Almacenes Microsoft.KeyVault 2018-02-14
Definición de recursos de Bicep
El tipo de recurso vaults se puede implementar con operaciones destinadas a:
- Grupos de recursos: consulte los comandos de implementación del grupo de recursos.
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Comentarios
Para obtener instrucciones sobre el uso de almacenes de claves para valores seguros, consulte Administración de secretos mediante Bicep.
Para ver un inicio rápido sobre cómo crear un secreto, consulte Inicio rápido: Establecimiento y recuperación de un secreto de Azure Key Vault mediante una plantilla de ARM.
Para ver un inicio rápido sobre cómo crear una clave, consulte Inicio rápido: Creación de un almacén de claves de Azure y una clave mediante una plantilla de ARM.
Formato de los recursos
Para crear un recurso Microsoft.KeyVault/vaults, agregue el siguiente bicep a la plantilla.
resource symbolicname 'Microsoft.KeyVault/vaults@2018-02-14' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
}
]
}
sku: {
family: 'A'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
}
Valores de propiedad
vaults
Nombre | Descripción | Value |
---|---|---|
name | El nombre del recurso | string (obligatorio) Límite de caracteres: 3-24 Caracteres válidos: Caracteres alfanuméricos y guiones. Comience con una letra. Termine con una letra o un dígito. No puede contener guiones consecutivos. El nombre del recurso debe ser único en Azure. |
ubicación | Ubicación de Azure admitida en la que se debe crear el almacén de claves. | string (obligatorio) |
etiquetas | Etiquetas que se asignarán al almacén de claves. | Diccionario de nombres y valores de etiqueta. Consulte Etiquetas en plantillas. |
properties | Propiedades del almacén | VaultProperties (obligatorio) |
VaultProperties
Nombre | Descripción | Valor |
---|---|---|
accessPolicies | Matriz de 0 a 1024 identidades que tienen acceso al almacén de claves. Todas las identidades de la matriz deben usar el mismo identificador de inquilino que el identificador de inquilino del almacén de claves. Cuando createMode se establece recover en , no se requieren directivas de acceso. De lo contrario, se requieren directivas de acceso. |
AccessPolicyEntry[] |
createMode | Modo de creación del almacén para indicar si el almacén debe recuperarse o no. | 'default' "recuperar" |
enabledForDeployment | Propiedad para especificar si se permite que Azure Virtual Machines recupere certificados almacenados como secretos del almacén de claves. | bool |
enabledForDiskEncryption | Propiedad para especificar si Azure Disk Encryption puede recuperar secretos del almacén y desencapsular las claves. | bool |
enabledForTemplateDeployment | Propiedad para especificar si Se permite que Azure Resource Manager recupere secretos del almacén de claves. | bool |
enablePurgeProtection | Propiedad que especifica si la protección contra purga está habilitada para este almacén. Al establecer esta propiedad en true, se activa la protección contra la purga de este almacén y su contenido: solo el servicio de Key Vault puede iniciar una eliminación irrecuperable e irrecuperable. La configuración solo es efectiva si la eliminación temporal también está habilitada. Habilitar esta funcionalidad es irreversible; es decir, la propiedad no acepta false como su valor. | bool |
enableSoftDelete | Propiedad para especificar si la funcionalidad de "eliminación temporal" está habilitada para este almacén de claves. No acepta el valor false. | bool |
networkAcls | Reglas que rigen la accesibilidad del almacén de claves desde ubicaciones de red específicas. | NetworkRuleSet |
sku | Detalles de la SKU | SKU (obligatorio) |
tenantId | Identificador de inquilino de Azure Active Directory que se debe usar para autenticar solicitudes en el almacén de claves. | string (obligatorio) Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI del almacén para realizar operaciones en claves y secretos. | string |
AccessPolicyEntry
Nombre | Descripción | Valor |
---|---|---|
applicationId | Identificador de aplicación del cliente que realiza una solicitud en nombre de una entidad de seguridad | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Identificador de objeto de un usuario, una entidad de servicio o un grupo de seguridad en el inquilino de Azure Active Directory para el almacén. El identificador de objeto debe ser único para la lista de directivas de acceso. | string (obligatorio) |
permisos | Permisos que la identidad tiene para claves, secretos y certificados. | Permisos (obligatorios) |
tenantId | Identificador de inquilino de Azure Active Directory que se debe usar para autenticar solicitudes en el almacén de claves. | string (obligatorio) Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Permisos
Nombre | Descripción | Valor |
---|---|---|
certificates | Permisos para certificados | Matriz de cadenas que contiene cualquiera de: 'copia de seguridad' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purgar' "recuperar" 'restore' 'setissuers' 'update' |
claves | Permisos para claves | Matriz de cadenas que contiene cualquiera de: 'copia de seguridad' 'create' 'descifrar' 'delete' 'encrypt' 'get' 'import' 'list' 'purgar' "recuperar" 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
