Microsoft.Storage StorageAccounts
Definición de recursos de Bicep
El tipo de recurso storageAccounts se puede implementar con operaciones que tienen como destino:
- Grupos de recursos: consulte los comandos de implementación del grupo de recursos.
Para obtener una lista de las propiedades modificadas en cada versión de api, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Storage/storageAccounts, agregue el siguiente bicep a la plantilla.
resource symbolicname 'Microsoft.Storage/storageAccounts@2023-01-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
sku: {
name: 'string'
}
kind: 'string'
extendedLocation: {
name: 'string'
type: 'EdgeZone'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
accessTier: 'string'
allowBlobPublicAccess: bool
allowCrossTenantReplication: bool
allowedCopyScope: 'string'
allowSharedKeyAccess: bool
azureFilesIdentityBasedAuthentication: {
activeDirectoryProperties: {
accountType: 'string'
azureStorageSid: 'string'
domainGuid: 'string'
domainName: 'string'
domainSid: 'string'
forestName: 'string'
netBiosDomainName: 'string'
samAccountName: 'string'
}
defaultSharePermission: 'string'
directoryServiceOptions: 'string'
}
customDomain: {
name: 'string'
useSubDomainName: bool
}
defaultToOAuthAuthentication: bool
dnsEndpointType: 'string'
encryption: {
identity: {
federatedIdentityClientId: 'string'
userAssignedIdentity: 'string'
}
keySource: 'string'
keyvaultproperties: {
keyname: 'string'
keyvaulturi: 'string'
keyversion: 'string'
}
requireInfrastructureEncryption: bool
services: {
blob: {
enabled: bool
keyType: 'string'
}
file: {
enabled: bool
keyType: 'string'
}
queue: {
enabled: bool
keyType: 'string'
}
table: {
enabled: bool
keyType: 'string'
}
}
}
immutableStorageWithVersioning: {
enabled: bool
immutabilityPolicy: {
allowProtectedAppendWrites: bool
immutabilityPeriodSinceCreationInDays: int
state: 'string'
}
}
isHnsEnabled: bool
isLocalUserEnabled: bool
isNfsV3Enabled: bool
isSftpEnabled: bool
keyPolicy: {
keyExpirationPeriodInDays: int
}
largeFileSharesState: 'string'
minimumTlsVersion: 'string'
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
action: 'Allow'
value: 'string'
}
]
resourceAccessRules: [
{
resourceId: 'string'
tenantId: 'string'
}
]
virtualNetworkRules: [
{
action: 'Allow'
id: 'string'
state: 'string'
}
]
}
publicNetworkAccess: 'string'
routingPreference: {
publishInternetEndpoints: bool
publishMicrosoftEndpoints: bool
routingChoice: 'string'
}
sasPolicy: {
expirationAction: 'Log'
sasExpirationPeriod: 'string'
}
supportsHttpsTrafficOnly: bool
}
}
Valores de propiedad
storageAccounts
| Nombre | Descripción | Value |
|---|---|---|
| name | El nombre del recurso | string (obligatorio) Límite de caracteres: 3-24 Caracteres válidos: Letras minúsculas y números. El nombre del recurso debe ser único en Azure. |
| ubicación | Necesario. Obtiene o establece la ubicación del recurso. Se trata de una de las regiones geográficas de Azure admitidas y registradas (por ejemplo, Oeste de EE. UU., Este de EE. UU., Sudeste de Asia, etc.). La región geográfica de un recurso no se puede cambiar una vez creada, pero si se especifica una región geográfica idéntica al actualizar, la solicitud se realizará correctamente. | string (obligatorio) |
| etiquetas | Obtiene o establece una lista de pares clave-valor que describen el recurso. Estas etiquetas se pueden usar para ver y agrupar este recurso (entre grupos de recursos). Se puede proporcionar un máximo de 15 etiquetas para un recurso. Cada etiqueta debe tener una clave con una longitud no superior a 128 caracteres y un valor con una longitud no superior a 256 caracteres. | Diccionario de nombres y valores de etiqueta. Consulte Etiquetas en plantillas. |
| sku | Necesario. Obtiene o establece el nombre de la SKU. | SKU (obligatorio) |
| kind | Necesario. Indica el tipo de cuenta de almacenamiento. | 'BlobStorage' "BlockBlobStorage" 'FileStorage' "Storage" 'StorageV2' (obligatorio) |
| extendedLocation | Opcional. Establezca la ubicación extendida del recurso. Si no se establece, la cuenta de almacenamiento se creará en la región principal de Azure. De lo contrario, se creará en la ubicación extendida especificada. | ExtendedLocation |
| identidad | Identidad del recurso. | Identidad |
| properties | Parámetros usados para crear la cuenta de almacenamiento. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Nombre | Descripción | Value |
|---|---|---|
| name | Nombre de la ubicación extendida. | string |
| type | Tipo de la ubicación extendida. | 'EdgeZone' |
Identidad
| Nombre | Descripción | Value |
|---|---|---|
| type | Tipo de identidad. | 'Ninguno' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obligatorio) |
| userAssignedIdentities | Obtiene o establece una lista de pares clave-valor que describen el conjunto de identidades asignadas por el usuario que se usarán con esta cuenta de almacenamiento. La clave es el identificador de recursos de ARM de la identidad. Aquí solo se permite 1 identidad asignada por el usuario. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| Nombre | Descripción | Valor |
|---|---|---|
| {propiedad personalizada} | UserAssignedIdentity |
UserAssignedIdentity
Este objeto no contiene ninguna propiedad que se va a establecer durante la implementación. Todas las propiedades son ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Nombre | Descripción | Valor |
|---|---|---|
| accessTier | Necesario para las cuentas de almacenamiento donde kind = BlobStorage. El nivel de acceso se usa para la facturación. El nivel de acceso "Premium" es el valor predeterminado para el tipo de cuenta de almacenamiento de blobs en bloques Premium y no se puede cambiar para el tipo de cuenta de almacenamiento de blobs en bloques Premium. | "Esporádico" "Caliente" "Premium" |
| allowBlobPublicAccess | Permitir o no permitir el acceso público a todos los blobs o contenedores de la cuenta de almacenamiento. La interpretación predeterminada es false para esta propiedad. | bool |
| allowCrossTenantReplication | Permitir o no permitir la replicación de objetos de inquilino de AAD. Establezca esta propiedad en true para las cuentas nuevas o existentes solo si las directivas de replicación de objetos implican cuentas de almacenamiento en distintos inquilinos de AAD. La interpretación predeterminada es falsa para que las nuevas cuentas sigan los procedimientos de seguridad recomendados de forma predeterminada. | bool |
| allowedCopyScope | Restrinja la copia hacia y desde las cuentas de almacenamiento dentro de un inquilino de AAD o con vínculos privados a la misma red virtual. | 'AAD' "PrivateLink" |
| allowSharedKeyAccess | Indica si la cuenta de almacenamiento permite autorizar las solicitudes con la clave de acceso de la cuenta a través de clave compartida. Si es false, todas las solicitudes, incluidas las firmas de acceso compartido, deben estar autorizadas con Azure Active Directory (Azure AD). El valor predeterminado es null, que es equivalente a true. | bool |
| azureFilesIdentityBasedAuthentication | Proporciona la configuración de autenticación basada en identidades para Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Dominio de usuario asignado a la cuenta de almacenamiento. Name es el origen CNAME. Solo se admite un dominio personalizado por cuenta de almacenamiento en este momento. Para borrar el dominio personalizado existente, use una cadena vacía para la propiedad de nombre de dominio personalizado. | CustomDomain |
