Microsoft.Storage storageAccounts
Definición de recursos de Bicep
El tipo de recurso storageAccounts se puede implementar con operaciones destinadas a:
- grupos de recursos: consulte comandos de implementación de grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de recurso
Para crear un recurso Microsoft.Storage/storageAccounts, agregue el siguiente bicep a la plantilla.
resource symbolicname 'Microsoft.Storage/storageAccounts@2023-05-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
sku: {
name: 'string'
}
kind: 'string'
extendedLocation: {
name: 'string'
type: 'EdgeZone'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
accessTier: 'string'
allowBlobPublicAccess: bool
allowCrossTenantReplication: bool
allowedCopyScope: 'string'
allowSharedKeyAccess: bool
azureFilesIdentityBasedAuthentication: {
activeDirectoryProperties: {
accountType: 'string'
azureStorageSid: 'string'
domainGuid: 'string'
domainName: 'string'
domainSid: 'string'
forestName: 'string'
netBiosDomainName: 'string'
samAccountName: 'string'
}
defaultSharePermission: 'string'
directoryServiceOptions: 'string'
}
customDomain: {
name: 'string'
useSubDomainName: bool
}
defaultToOAuthAuthentication: bool
dnsEndpointType: 'string'
enableExtendedGroups: bool
encryption: {
identity: {
federatedIdentityClientId: 'string'
userAssignedIdentity: 'string'
}
keySource: 'string'
keyvaultproperties: {
keyname: 'string'
keyvaulturi: 'string'
keyversion: 'string'
}
requireInfrastructureEncryption: bool
services: {
blob: {
enabled: bool
keyType: 'string'
}
file: {
enabled: bool
keyType: 'string'
}
queue: {
enabled: bool
keyType: 'string'
}
table: {
enabled: bool
keyType: 'string'
}
}
}
immutableStorageWithVersioning: {
enabled: bool
immutabilityPolicy: {
allowProtectedAppendWrites: bool
immutabilityPeriodSinceCreationInDays: int
state: 'string'
}
}
isHnsEnabled: bool
isLocalUserEnabled: bool
isNfsV3Enabled: bool
isSftpEnabled: bool
keyPolicy: {
keyExpirationPeriodInDays: int
}
largeFileSharesState: 'string'
minimumTlsVersion: 'string'
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
action: 'Allow'
value: 'string'
}
]
resourceAccessRules: [
{
resourceId: 'string'
tenantId: 'string'
}
]
virtualNetworkRules: [
{
action: 'Allow'
id: 'string'
state: 'string'
}
]
}
publicNetworkAccess: 'string'
routingPreference: {
publishInternetEndpoints: bool
publishMicrosoftEndpoints: bool
routingChoice: 'string'
}
sasPolicy: {
expirationAction: 'string'
sasExpirationPeriod: 'string'
}
supportsHttpsTrafficOnly: bool
}
}
Valores de propiedad
storageAccounts
| Nombre | Descripción | Valor |
|---|---|---|
| nombre | El nombre del recurso | string (obligatorio) Límite de caracteres: 3-24 Caracteres válidos: Letras minúsculas y números. El nombre del recurso debe ser único en Azure. |
| ubicación | Obligatorio. Obtiene o establece la ubicación del recurso. Esta será una de las regiones geográficas de Azure admitidas y registradas (por ejemplo, Oeste de EE. UU., Este de EE. UU., Sudeste de Asia, etc.). La región geográfica de un recurso no se puede cambiar una vez creada, pero si se especifica una región geográfica idéntica en la actualización, la solicitud se realizará correctamente. | string (obligatorio) |
| Etiquetas | Obtiene o establece una lista de pares clave-valor que describen el recurso. Estas etiquetas se pueden usar para ver y agrupar este recurso (entre grupos de recursos). Se puede proporcionar un máximo de 15 etiquetas para un recurso. Cada etiqueta debe tener una clave con una longitud no superior a 128 caracteres y un valor con una longitud no superior a 256 caracteres. | Diccionario de nombres y valores de etiqueta. Consulte etiquetas de en plantillas |
| Sku | Obligatorio. Obtiene o establece el nombre de la SKU. | de Sku (obligatorio) |
| amable | Obligatorio. Indica el tipo de cuenta de almacenamiento. | "BlobStorage" 'BlockBlobStorage' 'FileStorage' 'Storage' 'StorageV2' (obligatorio) |
| extendedLocation | Opcional. Establezca la ubicación extendida del recurso. Si no se establece, la cuenta de almacenamiento se creará en la región principal de Azure. De lo contrario, se creará en la ubicación extendida especificada. | ExtendedLocation |
| identidad | Identidad del recurso. | Identity |
| Propiedades | Parámetros usados para crear la cuenta de almacenamiento. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Nombre | Descripción | Valor |
|---|---|---|
| nombre | Nombre de la ubicación extendida. | cuerda |
| tipo | Tipo de la ubicación extendida. | 'EdgeZone' |
Identidad
IdentityUserAssignedIdentities
| Nombre | Descripción | Valor |
|---|---|---|
| {propiedad personalizada} | UserAssignedIdentity |
UserAssignedIdentity
Este objeto no contiene ninguna propiedad que se establezca durante la implementación. Todas las propiedades son ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Nombre | Descripción | Valor |
|---|---|---|
| accessTier | Necesario para las cuentas de almacenamiento donde kind = BlobStorage. El nivel de acceso se usa para la facturación. El nivel de acceso "Premium" es el valor predeterminado para el tipo de cuenta de almacenamiento de blobs en bloques Premium y no se puede cambiar para el tipo de cuenta de almacenamiento de blobs en bloques Premium. | "Frío" 'Esporádico' "Frecuente" 'Premium' |
| allowBlobPublicAccess | Permitir o denegar el acceso público a todos los blobs o contenedores de la cuenta de almacenamiento. La interpretación predeterminada es false para esta propiedad. | Bool |
| allowCrossTenantReplication | Permitir o denegar la replicación entre objetos de inquilino de AAD. Establezca esta propiedad en true para las cuentas nuevas o existentes solo si las directivas de replicación de objetos implican cuentas de almacenamiento en distintos inquilinos de AAD. La interpretación predeterminada es false para que las cuentas nuevas sigan los procedimientos de seguridad recomendados de forma predeterminada. | Bool |
| allowedCopyScope | Restrinja la copia hacia y desde las cuentas de almacenamiento dentro de un inquilino de AAD o con vínculos privados a la misma red virtual. | 'AAD' "PrivateLink" |
| allowSharedKeyAccess | Indica si la cuenta de almacenamiento permite que las solicitudes se autoricen con la clave de acceso de la cuenta a través de la clave compartida. Si es false, todas las solicitudes, incluidas las firmas de acceso compartido, deben estar autorizadas con Azure Active Directory (Azure AD). El valor predeterminado es NULL, que es equivalente a true. | Bool |
| azureFilesIdentityBasedAuthentication | Proporciona la configuración de autenticación basada en identidades para Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Dominio de usuario asignado a la cuenta de almacenamiento. Name es el origen CNAME. Solo se admite un dominio personalizado por cuenta de almacenamiento en este momento. Para borrar el dominio personalizado existente, use una cadena vacía para la propiedad de nombre de dominio personalizado. | CustomDomain |
| defaultToOAuthAuthentication | Marca booleana que indica si la autenticación predeterminada es OAuth o no. La interpretación predeterminada es false para esta propiedad. | Bool |
| dnsEndpointType | Permite especificar el tipo de punto de conexión. Establézcalo en AzureDNSZone para crear un gran número de cuentas en una sola suscripción, que crea cuentas en una zona DNS de Azure y la dirección URL del punto de conexión tendrá un identificador de zona DNS alfanumérica. | "AzureDnsZone" 'Estándar' |