secrets | Permisos para secretos | Matriz de cadenas que contiene cualquiera de: 'copia de seguridad' 'delete' 'get' 'list' 'purgar' "recuperar" 'restore' 'set' |
storage | Permisos para cuentas de almacenamiento | Matriz de cadenas que contiene cualquiera de: 'copia de seguridad' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purgar' "recuperar" 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
Nombre | Descripción | Valor |
---|---|---|
omitir | Indica qué tráfico puede omitir las reglas de red. Puede ser "AzureServices" o "None". Si no se especifica el valor predeterminado es "AzureServices". | "AzureServices" 'Ninguno' |
defaultAction | Acción predeterminada cuando no coinciden ninguna regla de ipRules y de virtualNetworkRules. Esto solo se usa después de evaluar la propiedad bypass. | 'Permitir' 'Denegar' |
ipRules | Lista de reglas de direcciones IP. | IPRule[] |
virtualNetworkRules | Lista de reglas de red virtual. | VirtualNetworkRule[] |
IPRule
Nombre | Descripción | Valor |
---|---|---|
value | Intervalo de direcciones IPv4 en notación CIDR, como "124.56.78.91" (dirección IP simple) o "124.56.78.0/24" (todas las direcciones que comienzan por 124.56.78). | string (obligatorio) |
VirtualNetworkRule
Nombre | Descripción | Value |
---|---|---|
id | Identificador de recurso completo de una subred de red virtual, como "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (obligatorio) |
SKU
Nombre | Descripción | Valor |
---|---|---|
family | Nombre de familia de SKU | 'A' (obligatorio) |
name | Nombre de la SKU para especificar si el almacén de claves es un almacén estándar o un almacén Premium. | 'Premium' 'standard' (obligatorio) |
Plantillas de inicio rápido
Las siguientes plantillas de inicio rápido implementan este tipo de recurso.
Plantilla | Descripción |
---|---|
Plantilla de inicio rápido de SAS 9.4 y Viya para Azure |
La plantilla de inicio rápido de SAS® 9.4 y Viya para Azure implementa estos productos en la nube: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 y SAS® Visual Analytics 8.5 en Linux y SAS® Visual Data Mining y Machine Learning 8.5 en Linux para Viya. Este inicio rápido es una arquitectura de referencia para los usuarios que desean implementar la combinación de SAS® 9.4 y Viya en Azure mediante tecnologías fáciles de usar la nube. Al implementar la plataforma SAS® en Azure, obtendrá un entorno integrado de entornos SAS® 9.4 y Viya para que pueda aprovechar ambos mundos. SAS® Viya es un motor de análisis en memoria habilitado para la nube. Usa procesamiento elástico, escalable y tolerante a errores para abordar desafíos analíticos complejos. SAS Viya proporciona un procesamiento más rápido para el análisis mediante un código base estandarizado que admite la programación en SAS®®, Python, R, Java y Lua. También admite entornos híbridos, locales o en la nube e implementa sin problemas en cualquier ecosistema de infraestructura o aplicación. |
Clúster de AKS con una puerta de enlace NAT y una Application Gateway |
En este ejemplo se muestra cómo implementar un clúster de AKS con NAT Gateway para conexiones salientes y una Application Gateway para las conexiones entrantes. |
Creación de un clúster de AKS privado con una zona DNS pública |
En este ejemplo se muestra cómo implementar un clúster de AKS privado con una zona DNS pública. |
Implementación de Sports Analytics en la arquitectura de Azure |
Crea una cuenta de almacenamiento de Azure con ADLS Gen 2 habilitado, una instancia de Azure Data Factory con servicios vinculados para la cuenta de almacenamiento (una base de datos Azure SQL si se implementa) y una instancia de Azure Databricks. La identidad de AAD para el usuario que implementa la plantilla y la identidad administrada de la instancia de ADF se le concederá el rol Colaborador de datos de Storage Blob en la cuenta de almacenamiento. También hay opciones para implementar una instancia de Azure Key Vault, una base de datos de Azure SQL y un centro de eventos de Azure (para casos de uso de streaming). Cuando se implementa una instancia de Azure Key Vault, a la identidad administrada de Data Factory y a la identidad de AAD para el usuario que implementa la plantilla se le concederá el rol de usuario secretos de Key Vault. |
Área de trabajo de Azure Machine Learning |
Esta plantilla crea un área de trabajo de Azure Machine Learning, junto con una cuenta de almacenamiento cifrada, el registro de KeyVault y Applications Insights. |
Creación de un almacén de claves |
Este módulo crea un recurso keyVault con apiVersion 2019-09-01. |
Creación de un servicio API Management con SSL desde KeyVault |
Esta plantilla implementa un servicio de API Management configurado con identidad asignada por el usuario. Usa esta identidad para capturar el certificado SSL de KeyVault y mantenerlo actualizado comprobando cada 4 horas. |
Crea una aplicación pub-sub servicebus de Dapr mediante Container Apps |
Cree una aplicación pub-sub servicebus de Dapr mediante Container Apps. |
crea un clúster de Azure Stack HCI 23H2 |
Esta plantilla crea un clúster de Azure Stack HCI 23H2 mediante una plantilla de ARM. |
Creación de una nueva máquina virtual windows cifrada a partir de la imagen de la galería |
Esta plantilla crea una nueva máquina virtual windows cifrada con la imagen de la galería server 2k12. |