| defaultToOAuthAuthentication | Marca booleana que indica si la autenticación predeterminada es OAuth o no. La interpretación predeterminada es false para esta propiedad. | bool |
| dnsEndpointType | Permite especificar el tipo de punto de conexión. Establézcalo en AzureDNSZone para crear un gran número de cuentas en una sola suscripción, que crea cuentas en una zona DNS de Azure y la dirección URL del punto de conexión tendrá un identificador de zona DNS alfanumérica. | "AzureDnsZone" 'Estándar' |
| El cifrado | Configuración de cifrado que se usará para el cifrado del lado servidor para la cuenta de almacenamiento. | Cifrado |
| immutableStorageWithVersioning | La propiedad es inmutable y solo se puede establecer en true en la hora de creación de la cuenta. Cuando se establece en true, habilita la inmutabilidad de nivel de objeto para todos los contenedores nuevos de la cuenta de forma predeterminada. | ImmutableStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace habilitado si se establece en true. | bool |
| isLocalUserEnabled | Habilita la característica de usuarios locales, si se establece en true. | bool |
| isNfsV3Enabled | La compatibilidad con el protocolo NFS 3.0 está habilitada si se establece en true. | bool |
| isSftpEnabled | Habilita el protocolo seguro de transferencia de archivos, si se establece en true. | bool |
| keyPolicy | KeyPolicy asignado a la cuenta de almacenamiento. | KeyPolicy |
| largeFileSharesState | Permitir recursos compartidos de archivos grandes si se establece en Habilitado. No se puede deshabilitar una vez habilitado. | 'Deshabilitado' 'Habilitado' |
| minimumTlsVersion | Establezca la versión mínima de TLS que se permitirá en las solicitudes al almacenamiento. La interpretación predeterminada es TLS 1.0 para esta propiedad. | 'TLS1_0' 'TLS1_1' 'TLS1_2' |
| networkAcls | Conjunto de reglas de red | NetworkRuleSet |
| publicNetworkAccess | Permitir o no permitir el acceso de red pública a la cuenta de almacenamiento. El valor es opcional, pero si se pasa, debe ser "Habilitado" o "Deshabilitado". | 'Deshabilitado' 'Habilitado' |
| routingPreference | Mantiene información sobre la opción de enrutamiento de red elegida por el usuario para la transferencia de datos. | EnrutamientoPreferencia |
| sasPolicy | SasPolicy asignado a la cuenta de almacenamiento. | SasPolicy |
| supportsHttpsTrafficOnly | Permite el tráfico https solo al servicio de almacenamiento si se establece en true. El valor predeterminado es true desde la versión de API 2019-04-01. | bool |
AzureFilesIdentityBasedAuthentication
| Nombre | Descripción | Valor |
|---|---|---|
| activeDirectoryProperties | Obligatorio si directoryServiceOptions es AD, opcional si son AADKERB. | ActiveDirectoryProperties |
| defaultSharePermission | Permiso de recurso compartido predeterminado para los usuarios que usan la autenticación Kerberos si no se asigna el rol RBAC. | 'Ninguno' "StorageFileDataSmbShareContributor" 'StorageFileDataSmbShareElevatedContributor' "StorageFileDataSmbShareReader" |
| directoryServiceOptions | Indica el servicio de directorio usado. Tenga en cuenta que esta enumeración puede extenderse en el futuro. | "AADDS" "AADKERB" 'AD' 'None' (obligatorio) |
ActiveDirectoryProperties
| Nombre | Descripción | Valor |
|---|---|---|
| accountType | Especifica el tipo de cuenta de Active Directory para Azure Storage. | 'Equipo' "Usuario" |
| azureStorageSid | Especifica el identificador de seguridad (SID) para Azure Storage. | string |
| domainGuid | Especifica el GUID de dominio. | string (obligatorio) |
| domainName | Especifica el dominio principal para el que el servidor DNS de AD es autoritativo. | string (obligatorio) |
| domainSid | Especifica el identificador de seguridad (SID). | string |
| forestName | Especifica el bosque de Active Directory que se va a obtener. | string |
| netBiosDomainName | Especifica el nombre de dominio NetBIOS. | string |
| samAccountName | Especifica el nombre SAMAccountName de Active Directory para Azure Storage. | string |
CustomDomain
| Nombre | Descripción | Value |
|---|---|---|
| name | Obtiene o establece el nombre de dominio personalizado asignado a la cuenta de almacenamiento. Name es el origen CNAME. | string (obligatorio) |
| useSubDomainName | Indica si está habilitada la validación indirecta de CName. El valor predeterminado es False. Esto solo debe establecerse en las actualizaciones. | bool |
Cifrado
| Nombre | Descripción | Valor |
|---|---|---|
| identidad | Identidad que se va a usar con el cifrado del lado del servicio en reposo. | EncryptionIdentity |
| keySource | KeySource (proveedor) de cifrado. Valores posibles (sin distinción entre mayúsculas y minúsculas): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
| keyvaultproperties | Propiedades proporcionadas por el almacén de claves. | KeyVaultProperties |
| requireInfrastructureEncryption | Valor booleano que indica si el servicio aplica o no una capa secundaria de cifrado con claves administradas por la plataforma para los datos en reposo. | bool |
| services | Lista de servicios que admiten el cifrado. | EncryptionServices |
EncryptionIdentity
| Nombre | Descripción | Valor |
|---|---|---|
| federatedIdentityClientId | ClientId de la aplicación multiinquilino que se usará junto con la identidad asignada por el usuario para el cifrado del lado servidor de claves administradas por el cliente entre inquilinos en la cuenta de almacenamiento. | string |
| userAssignedIdentity | Identificador de recurso de la identidad UserAssigned que se va a asociar al cifrado del lado servidor en la cuenta de almacenamiento. | string |
KeyVaultProperties
| Nombre | Descripción | Valor |
|---|---|---|
| Keyname | Nombre de la clave KeyVault. | string |
| keyvaulturi | Uri de KeyVault. | string |
| keyversion | La versión de la clave keyVault. | string |
EncryptionServices
| Nombre | Descripción | Valor |
|---|---|---|
| blob | Función de cifrado del servicio blob Storage. | EncryptionService |
| archivo | Función de cifrado del servicio de almacenamiento de archivos. | EncryptionService |
| cola | Función de cifrado del servicio queue storage. | EncryptionService |
| table | Función de cifrado del servicio Table Storage. | EncryptionService |
EncryptionService
| Nombre | Descripción | Valor |
|---|---|---|
| enabled | Valor booleano que indica si el servicio cifra o no los datos a medida que se almacenan. El cifrado en reposo está habilitado de forma predeterminada actualmente y no se puede deshabilitar. | bool |
| keyType | Tipo de clave de cifrado que se va a usar para el servicio de cifrado. El tipo de clave "Account" implica que se usará una clave de cifrado con ámbito de cuenta. El tipo de clave "Servicio" implica que se usa una clave de servicio predeterminada. | 'Cuenta' 'Servicio' |
ImmutableStorageAccount
| Nombre | Descripción | Valor |
|---|---|---|
| enabled | Marca booleana que permite la inmutabilidad de nivel de cuenta. Todos los contenedores de esta cuenta tienen habilitada la inmutabilidad de nivel de objeto de forma predeterminada. | bool |