| enableExtendedGroups | Habilita la compatibilidad extendida con grupos con la característica de usuarios locales, si se establece en true. | Bool |
| encriptación | Configuración de cifrado que se usará para el cifrado del lado servidor para la cuenta de almacenamiento. | de cifrado |
| immutableStorageWithVersioning | La propiedad es inmutable y solo se puede establecer en true en el momento de creación de la cuenta. Cuando se establece en true, habilita la inmutabilidad de nivel de objeto para todos los nuevos contenedores de la cuenta de forma predeterminada. | ImmutableStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace habilitado si se establece en true. | Bool |
| isLocalUserEnabled | Habilita la característica de usuarios locales, si se establece en true. | Bool |
| isNfsV3Enabled | El protocolo NFS 3.0 admite habilitado si se establece en true. | Bool |
| isSftpEnabled | Habilita el protocolo de transferencia de archivos seguros, si se establece en true. | Bool |
| keyPolicy | KeyPolicy asignado a la cuenta de almacenamiento. | keyPolicy de |
| largeFileSharesState | Permitir recursos compartidos de archivos grandes si se establece en Habilitado. No se puede deshabilitar una vez habilitado. | 'Deshabilitado' 'Habilitado' |
| minimumTlsVersion | Establezca la versión mínima de TLS que se permitirá en las solicitudes al almacenamiento. La interpretación predeterminada es TLS 1.0 para esta propiedad. | "TLS1_0" "TLS1_1" "TLS1_2" "TLS1_3" |
| networkAcls | Conjunto de reglas de red | NetworkRuleSet |
| publicNetworkAccess | Permitir, no permitir o permitir que la configuración del perímetro de seguridad de red evalúe el acceso de red pública a la cuenta de almacenamiento. El valor es opcional, pero si se pasa, debe ser "Enabled", "Disabled" o "SecuredByPerimeter". | 'Deshabilitado' 'Habilitado' "SecuredByPerimeter" |
| routingPreference | Mantiene información sobre la opción de enrutamiento de red elegida por el usuario para la transferencia de datos. | enrutamientoPreferencia |
| sasPolicy | SasPolicy asignado a la cuenta de almacenamiento. | SasPolicy |
| supportsHttpsTrafficOnly | Permite el tráfico https solo al servicio de almacenamiento si se establece en true. El valor predeterminado es true desde la versión de API 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
| Nombre | Descripción | Valor |
|---|---|---|
| activeDirectoryProperties | Obligatorio si directoryServiceOptions es AD, opcional si son AADKERB. | activeDirectoryProperties |
| defaultSharePermission | Permiso de recurso compartido predeterminado para los usuarios que usan la autenticación Kerberos si no se asigna el rol RBAC. | 'Ninguno' 'StorageFileDataSmbShareContributor' 'StorageFileDataSmbShareElevatedContributor' 'StorageFileDataSmbShareReader' |
| directoryServiceOptions | Indica el servicio de directorio usado. Tenga en cuenta que esta enumeración se puede extender en el futuro. | "AADDS" 'AADKERB' "AD" 'None' (obligatorio) |
ActiveDirectoryProperties
| Nombre | Descripción | Valor |
|---|---|---|
| accountType | Especifica el tipo de cuenta de Active Directory para Azure Storage. | 'Equipo' "Usuario" |
| azureStorageSid | Especifica el identificador de seguridad (SID) para Azure Storage. | cuerda |
| domainGuid | Especifica el GUID de dominio. | string (obligatorio) |
| domainName | Especifica el dominio principal para el que el servidor DNS de AD es autoritativo. | string (obligatorio) |
| domainSid | Especifica el identificador de seguridad (SID). | cuerda |
| forestName | Especifica el bosque de Active Directory que se va a obtener. | cuerda |
| netBiosDomainName | Especifica el nombre de dominio netBIOS. | cuerda |
| samAccountName | Especifica el SAMAccountName de Active Directory para Azure Storage. | cuerda |
CustomDomain
| Nombre | Descripción | Valor |
|---|---|---|
| nombre | Obtiene o establece el nombre de dominio personalizado asignado a la cuenta de almacenamiento. Name es el origen CNAME. | string (obligatorio) |
| useSubDomainName | Indica si la validación indirecta de CName está habilitada. El valor predeterminado es false. Esto solo debe establecerse en las actualizaciones. | Bool |
Encriptación
| Nombre | Descripción | Valor |
|---|---|---|
| identidad | Identidad que se va a usar con el cifrado del lado del servicio en reposo. | EncryptionIdentity de |
| keySource | KeySource (proveedor) de cifrado. Valores posibles (sin distinción entre mayúsculas y minúsculas): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
| keyvaultproperties | Propiedades proporcionadas por el almacén de claves. | KeyVaultProperties |
| requireInfrastructureEncryption | Valor booleano que indica si el servicio aplica o no una capa secundaria de cifrado con claves administradas por la plataforma para los datos en reposo. | Bool |
| servicios | Lista de servicios que admiten el cifrado. | encryptionServices de |
EncryptionIdentity
| Nombre | Descripción | Valor |
|---|---|---|
| federatedIdentityClientId | ClientId de la aplicación multiinquilino que se va a usar junto con la identidad asignada por el usuario para el cifrado del lado servidor de claves administradas por el cliente entre inquilinos en la cuenta de almacenamiento. | cuerda |
| userAssignedIdentity | Identificador de recurso de la identidad UserAssigned que se va a asociar al cifrado del lado servidor en la cuenta de almacenamiento. | cuerda |
KeyVaultProperties
| Nombre | Descripción | Valor |
|---|---|---|
| keyname | Nombre de la clave KeyVault. | cuerda |
| keyvaulturi | Uri de KeyVault. | cuerda |
| keyversion | Versión de la clave KeyVault. | cuerda |
EncryptionServices
| Nombre | Descripción | Valor |
|---|---|---|
| Blob | Función de cifrado del servicio blob Storage. | EncryptionService |
| archivo | Función de cifrado del servicio de almacenamiento de archivos. | EncryptionService |
| cola | Función de cifrado del servicio de almacenamiento en cola. | EncryptionService |
| mesa | Función de cifrado del servicio table storage. | EncryptionService |
EncryptionService
| Nombre | Descripción | Valor |
|---|---|---|
| Habilitado | Valor booleano que indica si el servicio cifra o no los datos a medida que se almacenan. El cifrado en reposo está habilitado de forma predeterminada en la actualidad y no se puede deshabilitar. | Bool |
| keyType | Tipo de clave de cifrado que se va a usar para el servicio de cifrado. El tipo de clave "Account" implica que se usará una clave de cifrado con ámbito de cuenta. El tipo de clave "Servicio" implica que se usa una clave de servicio predeterminada. | "Cuenta" "Servicio" |
ImmutableStorageAccount
| Nombre | Descripción | Valor |
|---|---|---|
| Habilitado | Marca booleana que permite la inmutabilidad de nivel de cuenta. Todos los contenedores de dicha cuenta tienen la inmutabilidad de nivel de objeto habilitada de forma predeterminada. | Bool |
| immutabilityPolicy | Especifica la directiva predeterminada de inmutabilidad de nivel de cuenta que se hereda y se aplica a los objetos que no poseen una directiva de inmutabilidad explícita en el nivel de objeto. La directiva de inmutabilidad de nivel de objeto tiene mayor prioridad que la directiva de inmutabilidad de nivel de contenedor, que tiene una prioridad más alta que la directiva de inmutabilidad de nivel de cuenta. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Nombre | Descripción | Valor |