Creación de nuevos discos administrados cifrados win-vm a partir de la imagen de la galería |
Esta plantilla crea una nueva máquina virtual windows de discos administrados cifrados mediante la imagen de la galería de server 2k12. |
Esta plantilla cifra una máquina virtual Windows en ejecución |
Esta plantilla habilita el cifrado en un conjunto de escalado de máquinas virtuales Windows en ejecución |
Habilitación del cifrado en una máquina virtual Windows en ejecución |
Esta plantilla habilita el cifrado en una máquina virtual windows en ejecución. |
Creación y cifrado de un nuevo VMSS Windows con jumpbox |
Esta plantilla permite implementar un conjunto de escalado de máquinas virtuales Windows simple mediante la versión revisada más reciente de las versiones de Windows serveral. Esta plantilla también implementa un jumpbox con una dirección IP pública en la misma red virtual. Puede conectarse al jumpbox a través de esta dirección IP pública y, a continuación, conectarse desde allí a las máquinas virtuales del conjunto de escalado a través de direcciones IP privadas. Esta plantilla habilita el cifrado en el conjunto de escalado de máquinas virtuales Windows. |
Crear una instancia de Azure Key Vault y un secreto |
Esta plantilla crea un Key Vault de Azure y un secreto. |
Creación de una Key Vault de Azure con RBAC y un secreto |
Esta plantilla crea un Key Vault de Azure y un secreto. En lugar de depender de las directivas de acceso, aprovecha RBAC de Azure para administrar la autorización en secretos. |
Creación de un almacén de claves, una identidad administrada y una asignación de roles |
Esta plantilla crea un almacén de claves, una identidad administrada y una asignación de roles. |
Conexión a un Key Vault a través de un punto de conexión privado |
En este ejemplo se muestra cómo usar la configuración de una red virtual y una zona DNS privada para acceder a Key Vault a través de un punto de conexión privado. |
Crear un almacén de claves y una lista de secretos |
Esta plantilla crea un Key Vault y una lista de secretos dentro del almacén de claves tal como se pasa junto con los parámetros. |
Creación de Key Vault con el registro habilitado |
Esta plantilla crea una Key Vault de Azure y una cuenta de Azure Storage que se usa para el registro. Opcionalmente, crea bloqueos de recursos para proteger los recursos de almacenamiento y Key Vault. |
Creación de un área de trabajo de AML con varios conjuntos de datos & almacenes de datos |
Esta plantilla crea un área de trabajo de Azure Machine Learning con varios conjuntos de datos & almacenes de datos. |
Configuración segura de un extremo a otro de Azure Machine Learning |
Este conjunto de plantillas de Bicep muestra cómo configurar Azure Machine Learning de un extremo a otro en una configuración segura. Esta implementación de referencia incluye el área de trabajo, un clúster de proceso, una instancia de proceso y un clúster de AKS privado asociado. |
Configuración segura de un extremo a otro de Azure Machine Learning (heredado) |
Este conjunto de plantillas de Bicep muestra cómo configurar Azure Machine Learning de un extremo a otro en una configuración segura. Esta implementación de referencia incluye el área de trabajo, un clúster de proceso, una instancia de proceso y un clúster de AKS privado asociado. |
Creación de un destino de proceso de AKS con una dirección IP privada |
Esta plantilla crea un destino de proceso de AKS en un área de trabajo de Azure Machine Learning Service con una dirección IP privada. |
Creación de un área de trabajo de Azure Machine Learning Service |
Esta plantilla de implementación especifica un área de trabajo de Azure Machine Learning y sus recursos asociados, incluidos Azure Key Vault, Azure Storage, Aplicación de Azure Insights y Azure Container Registry. Esta configuración describe el conjunto mínimo de recursos que necesita para empezar a trabajar con Azure Machine Learning. |
Creación de un área de trabajo de Azure Machine Learning Service (CMK) |
Esta plantilla de implementación especifica un área de trabajo de Azure Machine Learning y sus recursos asociados, incluidos Azure Key Vault, Azure Storage, Aplicación de Azure Insights y Azure Container Registry. En el ejemplo se muestra cómo configurar Azure Machine Learning para el cifrado con una clave de cifrado administrada por el cliente. |
Creación de un área de trabajo de Azure Machine Learning Service (vnet) |
Esta plantilla de implementación especifica un área de trabajo de Azure Machine Learning y sus recursos asociados, incluidos Azure Key Vault, Azure Storage, Aplicación de Azure Insights y Azure Container Registry. Esta configuración describe el conjunto de recursos que necesita para empezar a trabajar con Azure Machine Learning en una configuración aislada de red. |
Creación de un área de trabajo de Azure Machine Learning Service (heredada) |
Esta plantilla de implementación especifica un área de trabajo de Azure Machine Learning y sus recursos asociados, incluidos Azure Key Vault, Azure Storage, Aplicación de Azure Insights y Azure Container Registry. Esta configuración describe el conjunto de recursos que necesita para empezar a trabajar con Azure Machine Learning en una configuración aislada de red. |
Clúster de AKS con el controlador de entrada de Application Gateway |
