Bereitstellen in Azure
Mit dieser Vorlage wird ein Speicherkonto mit Speicherdienstverschlüsselung und einer Aufbewahrungsrichtlinie zum Löschen von Blobs erstellt.
Azure Storage-Kontoverschlüsselung mit kundenseitig verwaltetem Schlüssel

Bereitstellen in Azure
Diese Vorlage stellt ein Speicherkonto mit einem kundenseitig verwalteten Schlüssel für die Verschlüsselung bereit, der generiert und in einem Key Vault platziert wird.
Erstellen eines Speicherkontos mit Dateifreigabe

Bereitstellen in Azure
Mit dieser Vorlage wird ein Azure-Speicherkonto und eine Dateifreigabe erstellt.
Erstellen eines Speicherkontos mit mehreren Blob-Containern

Bereitstellen in Azure
Erstellt ein Azure-Speicherkonto und mehrere Blobcontainer.
Erstellen eines Speicherkontos mit mehreren Dateifreigaben

Bereitstellen in Azure
Erstellt ein Azure-Speicherkonto und mehrere Dateifreigaben.
Erstellen eines Speicherkontos mit aktiviertem SFTP

Bereitstellen in Azure
Erstellt ein Azure Storage-Konto und einen Blobcontainer, auf den mithilfe des SFTP-Protokolls zugegriffen werden kann. Der Zugriff kann kennwortbasiert oder auf öffentlichem Schlüssel basieren.
Stellt eine statische Website bereit

Bereitstellen in Azure
Stellt eine statische Website mit einem Sicherungsspeicherkonto bereit

Terraform (AzAPI-Anbieter) Ressourcendefinition

Der Ressourcentyp storageAccounts kann mit Vorgängen bereitgestellt werden, die Folgendes zum Ziel haben:

  • Ressourcengruppen

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.

Ressourcenformat

Um eine Microsoft.Storage/storageAccounts-Ressource zu erstellen, fügen Sie Der Vorlage die folgende Terraform-Ressource hinzu.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Storage/storageAccounts@2021-08-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  identity {
    type = "string"
    identity_ids = []
  }
  body = jsonencode({
    properties = {
      accessTier = "string"
      allowBlobPublicAccess = bool
      allowCrossTenantReplication = bool
      allowedCopyScope = "string"
      allowSharedKeyAccess = bool
      azureFilesIdentityBasedAuthentication = {
        activeDirectoryProperties = {
          accountType = "string"
          azureStorageSid = "string"
          domainGuid = "string"
          domainName = "string"
          domainSid = "string"
          forestName = "string"
          netBiosDomainName = "string"
          samAccountName = "string"
        }
        defaultSharePermission = "string"
        directoryServiceOptions = "string"
      }
      customDomain = {
        name = "string"
        useSubDomainName = bool
      }
      defaultToOAuthAuthentication = bool
      encryption = {
        identity = {
          federatedIdentityClientId = "string"
          userAssignedIdentity = "string"
        }
        keySource = "string"
        keyvaultproperties = {
          keyname = "string"
          keyvaulturi = "string"
          keyversion = "string"
        }
        requireInfrastructureEncryption = bool
        services = {
          blob = {
            enabled = bool
            keyType = "string"
          }
          file = {
            enabled = bool
            keyType = "string"
          }
          queue = {
            enabled = bool
            keyType = "string"
          }
          table = {
            enabled = bool
            keyType = "string"
          }
        }
      }
      immutableStorageWithVersioning = {
        enabled = bool
        immutabilityPolicy = {
          allowProtectedAppendWrites = bool
          immutabilityPeriodSinceCreationInDays = int
          state = "string"
        }
      }
      isHnsEnabled = bool
      isLocalUserEnabled = bool
      isNfsV3Enabled = bool
      isSftpEnabled = bool
      keyPolicy = {
        keyExpirationPeriodInDays = int
      }
      largeFileSharesState = "string"
      minimumTlsVersion = "string"
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            action = "Allow"
            value = "string"
          }
        ]
        resourceAccessRules = [
          {
            resourceId = "string"
            tenantId = "string"
          }
        ]
        virtualNetworkRules = [
          {
            action = "Allow"
            id = "string"
            state = "string"
          }
        ]
      }
      publicNetworkAccess = "string"
      routingPreference = {
        publishInternetEndpoints = bool
        publishMicrosoftEndpoints = bool
        routingChoice = "string"
      }
      sasPolicy = {
        expirationAction = "Log"
        sasExpirationPeriod = "string"
      }
      supportsHttpsTrafficOnly = bool
    }
    sku = {
      name = "string"
    }
    kind = "string"
    extendedLocation = {
      name = "string"
      type = "EdgeZone"
    }
  })
}