| immutabilityPolicy | Especifica la directiva de inmutabilidad de nivel de cuenta predeterminada que se hereda y se aplica a los objetos que no poseen una directiva de inmutabilidad explícita en el nivel de objeto. La directiva de inmutabilidad de nivel de objeto tiene mayor prioridad que la directiva de inmutabilidad de nivel de contenedor, que tiene una prioridad más alta que la directiva de inmutabilidad de nivel de cuenta. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Nombre | Descripción | Valor |
|---|---|---|
| allowProtectedAppendWrites | Esta propiedad solo se puede cambiar para las directivas de retención deshabilitadas y desbloqueadas basadas en el tiempo. Cuando se habilita, los nuevos bloques se pueden escribir en un blob en anexos mientras se mantiene la protección y el cumplimiento de la inmutabilidad. Solo se pueden agregar nuevos bloques y los bloques existentes no se pueden modificar ni eliminar. | bool |
| immutabilityPeriodSinceCreationInDays | Período de inmutabilidad para los blobs del contenedor desde la creación de la directiva, en días. | int Restricciones: Valor mínimo = 1 Valor máximo = 146000 |
| state | El estado ImmutabilityPolicy define el modo de la directiva. El estado deshabilitado deshabilita la directiva, el estado Desbloqueado permite aumentar y disminuir el tiempo de retención de inmutabilidad y también permite alternar la propiedad allowProtectedAppendWrites, el estado Bloqueado solo permite el aumento del tiempo de retención de inmutabilidad. Una directiva solo se puede crear en un estado Deshabilitado o Desbloqueado y se puede alternar entre los dos estados. Solo una directiva en un estado Desbloqueado puede pasar a un estado Bloqueado que no se puede revertir. | 'Deshabilitado' 'Bloqueado' "Desbloqueado" |
KeyPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| keyExpirationPeriodInDays | Período de expiración de la clave en días. | int (obligatorio) |
NetworkRuleSet
| Nombre | Descripción | Valor |
|---|---|---|
| omitir | Especifica si se omite el tráfico para Logging/Metrics/AzureServices. Los valores posibles son cualquier combinación de Registro, Métricas, AzureServices (por ejemplo, "Registro, Métricas") o Ninguno para omitir ninguno de esos tráficos. | "AzureServices" "Registro" "Métricas" 'Ninguno' |
| defaultAction | Especifica la acción predeterminada de permitir o denegar cuando no coinciden otras reglas. | 'Permitir' 'Deny' (obligatorio) |
| ipRules | Establece las reglas de ACL de IP | IPRule[] |
| resourceAccessRules | Establece las reglas de acceso a recursos | ResourceAccessRule[] |
| virtualNetworkRules | Establece las reglas de red virtual | VirtualNetworkRule[] |
IPRule
| Nombre | Descripción | Valor |
|---|---|---|
| action | Acción de la regla de ACL de IP. | 'Permitir' |
| value | Especifica la dirección IP o el intervalo IP en formato CIDR. Solo se permite la dirección IPV4. | string (obligatorio) |
ResourceAccessRule
| Nombre | Descripción | Value |
|---|---|---|
| resourceId | Id. de recurso | string |
| tenantId | Identificador de inquilino | string |
VirtualNetworkRule
| Nombre | Descripción | Valor |
|---|---|---|
| action | Acción de la regla de red virtual. | 'Permitir' |
| id | Identificador de recurso de una subred, por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | string (obligatorio) |
| state | Obtiene el estado de la regla de red virtual. | "Desaprovisionamiento" 'Error' "NetworkSourceDeleted" 'Aprovisionamiento' 'Correcto' |
EnrutamientoPreferencia
| Nombre | Descripción | Valor |
|---|---|---|
| publishInternetEndpoints | Marca booleana que indica si se van a publicar puntos de conexión de almacenamiento de enrutamiento de Internet. | bool |
| publishMicrosoftEndpoints | Marca booleana que indica si se van a publicar puntos de conexión de almacenamiento de enrutamiento de Microsoft. | bool |
| routingChoice | La opción de enrutamiento define el tipo de enrutamiento de red elegido por el usuario. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| expirationAction | Acción de expiración de SAS. Solo puede ser Log. | 'Log' (obligatorio) |
| sasExpirationPeriod | El período de expiración de SAS, DD.HH:MM:SS. | string (obligatorio) |
SKU
| Nombre | Descripción | Value |
|---|---|---|
| name | El nombre de la SKU. Necesario para la creación de cuentas; opcional para la actualización. Tenga en cuenta que en versiones anteriores, el nombre de la SKU se llamó accountType. | 'Premium_LRS' 'Premium_ZRS' 'Standard_GRS' 'Standard_GZRS' 'Standard_LRS' 'Standard_RAGRS' 'Standard_RAGZRS' 'Standard_ZRS' (obligatorio) |
Plantillas de inicio rápido
Las siguientes plantillas de inicio rápido implementan este tipo de recurso.
| Plantilla | Descripción |
|---|---|
Conexión a una cuenta de almacenamiento desde una máquina virtual a través de un punto de conexión privado |
En este ejemplo se muestra cómo usar la conexión de una red virtual para acceder a una cuenta de Blob Storage a través de un punto de conexión privado. |
| Conexión a un recurso compartido de archivos de Azure a través de un punto de conexión privado |
En este ejemplo se muestra cómo usar la configuración de una red virtual y una zona DNS privada para acceder a un recurso compartido de archivos de Azure a través de un punto de conexión privado. |
| Creación de una cuenta de Almacenamiento estándar |
Esta plantilla crea una cuenta de Almacenamiento estándar |
| Creación de una cuenta de almacenamiento con SSE |
Esta plantilla crea una cuenta de almacenamiento con Storage Service Encryption para datos en reposo |
| Cuenta de almacenamiento con Advanced Threat Protection |
Esta plantilla le permite implementar una cuenta de Azure Storage con Advanced Threat Protection habilitado. |
| Creación de una cuenta de Azure Storage y un contenedor de blobs en Azure |
Esta plantilla crea una cuenta de Azure Storage y un contenedor de blobs. |
| Cuenta de almacenamiento con directiva de retención de eliminación de blobs y SSE |
Esta plantilla crea una cuenta de almacenamiento con Storage Service Encryption y una directiva de retención de eliminación de blobs |
| Cifrado de cuenta de Azure Storage con clave administrada por el cliente |
Esta plantilla implementa una cuenta de almacenamiento con una clave administrada por el cliente para el cifrado generado y colocado dentro de un Key Vault. |
| Creación de una cuenta de almacenamiento con un recurso compartido de archivos |
Esta plantilla crea una cuenta de Almacenamiento de Azure y un recurso compartido de archivos. |
| Creación de una cuenta de almacenamiento con varios contenedores de blob |
Crea una cuenta de Azure Storage y varios contenedores de blobs. |
| Creación de una cuenta de almacenamiento con varios recursos compartidos de archivos |
Crea una cuenta de almacenamiento de Azure y varios recursos compartidos de archivos. |
| Creación de una cuenta de almacenamiento con SFTP habilitado |
Crea una cuenta de Azure Storage y un contenedor de blobs al que se puede acceder mediante el protocolo SFTP. El acceso puede ser una contraseña o una clave pública. |
| Implementa un sitio web estático |
Implementa un sitio web estático con una cuenta de almacenamiento de respaldo |
Definición de recursos de plantilla de ARM
El tipo de recurso storageAccounts se puede implementar con operaciones destinadas a:
- Grupos de recursos: consulte los comandos de implementación del grupo de recursos.
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Storage/storageAccounts, agregue el siguiente json a la plantilla.