En este ejemplo se muestra cómo implementar un clúster de AKS con Application Gateway, controlador de entrada de Application Gateway, Azure Container Registry, Log Analytics y Key Vault |
Creación de un Application Gateway V2 con Key Vault |
Esta plantilla implementa una Application Gateway V2 en un Virtual Network, una identidad definida por el usuario, Key Vault, un secreto (datos de certificado) y una directiva de acceso en Key Vault y Application Gateway. |
Entorno de prueba para Azure Firewall Premium |
Esta plantilla crea una directiva de firewall y premium de Azure Firewall con características premium, como detección de inspección de intrusiones (IDPS), inspección de TLS y filtrado de categorías web |
Creación de Application Gateway con certificados |
Esta plantilla muestra cómo generar Key Vault certificados autofirmados y, a continuación, hacer referencia desde Application Gateway. |
Cifrado de cuenta de Azure Storage con clave administrada por el cliente |
Esta plantilla implementa una cuenta de almacenamiento con una clave administrada por el cliente para el cifrado generado y colocado dentro de un Key Vault. |
App Service Environment con Azure SQL back-end |
Esta plantilla crea un App Service Environment con un back-end de Azure SQL junto con puntos de conexión privados junto con los recursos asociados que se suelen usar en un entorno privado o aislado. |
Aplicación de funciones de Azure y una función desencadenada por HTTP |
En este ejemplo se implementa una aplicación de funciones de Azure y una función desencadenada por HTTP insertada en la plantilla. También implementa un Key Vault y rellena un secreto con la clave de host de la aplicación de funciones. |
Application Gateway con API Management interna y aplicación web |
Application Gateway enrutar el tráfico de Internet a una red virtual (modo interno) API Management instancia que atiende una API web hospedada en una aplicación web de Azure. |
Definición de recursos de plantilla de ARM
El tipo de recurso vaults se puede implementar con operaciones destinadas a:
- Grupos de recursos: consulte los comandos de implementación del grupo de recursos.
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Comentarios
Para obtener instrucciones sobre el uso de almacenes de claves para valores seguros, consulte Administración de secretos mediante Bicep.
Para ver un inicio rápido sobre cómo crear un secreto, consulte Inicio rápido: Establecimiento y recuperación de un secreto de Azure Key Vault mediante una plantilla de ARM.
Para ver un inicio rápido sobre cómo crear una clave, consulte Inicio rápido: Creación de un almacén de claves de Azure y una clave mediante una plantilla de ARM.
Formato de los recursos
Para crear un recurso Microsoft.KeyVault/vaults, agregue el siguiente código JSON a la plantilla.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2018-02-14",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string"
}
]
},
"sku": {
"family": "A",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
}
}
Valores de propiedad
vaults
Nombre | Descripción | Value |
---|---|---|
type | Tipo de recurso | "Microsoft.KeyVault/vaults" |
apiVersion | La versión de la API de recursos | '2018-02-14' |
name | El nombre del recurso | string (obligatorio) Límite de caracteres: 3-24 Caracteres válidos: Caracteres alfanuméricos y guiones. Comience con una letra. Termine con una letra o un dígito. No puede contener guiones consecutivos. El nombre del recurso debe ser único en Azure. |
ubicación | La ubicación de Azure admitida donde se debe crear el almacén de claves. | string (obligatorio) |
etiquetas | Las etiquetas que se asignarán al almacén de claves. | Diccionario de nombres y valores de etiqueta. Consulte Etiquetas en plantillas. |
properties | Propiedades del almacén | VaultProperties (obligatorio) |
VaultProperties
Nombre | Descripción | Valor |
---|---|---|
accessPolicies | Matriz de 0 a 1024 identidades que tienen acceso al almacén de claves. Todas las identidades de la matriz deben usar el mismo identificador de inquilino que el identificador de inquilino del almacén de claves. Cuando createMode se establece recover en , no se requieren directivas de acceso. De lo contrario, se requieren directivas de acceso. |
AccessPolicyEntry[] |
createMode | Modo de creación del almacén para indicar si el almacén debe recuperarse o no. | 'default' 'recover' |
enabledForDeployment | Propiedad para especificar si Azure Virtual Machines puede recuperar certificados almacenados como secretos del almacén de claves. | bool |
enabledForDiskEncryption | Propiedad para especificar si Azure Disk Encryption puede recuperar secretos del almacén y desencapsular las claves. | bool |
enabledForTemplateDeployment | Propiedad para especificar si Azure Resource Manager puede recuperar secretos del almacén de claves. | bool |
enablePurgeProtection | Propiedad que especifica si la protección contra purga está habilitada para este almacén. Si se establece esta propiedad en true, se activa la protección contra la purga de este almacén y su contenido; solo el servicio de Key Vault puede iniciar una eliminación irrecuperable e irrecuperable. La configuración solo es efectiva si la eliminación temporal también está habilitada. Habilitar esta funcionalidad es irreversible, es decir, la propiedad no acepta false como su valor. | bool |