Eigenschaftswerte

storageAccounts

Name BESCHREIBUNG Wert
type Ressourcentyp "Microsoft.Storage/storageAccounts@2021-08-01"
name Der Ressourcenname Zeichenfolge (erforderlich)

Zeichenlimit: 3-24

Gültige Zeichen:
Kleinbuchstaben und Zahlen.

Der Ressourcenname muss in Azure eindeutig sein.
location Erforderlich. Ruft den Speicherort der Ressource ab oder legt ihn fest. Dies ist eine der unterstützten und registrierten Azure-Georegionen (z. B. USA, Westen, USA, Osten, Asien, Südosten usw.). Die Georegion einer Ressource kann nicht geändert werden, sobald sie erstellt wurde, aber wenn beim Aktualisieren eine identische Georegion angegeben wird, wird die Anforderung erfolgreich ausgeführt. Zeichenfolge (erforderlich)
parent_id Verwenden Sie zum Bereitstellen in einer Ressourcengruppe die ID dieser Ressourcengruppe. Zeichenfolge (erforderlich)
tags Ruft eine Liste von Schlüsselwertpaaren ab, die die Ressource beschreiben, oder legt sie fest. Diese Tags können zum Anzeigen und Gruppieren dieser Ressource (ressourcenübergreifend) verwendet werden. Für eine Ressource können maximal 15 Tags bereitgestellt werden. Jedes Tag muss einen Schlüssel mit einer Länge von höchstens 128 Zeichen und einen Wert mit einer Länge von nicht mehr als 256 Zeichen aufweisen. Wörterbuch der Tagnamen und -werte.
sku Erforderlich. Ruft den SKU-Namen ab oder legt diese fest. Sku (erforderlich)
kind Erforderlich. Gibt den Typ des Speicherkontos an. "BlobStorage"
"BlockBlobStorage"
"FileStorage"
"Speicher"
"StorageV2" (erforderlich)
extendedLocation Optional. Legen Sie den erweiterten Speicherort der Ressource fest. Falls nicht festgelegt, wird das Speicherkonto in azure Standard Region erstellt. Andernfalls wird es am angegebenen erweiterten Speicherort erstellt. ExtendedLocation
Identität Die Identität der Ressource. Identität
properties Die Parameter, die zum Erstellen des Speicherkontos verwendet werden. StorageAccountPropertiesCreateParametersOrStorageAcc...

ExtendedLocation

Name BESCHREIBUNG Wert
name Der Name des erweiterten Speicherorts. Zeichenfolge
type Der Typ des erweiterten Speicherorts. "EdgeZone"

Identity

Name BESCHREIBUNG Wert
type Der Identitätstyp. "SystemAssigned"
"SystemAssigned,UserAssigned"
"UserAssigned" (erforderlich)
identity_ids Ruft eine Liste von Schlüsselwertpaaren ab, die die Gruppe der benutzerseitig zugewiesenen Identitäten beschreiben, die mit diesem Speicherkonto verwendet werden, oder legt diese fest. Der Schlüssel ist der ARM-Ressourcenbezeichner der Identität. Hier ist nur 1 benutzerseitig zugewiesene Identität zulässig. Array von Benutzeridentitäts-IDs.