|---|---|---|
| allowProtectedAppendWrites | Esta propiedad solo se puede cambiar para las directivas de retención deshabilitadas y desbloqueadas basadas en el tiempo. Cuando se habilita, los nuevos bloques se pueden escribir en un blob en anexos al tiempo que se mantiene la protección y el cumplimiento de la inmutabilidad. Solo se pueden agregar nuevos bloques y no se pueden modificar ni eliminar los bloques existentes. | Bool |
| immutabilityPeriodSinceCreationInDays | Período de inmutabilidad para los blobs del contenedor desde la creación de la directiva, en días. | Int Restricciones: Valor mínimo = 1 Valor máximo = 146000 |
| estado | El estado ImmutabilityPolicy define el modo de la directiva. El estado deshabilitado deshabilita la directiva, el estado Desbloqueado permite aumentar y disminuir el tiempo de retención de inmutabilidad y también permite alternar la propiedad allowProtectedAppendWrites, el estado Bloqueado solo permite el aumento del tiempo de retención de inmutabilidad. Una directiva solo se puede crear en un estado Deshabilitado o Desbloqueado y se puede alternar entre los dos estados. Solo una directiva en un estado Desbloqueado puede pasar a un estado Bloqueado que no se puede revertir. | 'Deshabilitado' "Bloqueado" "Desbloqueado" |
KeyPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| keyExpirationPeriodInDays | Período de expiración de la clave en días. | int (obligatorio) |
NetworkRuleSet
| Nombre | Descripción | Valor |
|---|---|---|
| puentear | Especifica si se omite el tráfico para Logging/Metrics/AzureServices. Los valores posibles son cualquier combinación de registro, métricas, AzureServices (por ejemplo, "Registro, métricas") o Ninguno para omitir ninguno de esos tráficos. | "AzureServices" "Registro" "Métricas" 'Ninguno' |
| defaultAction | Especifica la acción predeterminada de permitir o denegar cuando no coinciden otras reglas. | 'Permitir' 'Deny' (obligatorio) |
| ipRules | Establece las reglas de ACL de IP | IPRule [] |
| resourceAccessRules | Establece las reglas de acceso a recursos | resourceAccessRule[] |
| virtualNetworkRules | Establece las reglas de red virtual | virtualNetworkRule[] |
IPRule
| Nombre | Descripción | Valor |
|---|---|---|
| acción | Acción de la regla de ACL de IP. | 'Permitir' |
| valor | Especifica el intervalo IP o IP en formato CIDR. Solo se permite la dirección IPV4. | string (obligatorio) |
ResourceAccessRule
| Nombre | Descripción | Valor |
|---|---|---|
| resourceId | Identificador de recurso | cuerda |
| tenantId | Id. de inquilino | cuerda |
VirtualNetworkRule
| Nombre | Descripción | Valor |
|---|---|---|
| acción | Acción de la regla de red virtual. | 'Permitir' |
| identificación | Identificador de recurso de una subred, por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | string (obligatorio) |
| estado | Obtiene el estado de la regla de red virtual. | "Desaprovisionamiento" 'Error' 'NetworkSourceDeleted' "Aprovisionamiento" "Correcto" |
EnrutamientoPreferencia
| Nombre | Descripción | Valor |
|---|---|---|
| publishInternetEndpoints | Marca booleana que indica si se van a publicar puntos de conexión de almacenamiento de enrutamiento de Internet | Bool |
| publishMicrosoftEndpoints | Marca booleana que indica si se van a publicar puntos de conexión de almacenamiento de enrutamiento de Microsoft | Bool |
| routingChoice | La opción de enrutamiento define el tipo de enrutamiento de red elegido por el usuario. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| expirationAction | La acción de expiración de SAS define la acción que se va a realizar cuando se infringe sasPolicy.sasExpirationPeriod. La acción "Registro" se puede usar con fines de auditoría y la acción "Bloquear" se puede usar para bloquear y denegar el uso de tokens de SAS que no se adhieren al período de expiración de la directiva sas. | 'Bloquear' 'Log' (obligatorio) |
| sasExpirationPeriod | El período de expiración de SAS, DD.HH:MM:SS. | string (obligatorio) |
Sku
| Nombre | Descripción | Valor |
|---|---|---|
| nombre | Nombre de la SKU. Necesario para la creación de cuentas; opcional para la actualización. Tenga en cuenta que en versiones anteriores, el nombre de la SKU se llamó accountType. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" 'Standard_ZRS' (obligatorio) |
Plantillas de inicio rápido
Las siguientes plantillas de inicio rápido implementan este tipo de recurso.
| Plantilla | Descripción |
|---|---|
Conectarse a una cuenta de almacenamiento desde una máquina virtual a través de un punto de conexión privado
|
En este ejemplo se muestra cómo usar la conexión de una red virtual para acceder a una cuenta de Blob Storage a través de un punto de conexión privado. |
|
Conectarse a un recurso compartido de archivos de Azure a través de un punto de conexión privado
|
En este ejemplo se muestra cómo usar la configuración de una red virtual y una zona DNS privada para acceder a un recurso compartido de archivos de Azure a través de un punto de conexión privado. |
|
Crear una cuenta de almacenamiento estándar
|
Esta plantilla crea una cuenta de almacenamiento estándar |
|
Crear una cuenta de almacenamiento con SSE
|
Esta plantilla crea una cuenta de almacenamiento con Storage Service Encryption para datos en reposo. |
| cuenta de almacenamiento de con Advanced Threat Protection
|
Esta plantilla le permite implementar una cuenta de Azure Storage con Advanced Threat Protection habilitado. |
|
Crear una cuenta de Azure Storage y un contenedor de blobs en Azure
|
Esta plantilla crea una cuenta de Azure Storage y un contenedor de blobs. |
|
cuenta de almacenamiento con la directiva de retención de eliminación de blobs y SSE
|
Esta plantilla crea una cuenta de almacenamiento con Storage Service Encryption y una directiva de retención de eliminación de blobs. |
|
Cifrado de cuentas de Azure Storage con clave administrada por el cliente
|
Esta plantilla implementa una cuenta de almacenamiento con una clave administrada por el cliente para el cifrado generado y colocado dentro de un almacén de claves. |
|
Crear una cuenta de almacenamiento con del recurso compartido de archivos
|
Esta plantilla crea una cuenta de Azure Storage y un recurso compartido de archivos. |
|
Creación de una cuenta de almacenamiento con varios contenedores de blobs
|
Crea una cuenta de Azure Storage y varios contenedores de blobs. |
|
Crear una cuenta de almacenamiento con varios recursos compartidos de archivos
|
Crea una cuenta de Azure Storage y varios recursos compartidos de archivos. |
|
Crear cuenta de almacenamiento con habilitado para SFTP
|
Crea una cuenta de Azure Storage y un contenedor de blobs al que se puede acceder mediante el protocolo SFTP. El acceso puede ser una contraseña o una clave pública. |
|
Implementa un sitio web estático
|
Implementa un sitio web estático con una cuenta de almacenamiento de respaldo |
Definición de recursos de plantilla de ARM
El tipo de recurso storageAccounts se puede implementar con operaciones destinadas a:
- grupos de recursos: consulte comandos de implementación de grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de recurso
Para crear un recurso Microsoft.Storage/storageAccounts, agregue el siguiente JSON a la plantilla.