enableSoftDelete | Propiedad para especificar si la funcionalidad de "eliminación temporal" está habilitada para este almacén de claves. No acepta el valor false. | bool |
networkAcls | Reglas que rigen la accesibilidad del almacén de claves desde ubicaciones de red específicas. | NetworkRuleSet |
sku | Detalles de la SKU | SKU (obligatorio) |
tenantId | Identificador de inquilino de Azure Active Directory que se debe usar para autenticar solicitudes en el almacén de claves. | string (obligatorio) Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI del almacén para realizar operaciones en claves y secretos. | string |
AccessPolicyEntry
Nombre | Descripción | Valor |
---|---|---|
applicationId | Identificador de aplicación del cliente que realiza la solicitud en nombre de una entidad de seguridad | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Identificador de objeto de un usuario, una entidad de servicio o un grupo de seguridad en el inquilino de Azure Active Directory para el almacén. El identificador de objeto debe ser único para la lista de directivas de acceso. | string (obligatorio) |
permisos | Permisos que tiene la identidad para claves, secretos y certificados. | Permisos (obligatorios) |
tenantId | Identificador de inquilino de Azure Active Directory que se debe usar para autenticar solicitudes en el almacén de claves. | string (obligatorio) Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Permisos
Nombre | Descripción | Valor |
---|---|---|
certificates | Permisos para certificados | Matriz de cadenas que contiene cualquiera de: "copia de seguridad" 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' "managecontacts" "manageissuers" 'purgar' 'recover' 'restore' 'setissuers' 'update' |
claves | Permisos para claves | Matriz de cadenas que contiene cualquiera de: "copia de seguridad" 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purgar' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
secrets | Permisos para secretos | Matriz de cadenas que contiene cualquiera de: "copia de seguridad" 'delete' 'get' 'list' 'purgar' 'recover' 'restore' 'set' |
storage | Permisos para cuentas de almacenamiento | Matriz de cadenas que contiene cualquiera de: "copia de seguridad" 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purgar' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
Nombre | Descripción | Valor |
---|---|---|
omitir | Indica qué tráfico puede omitir las reglas de red. Puede ser "AzureServices" o "None". Si no se especifica, el valor predeterminado es "AzureServices". | "AzureServices" 'Ninguno' |
defaultAction | Acción predeterminada cuando ninguna regla de ipRules y de virtualNetworkRules coinciden. Esto solo se usa después de evaluar la propiedad bypass. | 'Permitir' 'Denegar' |
ipRules | Lista de reglas de direcciones IP. | IPRule[] |
virtualNetworkRules | Lista de reglas de red virtual. | VirtualNetworkRule[] |
IPRule
Nombre | Descripción | Valor |
---|---|---|
value | Intervalo de direcciones IPv4 en notación CIDR, como "124.56.78.91" (dirección IP simple) o "124.56.78.0/24" (todas las direcciones que comienzan por 124.56.78). | string (obligatorio) |
VirtualNetworkRule
Nombre | Descripción | Value |
---|---|---|
id | Identificador de recurso completo de una subred de red virtual, como "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (obligatorio) |
SKU
Nombre | Descripción | Valor |
---|---|---|
family | Nombre de familia de SKU | 'A' (obligatorio) |
name | Nombre de la SKU para especificar si el almacén de claves es un almacén estándar o un almacén Premium. | 'Premium' 'standard' (obligatorio) |
Plantillas de inicio rápido
Las siguientes plantillas de inicio rápido implementan este tipo de recurso.
Plantilla | Descripción |
---|---|
Plantilla de inicio rápido de SAS 9.4 y Viya para Azure |
La plantilla de inicio rápido de SAS® 9.4 y Viya para Azure implementa estos productos en la nube: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 y SAS® Visual Analytics 8.5 en Linux y SAS® Visual Data Mining y Machine Learning 8.5 en Linux para Viya. Este inicio rápido es una arquitectura de referencia para los usuarios que desean implementar la combinación de SAS® 9.4 y Viya en Azure mediante tecnologías fáciles de usar la nube. Al implementar la plataforma SAS® en Azure, obtendrá un entorno integrado de entornos SAS® 9.4 y Viya para que pueda aprovechar ambos mundos. SAS® Viya es un motor de análisis en memoria habilitado para la nube. Usa procesamiento elástico, escalable y tolerante a errores para abordar desafíos analíticos complejos. SAS Viya proporciona un procesamiento más rápido para el análisis mediante un código base estandarizado que admite la programación en SAS®®, Python, R, Java y Lua. También admite entornos híbridos, locales o en la nube e implementa sin problemas en cualquier ecosistema de infraestructura o aplicación. |
Clúster de AKS con una puerta de enlace NAT y una Application Gateway |
En este ejemplo se muestra cómo implementar un clúster de AKS con NAT Gateway para conexiones salientes y una Application Gateway para las conexiones entrantes. |
Creación de un clúster de AKS privado con una zona DNS pública |