IdentityUserAssignedIdentities

Name BESCHREIBUNG Wert
{angepasste Eigenschaft} UserAssignedIdentity

UserAssignedIdentity

Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.

StorageAccountPropertiesCreateParametersOrStorageAcc...

Name BESCHREIBUNG Wert
accessTier Erforderlich für Speicherkonten, wobei art = BlobStorage. Die Zugriffsebene, die für die Abrechnung verwendet wird. "Cool"
"Heiß"
allowBlobPublicAccess Zulassen oder Verweigern des öffentlichen Zugriffs auf alle Blobs oder Container im Speicherkonto. Die Standardinterpretation ist true für diese Eigenschaft. bool
allowCrossTenantReplication Zulassen oder Verweigern der replizierten AAD-Mandantenobjektreplikation. Die Standardinterpretation ist true für diese Eigenschaft. bool
allowedCopyScope Schränken Sie das Kopieren in und aus Speicherkonten innerhalb eines AAD-Mandanten oder mit privaten Links auf dasselbe VNET ein. "AAD"
"PrivateLink"
allowSharedKeyAccess Gibt an, ob das Speicherkonto die Autorisierung von Anforderungen mit dem Kontozugriffsschlüssel über shared Key zulässt. Wenn false, müssen alle Anforderungen, einschließlich Shared Access Signaturen, mit Azure Active Directory (Azure AD) autorisiert werden. Der Standardwert ist NULL, was true entspricht. bool
azureFilesIdentityBasedAuthentication Stellt die identitätsbasierten Authentifizierungseinstellungen für Azure Files bereit. AzureFilesIdentityBasedAuthentication
customDomain Benutzerdomäne, die dem Speicherkonto zugewiesen ist. Name ist die CNAME-Quelle. Derzeit wird nur eine benutzerdefinierte Domäne pro Speicherkonto unterstützt. Um die vorhandene benutzerdefinierte Domäne zu löschen, verwenden Sie eine leere Zeichenfolge für die eigenschaft benutzerdefinierte Domänenname. CustomDomain
defaultToOAuthAuthentication Ein boolesches Flag, das angibt, ob die Standardauthentifizierung OAuth ist oder nicht. Die Standardinterpretation ist false für diese Eigenschaft. bool
Verschlüsselung Verschlüsselungseinstellungen, die für die serverseitige Verschlüsselung für das Speicherkonto verwendet werden sollen. Verschlüsselung
immutableStorageWithVersioning Die Eigenschaft ist unveränderlich und kann nur zum Zeitpunkt der Kontoerstellung auf true festgelegt werden. Wenn sie auf true festgelegt ist, wird standardmäßig die Unveränderlichkeit auf Objektebene für alle neuen Container im Konto aktiviert. ImmutableStorageAccount
isHnsEnabled Account HierarchicalNamespace aktiviert, wenn auf true festgelegt ist. bool
isLocalUserEnabled Aktiviert das Feature "lokale Benutzer", wenn auf "true" festgelegt ist bool
isNfsV3Enabled NFS 3.0-Protokollunterstützung aktiviert, wenn auf TRUE festgelegt ist. bool
isSftpEnabled Aktiviert das Protokoll für die sichere Dateiübertragung, wenn auf true festgelegt ist. bool
keyPolicy KeyPolicy, die dem Speicherkonto zugewiesen ist. KeyPolicy
largeFileSharesState Lassen Sie große Dateifreigaben zu, wenn aktiviert ist. Sie kann nicht deaktiviert werden, sobald sie aktiviert ist. "Deaktiviert"
"Aktiviert"
minimumTlsVersion Legen Sie die TLS-Mindestversion fest, die für Anforderungen an den Speicher zulässig ist. Die Standardinterpretation ist TLS 1.0 für diese Eigenschaft. "TLS1_0"
"TLS1_1"
"TLS1_2"
networkAcls Netzwerkregelsatz NetworkRuleSet
publicNetworkAccess Zulassen oder Verweigern des Zugriffs auf das Speicherkonto für öffentliche Netzwerke Der Wert ist optional, muss aber bei Übergabe "Aktiviert" oder "Deaktiviert" sein. "Deaktiviert"
"Aktiviert"
routingPreference Verwaltet Informationen zur Netzwerkroutingauswahl, die vom Benutzer für die Datenübertragung ausgewählt wurde RoutingPreference
sasPolicy SasPolicy ist dem Speicherkonto zugewiesen. SasPolicy
supportsHttpsTrafficOnly Lässt https-Datenverkehr nur für den Speicherdienst zu, wenn auf true festgelegt ist. Der Standardwert ist true seit API-Version 2019-04-01. bool