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-01-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"sku": {
"name": "string"
},
"kind": "string",
"extendedLocation": {
"name": "string",
"type": "EdgeZone"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"accessTier": "string",
"allowBlobPublicAccess": "bool",
"allowCrossTenantReplication": "bool",
"allowedCopyScope": "string",
"allowSharedKeyAccess": "bool",
"azureFilesIdentityBasedAuthentication": {
"activeDirectoryProperties": {
"accountType": "string",
"azureStorageSid": "string",
"domainGuid": "string",
"domainName": "string",
"domainSid": "string",
"forestName": "string",
"netBiosDomainName": "string",
"samAccountName": "string"
},
"defaultSharePermission": "string",
"directoryServiceOptions": "string"
},
"customDomain": {
"name": "string",
"useSubDomainName": "bool"
},
"defaultToOAuthAuthentication": "bool",
"dnsEndpointType": "string",
"encryption": {
"identity": {
"federatedIdentityClientId": "string",
"userAssignedIdentity": "string"
},
"keySource": "string",
"keyvaultproperties": {
"keyname": "string",
"keyvaulturi": "string",
"keyversion": "string"
},
"requireInfrastructureEncryption": "bool",
"services": {
"blob": {
"enabled": "bool",
"keyType": "string"
},
"file": {
"enabled": "bool",
"keyType": "string"
},
"queue": {
"enabled": "bool",
"keyType": "string"
},
"table": {
"enabled": "bool",
"keyType": "string"
}
}
},
"immutableStorageWithVersioning": {
"enabled": "bool",
"immutabilityPolicy": {
"allowProtectedAppendWrites": "bool",
"immutabilityPeriodSinceCreationInDays": "int",
"state": "string"
}
},
"isHnsEnabled": "bool",
"isLocalUserEnabled": "bool",
"isNfsV3Enabled": "bool",
"isSftpEnabled": "bool",
"keyPolicy": {
"keyExpirationPeriodInDays": "int"
},
"largeFileSharesState": "string",
"minimumTlsVersion": "string",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"action": "Allow",
"value": "string"
}
],
"resourceAccessRules": [
{
"resourceId": "string",
"tenantId": "string"
}
],
"virtualNetworkRules": [
{
"action": "Allow",
"id": "string",
"state": "string"
}
]
},
"publicNetworkAccess": "string",
"routingPreference": {
"publishInternetEndpoints": "bool",
"publishMicrosoftEndpoints": "bool",
"routingChoice": "string"
},
"sasPolicy": {
"expirationAction": "Log",
"sasExpirationPeriod": "string"
},
"supportsHttpsTrafficOnly": "bool"
}
}
Valores de propiedad
storageAccounts
| Nombre | Descripción | Value |
|---|---|---|
| type | Tipo de recurso | 'Microsoft.Storage/storageAccounts' |
| apiVersion | La versión de la API de recursos | '2023-01-01' |
| name | El nombre del recurso | string (obligatorio) Límite de caracteres: 3-24 Caracteres válidos: Letras minúsculas y números. El nombre del recurso debe ser único en Azure. |
| ubicación | Necesario. Obtiene o establece la ubicación del recurso. Será una de las regiones geográficas de Azure admitidas y registradas (por ejemplo, Oeste de EE. UU., Este de EE. UU., Sudeste asiático, etc.). La región geográfica de un recurso no se puede cambiar una vez creada, pero si se especifica una región geográfica idéntica al actualizarse, la solicitud se realizará correctamente. | string (obligatorio) |
| etiquetas | Obtiene o establece una lista de pares clave-valor que describen el recurso. Estas etiquetas se pueden usar para ver y agrupar este recurso (entre grupos de recursos). Se puede proporcionar un máximo de 15 etiquetas para un recurso. Cada etiqueta debe tener una clave con una longitud no superior a 128 caracteres y un valor con una longitud no superior a 256 caracteres. | Diccionario de nombres y valores de etiqueta. Consulte Etiquetas en plantillas. |
| sku | Necesario. Obtiene o establece el nombre de la SKU. | SKU (obligatorio) |
| kind | Necesario. Indica el tipo de cuenta de almacenamiento. | "BlobStorage" 'BlockBlobStorage' 'FileStorage' "Storage" 'StorageV2' (obligatorio) |
| extendedLocation | Opcional. Establezca la ubicación extendida del recurso. Si no se establece, la cuenta de almacenamiento se creará en la región principal de Azure. De lo contrario, se creará en la ubicación extendida especificada. | ExtendedLocation |
| identidad | Identidad del recurso. | Identidad |
| properties | Parámetros usados para crear la cuenta de almacenamiento. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Nombre | Descripción | Value |
|---|---|---|
| name | Nombre de la ubicación extendida. | string |
| type | Tipo de la ubicación extendida. | 'EdgeZone' |
Identidad
| Nombre | Descripción | Value |
|---|---|---|
| type | Tipo de identidad. | 'Ninguno' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obligatorio) |
| userAssignedIdentities | Obtiene o establece una lista de pares clave-valor que describen el conjunto de identidades asignadas por el usuario que se usarán con esta cuenta de almacenamiento. La clave es el identificador de recursos arm de la identidad. Aquí solo se permite 1 identidad asignada por el usuario. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| Nombre | Descripción | Valor |
|---|---|---|
| {propiedad personalizada} | UserAssignedIdentity |
UserAssignedIdentity
Este objeto no contiene ninguna propiedad que se establezca durante la implementación. Todas las propiedades son ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Nombre | Descripción | Valor |
|---|---|---|
| accessTier | Necesario para las cuentas de almacenamiento donde kind = BlobStorage. El nivel de acceso se usa para la facturación. El nivel de acceso "Premium" es el valor predeterminado para el tipo de cuenta de almacenamiento de blobs en bloques Premium y no se puede cambiar para el tipo de cuenta de almacenamiento de blobs en bloques Premium. | 'Esporádico' 'Caliente' 'Premium' |
| allowBlobPublicAccess | Permitir o no permitir el acceso público a todos los blobs o contenedores de la cuenta de almacenamiento. La interpretación predeterminada es false para esta propiedad. | bool |
| allowCrossTenantReplication | Permitir o no permitir la replicación de objetos de inquilino de AAD. Establezca esta propiedad en true para las cuentas nuevas o existentes solo si las directivas de replicación de objetos implican cuentas de almacenamiento en distintos inquilinos de AAD. La interpretación predeterminada es false para que las cuentas nuevas sigan los procedimientos de seguridad recomendados de forma predeterminada. | bool |
| allowedCopyScope | Restrinja la copia hacia y desde cuentas de almacenamiento dentro de un inquilino de AAD o con vínculos privados a la misma red virtual. | 'AAD' 'PrivateLink' |
| allowSharedKeyAccess | Indica si la cuenta de almacenamiento permite autorizar las solicitudes con la clave de acceso de la cuenta mediante clave compartida. Si es false, todas las solicitudes, incluidas las firmas de acceso compartido, deben estar autorizadas con Azure Active Directory (Azure AD). El valor predeterminado es NULL, que es equivalente a true. | bool |
| azureFilesIdentityBasedAuthentication | Proporciona la configuración de autenticación basada en identidades para Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Dominio de usuario asignado a la cuenta de almacenamiento. Name es el origen CNAME. Solo se admite un dominio personalizado por cuenta de almacenamiento en este momento. Para borrar el dominio personalizado existente, use una cadena vacía para la propiedad de nombre de dominio personalizado. | CustomDomain |
| defaultToOAuthAuthentication | Marca booleana que indica si la autenticación predeterminada es OAuth o no. La interpretación predeterminada es false para esta propiedad. | bool |
| dnsEndpointType | Permite especificar el tipo de punto de conexión. Establézcalo en AzureDNSZone para crear un gran número de cuentas en una sola suscripción, que crea cuentas en una zona DNS de Azure y la dirección URL del punto de conexión tendrá un identificador de zona DNS alfanumérica. | "AzureDnsZone" 'Estándar' |
| El cifrado | Configuración de cifrado que se va a usar para el cifrado del lado servidor para la cuenta de almacenamiento. | Cifrado |
| immutableStorageWithVersioning | La propiedad es inmutable y solo se puede establecer en true en la hora de creación de la cuenta. Cuando se establece en true, habilita la inmutabilidad de nivel de objeto para todos los contenedores nuevos de la cuenta de forma predeterminada. | ImmutableStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace habilitado si establece en true. | bool |
| isLocalUserEnabled | Habilita la característica de usuarios locales, si se establece en true. | bool |
| isNfsV3Enabled | La compatibilidad con el protocolo NFS 3.0 está habilitada si se establece en true. | bool |
| isSftpEnabled | Habilita el protocolo de transferencia de archivos seguros, si se establece en true. | bool |
| keyPolicy | KeyPolicy asignado a la cuenta de almacenamiento. | KeyPolicy |
| largeFileSharesState | Permitir recursos compartidos de archivos grandes si se establece en Habilitado. No se puede deshabilitar una vez habilitado. | 'Deshabilitado' 'Habilitado' |
| minimumTlsVersion | Establezca la versión mínima de TLS que se permitirá en las solicitudes al almacenamiento. La interpretación predeterminada es TLS 1.0 para esta propiedad. | 'TLS1_0' 'TLS1_1' 'TLS1_2' |
| networkAcls | Conjunto de reglas de red | NetworkRuleSet |
| publicNetworkAccess | Permitir o no permitir el acceso de red pública a la cuenta de almacenamiento. El valor es opcional, pero si se pasa, debe ser "Habilitado" o "Deshabilitado". | 'Deshabilitado' 'Habilitado' |
| routingPreference | Mantiene información sobre la opción de enrutamiento de red elegida por el usuario para la transferencia de datos. | EnrutamientoPreferencia |