En este ejemplo se muestra cómo implementar un clúster de AKS privado con una zona DNS pública. |
Implementación de Sports Analytics en la arquitectura de Azure |
Crea una cuenta de almacenamiento de Azure con ADLS Gen 2 habilitado, una instancia de Azure Data Factory con servicios vinculados para la cuenta de almacenamiento (una base de datos Azure SQL si se implementa) y una instancia de Azure Databricks. La identidad de AAD para el usuario que implementa la plantilla y la identidad administrada de la instancia de ADF se le concederá el rol Colaborador de datos de Storage Blob en la cuenta de almacenamiento. También hay opciones para implementar una instancia de Azure Key Vault, una base de datos de Azure SQL y un centro de eventos de Azure (para casos de uso de streaming). Cuando se implementa una instancia de Azure Key Vault, a la identidad administrada de Data Factory y a la identidad de AAD para el usuario que implementa la plantilla se le concederá el rol de usuario secretos de Key Vault. |
Área de trabajo de Azure Machine Learning |
Esta plantilla crea un área de trabajo de Azure Machine Learning, junto con una cuenta de almacenamiento cifrada, el registro de KeyVault y Applications Insights. |
Creación de un almacén de claves |
Este módulo crea un recurso keyVault con apiVersion 2019-09-01. |
Creación de un servicio API Management con SSL desde KeyVault |
Esta plantilla implementa un servicio de API Management configurado con identidad asignada por el usuario. Usa esta identidad para capturar el certificado SSL de KeyVault y mantenerlo actualizado comprobando cada 4 horas. |
Crea una aplicación pub-sub servicebus de Dapr mediante Container Apps |
Cree una aplicación pub-sub servicebus de Dapr mediante Container Apps. |
crea un clúster de Azure Stack HCI 23H2 |
Esta plantilla crea un clúster de Azure Stack HCI 23H2 mediante una plantilla de ARM. |
Creación de una nueva máquina virtual windows cifrada a partir de la imagen de la galería |
Esta plantilla crea una nueva máquina virtual windows cifrada con la imagen de la galería server 2k12. |
Creación de nuevos discos administrados cifrados win-vm a partir de la imagen de la galería |
Esta plantilla crea una nueva máquina virtual windows de discos administrados cifrados mediante la imagen de la galería de server 2k12. |
Esta plantilla cifra una máquina virtual Windows en ejecución |
Esta plantilla habilita el cifrado en un conjunto de escalado de máquinas virtuales Windows en ejecución |
Habilitación del cifrado en una máquina virtual Windows en ejecución |
Esta plantilla habilita el cifrado en una máquina virtual windows en ejecución. |
Creación y cifrado de un nuevo VMSS Windows con jumpbox |
Esta plantilla permite implementar un conjunto de escalado de máquinas virtuales Windows simple mediante la versión revisada más reciente de las versiones de Windows serveral. Esta plantilla también implementa un jumpbox con una dirección IP pública en la misma red virtual. Puede conectarse al jumpbox a través de esta dirección IP pública y, a continuación, conectarse desde allí a las máquinas virtuales del conjunto de escalado a través de direcciones IP privadas. Esta plantilla habilita el cifrado en el conjunto de escalado de máquinas virtuales Windows. |
Crear una instancia de Azure Key Vault y un secreto |
Esta plantilla crea un Key Vault de Azure y un secreto. |
Creación de una Key Vault de Azure con RBAC y un secreto |
Esta plantilla crea un Key Vault de Azure y un secreto. En lugar de depender de las directivas de acceso, aprovecha RBAC de Azure para administrar la autorización en secretos. |
Creación de un almacén de claves, una identidad administrada y una asignación de roles |
Esta plantilla crea un almacén de claves, una identidad administrada y una asignación de roles. |
Conexión a un Key Vault a través de un punto de conexión privado |
En este ejemplo se muestra cómo usar la configuración de una red virtual y una zona DNS privada para acceder a Key Vault a través de un punto de conexión privado. |
Crear un almacén de claves y una lista de secretos |
Esta plantilla crea un Key Vault y una lista de secretos dentro del almacén de claves tal como se pasa junto con los parámetros. |
Creación de Key Vault con el registro habilitado |
Esta plantilla crea una Key Vault de Azure y una cuenta de Azure Storage que se usa para el registro. Opcionalmente, crea bloqueos de recursos para proteger los recursos de almacenamiento y Key Vault. |
Creación de un área de trabajo de AML con varios conjuntos de datos & almacenes de datos |
Esta plantilla crea un área de trabajo de Azure Machine Learning con varios conjuntos de datos & almacenes de datos. |
Configuración segura de un extremo a otro de Azure Machine Learning |
Este conjunto de plantillas de Bicep muestra cómo configurar Azure Machine Learning de un extremo a otro en una configuración segura. Esta implementación de referencia incluye el área de trabajo, un clúster de proceso, una instancia de proceso y un clúster de AKS privado asociado. |
Configuración segura de un extremo a otro de Azure Machine Learning (heredado) |
Este conjunto de plantillas de Bicep muestra cómo configurar Azure Machine Learning de un extremo a otro en una configuración segura. Esta implementación de referencia incluye el área de trabajo, un clúster de proceso, una instancia de proceso y un clúster de AKS privado asociado. |