AzureFilesIdentityBasedAuthentication

Name BESCHREIBUNG Wert
activeDirectoryProperties Erforderlich, wenn Sie AD auswählen. ActiveDirectoryProperties
defaultSharePermission Die Standardfreigabeberechtigung für Benutzer, die die Kerberos-Authentifizierung verwenden, wenn die RBAC-Rolle nicht zugewiesen ist. "None"
"StorageFileDataSmbShareContributor"
"StorageFileDataSmbShareElevatedContributor"
"StorageFileDataSmbShareReader"
directoryServiceOptions Gibt den verwendeten Verzeichnisdienst an. "AADDS"
"AD"
"Keine" (erforderlich)

ActiveDirectoryProperties

Name BESCHREIBUNG Wert
accountType Gibt den Active Directory-Kontotyp für Azure Storage an. „Computer“
User
azureStorageSid Gibt den Sicherheitsbezeichner (Security Identifier, SID) für Azure Storage an. Zeichenfolge (erforderlich)
domainGuid Gibt die Domänen-GUID an. Zeichenfolge (erforderlich)
domainName Gibt die primäre Domäne an, für die der AD DNS-Server autoritativ ist. Zeichenfolge (erforderlich)
domainSid Gibt den Sicherheitsbezeichner (SID) an. Zeichenfolge (erforderlich)
forestName Gibt die abzurufende Active Directory-Gesamtstruktur an. Zeichenfolge (erforderlich)
netBiosDomainName Gibt den NetBIOS-Domänennamen an. Zeichenfolge (erforderlich)
samAccountName Gibt den Active Directory SAMAccountName für Azure Storage an. Zeichenfolge

CustomDomain

Name BESCHREIBUNG Wert
name Ruft den benutzerdefinierten Domänennamen ab, der dem Speicherkonto zugewiesen ist, oder legt diesen fest. Name ist die CNAME-Quelle. Zeichenfolge (erforderlich)
useSubDomainName Gibt an, ob die indirekte CName-Überprüfung aktiviert ist. Der Standardwert ist „false“. Dies sollte nur bei Updates festgelegt werden. bool

Verschlüsselung

Name BESCHREIBUNG Wert
Identität Die Identität, die mit dienstseitiger Verschlüsselung im Ruhezustand verwendet werden soll. EncryptionIdentity
keySource Die VerschlüsselungsschlüsselQuelle (Anbieter). Mögliche Werte (ohne Beachtung der Groß-/Kleinschreibung): Microsoft.Storage, Microsoft.Keyvault "Microsoft.Keyvault"
"Microsoft.Storage" (erforderlich)
keyvaultproperties Vom Schlüsseltresor bereitgestellte Eigenschaften. KeyVaultProperties
requireInfrastructureEncryption Ein boolescher Wert, der angibt, ob der Dienst eine sekundäre Verschlüsselungsebene mit plattformverwalteten Schlüsseln für ruhende Daten anwendet oder nicht. bool
services Liste der Dienste, die die Verschlüsselung unterstützen. EncryptionServices