| sasPolicy | SasPolicy asignado a la cuenta de almacenamiento. | SasPolicy |
| supportsHttpsTrafficOnly | Permite el tráfico https solo al servicio de almacenamiento si se establece en true. El valor predeterminado es true desde la versión de API 2019-04-01. | bool |
AzureFilesIdentityBasedAuthentication
| Nombre | Descripción | Valor |
|---|---|---|
| activeDirectoryProperties | Obligatorio si directoryServiceOptions es AD, opcional si son AADKERB. | ActiveDirectoryProperties |
| defaultSharePermission | Permiso de recurso compartido predeterminado para los usuarios que usan la autenticación Kerberos si no se asigna el rol RBAC. | 'Ninguno' "StorageFileDataSmbShareContributor" 'StorageFileDataSmbShareElevatedContributor' 'StorageFileDataSmbShareReader' |
| directoryServiceOptions | Indica el servicio de directorio usado. Tenga en cuenta que esta enumeración se puede extender en el futuro. | 'AADDS' 'AADKERB' 'AD' 'None' (obligatorio) |
ActiveDirectoryProperties
| Nombre | Descripción | Valor |
|---|---|---|
| accountType | Especifica el tipo de cuenta de Active Directory para Azure Storage. | 'Equipo' 'Usuario' |
| azureStorageSid | Especifica el identificador de seguridad (SID) para Azure Storage. | string |
| domainGuid | Especifica el GUID del dominio. | string (obligatorio) |
| domainName | Especifica el dominio principal para el que el servidor DNS de AD es autoritativo. | string (obligatorio) |
| domainSid | Especifica el identificador de seguridad (SID). | string |
| forestName | Especifica el bosque de Active Directory que se va a obtener. | string |
| netBiosDomainName | Especifica el nombre de dominio netBIOS. | string |
| samAccountName | Especifica el nombre SAMAccountName de Active Directory para Azure Storage. | string |
CustomDomain
| Nombre | Descripción | Value |
|---|---|---|
| name | Obtiene o establece el nombre de dominio personalizado asignado a la cuenta de almacenamiento. Name es el origen CNAME. | string (obligatorio) |
| useSubDomainName | Indica si está habilitada la validación indirecta de CName. El valor predeterminado es False. Esto solo debe establecerse en las actualizaciones. | bool |
Cifrado
| Nombre | Descripción | Valor |
|---|---|---|
| identidad | Identidad que se va a usar con cifrado del lado del servicio en reposo. | EncryptionIdentity |
| keySource | KeySource (proveedor) de cifrado. Valores posibles (sin distinción entre mayúsculas y minúsculas): Microsoft.Storage, Microsoft.Keyvault | 'Microsoft.Keyvault' "Microsoft.Storage" |
| keyvaultproperties | Propiedades proporcionadas por el almacén de claves. | KeyVaultProperties |
| requireInfrastructureEncryption | Un valor booleano que indica si el servicio aplica o no una capa secundaria de cifrado con claves administradas por la plataforma para los datos en reposo. | bool |
| services | Lista de servicios que admiten el cifrado. | EncryptionServices |
EncryptionIdentity
| Nombre | Descripción | Valor |
|---|---|---|
| federatedIdentityClientId | ClientId de la aplicación multiinquilino que se va a usar junto con la identidad asignada por el usuario para el cifrado del lado servidor de claves administradas por el cliente entre inquilinos en la cuenta de almacenamiento. | string |
| userAssignedIdentity | Identificador de recurso de la identidad UserAssigned que se va a asociar al cifrado del lado servidor en la cuenta de almacenamiento. | string |
KeyVaultProperties
| Nombre | Descripción | Valor |
|---|---|---|
| Keyname | Nombre de la clave keyVault. | string |
| keyvaulturi | Uri de KeyVault. | string |
| keyversion | La versión de la clave keyVault. | string |
EncryptionServices
| Nombre | Descripción | Valor |
|---|---|---|
| blob | Función de cifrado del servicio blob Storage. | EncryptionService |
| archivo | Función de cifrado del servicio de almacenamiento de archivos. | EncryptionService |
| cola | Función de cifrado del servicio queue storage. | EncryptionService |
| table | Función de cifrado del servicio Table Storage. | EncryptionService |
EncryptionService
| Nombre | Descripción | Valor |
|---|---|---|
| enabled | Valor booleano que indica si el servicio cifra o no los datos a medida que se almacenan. El cifrado en reposo está habilitado de forma predeterminada actualmente y no se puede deshabilitar. | bool |
| keyType | Tipo de clave de cifrado que se va a usar para el servicio de cifrado. El tipo de clave "Account" implica que se usará una clave de cifrado con ámbito de cuenta. El tipo de clave "Servicio" implica que se usa una clave de servicio predeterminada. | 'Cuenta' 'Servicio' |
ImmutableStorageAccount
| Nombre | Descripción | Valor |
|---|---|---|
| enabled | Marca booleana que permite la inmutabilidad de nivel de cuenta. Todos los contenedores de esta cuenta tienen habilitada la inmutabilidad de nivel de objeto de forma predeterminada. | bool |
| immutabilityPolicy | Especifica la directiva de inmutabilidad de nivel de cuenta predeterminada que se hereda y se aplica a los objetos que no poseen una directiva de inmutabilidad explícita en el nivel de objeto. La directiva de inmutabilidad de nivel de objeto tiene mayor prioridad que la directiva de inmutabilidad de nivel de contenedor, que tiene una prioridad más alta que la directiva de inmutabilidad de nivel de cuenta. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Nombre | Descripción | Valor |
|---|---|---|
| allowProtectedAppendWrites | Esta propiedad solo se puede cambiar para las directivas de retención deshabilitadas y desbloqueadas basadas en el tiempo. Cuando se habilita, los nuevos bloques se pueden escribir en un blob en anexos mientras se mantiene la protección y el cumplimiento de la inmutabilidad. Solo se pueden agregar nuevos bloques y los bloques existentes no se pueden modificar ni eliminar. | bool |
| immutabilityPeriodSinceCreationInDays | Período de inmutabilidad para los blobs del contenedor desde la creación de la directiva, en días. | int Restricciones: Valor mínimo = 1 Valor máximo = 146000 |
| state | El estado ImmutabilityPolicy define el modo de la directiva. El estado deshabilitado deshabilita la directiva, el estado Desbloqueado permite aumentar y disminuir el tiempo de retención de inmutabilidad y también permite alternar la propiedad allowProtectedAppendWrites, el estado Bloqueado solo permite el aumento del tiempo de retención de inmutabilidad. Una directiva solo se puede crear en un estado Deshabilitado o Desbloqueado y se puede alternar entre los dos estados. Solo una directiva en un estado Desbloqueado puede pasar a un estado Bloqueado que no se puede revertir. | 'Deshabilitado' 'Bloqueado' "Desbloqueado" |
KeyPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| keyExpirationPeriodInDays | Período de expiración de la clave en días. | int (obligatorio) |
NetworkRuleSet
| Nombre | Descripción | Valor |
|---|---|---|
| omitir | Especifica si se omite el tráfico para Logging/Metrics/AzureServices. Los valores posibles son cualquier combinación de Registro, Métricas, AzureServices (por ejemplo, "Registro, Métricas") o Ninguno para omitir ninguno de esos tráficos. | "AzureServices" "Registro" "Métricas" 'Ninguno' |
| defaultAction | Especifica la acción predeterminada de permitir o denegar cuando no coinciden otras reglas. | 'Permitir' 'Deny' (obligatorio) |
| ipRules | Establece las reglas de ACL de IP | IPRule[] |
| resourceAccessRules | Establece las reglas de acceso a recursos | ResourceAccessRule[] |
| virtualNetworkRules | Establece las reglas de red virtual | VirtualNetworkRule[] |
IPRule
| Nombre | Descripción | Valor |
|---|---|---|
| action | Acción de la regla de ACL de IP. | 'Permitir' |
| value | Especifica la dirección IP o el intervalo IP en formato CIDR. Solo se permite la dirección IPV4. | string (obligatorio) |
ResourceAccessRule
| Nombre | Descripción | Value |
|---|---|---|
| resourceId | Id. de recurso | string |
| tenantId | Identificador de inquilino | string |
VirtualNetworkRule
| Nombre | Descripción | Valor |
|---|---|---|
| action | Acción de la regla de red virtual. | 'Permitir' |
| id | Identificador de recurso de una subred, por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | string (obligatorio) |
| state | Obtiene el estado de la regla de red virtual. | "Desaprovisionamiento" 'Error' "NetworkSourceDeleted" 'Aprovisionamiento' 'Correcto' |
EnrutamientoPreferencia
| Nombre | Descripción | Valor |
|---|---|---|
| publishInternetEndpoints | Marca booleana que indica si se van a publicar puntos de conexión de almacenamiento de enrutamiento de Internet. | bool |
| publishMicrosoftEndpoints | Marca booleana que indica si se van a publicar puntos de conexión de almacenamiento de enrutamiento de Microsoft. | bool |
| routingChoice | La opción de enrutamiento define el tipo de enrutamiento de red elegido por el usuario. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| expirationAction | Acción de expiración de SAS. Solo puede ser Log. | 'Log' (obligatorio) |
| sasExpirationPeriod | El período de expiración de SAS, DD.HH:MM:SS. | string (obligatorio) |
SKU
| Nombre | Descripción | Value |
|---|---|---|
| name | El nombre de la SKU. Necesario para la creación de cuentas; opcional para la actualización. Tenga en cuenta que en versiones anteriores, el nombre de la SKU se llamó accountType. | 'Premium_LRS' 'Premium_ZRS' 'Standard_GRS' 'Standard_GZRS' 'Standard_LRS' 'Standard_RAGRS' 'Standard_RAGZRS' 'Standard_ZRS' (obligatorio) |
Plantillas de inicio rápido
Las siguientes plantillas de inicio rápido implementan este tipo de recurso.