Creación de un destino de proceso de AKS con una dirección IP privada |
Esta plantilla crea un destino de proceso de AKS en un área de trabajo de Azure Machine Learning Service con una dirección IP privada. |
Creación de un área de trabajo de Azure Machine Learning Service |
Esta plantilla de implementación especifica un área de trabajo de Azure Machine Learning y sus recursos asociados, incluidos Azure Key Vault, Azure Storage, Aplicación de Azure Insights y Azure Container Registry. Esta configuración describe el conjunto mínimo de recursos que necesita para empezar a trabajar con Azure Machine Learning. |
Creación de un área de trabajo de Azure Machine Learning Service (CMK) |
Esta plantilla de implementación especifica un área de trabajo de Azure Machine Learning y sus recursos asociados, incluidos Azure Key Vault, Azure Storage, Aplicación de Azure Insights y Azure Container Registry. En el ejemplo se muestra cómo configurar Azure Machine Learning para el cifrado con una clave de cifrado administrada por el cliente. |
Creación de un área de trabajo de Azure Machine Learning Service (vnet) |
Esta plantilla de implementación especifica un área de trabajo de Azure Machine Learning y sus recursos asociados, incluidos Azure Key Vault, Azure Storage, Aplicación de Azure Insights y Azure Container Registry. Esta configuración describe el conjunto de recursos que necesita para empezar a trabajar con Azure Machine Learning en una configuración aislada de red. |
Creación de un área de trabajo de Azure Machine Learning Service (heredada) |
Esta plantilla de implementación especifica un área de trabajo de Azure Machine Learning y sus recursos asociados, incluidos Azure Key Vault, Azure Storage, Aplicación de Azure Insights y Azure Container Registry. Esta configuración describe el conjunto de recursos que necesita para empezar a trabajar con Azure Machine Learning en una configuración aislada de red. |
Clúster de AKS con el controlador de entrada de Application Gateway |
En este ejemplo se muestra cómo implementar un clúster de AKS con Application Gateway, controlador de entrada de Application Gateway, Azure Container Registry, Log Analytics y Key Vault |
Creación de un Application Gateway V2 con Key Vault |
Esta plantilla implementa una Application Gateway V2 en un Virtual Network, una identidad definida por el usuario, Key Vault, un secreto (datos de certificado) y una directiva de acceso en Key Vault y Application Gateway. |
Entorno de prueba para Azure Firewall Premium |
Esta plantilla crea una directiva de firewall y premium de Azure Firewall con características premium, como detección de inspección de intrusiones (IDPS), inspección de TLS y filtrado de categorías web |
Creación de Application Gateway con certificados |
Esta plantilla muestra cómo generar Key Vault certificados autofirmados y, a continuación, hacer referencia desde Application Gateway. |
Cifrado de cuenta de Azure Storage con clave administrada por el cliente |
Esta plantilla implementa una cuenta de almacenamiento con una clave administrada por el cliente para el cifrado generado y colocado dentro de un Key Vault. |
App Service Environment con Azure SQL back-end |
Esta plantilla crea un App Service Environment con un back-end de Azure SQL junto con puntos de conexión privados junto con los recursos asociados que se suelen usar en un entorno privado o aislado. |
Aplicación de funciones de Azure y una función desencadenada por HTTP |
En este ejemplo se implementa una aplicación de funciones de Azure y una función desencadenada por HTTP insertada en la plantilla. También implementa un Key Vault y rellena un secreto con la clave de host de la aplicación de funciones. |
Application Gateway con API Management interna y aplicación web |
Application Gateway enrutar el tráfico de Internet a una red virtual (modo interno) API Management instancia que atiende una API web hospedada en una aplicación web de Azure. |
Definición de recursos de Terraform (proveedor AzAPI)
El tipo de recurso vaults se puede implementar con operaciones destinadas a:
- Grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.KeyVault/vaults, agregue el siguiente terraform a la plantilla.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2018-02-14"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
}
]
}
sku = {
family = "A"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
})
}
Valores de propiedad
vaults
Nombre | Descripción | Value |
---|---|---|
type | Tipo de recurso | "Microsoft.KeyVault/vaults@2018-02-14" |
name | El nombre del recurso | string (obligatorio) Límite de caracteres: 3-24 Caracteres válidos: Caracteres alfanuméricos y guiones. Comience con una letra. Termine con una letra o un dígito. No puede contener guiones consecutivos. El nombre del recurso debe ser único en Azure. |
ubicación | Ubicación de Azure admitida en la que se debe crear el almacén de claves. | string (obligatorio) |
parent_id | Para realizar la implementación en un grupo de recursos, use el identificador de ese grupo de recursos. | string (obligatorio) |
etiquetas | Etiquetas que se asignarán al almacén de claves. | Diccionario de nombres y valores de etiqueta. |
properties | Propiedades del almacén | VaultProperties (obligatorio) |