EncryptionIdentity

Name BESCHREIBUNG Wert
federatedIdentityClientId ClientId der mehrinstanzenfähigen Anwendung, die in Verbindung mit der benutzerseitig zugewiesenen Identität für die mandantenübergreifende serverseitige Verschlüsselung von kundenseitig verwalteten Schlüsseln im Speicherkonto verwendet werden soll. Zeichenfolge
userAssignedIdentity Ressourcenbezeichner der UserAssigned-Identität, die der serverseitigen Verschlüsselung im Speicherkonto zugeordnet werden soll. Zeichenfolge

KeyVaultProperties

Name BESCHREIBUNG Wert
Keyname Der Name des KeyVault-Schlüssels. Zeichenfolge
keyvaulturi Der URI von KeyVault. Zeichenfolge
keyversion Die Version des KeyVault-Schlüssels. Zeichenfolge

EncryptionServices

Name BESCHREIBUNG Wert
Blob Die Verschlüsselungsfunktion des Blob Storage-Diensts. EncryptionService
file Die Verschlüsselungsfunktion des Dateispeicherdiensts. EncryptionService
queue Die Verschlüsselungsfunktion des Warteschlangenspeicherdiensts. EncryptionService
table Die Verschlüsselungsfunktion des Tabellenspeicherdiensts. EncryptionService

EncryptionService

Name BESCHREIBUNG Wert
enabled Ein boolescher Wert, der angibt, ob der Dienst die Daten während der Speicherung verschlüsselt. Die Verschlüsselung ruhender Daten ist heute standardmäßig aktiviert und kann nicht deaktiviert werden. bool
keyType Verschlüsselungsschlüsseltyp, der für den Verschlüsselungsdienst verwendet werden soll. Der Schlüsseltyp "Konto" impliziert, dass ein verschlüsselungsschlüssel im Kontobereich verwendet wird. Der Schlüsseltyp "Dienst" impliziert, dass ein Standarddienstschlüssel verwendet wird. "Konto"
"Dienst"

ImmutableStorageAccount

Name BESCHREIBUNG Wert
enabled Ein boolesches Flag, das die Unveränderlichkeit auf Kontoebene ermöglicht. Für alle Container unter einem solchen Konto ist standardmäßig unveränderliche Unveränderlichkeit auf Objektebene aktiviert. bool
immutabilityPolicy Gibt die Standardmäßige Unveränderlichkeitsrichtlinie auf Kontoebene an, die geerbt und auf Objekte angewendet wird, die auf Objektebene keine explizite Unveränderlichkeitsrichtlinie besitzen. Die Unveränderlichkeitsrichtlinie auf Objektebene hat eine höhere Priorität als die Unveränderlichkeitsrichtlinie auf Containerebene, die eine höhere Priorität hat als die Unveränderlichkeitsrichtlinie auf Kontoebene. AccountImmutabilityPolicyProperties

AccountImmutabilityPolicyProperties

Name BESCHREIBUNG Wert
allowProtectedAppendWrites Diese Eigenschaft kann nur für deaktivierte und entsperrte zeitbasierte Aufbewahrungsrichtlinien geändert werden. Wenn diese Option aktiviert ist, können neue Blöcke in ein Anfügeblob geschrieben werden, wobei der Unveränderlichkeitsschutz und die Konformität beibehalten werden. Es können nur neue Blöcke hinzugefügt werden. Vorhandene Blöcke können nicht geändert oder gelöscht werden. bool
immutabilityPeriodSinceCreationInDays Der Unveränderlichkeitszeitraum für die Blobs im Container seit der Richtlinienerstellung in Tagen. INT