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-05-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"sku": {
"name": "string"
},
"kind": "string",
"extendedLocation": {
"name": "string",
"type": "EdgeZone"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"accessTier": "string",
"allowBlobPublicAccess": "bool",
"allowCrossTenantReplication": "bool",
"allowedCopyScope": "string",
"allowSharedKeyAccess": "bool",
"azureFilesIdentityBasedAuthentication": {
"activeDirectoryProperties": {
"accountType": "string",
"azureStorageSid": "string",
"domainGuid": "string",
"domainName": "string",
"domainSid": "string",
"forestName": "string",
"netBiosDomainName": "string",
"samAccountName": "string"
},
"defaultSharePermission": "string",
"directoryServiceOptions": "string"
},
"customDomain": {
"name": "string",
"useSubDomainName": "bool"
},
"defaultToOAuthAuthentication": "bool",
"dnsEndpointType": "string",
"enableExtendedGroups": "bool",
"encryption": {
"identity": {
"federatedIdentityClientId": "string",
"userAssignedIdentity": "string"
},
"keySource": "string",
"keyvaultproperties": {
"keyname": "string",
"keyvaulturi": "string",
"keyversion": "string"
},
"requireInfrastructureEncryption": "bool",
"services": {
"blob": {
"enabled": "bool",
"keyType": "string"
},
"file": {
"enabled": "bool",
"keyType": "string"
},
"queue": {
"enabled": "bool",
"keyType": "string"
},
"table": {
"enabled": "bool",
"keyType": "string"
}
}
},
"immutableStorageWithVersioning": {
"enabled": "bool",
"immutabilityPolicy": {
"allowProtectedAppendWrites": "bool",
"immutabilityPeriodSinceCreationInDays": "int",
"state": "string"
}
},
"isHnsEnabled": "bool",
"isLocalUserEnabled": "bool",
"isNfsV3Enabled": "bool",
"isSftpEnabled": "bool",
"keyPolicy": {
"keyExpirationPeriodInDays": "int"
},
"largeFileSharesState": "string",
"minimumTlsVersion": "string",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"action": "Allow",
"value": "string"
}
],
"resourceAccessRules": [
{
"resourceId": "string",
"tenantId": "string"
}
],
"virtualNetworkRules": [
{
"action": "Allow",
"id": "string",
"state": "string"
}
]
},
"publicNetworkAccess": "string",
"routingPreference": {
"publishInternetEndpoints": "bool",
"publishMicrosoftEndpoints": "bool",
"routingChoice": "string"
},
"sasPolicy": {
"expirationAction": "string",
"sasExpirationPeriod": "string"
},
"supportsHttpsTrafficOnly": "bool"
}
}
Valores de propiedad
storageAccounts
| Nombre | Descripción | Valor |
|---|---|---|
| tipo | El tipo de recurso | "Microsoft.Storage/storageAccounts" |
| apiVersion | La versión de la API de recursos | '2023-05-01' |
| nombre | El nombre del recurso | string (obligatorio) Límite de caracteres: 3-24 Caracteres válidos: Letras minúsculas y números. El nombre del recurso debe ser único en Azure. |
| ubicación | Obligatorio. Obtiene o establece la ubicación del recurso. Esta será una de las regiones geográficas de Azure admitidas y registradas (por ejemplo, Oeste de EE. UU., Este de EE. UU., Sudeste de Asia, etc.). La región geográfica de un recurso no se puede cambiar una vez creada, pero si se especifica una región geográfica idéntica en la actualización, la solicitud se realizará correctamente. | string (obligatorio) |
| Etiquetas | Obtiene o establece una lista de pares clave-valor que describen el recurso. Estas etiquetas se pueden usar para ver y agrupar este recurso (entre grupos de recursos). Se puede proporcionar un máximo de 15 etiquetas para un recurso. Cada etiqueta debe tener una clave con una longitud no superior a 128 caracteres y un valor con una longitud no superior a 256 caracteres. | Diccionario de nombres y valores de etiqueta. Consulte etiquetas de en plantillas |
| Sku | Obligatorio. Obtiene o establece el nombre de la SKU. | de Sku (obligatorio) |
| amable | Obligatorio. Indica el tipo de cuenta de almacenamiento. | "BlobStorage" 'BlockBlobStorage' 'FileStorage' 'Storage' 'StorageV2' (obligatorio) |
| extendedLocation | Opcional. Establezca la ubicación extendida del recurso. Si no se establece, la cuenta de almacenamiento se creará en la región principal de Azure. De lo contrario, se creará en la ubicación extendida especificada. | ExtendedLocation |
| identidad | Identidad del recurso. | Identity |
| Propiedades | Parámetros usados para crear la cuenta de almacenamiento. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Nombre | Descripción | Valor |
|---|---|---|
| nombre | Nombre de la ubicación extendida. | cuerda |
| tipo | Tipo de la ubicación extendida. | 'EdgeZone' |
Identidad
IdentityUserAssignedIdentities
| Nombre | Descripción | Valor |
|---|---|---|
| {propiedad personalizada} | UserAssignedIdentity |
UserAssignedIdentity
Este objeto no contiene ninguna propiedad que se establezca durante la implementación. Todas las propiedades son ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Nombre | Descripción | Valor |
|---|---|---|
| accessTier | Necesario para las cuentas de almacenamiento donde kind = BlobStorage. El nivel de acceso se usa para la facturación. El nivel de acceso "Premium" es el valor predeterminado para el tipo de cuenta de almacenamiento de blobs en bloques Premium y no se puede cambiar para el tipo de cuenta de almacenamiento de blobs en bloques Premium. | "Frío" 'Esporádico' "Frecuente" 'Premium' |
| allowBlobPublicAccess | Permitir o denegar el acceso público a todos los blobs o contenedores de la cuenta de almacenamiento. La interpretación predeterminada es false para esta propiedad. | Bool |
| allowCrossTenantReplication | Permitir o denegar la replicación entre objetos de inquilino de AAD. Establezca esta propiedad en true para las cuentas nuevas o existentes solo si las directivas de replicación de objetos implican cuentas de almacenamiento en distintos inquilinos de AAD. La interpretación predeterminada es false para que las cuentas nuevas sigan los procedimientos de seguridad recomendados de forma predeterminada. | Bool |
| allowedCopyScope | Restrinja la copia hacia y desde las cuentas de almacenamiento dentro de un inquilino de AAD o con vínculos privados a la misma red virtual. | 'AAD' "PrivateLink" |
| allowSharedKeyAccess | Indica si la cuenta de almacenamiento permite que las solicitudes se autoricen con la clave de acceso de la cuenta a través de la clave compartida. Si es false, todas las solicitudes, incluidas las firmas de acceso compartido, deben estar autorizadas con Azure Active Directory (Azure AD). El valor predeterminado es NULL, que es equivalente a true. | Bool |
| azureFilesIdentityBasedAuthentication | Proporciona la configuración de autenticación basada en identidades para Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Dominio de usuario asignado a la cuenta de almacenamiento. Name es el origen CNAME. Solo se admite un dominio personalizado por cuenta de almacenamiento en este momento. Para borrar el dominio personalizado existente, use una cadena vacía para la propiedad de nombre de dominio personalizado. | CustomDomain |
| defaultToOAuthAuthentication | Marca booleana que indica si la autenticación predeterminada es OAuth o no. La interpretación predeterminada es false para esta propiedad. | Bool |
| dnsEndpointType | Permite especificar el tipo de punto de conexión. Establézcalo en AzureDNSZone para crear un gran número de cuentas en una sola suscripción, que crea cuentas en una zona DNS de Azure y la dirección URL del punto de conexión tendrá un identificador de zona DNS alfanumérica. | "AzureDnsZone" 'Estándar' |
| enableExtendedGroups | Habilita la compatibilidad extendida con grupos con la característica de usuarios locales, si se establece en true. | Bool |
| encriptación | Configuración de cifrado que se usará para el cifrado del lado servidor para la cuenta de almacenamiento. | de cifrado |
| immutableStorageWithVersioning | La propiedad es inmutable y solo se puede establecer en true en el momento de creación de la cuenta. Cuando se establece en true, habilita la inmutabilidad de nivel de objeto para todos los nuevos contenedores de la cuenta de forma predeterminada. | ImmutableStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace habilitado si se establece en true. | Bool |
| isLocalUserEnabled | Habilita la característica de usuarios locales, si se establece en true. | Bool |
| isNfsV3Enabled | El protocolo NFS 3.0 admite habilitado si se establece en true. | Bool |
| isSftpEnabled | Habilita el protocolo de transferencia de archivos seguros, si se establece en true. | Bool |
| keyPolicy | KeyPolicy asignado a la cuenta de almacenamiento. | keyPolicy de |
| largeFileSharesState | Permitir recursos compartidos de archivos grandes si se establece en Habilitado. No se puede deshabilitar una vez habilitado. | 'Deshabilitado' 'Habilitado' |
| minimumTlsVersion | Establezca la versión mínima de TLS que se permitirá en las solicitudes al almacenamiento. La interpretación predeterminada es TLS 1.0 para esta propiedad. | "TLS1_0" "TLS1_1" "TLS1_2" "TLS1_3" |
| networkAcls | Conjunto de reglas de red | NetworkRuleSet |
| publicNetworkAccess | Permitir, no permitir o permitir que la configuración del perímetro de seguridad de red evalúe el acceso de red pública a la cuenta de almacenamiento. El valor es opcional, pero si se pasa, debe ser "Enabled", "Disabled" o "SecuredByPerimeter". | 'Deshabilitado' 'Habilitado' "SecuredByPerimeter" |
| routingPreference | Mantiene información sobre la opción de enrutamiento de red elegida por el usuario para la transferencia de datos. | enrutamientoPreferencia |
| sasPolicy | SasPolicy asignado a la cuenta de almacenamiento. | SasPolicy |