VaultProperties
Nombre | Descripción | Valor |
---|---|---|
accessPolicies | Matriz de 0 a 1024 identidades que tienen acceso al almacén de claves. Todas las identidades de la matriz deben usar el mismo identificador de inquilino que el identificador de inquilino del almacén de claves. Cuando createMode se establece recover en , no se requieren directivas de acceso. De lo contrario, se requieren directivas de acceso. |
AccessPolicyEntry[] |
createMode | Modo de creación del almacén para indicar si el almacén debe recuperarse o no. | "predeterminado" "recuperar" |
enabledForDeployment | Propiedad para especificar si se permite que Azure Virtual Machines recupere certificados almacenados como secretos del almacén de claves. | bool |
enabledForDiskEncryption | Propiedad para especificar si Azure Disk Encryption puede recuperar secretos del almacén y desencapsular las claves. | bool |
enabledForTemplateDeployment | Propiedad para especificar si Se permite que Azure Resource Manager recupere secretos del almacén de claves. | bool |
enablePurgeProtection | Propiedad que especifica si la protección contra purga está habilitada para este almacén. Al establecer esta propiedad en true, se activa la protección contra la purga de este almacén y su contenido: solo el servicio de Key Vault puede iniciar una eliminación irrecuperable e irrecuperable. La configuración solo es efectiva si la eliminación temporal también está habilitada. Habilitar esta funcionalidad es irreversible; es decir, la propiedad no acepta false como su valor. | bool |
enableSoftDelete | Propiedad para especificar si la funcionalidad de "eliminación temporal" está habilitada para este almacén de claves. No acepta el valor false. | bool |
networkAcls | Reglas que rigen la accesibilidad del almacén de claves desde ubicaciones de red específicas. | NetworkRuleSet |
sku | Detalles de la SKU | SKU (obligatorio) |
tenantId | Identificador de inquilino de Azure Active Directory que se debe usar para autenticar solicitudes en el almacén de claves. | string (obligatorio) Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI del almacén para realizar operaciones en claves y secretos. | string |
AccessPolicyEntry
Nombre | Descripción | Valor |
---|---|---|
applicationId | Identificador de aplicación del cliente que realiza una solicitud en nombre de una entidad de seguridad | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Identificador de objeto de un usuario, una entidad de servicio o un grupo de seguridad en el inquilino de Azure Active Directory para el almacén. El identificador de objeto debe ser único para la lista de directivas de acceso. | string (obligatorio) |
permisos | Permisos que la identidad tiene para claves, secretos y certificados. | Permisos (obligatorios) |
tenantId | Identificador de inquilino de Azure Active Directory que se debe usar para autenticar solicitudes en el almacén de claves. | string (obligatorio) Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Permisos
Nombre | Descripción | Valor |
---|---|---|
certificates | Permisos para certificados | Matriz de cadenas que contiene cualquiera de: "copia de seguridad" "crear" "eliminar" "deleteissuers" "get" "getissuers" "import" "lista" "listissuers" "managecontacts" "manageissuers" "purgar" "recuperar" "restaurar" "setissuers" "update" |
claves | Permisos para claves | Matriz de cadenas que contiene cualquiera de: "copia de seguridad" "crear" "descifrar" "eliminar" "cifrar" "get" "import" "lista" "purgar" "recuperar" "restaurar" "sign" "unwrapKey" "update" "verify" "wrapKey" |
secrets | Permisos para secretos | Matriz de cadenas que contiene cualquiera de: "copia de seguridad" "eliminar" "get" "lista" "purgar" "recuperar" "restaurar" "set" |
storage | Permisos para cuentas de almacenamiento | Matriz de cadenas que contiene cualquiera de: "copia de seguridad" "eliminar" "deletesas" "get" "getsas" "lista" "listsas" "purgar" "recuperar" "regeneratekey" "restaurar" "set" "setsas" "update" |
NetworkRuleSet
Nombre | Descripción | Valor |
---|---|---|
omitir | Indica qué tráfico puede omitir las reglas de red. Puede ser "AzureServices" o "None". Si no se especifica el valor predeterminado es "AzureServices". | "AzureServices" "None" |
defaultAction | Acción predeterminada cuando no coinciden ninguna regla de ipRules y de virtualNetworkRules. Esto solo se usa después de evaluar la propiedad bypass. | "Permitir" "Denegar" |
ipRules | Lista de reglas de direcciones IP. | IPRule[] |
virtualNetworkRules | Lista de reglas de red virtual. | VirtualNetworkRule[] |
IPRule
Nombre | Descripción | Valor |
---|---|---|
value | Intervalo de direcciones IPv4 en notación CIDR, como "124.56.78.91" (dirección IP simple) o "124.56.78.0/24" (todas las direcciones que comienzan por 124.56.78). | string (obligatorio) |
VirtualNetworkRule
Nombre | Descripción | Value |
---|---|---|
id | Identificador de recurso completo de una subred de red virtual, como "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (obligatorio) |
SKU
Nombre | Descripción | Valor |
---|---|---|
family | Nombre de familia de SKU | "A" (obligatorio) |
name | Nombre de la SKU para especificar si el almacén de claves es un almacén estándar o un almacén Premium. | "Premium" "estándar" (obligatorio) |