| Plantilla | Descripción |
|---|---|
| Conexión a una cuenta de almacenamiento desde una máquina virtual mediante un punto de conexión privado |
En este ejemplo se muestra cómo usar la conexión de una red virtual para acceder a una cuenta de Blob Storage a través de un punto de conexión privado. |
| Conexión a un recurso compartido de archivos de Azure a través de un punto de conexión privado |
En este ejemplo se muestra cómo usar la configuración de una red virtual y una zona DNS privada para acceder a un recurso compartido de archivos de Azure a través de un punto de conexión privado. |
| Creación de una cuenta de Almacenamiento estándar |
Esta plantilla crea una cuenta de Almacenamiento estándar. |
| Creación de una cuenta de almacenamiento con SSE |
Esta plantilla crea una cuenta de almacenamiento con Storage Service Encryption para datos en reposo. |
| Cuenta de almacenamiento con Advanced Threat Protection |
Esta plantilla le permite implementar una cuenta de Azure Storage con Advanced Threat Protection habilitado. |
| Creación de una cuenta de Azure Storage y un contenedor de blobs en Azure |
Esta plantilla crea una cuenta de Azure Storage y un contenedor de blobs. |
| Cuenta de almacenamiento con la directiva de retención de eliminación de blobs y SSE |
Esta plantilla crea una cuenta de almacenamiento con Storage Service Encryption y una directiva de retención de eliminación de blobs. |
| Cifrado de cuentas de Azure Storage con clave administrada por el cliente |
Esta plantilla implementa una cuenta de almacenamiento con una clave administrada por el cliente para el cifrado que se genera y se coloca dentro de un Key Vault. |
| Creación de una cuenta de almacenamiento con un recurso compartido de archivos |
Esta plantilla crea una cuenta de Azure Storage y un recurso compartido de archivos. |
| Creación de una cuenta de almacenamiento con varios contenedores de blob |
Crea una cuenta de Almacenamiento de Azure y varios contenedores de blobs. |
| Creación de una cuenta de almacenamiento con varios recursos compartidos de archivos |
Crea una cuenta de almacenamiento de Azure y varios recursos compartidos de archivos. |
| Creación de una cuenta de almacenamiento con SFTP habilitado |
Crea una cuenta de Azure Storage y un contenedor de blobs al que se puede acceder mediante el protocolo SFTP. El acceso puede ser una contraseña o una clave pública. |
| Implementa un sitio web estático |
Implementa un sitio web estático con una cuenta de almacenamiento de respaldo |
Definición de recursos de Terraform (proveedor AzAPI)
El tipo de recurso storageAccounts se puede implementar con operaciones que tienen como destino:
- Grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de api, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Storage/storageAccounts, agregue el siguiente terraform a la plantilla.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Storage/storageAccounts@2023-01-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
accessTier = "string"
allowBlobPublicAccess = bool
allowCrossTenantReplication = bool
allowedCopyScope = "string"
allowSharedKeyAccess = bool
azureFilesIdentityBasedAuthentication = {
activeDirectoryProperties = {
accountType = "string"
azureStorageSid = "string"
domainGuid = "string"
domainName = "string"
domainSid = "string"
forestName = "string"
netBiosDomainName = "string"
samAccountName = "string"
}
defaultSharePermission = "string"
directoryServiceOptions = "string"
}
customDomain = {
name = "string"
useSubDomainName = bool
}
defaultToOAuthAuthentication = bool
dnsEndpointType = "string"
encryption = {
identity = {
federatedIdentityClientId = "string"
userAssignedIdentity = "string"
}
keySource = "string"
keyvaultproperties = {
keyname = "string"
keyvaulturi = "string"
keyversion = "string"
}
requireInfrastructureEncryption = bool
services = {
blob = {
enabled = bool
keyType = "string"
}
file = {
enabled = bool
keyType = "string"
}
queue = {
enabled = bool
keyType = "string"
}
table = {
enabled = bool
keyType = "string"
}
}
}
immutableStorageWithVersioning = {
enabled = bool
immutabilityPolicy = {
allowProtectedAppendWrites = bool
immutabilityPeriodSinceCreationInDays = int
state = "string"
}
}
isHnsEnabled = bool
isLocalUserEnabled = bool
isNfsV3Enabled = bool
isSftpEnabled = bool
keyPolicy = {
keyExpirationPeriodInDays = int
}
largeFileSharesState = "string"
minimumTlsVersion = "string"
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
action = "Allow"
value = "string"
}
]
resourceAccessRules = [
{
resourceId = "string"
tenantId = "string"
}
]
virtualNetworkRules = [
{
action = "Allow"
id = "string"
state = "string"
}
]
}
publicNetworkAccess = "string"
routingPreference = {
publishInternetEndpoints = bool
publishMicrosoftEndpoints = bool
routingChoice = "string"
}
sasPolicy = {
expirationAction = "Log"
sasExpirationPeriod = "string"
}
supportsHttpsTrafficOnly = bool
}
sku = {
name = "string"
}
kind = "string"
extendedLocation = {
name = "string"
type = "EdgeZone"
}
})
}
Valores de propiedad
storageAccounts
| Nombre | Descripción | Value |
|---|---|---|
| type | Tipo de recurso | "Microsoft.Storage/storageAccounts@2023-01-01" |
| name | El nombre del recurso | string (obligatorio) Límite de caracteres: 3-24 Caracteres válidos: Letras minúsculas y números. El nombre del recurso debe ser único en Azure. |
| ubicación | Necesario. Obtiene o establece la ubicación del recurso. Se trata de una de las regiones geográficas de Azure admitidas y registradas (por ejemplo, Oeste de EE. UU., Este de EE. UU., Sudeste de Asia, etc.). La región geográfica de un recurso no se puede cambiar una vez creada, pero si se especifica una región geográfica idéntica al actualizar, la solicitud se realizará correctamente. | string (obligatorio) |
| parent_id | Para realizar la implementación en un grupo de recursos, use el identificador de ese grupo de recursos. | string (obligatorio) |
| etiquetas | Obtiene o establece una lista de pares clave-valor que describen el recurso. Estas etiquetas se pueden usar para ver y agrupar este recurso (entre grupos de recursos). Se puede proporcionar un máximo de 15 etiquetas para un recurso. Cada etiqueta debe tener una clave con una longitud no superior a 128 caracteres y un valor con una longitud no superior a 256 caracteres. | Diccionario de nombres y valores de etiqueta. |
| sku | Necesario. Obtiene o establece el nombre de la SKU. | SKU (obligatorio) |
| kind | Necesario. Indica el tipo de cuenta de almacenamiento. | "BlobStorage" "BlockBlobStorage" "FileStorage" "Almacenamiento" "StorageV2" (obligatorio) |
| extendedLocation | Opcional. Establezca la ubicación extendida del recurso. Si no se establece, la cuenta de almacenamiento se creará en la región principal de Azure. De lo contrario, se creará en la ubicación extendida especificada. | ExtendedLocation |
| identidad | Identidad del recurso. | Identidad |
| properties | Parámetros usados para crear la cuenta de almacenamiento. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Nombre | Descripción | Value |
|---|---|---|
| name | Nombre de la ubicación extendida. | string |
| type | Tipo de la ubicación extendida. | "EdgeZone" |
Identidad
| Nombre | Descripción | Value |
|---|---|---|