Einschränkungen:
Minimaler Wert = 1
Maximaler Wert = 146000
state Der Status ImmutabilityPolicy definiert den Modus der Richtlinie. Der Status "Deaktiviert" deaktiviert die Richtlinie, der Status "Entsperrt" ermöglicht eine Erhöhung und Verminderung der Unveränderlichkeit der Aufbewahrungszeit und ermöglicht auch das Umschalten der allowProtectedAppendWrites-Eigenschaft, der Gesperrte Zustand ermöglicht nur die Erhöhung der Unveränderlichkeitsaufbewahrungszeit. Eine Richtlinie kann nur im Status Deaktiviert oder Entsperrt erstellt werden und kann zwischen den beiden Zuständen umgeschaltet werden. Nur eine Richtlinie im Status Entsperrt kann in den Status Gesperrt übergehen, der nicht wiederhergestellt werden kann. "Deaktiviert"
"Gesperrt"
"Entsperrt"

KeyPolicy

Name BESCHREIBUNG Wert
keyExpirationPeriodInDays Der Schlüsselablaufzeitraum in Tagen. int (erforderlich)

NetworkRuleSet

Name BESCHREIBUNG Wert
Umgehung Gibt an, ob Datenverkehr für Protokollierung/Metriken/AzureServices umgangen wird. Mögliche Werte sind eine beliebige Kombination aus Protokollierung, Metriken, AzureServices (z. B. "Protokollierung, Metriken") oder Keine, um keinen dieser Datenverkehr zu umgehen. "AzureServices"
"Protokollierung"
"Metriken"
"None"
Defaultaction Gibt die Standardaktion zulassen oder verweigern an, wenn keine anderen Regeln übereinstimmen. "Zulassen"
"Verweigern" (erforderlich)
ipRules Legt die IP-ACL-Regeln fest. IPRule[]
resourceAccessRules Legt die Ressourcenzugriffsregeln fest ResourceAccessRule[]
virtualNetworkRules Legt die Regeln für virtuelle Netzwerke fest. VirtualNetworkRule[]

IPRule

Name BESCHREIBUNG Wert
action Die Aktion der IP-ACL-Regel. "Zulassen"
value Gibt den IP- oder IP-Bereich im CIDR-Format an. Nur IPV4-Adresse ist zulässig. Zeichenfolge (erforderlich)

ResourceAccessRule

Name BESCHREIBUNG Wert
resourceId Ressourcen-ID Zeichenfolge
tenantId Mandanten-ID Zeichenfolge

VirtualNetworkRule

Name BESCHREIBUNG Wert
action Die Aktion der Regel für virtuelle Netzwerke. "Zulassen"
id Ressourcen-ID eines Subnetzes, z. B. /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. Zeichenfolge (erforderlich)
state Ruft den Status der Regel für virtuelle Netzwerke ab. "Bereitstellung aufheben"
"Fehler"
"NetworkSourceDeleted"
"Bereitstellung"
"Erfolgreich"

RoutingPreference

Name BESCHREIBUNG Wert
publishInternetEndpoints Ein boolesches Flag, das angibt, ob Internetrouting-Speicherendpunkte veröffentlicht werden sollen. bool
publishMicrosoftEndpoints Ein boolesches Flag, das angibt, ob Microsoft-Routingspeicherendpunkte veröffentlicht werden sollen. bool
routingChoice Routing Choice definiert die Art des vom Benutzer gewählten Netzwerkroutings. "InternetRouting"
"MicrosoftRouting"

SasPolicy

Name BESCHREIBUNG Wert
expirationAction Die SAS-Ablaufaktion. Kann nur Protokoll sein. "Protokoll" (erforderlich)
sasExpirationPeriod Der SAS-Ablaufzeitraum, DD.HH:MM:SS. Zeichenfolge (erforderlich)

Sku

Name BESCHREIBUNG Wert
name Der SKU-Name. Erforderlich für die Kontoerstellung; optional für das Update. Beachten Sie, dass in älteren Versionen der SKU-Name accountType genannt wurde. „Premium_LRS“
"Premium_ZRS"
"Standard_GRS"
"Standard_GZRS"
„Standard_LRS“
"Standard_RAGRS"
"Standard_RAGZRS"
"Standard_ZRS" (erforderlich)