| supportsHttpsTrafficOnly | Permite el tráfico https solo al servicio de almacenamiento si se establece en true. El valor predeterminado es true desde la versión de API 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
| Nombre | Descripción | Valor |
|---|---|---|
| activeDirectoryProperties | Obligatorio si directoryServiceOptions es AD, opcional si son AADKERB. | activeDirectoryProperties |
| defaultSharePermission | Permiso de recurso compartido predeterminado para los usuarios que usan la autenticación Kerberos si no se asigna el rol RBAC. | 'Ninguno' 'StorageFileDataSmbShareContributor' 'StorageFileDataSmbShareElevatedContributor' 'StorageFileDataSmbShareReader' |
| directoryServiceOptions | Indica el servicio de directorio usado. Tenga en cuenta que esta enumeración se puede extender en el futuro. | "AADDS" 'AADKERB' "AD" 'None' (obligatorio) |
ActiveDirectoryProperties
| Nombre | Descripción | Valor |
|---|---|---|
| accountType | Especifica el tipo de cuenta de Active Directory para Azure Storage. | 'Equipo' "Usuario" |
| azureStorageSid | Especifica el identificador de seguridad (SID) para Azure Storage. | cuerda |
| domainGuid | Especifica el GUID de dominio. | string (obligatorio) |
| domainName | Especifica el dominio principal para el que el servidor DNS de AD es autoritativo. | string (obligatorio) |
| domainSid | Especifica el identificador de seguridad (SID). | cuerda |
| forestName | Especifica el bosque de Active Directory que se va a obtener. | cuerda |
| netBiosDomainName | Especifica el nombre de dominio netBIOS. | cuerda |
| samAccountName | Especifica el SAMAccountName de Active Directory para Azure Storage. | cuerda |
CustomDomain
| Nombre | Descripción | Valor |
|---|---|---|
| nombre | Obtiene o establece el nombre de dominio personalizado asignado a la cuenta de almacenamiento. Name es el origen CNAME. | string (obligatorio) |
| useSubDomainName | Indica si la validación indirecta de CName está habilitada. El valor predeterminado es false. Esto solo debe establecerse en las actualizaciones. | Bool |
Encriptación
| Nombre | Descripción | Valor |
|---|---|---|
| identidad | Identidad que se va a usar con el cifrado del lado del servicio en reposo. | EncryptionIdentity de |
| keySource | KeySource (proveedor) de cifrado. Valores posibles (sin distinción entre mayúsculas y minúsculas): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
| keyvaultproperties | Propiedades proporcionadas por el almacén de claves. | KeyVaultProperties |
| requireInfrastructureEncryption | Valor booleano que indica si el servicio aplica o no una capa secundaria de cifrado con claves administradas por la plataforma para los datos en reposo. | Bool |
| servicios | Lista de servicios que admiten el cifrado. | encryptionServices de |
EncryptionIdentity
| Nombre | Descripción | Valor |
|---|---|---|
| federatedIdentityClientId | ClientId de la aplicación multiinquilino que se va a usar junto con la identidad asignada por el usuario para el cifrado del lado servidor de claves administradas por el cliente entre inquilinos en la cuenta de almacenamiento. | cuerda |
| userAssignedIdentity | Identificador de recurso de la identidad UserAssigned que se va a asociar al cifrado del lado servidor en la cuenta de almacenamiento. | cuerda |
KeyVaultProperties
| Nombre | Descripción | Valor |
|---|---|---|
| keyname | Nombre de la clave KeyVault. | cuerda |
| keyvaulturi | Uri de KeyVault. | cuerda |
| keyversion | Versión de la clave KeyVault. | cuerda |
EncryptionServices
| Nombre | Descripción | Valor |
|---|---|---|
| Blob | Función de cifrado del servicio blob Storage. | EncryptionService |
| archivo | Función de cifrado del servicio de almacenamiento de archivos. | EncryptionService |
| cola | Función de cifrado del servicio de almacenamiento en cola. | EncryptionService |
| mesa | Función de cifrado del servicio table storage. | EncryptionService |
EncryptionService
| Nombre | Descripción | Valor |
|---|---|---|
| Habilitado | Valor booleano que indica si el servicio cifra o no los datos a medida que se almacenan. El cifrado en reposo está habilitado de forma predeterminada en la actualidad y no se puede deshabilitar. | Bool |
| keyType | Tipo de clave de cifrado que se va a usar para el servicio de cifrado. El tipo de clave "Account" implica que se usará una clave de cifrado con ámbito de cuenta. El tipo de clave "Servicio" implica que se usa una clave de servicio predeterminada. | "Cuenta" "Servicio" |
ImmutableStorageAccount
| Nombre | Descripción | Valor |
|---|---|---|
| Habilitado | Marca booleana que permite la inmutabilidad de nivel de cuenta. Todos los contenedores de dicha cuenta tienen la inmutabilidad de nivel de objeto habilitada de forma predeterminada. | Bool |
| immutabilityPolicy | Especifica la directiva predeterminada de inmutabilidad de nivel de cuenta que se hereda y se aplica a los objetos que no poseen una directiva de inmutabilidad explícita en el nivel de objeto. La directiva de inmutabilidad de nivel de objeto tiene mayor prioridad que la directiva de inmutabilidad de nivel de contenedor, que tiene una prioridad más alta que la directiva de inmutabilidad de nivel de cuenta. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Nombre | Descripción | Valor |
|---|---|---|
| allowProtectedAppendWrites | Esta propiedad solo se puede cambiar para las directivas de retención deshabilitadas y desbloqueadas basadas en el tiempo. Cuando se habilita, los nuevos bloques se pueden escribir en un blob en anexos al tiempo que se mantiene la protección y el cumplimiento de la inmutabilidad. Solo se pueden agregar nuevos bloques y no se pueden modificar ni eliminar los bloques existentes. | Bool |
| immutabilityPeriodSinceCreationInDays | Período de inmutabilidad para los blobs del contenedor desde la creación de la directiva, en días. | Int Restricciones: Valor mínimo = 1 Valor máximo = 146000 |
| estado | El estado ImmutabilityPolicy define el modo de la directiva. El estado deshabilitado deshabilita la directiva, el estado Desbloqueado permite aumentar y disminuir el tiempo de retención de inmutabilidad y también permite alternar la propiedad allowProtectedAppendWrites, el estado Bloqueado solo permite el aumento del tiempo de retención de inmutabilidad. Una directiva solo se puede crear en un estado Deshabilitado o Desbloqueado y se puede alternar entre los dos estados. Solo una directiva en un estado Desbloqueado puede pasar a un estado Bloqueado que no se puede revertir. | 'Deshabilitado' "Bloqueado" "Desbloqueado" |
KeyPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| keyExpirationPeriodInDays | Período de expiración de la clave en días. | int (obligatorio) |
NetworkRuleSet
| Nombre | Descripción | Valor |
|---|---|---|
| puentear | Especifica si se omite el tráfico para Logging/Metrics/AzureServices. Los valores posibles son cualquier combinación de registro, métricas, AzureServices (por ejemplo, "Registro, métricas") o Ninguno para omitir ninguno de esos tráficos. | "AzureServices" "Registro" "Métricas" 'Ninguno' |
| defaultAction | Especifica la acción predeterminada de permitir o denegar cuando no coinciden otras reglas. | 'Permitir' 'Deny' (obligatorio) |
| ipRules | Establece las reglas de ACL de IP | IPRule [] |
| resourceAccessRules | Establece las reglas de acceso a recursos | resourceAccessRule[] |
| virtualNetworkRules | Establece las reglas de red virtual | virtualNetworkRule[] |
IPRule
| Nombre | Descripción | Valor |
|---|---|---|
| acción | Acción de la regla de ACL de IP. | 'Permitir' |
| valor | Especifica el intervalo IP o IP en formato CIDR. Solo se permite la dirección IPV4. | string (obligatorio) |
ResourceAccessRule
| Nombre | Descripción | Valor |
|---|---|---|
| resourceId | Identificador de recurso | cuerda |
| tenantId | Id. de inquilino | cuerda |
VirtualNetworkRule
| Nombre | Descripción | Valor |
|---|---|---|
| acción | Acción de la regla de red virtual. | 'Permitir' |
| identificación | Identificador de recurso de una subred, por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | string (obligatorio) |
| estado | Obtiene el estado de la regla de red virtual. | "Desaprovisionamiento" 'Error' 'NetworkSourceDeleted' "Aprovisionamiento" "Correcto" |
EnrutamientoPreferencia
| Nombre | Descripción | Valor |
|---|---|---|
| publishInternetEndpoints | Marca booleana que indica si se van a publicar puntos de conexión de almacenamiento de enrutamiento de Internet | Bool |
| publishMicrosoftEndpoints | Marca booleana que indica si se van a publicar puntos de conexión de almacenamiento de enrutamiento de Microsoft | Bool |
| routingChoice | La opción de enrutamiento define el tipo de enrutamiento de red elegido por el usuario. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| expirationAction | La acción de expiración de SAS define la acción que se va a realizar cuando se infringe sasPolicy.sasExpirationPeriod. La acción "Registro" se puede usar con fines de auditoría y la acción "Bloquear" se puede usar para bloquear y denegar el uso de tokens de SAS que no se adhieren al período de expiración de la directiva sas. | 'Bloquear' 'Log' (obligatorio) |
| sasExpirationPeriod | El período de expiración de SAS, DD.HH:MM:SS. | string (obligatorio) |
Sku
| Nombre | Descripción | Valor |
|---|---|---|
| nombre | Nombre de la SKU. Necesario para la creación de cuentas; opcional para la actualización. Tenga en cuenta que en versiones anteriores, el nombre de la SKU se llamó accountType. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" 'Standard_ZRS' (obligatorio) |
Plantillas de inicio rápido
Las siguientes plantillas de inicio rápido implementan este tipo de recurso.