| type | Tipo de identidad. | "SystemAssigned" "SystemAssigned,UserAssigned" "UserAssigned" (obligatorio) |
| identity_ids | Obtiene o establece una lista de pares clave-valor que describen el conjunto de identidades asignadas por el usuario que se usarán con esta cuenta de almacenamiento. La clave es el identificador de recursos de ARM de la identidad. Aquí solo se permite 1 identidad asignada por el usuario. | Matriz de identificadores de identidad de usuario. |
IdentityUserAssignedIdentities
| Nombre | Descripción | Valor |
|---|---|---|
| {propiedad personalizada} | UserAssignedIdentity |
UserAssignedIdentity
Este objeto no contiene ninguna propiedad que se va a establecer durante la implementación. Todas las propiedades son ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Nombre | Descripción | Valor |
|---|---|---|
| accessTier | Necesario para las cuentas de almacenamiento donde kind = BlobStorage. El nivel de acceso se usa para la facturación. El nivel de acceso "Premium" es el valor predeterminado para el tipo de cuenta de almacenamiento de blobs en bloques Premium y no se puede cambiar para el tipo de cuenta de almacenamiento de blobs en bloques Premium. | "Esporádico" "Frecuente" "Premium" |
| allowBlobPublicAccess | Permitir o no permitir el acceso público a todos los blobs o contenedores de la cuenta de almacenamiento. La interpretación predeterminada es false para esta propiedad. | bool |
| allowCrossTenantReplication | Permitir o no permitir la replicación de objetos de inquilino de AAD. Establezca esta propiedad en true para las cuentas nuevas o existentes solo si las directivas de replicación de objetos implican cuentas de almacenamiento en distintos inquilinos de AAD. La interpretación predeterminada es falsa para que las nuevas cuentas sigan los procedimientos de seguridad recomendados de forma predeterminada. | bool |
| allowedCopyScope | Restrinja la copia hacia y desde las cuentas de almacenamiento dentro de un inquilino de AAD o con vínculos privados a la misma red virtual. | "AAD" "PrivateLink" |
| allowSharedKeyAccess | Indica si la cuenta de almacenamiento permite autorizar las solicitudes con la clave de acceso de la cuenta a través de clave compartida. Si es false, todas las solicitudes, incluidas las firmas de acceso compartido, deben estar autorizadas con Azure Active Directory (Azure AD). El valor predeterminado es null, que es equivalente a true. | bool |
| azureFilesIdentityBasedAuthentication | Proporciona la configuración de autenticación basada en identidades para Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Dominio de usuario asignado a la cuenta de almacenamiento. Name es el origen CNAME. Solo se admite un dominio personalizado por cuenta de almacenamiento en este momento. Para borrar el dominio personalizado existente, use una cadena vacía para la propiedad de nombre de dominio personalizado. | CustomDomain |
| defaultToOAuthAuthentication | Marca booleana que indica si la autenticación predeterminada es OAuth o no. La interpretación predeterminada es false para esta propiedad. | bool |
| dnsEndpointType | Permite especificar el tipo de punto de conexión. Establézcalo en AzureDNSZone para crear un gran número de cuentas en una sola suscripción, que crea cuentas en una zona DNS de Azure y la dirección URL del punto de conexión tendrá un identificador de zona DNS alfanumérica. | "AzureDnsZone" "Estándar" |
| El cifrado | Configuración de cifrado que se usará para el cifrado del lado servidor para la cuenta de almacenamiento. | Cifrado |
| immutableStorageWithVersioning | La propiedad es inmutable y solo se puede establecer en true en la hora de creación de la cuenta. Cuando se establece en true, habilita la inmutabilidad de nivel de objeto para todos los contenedores nuevos de la cuenta de forma predeterminada. | ImmutableStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace habilitado si se establece en true. | bool |
| isLocalUserEnabled | Habilita la característica de usuarios locales, si se establece en true. | bool |
| isNfsV3Enabled | La compatibilidad con el protocolo NFS 3.0 está habilitada si se establece en true. | bool |
| isSftpEnabled | Habilita el protocolo seguro de transferencia de archivos, si se establece en true. | bool |
| keyPolicy | KeyPolicy asignado a la cuenta de almacenamiento. | KeyPolicy |
| largeFileSharesState | Permitir recursos compartidos de archivos grandes si se establece en Habilitado. No se puede deshabilitar una vez habilitado. | "Deshabilitado" "Habilitado" |
| minimumTlsVersion | Establezca la versión mínima de TLS que se permitirá en las solicitudes al almacenamiento. La interpretación predeterminada es TLS 1.0 para esta propiedad. | "TLS1_0" "TLS1_1" "TLS1_2" |
| networkAcls | Conjunto de reglas de red | NetworkRuleSet |
| publicNetworkAccess | Permitir o no permitir el acceso de red pública a la cuenta de almacenamiento. El valor es opcional, pero si se pasa, debe ser "Habilitado" o "Deshabilitado". | "Deshabilitado" "Habilitado" |
| routingPreference | Mantiene información sobre la opción de enrutamiento de red elegida por el usuario para la transferencia de datos. | EnrutamientoPreferencia |
| sasPolicy | SasPolicy asignado a la cuenta de almacenamiento. | SasPolicy |
| supportsHttpsTrafficOnly | Permite el tráfico https solo al servicio de almacenamiento si se establece en true. El valor predeterminado es true desde la versión de API 2019-04-01. | bool |
AzureFilesIdentityBasedAuthentication
| Nombre | Descripción | Valor |
|---|---|---|
| activeDirectoryProperties | Obligatorio si directoryServiceOptions es AD, opcional si son AADKERB. | ActiveDirectoryProperties |
| defaultSharePermission | Permiso de recurso compartido predeterminado para los usuarios que usan la autenticación Kerberos si no se asigna el rol RBAC. | "None" "StorageFileDataSmbShareContributor" "StorageFileDataSmbShareElevatedContributor" "StorageFileDataSmbShareReader" |
| directoryServiceOptions | Indica el servicio de directorio usado. Tenga en cuenta que esta enumeración puede extenderse en el futuro. | "AADDS" "AADKERB" "AD" "None" (obligatorio) |
ActiveDirectoryProperties
| Nombre | Descripción | Valor |
|---|---|---|
| accountType | Especifica el tipo de cuenta de Active Directory para Azure Storage. | "Computer" "User" |
| azureStorageSid | Especifica el identificador de seguridad (SID) para Azure Storage. | string |
| domainGuid | Especifica el GUID de dominio. | string (obligatorio) |
| domainName | Especifica el dominio principal para el que el servidor DNS de AD es autoritativo. | string (obligatorio) |
| domainSid | Especifica el identificador de seguridad (SID). | string |
| forestName | Especifica el bosque de Active Directory que se va a obtener. | string |
| netBiosDomainName | Especifica el nombre de dominio NetBIOS. | string |
| samAccountName | Especifica el nombre SAMAccountName de Active Directory para Azure Storage. | string |
CustomDomain
| Nombre | Descripción | Value |
|---|---|---|
| name | Obtiene o establece el nombre de dominio personalizado asignado a la cuenta de almacenamiento. Name es el origen CNAME. | string (obligatorio) |
| useSubDomainName | Indica si está habilitada la validación indirecta de CName. El valor predeterminado es False. Esto solo debe establecerse en las actualizaciones. | bool |
Cifrado
| Nombre | Descripción | Valor |
|---|---|---|
| identidad | Identidad que se va a usar con el cifrado del lado del servicio en reposo. | EncryptionIdentity |
| keySource | KeySource (proveedor) de cifrado. Valores posibles (sin distinción entre mayúsculas y minúsculas): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
| keyvaultproperties | Propiedades proporcionadas por el almacén de claves. | KeyVaultProperties |
| requireInfrastructureEncryption | Valor booleano que indica si el servicio aplica o no una capa secundaria de cifrado con claves administradas por la plataforma para los datos en reposo. | bool |
| services | Lista de servicios que admiten el cifrado. | EncryptionServices |
EncryptionIdentity
| Nombre | Descripción | Valor |
|---|---|---|
| federatedIdentityClientId | ClientId de la aplicación multiinquilino que se usará junto con la identidad asignada por el usuario para el cifrado del lado servidor de claves administradas por el cliente entre inquilinos en la cuenta de almacenamiento. | string |
| userAssignedIdentity | Identificador de recurso de la identidad UserAssigned que se va a asociar al cifrado del lado servidor en la cuenta de almacenamiento. | string |
KeyVaultProperties
| Nombre | Descripción | Valor |
|---|---|---|
| Keyname | Nombre de la clave KeyVault. | string |
| keyvaulturi | Identificador URI de KeyVault. | string |
| keyversion | Versión de la clave KeyVault. | string |
EncryptionServices
| Nombre | Descripción | Valor |
|---|---|---|
| blob | Función de cifrado del servicio blob Storage. | EncryptionService |
| archivo | Función de cifrado del servicio de almacenamiento de archivos. | EncryptionService |
| cola | Función de cifrado del servicio queue storage. | EncryptionService |
| table | Función de cifrado del servicio Table Storage. | EncryptionService |
EncryptionService
| Nombre | Descripción | Valor |
|---|---|---|
| enabled | Valor booleano que indica si el servicio cifra o no los datos tal y como están almacenados. El cifrado en reposo está habilitado de forma predeterminada actualmente y no se puede deshabilitar. | bool |
| keyType | Tipo de clave de cifrado que se usará para el servicio de cifrado. El tipo de clave "Cuenta" implica que se usará una clave de cifrado con ámbito de cuenta. El tipo de clave "Servicio" implica que se usa una clave de servicio predeterminada. | "Cuenta" "Servicio" |
ImmutableStorageAccount
| Nombre | Descripción | Valor |
|---|---|---|
| enabled | Marca booleana que permite la inmutabilidad de nivel de cuenta. Todos los contenedores de esta cuenta tienen habilitada la inmutabilidad de nivel de objeto de forma predeterminada. | bool |
| immutabilityPolicy | Especifica la directiva de inmutabilidad de nivel de cuenta predeterminada que se hereda y se aplica a los objetos que no poseen una directiva de inmutabilidad explícita en el nivel de objeto. La directiva de inmutabilidad de nivel de objeto tiene mayor prioridad que la directiva de inmutabilidad de nivel de contenedor, que tiene una prioridad mayor que la directiva de inmutabilidad de nivel de cuenta. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Nombre | Descripción | Valor |
|---|---|---|
| allowProtectedAppendWrites | Esta propiedad solo se puede cambiar para las directivas de retención deshabilitadas y desbloqueadas basadas en el tiempo. Cuando se habilita, los nuevos bloques se pueden escribir en un blob en anexos al tiempo que se mantiene la protección y el cumplimiento de la inmutabilidad. Solo se pueden agregar nuevos bloques y los bloques existentes no se pueden modificar ni eliminar. | bool |
| immutabilityPeriodSinceCreationInDays | Período de inmutabilidad para los blobs del contenedor desde la creación de la directiva, en días. | int Restricciones: Valor mínimo = 1 Valor máximo = 146000 |
| state | El estado ImmutabilityPolicy define el modo de la directiva. El estado deshabilitado deshabilita la directiva, el estado Desbloqueado permite aumentar y disminuir el tiempo de retención de inmutabilidad y también permite alternar la propiedad allowProtectedAppendWrites, el estado Bloqueado solo permite el aumento del tiempo de retención de inmutabilidad. Una directiva solo se puede crear en un estado Deshabilitado o Desbloqueado y se puede alternar entre los dos estados. Solo una directiva en un estado Desbloqueado puede pasar a un estado Bloqueado que no se puede revertir. | "Deshabilitado" "Bloqueado" "Desbloqueado" |
KeyPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| keyExpirationPeriodInDays | Período de expiración de la clave en días. | int (obligatorio) |
NetworkRuleSet
| Nombre | Descripción | Valor |
|---|---|---|
| omitir | Especifica si se omite el tráfico para Logging/Metrics/AzureServices. Los valores posibles son cualquier combinación de registro, métricas, AzureServices (por ejemplo, "registro, métricas") o Ninguno para omitir ninguno de esos tráficos. | "AzureServices" "Registro" "Métricas" "None" |
| defaultAction | Especifica la acción predeterminada de permitir o denegar cuando no coinciden otras reglas. | "Permitir" "Denegar" (obligatorio) |
| ipRules | Establece las reglas de ACL de IP | IPRule[] |
| resourceAccessRules | Establece las reglas de acceso a recursos | ResourceAccessRule[] |
| virtualNetworkRules | Establece las reglas de red virtual | VirtualNetworkRule[] |
IPRule
| Nombre | Descripción | Valor |
|---|---|---|
| action | Acción de la regla de ACL de IP. | "Permitir" |
| value | Especifica el intervalo IP o IP en formato CIDR. Solo se permite la dirección IPV4. | string (obligatorio) |
ResourceAccessRule
| Nombre | Descripción | Value |
|---|---|---|
| resourceId | Id. de recurso | string |
| tenantId | Identificador de inquilino | string |
VirtualNetworkRule
| Nombre | Descripción | Valor |
|---|---|---|
| action | Acción de la regla de red virtual. | "Permitir" |
| id | Identificador de recurso de una subred, por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | string (obligatorio) |
| state | Obtiene el estado de la regla de red virtual. | "Desaprovisionamiento" "Error" "NetworkSourceDeleted" "Aprovisionamiento" "Correcto" |
EnrutamientoPreferencia
| Nombre | Descripción | Valor |
|---|---|---|
| publishInternetEndpoints | Marca booleana que indica si se van a publicar los puntos de conexión de almacenamiento de enrutamiento de Internet. | bool |
| publishMicrosoftEndpoints | Marca booleana que indica si se van a publicar los puntos de conexión de almacenamiento de enrutamiento de Microsoft. | bool |
| routingChoice | La opción de enrutamiento define el tipo de enrutamiento de red elegido por el usuario. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
| Nombre | Descripción | Valor |
|---|---|---|
| expirationAction | Acción de expiración de SAS. Solo puede ser Log. | "Log" (obligatorio) |
| sasExpirationPeriod | El período de expiración de SAS, DD.HH:MM:SS. | string (obligatorio) |
SKU
| Nombre | Descripción | Value |
|---|---|---|
| name | El nombre de la SKU. Necesario para la creación de cuentas; opcional para la actualización. Tenga en cuenta que en versiones anteriores, el nombre de la SKU se llamó accountType. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (obligatorio) |