| Plantilla | Descripción |
|---|---|
|
Conectarse a una cuenta de almacenamiento desde una máquina virtual a través de un punto de conexión privado
|
En este ejemplo se muestra cómo usar la conexión de una red virtual para acceder a una cuenta de Blob Storage a través de un punto de conexión privado. |
|
Conectarse a un recurso compartido de archivos de Azure a través de un punto de conexión privado
|
En este ejemplo se muestra cómo usar la configuración de una red virtual y una zona DNS privada para acceder a un recurso compartido de archivos de Azure a través de un punto de conexión privado. |
|
Crear una cuenta de almacenamiento estándar
|
Esta plantilla crea una cuenta de almacenamiento estándar |
|
Crear una cuenta de almacenamiento con SSE
|
Esta plantilla crea una cuenta de almacenamiento con Storage Service Encryption para datos en reposo. |
| cuenta de almacenamiento de con Advanced Threat Protection
|
Esta plantilla le permite implementar una cuenta de Azure Storage con Advanced Threat Protection habilitado. |
|
Crear una cuenta de Azure Storage y un contenedor de blobs en Azure
|
Esta plantilla crea una cuenta de Azure Storage y un contenedor de blobs. |
|
cuenta de almacenamiento con la directiva de retención de eliminación de blobs y SSE
|
Esta plantilla crea una cuenta de almacenamiento con Storage Service Encryption y una directiva de retención de eliminación de blobs. |
|
Cifrado de cuentas de Azure Storage con clave administrada por el cliente
|
Esta plantilla implementa una cuenta de almacenamiento con una clave administrada por el cliente para el cifrado generado y colocado dentro de un almacén de claves. |
|
Crear una cuenta de almacenamiento con del recurso compartido de archivos
|
Esta plantilla crea una cuenta de Azure Storage y un recurso compartido de archivos. |
|
Creación de una cuenta de almacenamiento con varios contenedores de blobs
|
Crea una cuenta de Azure Storage y varios contenedores de blobs. |
|
Crear una cuenta de almacenamiento con varios recursos compartidos de archivos
|
Crea una cuenta de Azure Storage y varios recursos compartidos de archivos. |
|
Crear cuenta de almacenamiento con habilitado para SFTP
|
Crea una cuenta de Azure Storage y un contenedor de blobs al que se puede acceder mediante el protocolo SFTP. El acceso puede ser una contraseña o una clave pública. |
|
Implementa un sitio web estático
|
Implementa un sitio web estático con una cuenta de almacenamiento de respaldo |
Definición de recursos de Terraform (proveedor AzAPI)
El tipo de recurso storageAccounts se puede implementar con operaciones destinadas a:
- grupos de recursos de
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de recurso
Para crear un recurso Microsoft.Storage/storageAccounts, agregue el siguiente terraform a la plantilla.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Storage/storageAccounts@2023-05-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
accessTier = "string"
allowBlobPublicAccess = bool
allowCrossTenantReplication = bool
allowedCopyScope = "string"
allowSharedKeyAccess = bool
azureFilesIdentityBasedAuthentication = {
activeDirectoryProperties = {
accountType = "string"
azureStorageSid = "string"
domainGuid = "string"
domainName = "string"
domainSid = "string"
forestName = "string"
netBiosDomainName = "string"
samAccountName = "string"
}
defaultSharePermission = "string"
directoryServiceOptions = "string"
}
customDomain = {
name = "string"
useSubDomainName = bool
}
defaultToOAuthAuthentication = bool
dnsEndpointType = "string"
enableExtendedGroups = bool
encryption = {
identity = {
federatedIdentityClientId = "string"
userAssignedIdentity = "string"
}
keySource = "string"
keyvaultproperties = {
keyname = "string"
keyvaulturi = "string"
keyversion = "string"
}
requireInfrastructureEncryption = bool
services = {
blob = {
enabled = bool
keyType = "string"
}
file = {
enabled = bool
keyType = "string"
}
queue = {
enabled = bool
keyType = "string"
}
table = {
enabled = bool
keyType = "string"
}
}
}
immutableStorageWithVersioning = {
enabled = bool
immutabilityPolicy = {
allowProtectedAppendWrites = bool
immutabilityPeriodSinceCreationInDays = int
state = "string"
}
}
isHnsEnabled = bool
isLocalUserEnabled = bool
isNfsV3Enabled = bool
isSftpEnabled = bool
keyPolicy = {
keyExpirationPeriodInDays = int
}
largeFileSharesState = "string"
minimumTlsVersion = "string"
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
action = "Allow"
value = "string"
}
]
resourceAccessRules = [
{
resourceId = "string"
tenantId = "string"
}
]
virtualNetworkRules = [
{
action = "Allow"
id = "string"
state = "string"
}
]
}
publicNetworkAccess = "string"
routingPreference = {
publishInternetEndpoints = bool
publishMicrosoftEndpoints = bool
routingChoice = "string"
}
sasPolicy = {
expirationAction = "string"
sasExpirationPeriod = "string"
}
supportsHttpsTrafficOnly = bool
}
sku = {
name = "string"
}
kind = "string"
extendedLocation = {
name = "string"
type = "EdgeZone"
}
})
}
Valores de propiedad
storageAccounts
| Nombre | Descripción | Valor |
|---|---|---|
| tipo | El tipo de recurso | "Microsoft.Storage/storageAccounts@2023-05-01" |
| nombre | El nombre del recurso | string (obligatorio) Límite de caracteres: 3-24 Caracteres válidos: Letras minúsculas y números. El nombre del recurso debe ser único en Azure. |
| ubicación | Obligatorio. Obtiene o establece la ubicación del recurso. Esta será una de las regiones geográficas de Azure admitidas y registradas (por ejemplo, Oeste de EE. UU., Este de EE. UU., Sudeste de Asia, etc.). La región geográfica de un recurso no se puede cambiar una vez creada, pero si se especifica una región geográfica idéntica en la actualización, la solicitud se realizará correctamente. | string (obligatorio) |
| parent_id | Para realizar la implementación en un grupo de recursos, use el identificador de ese grupo de recursos. | string (obligatorio) |
| Etiquetas | Obtiene o establece una lista de pares clave-valor que describen el recurso. Estas etiquetas se pueden usar para ver y agrupar este recurso (entre grupos de recursos). Se puede proporcionar un máximo de 15 etiquetas para un recurso. Cada etiqueta debe tener una clave con una longitud no superior a 128 caracteres y un valor con una longitud no superior a 256 caracteres. | Diccionario de nombres y valores de etiqueta. |
| Sku | Obligatorio. Obtiene o establece el nombre de la SKU. | de Sku (obligatorio) |
| amable | Obligatorio. Indica el tipo de cuenta de almacenamiento. | "BlobStorage" "BlockBlobStorage" "FileStorage" "Almacenamiento" "StorageV2" (obligatorio) |
| extendedLocation | Opcional. Establezca la ubicación extendida del recurso. Si no se establece, la cuenta de almacenamiento se creará en la región principal de Azure. De lo contrario, se creará en la ubicación extendida especificada. | ExtendedLocation |
| identidad | Identidad del recurso. | Identity |
| Propiedades | Parámetros usados para crear la cuenta de almacenamiento. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Nombre | Descripción | Valor |
|---|---|---|
| nombre | Nombre de la ubicación extendida. | cuerda |
| tipo | Tipo de la ubicación extendida. | "EdgeZone" |
Identidad
| Nombre | Descripción | Valor |
|---|---|---|
| tipo | Tipo de identidad. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" (obligatorio) |
| identity_ids | Obtiene o establece una lista de pares clave-valor que describen el conjunto de identidades asignadas por el usuario que se usarán con esta cuenta de almacenamiento. La clave es el identificador de recursos de ARM de la identidad. Aquí solo se permite 1 identidad asignada por el usuario. | Matriz de identificadores de identidad de usuario. |
IdentityUserAssignedIdentities
| Nombre | Descripción | Valor |
|---|---|---|
| {propiedad personalizada} | UserAssignedIdentity |
UserAssignedIdentity
Este objeto no contiene ninguna propiedad que se establezca durante la implementación. Todas las propiedades son ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Nombre | Descripción | Valor |
|---|---|---|
| accessTier | Necesario para las cuentas de almacenamiento donde kind = BlobStorage. El nivel de acceso se usa para la facturación. El nivel de acceso "Premium" es el valor predeterminado para el tipo de cuenta de almacenamiento de blobs en bloques Premium y no se puede cambiar para el tipo de cuenta de almacenamiento de blobs en bloques Premium. | "Frío" "Esporádico" "Frecuente" "Premium" |
| allowBlobPublicAccess | Permitir o denegar el acceso público a todos los blobs o contenedores de la cuenta de almacenamiento. La interpretación predeterminada es false para esta propiedad. | Bool |
| allowCrossTenantReplication | Permitir o denegar la replicación entre objetos de inquilino de AAD. Establezca esta propiedad en true para las cuentas nuevas o existentes solo si las directivas de replicación de objetos implican cuentas de almacenamiento en distintos inquilinos de AAD. La interpretación predeterminada es false para que las cuentas nuevas sigan los procedimientos de seguridad recomendados de forma predeterminada. | Bool |
| allowedCopyScope | Restrinja la copia hacia y desde las cuentas de almacenamiento dentro de un inquilino de AAD o con vínculos privados a la misma red virtual. | "AAD" "PrivateLink" |
| allowSharedKeyAccess | Indica si la cuenta de almacenamiento permite que las solicitudes se autoricen con la clave de acceso de la cuenta a través de la clave compartida. Si es false, todas las solicitudes, incluidas las firmas de acceso compartido, deben estar autorizadas con Azure Active Directory (Azure AD). El valor predeterminado es NULL, que es equivalente a true. | Bool |
| azureFilesIdentityBasedAuthentication | Proporciona la configuración de autenticación basada en identidades para Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Dominio de usuario asignado a la cuenta de almacenamiento. Name es el origen CNAME. Solo se admite un dominio personalizado por cuenta de almacenamiento en este momento. Para borrar el dominio personalizado existente, use una cadena vacía para la propiedad de nombre de dominio personalizado. | CustomDomain |
| defaultToOAuthAuthentication | Marca booleana que indica si la autenticación predeterminada es OAuth o no. La interpretación predeterminada es false para esta propiedad. | Bool |
| dnsEndpointType | Permite especificar el tipo de punto de conexión. Establézcalo en AzureDNSZone para crear un gran número de cuentas en una sola suscripción, que crea cuentas en una zona DNS de Azure y la dirección URL del punto de conexión tendrá un identificador de zona DNS alfanumérica. | "AzureDnsZone" "Estándar" |
| enableExtendedGroups | Habilita la compatibilidad extendida con grupos con la característica de usuarios locales, si se establece en true. | Bool |
| encriptación | Configuración de cifrado que se usará para el cifrado del lado servidor para la cuenta de almacenamiento. | de cifrado |
| immutableStorageWithVersioning | La propiedad es inmutable y solo se puede establecer en true en el momento de creación de la cuenta. Cuando se establece en true, habilita la inmutabilidad de nivel de objeto para todos los nuevos contenedores de la cuenta de forma predeterminada. | ImmutableStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace habilitado si se establece en true. | Bool |
| isLocalUserEnabled | Habilita la característica de usuarios locales, si se establece en true. | Bool |
| isNfsV3Enabled | El protocolo NFS 3.0 admite habilitado si se establece en true. | Bool |
| isSftpEnabled | Habilita el protocolo de transferencia de archivos seguros, si se establece en true. | Bool |
| keyPolicy | KeyPolicy asignado a la cuenta de almacenamiento. | keyPolicy de |
| largeFileSharesState | Permitir recursos compartidos de archivos grandes si se establece en Habilitado. No se puede deshabilitar una vez habilitado. | "Deshabilitado" "Habilitado" |
| minimumTlsVersion | Establezca la versión mínima de TLS que se permitirá en las solicitudes al almacenamiento. La interpretación predeterminada es TLS 1.0 para esta propiedad. | "TLS1_0" "TLS1_1" "TLS1_2" "TLS1_3" |
| networkAcls | Conjunto de reglas de red | NetworkRuleSet |
| publicNetworkAccess | Permitir, no permitir o permitir que la configuración del perímetro de seguridad de red evalúe el acceso de red pública a la cuenta de almacenamiento. El valor es opcional, pero si se pasa, debe ser "Enabled", "Disabled" o "SecuredByPerimeter". | "Deshabilitado" "Habilitado" "SecuredByPerimeter" |
| routingPreference | Mantiene información sobre la opción de enrutamiento de red elegida por el usuario para la transferencia de datos. | enrutamientoPreferencia |
| sasPolicy | SasPolicy asignado a la cuenta de almacenamiento. | SasPolicy |
| supportsHttpsTrafficOnly | Permite el tráfico https solo al servicio de almacenamiento si se establece en true. El valor predeterminado es true desde la versión de API 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
| Nombre | Descripción | Valor |
|---|---|---|
| activeDirectoryProperties | Obligatorio si directoryServiceOptions es AD, opcional si son AADKERB. | activeDirectoryProperties |
| defaultSharePermission | Permiso de recurso compartido predeterminado para los usuarios que usan la autenticación Kerberos si no se asigna el rol RBAC. | "Ninguno" "StorageFileDataSmbShareContributor" "StorageFileDataSmbShareElevatedContributor" "StorageFileDataSmbShareReader" |
| directoryServiceOptions | Indica el servicio de directorio usado. Tenga en cuenta que esta enumeración se puede extender en el futuro. | "AADDS" "AADKERB" "AD" "None" (obligatorio) |
ActiveDirectoryProperties
| Nombre | Descripción | Valor |
|---|---|---|
| accountType | Especifica el tipo de cuenta de Active Directory para Azure Storage. | "Equipo" "Usuario" |
| azureStorageSid | Especifica el identificador de seguridad (SID) para Azure Storage. | cuerda |
| domainGuid | Especifica el GUID de dominio. | string (obligatorio) |
| domainName | Especifica el dominio principal para el que el servidor DNS de AD es autoritativo. | string (obligatorio) |
| domainSid | Especifica el identificador de seguridad (SID). | cuerda |
| forestName | Especifica el bosque de Active Directory que se va a obtener. | cuerda |
| netBiosDomainName | Especifica el nombre de dominio netBIOS. | cuerda |
| samAccountName | Especifica el SAMAccountName de Active Directory para Azure Storage. | cuerda |
CustomDomain
| Nombre | Descripción | Valor |
|---|---|---|
| nombre | Obtiene o establece el nombre de dominio personalizado asignado a la cuenta de almacenamiento. Name es el origen CNAME. | string (obligatorio) |
| useSubDomainName | Indica si la validación indirecta de CName está habilitada. El valor predeterminado es false. Esto solo debe establecerse en las actualizaciones. | Bool |
Encriptación
| Nombre | Descripción | Valor |
|---|---|---|
| identidad | Identidad que se va a usar con el cifrado del lado del servicio en reposo. | EncryptionIdentity de |
| keySource | KeySource (proveedor) de cifrado. Valores posibles (sin distinción entre mayúsculas y minúsculas): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
| keyvaultproperties | Propiedades proporcionadas por el almacén de claves. | KeyVaultProperties |
| requireInfrastructureEncryption | Valor booleano que indica si el servicio aplica o no una capa secundaria de cifrado con claves administradas por la plataforma para los datos en reposo. | Bool |
| servicios | Lista de servicios que admiten el cifrado. | encryptionServices de |
EncryptionIdentity
| Nombre | Descripción | Valor |
|---|---|---|
| federatedIdentityClientId | ClientId de la aplicación multiinquilino que se va a usar junto con la identidad asignada por el usuario para el cifrado del lado servidor de claves administradas por el cliente entre inquilinos en la cuenta de almacenamiento. | cuerda |
| userAssignedIdentity | Identificador de recurso de la identidad UserAssigned que se va a asociar al cifrado del lado servidor en la cuenta de almacenamiento. | cuerda |
KeyVaultProperties
| Nombre | Descripción | Valor |
|---|---|---|
| keyname | Nombre de la clave KeyVault. | cuerda |
| keyvaulturi | Uri de KeyVault. | cuerda |
| keyversion | Versión de la clave KeyVault. | cuerda |
EncryptionServices
| Nombre | Descripción | Valor |
|---|---|---|
| Blob | Función de cifrado del servicio blob Storage. | EncryptionService |
| archivo | Función de cifrado del servicio de almacenamiento de archivos. | EncryptionService |
| cola | Función de cifrado del servicio de almacenamiento en cola. | EncryptionService |
| mesa | Función de cifrado del servicio table storage. | EncryptionService |
EncryptionService
| Nombre | Descripción | Valor |
|---|---|---|
| Habilitado | Valor booleano que indica si el servicio cifra o no los datos a medida que se almacenan. El cifrado en reposo está habilitado de forma predeterminada en la actualidad y no se puede deshabilitar. | Bool |
| keyType | Tipo de clave de cifrado que se va a usar para el servicio de cifrado. El tipo de clave "Account" implica que se usará una clave de cifrado con ámbito de cuenta. El tipo de clave "Servicio" implica que se usa una clave de servicio predeterminada. | "Cuenta" "Servicio" |
ImmutableStorageAccount
| Nombre | Descripción | Valor |
|---|---|---|
| Habilitado | Marca booleana que permite la inmutabilidad de nivel de cuenta. Todos los contenedores de dicha cuenta tienen la inmutabilidad de nivel de objeto habilitada de forma predeterminada. | Bool |
| immutabilityPolicy | Especifica la directiva predeterminada de inmutabilidad de nivel de cuenta que se hereda y se aplica a los objetos que no poseen una directiva de inmutabilidad explícita en el nivel de objeto. La directiva de inmutabilidad de nivel de objeto tiene mayor prioridad que la directiva de inmutabilidad de nivel de contenedor, que tiene una prioridad más alta que la directiva de inmutabilidad de nivel de cuenta. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Nombre | Descripción | Valor |
|---|---|---|
| allowProtectedAppendWrites | Esta propiedad solo se puede cambiar para las directivas de retención deshabilitadas y desbloqueadas basadas en el tiempo. Cuando se habilita, los nuevos bloques se pueden escribir en un blob en anexos al tiempo que se mantiene la protección y el cumplimiento de la inmutabilidad. Solo se pueden agregar nuevos bloques y no se pueden modificar ni eliminar los bloques existentes. | Bool |
| immutabilityPeriodSinceCreationInDays | Período de inmutabilidad para los blobs del contenedor desde la creación de la directiva, en días. | Int Restricciones: Valor mínimo = 1 Valor máximo = 146000 |
| estado | El estado ImmutabilityPolicy define el modo de la directiva. El estado deshabilitado deshabilita la directiva, el estado Desbloqueado permite aumentar y disminuir el tiempo de retención de inmutabilidad y también permite alternar la propiedad allowProtectedAppendWrites, el estado Bloqueado solo permite el aumento del tiempo de retención de inmutabilidad. Una directiva solo se puede crear en un estado Deshabilitado o Desbloqueado y se puede alternar entre los dos estados. Solo una directiva en un estado Desbloqueado puede pasar a un estado Bloqueado que no se puede revertir. | "Deshabilitado" "Bloqueado" "Desbloqueado" |
KeyPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| keyExpirationPeriodInDays | Período de expiración de la clave en días. | int (obligatorio) |
NetworkRuleSet
| Nombre | Descripción | Valor |
|---|---|---|
| puentear | Especifica si se omite el tráfico para Logging/Metrics/AzureServices. Los valores posibles son cualquier combinación de registro, métricas, AzureServices (por ejemplo, "Registro, métricas") o Ninguno para omitir ninguno de esos tráficos. | "AzureServices" "Registro" "Métricas" "Ninguno" |
| defaultAction | Especifica la acción predeterminada de permitir o denegar cuando no coinciden otras reglas. | "Permitir" "Denegar" (obligatorio) |
| ipRules | Establece las reglas de ACL de IP | IPRule [] |
| resourceAccessRules | Establece las reglas de acceso a recursos | resourceAccessRule[] |
| virtualNetworkRules | Establece las reglas de red virtual | virtualNetworkRule[] |
IPRule
| Nombre | Descripción | Valor |
|---|---|---|
| acción | Acción de la regla de ACL de IP. | "Permitir" |
| valor | Especifica el intervalo IP o IP en formato CIDR. Solo se permite la dirección IPV4. | string (obligatorio) |
ResourceAccessRule
| Nombre | Descripción | Valor |
|---|---|---|
| resourceId | Identificador de recurso | cuerda |
| tenantId | Id. de inquilino | cuerda |
VirtualNetworkRule
| Nombre | Descripción | Valor |
|---|---|---|
| acción | Acción de la regla de red virtual. | "Permitir" |
| identificación | Identificador de recurso de una subred, por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | string (obligatorio) |
| estado | Obtiene el estado de la regla de red virtual. | "Desaprovisionamiento" "Error" "NetworkSourceDeleted" "Aprovisionamiento" "Correcto" |
EnrutamientoPreferencia
| Nombre | Descripción | Valor |
|---|---|---|
| publishInternetEndpoints | Marca booleana que indica si se van a publicar puntos de conexión de almacenamiento de enrutamiento de Internet | Bool |
| publishMicrosoftEndpoints | Marca booleana que indica si se van a publicar puntos de conexión de almacenamiento de enrutamiento de Microsoft | Bool |
| routingChoice | La opción de enrutamiento define el tipo de enrutamiento de red elegido por el usuario. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| expirationAction | La acción de expiración de SAS define la acción que se va a realizar cuando se infringe sasPolicy.sasExpirationPeriod. La acción "Registro" se puede usar con fines de auditoría y la acción "Bloquear" se puede usar para bloquear y denegar el uso de tokens de SAS que no se adhieren al período de expiración de la directiva sas. | "Bloquear" "Log" (obligatorio) |
| sasExpirationPeriod | El período de expiración de SAS, DD.HH:MM:SS. | string (obligatorio) |
Sku
| Nombre | Descripción | Valor |
|---|---|---|
| nombre | Nombre de la SKU. Necesario para la creación de cuentas; opcional para la actualización. Tenga en cuenta que en versiones anteriores, el nombre de la SKU se llamó accountType. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (obligatorio) |