Coffres Microsoft.KeyVault 2021-10-01
Définition de ressource Bicep
Le type de ressource coffres peut être déployé avec des opérations qui ciblent :
- Groupes de ressources - Voir commandes de déploiement de groupe de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.
Remarques
Pour obtenir des conseils sur l’utilisation de coffres de clés pour des valeurs sécurisées, consultez Gérer les secrets à l’aide de Bicep.
Pour obtenir un guide de démarrage rapide sur la création d’un secret, consultez Démarrage rapide : Définir et récupérer un secret à partir d’Azure Key Vault à l’aide d’un modèle ARM.
Pour obtenir un guide de démarrage rapide sur la création d’une clé, consultez Démarrage rapide : Créer un coffre de clés Azure et une clé à l’aide d’un modèle ARM.
Format des ressources
Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez le Bicep suivant à votre modèle.
resource symbolicname 'Microsoft.KeyVault/vaults@2021-10-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Valeurs de propriétés
vaults
Nom | Description | Valeur |
---|---|---|
name | Nom de la ressource | string (obligatoire) Limite de caractères : 3-24 Caractères valides : Caractères alphanumériques et traits d’union. Doit commencer par une lettre. Doit se terminer par une lettre ou un chiffre. Ne peut pas contenir des traits d’union consécutifs. Le nom de la ressource doit être unique dans Azure. |
location | Emplacement Azure pris en charge où le coffre de clés doit être créé. | string (obligatoire) |
tags | Balises qui seront affectées au coffre de clés. | Dictionnaire de noms et de valeurs d’étiquettes. Voir Balises dans les modèles |
properties | Propriétés du coffre | VaultProperties (obligatoire) |
VaultProperties
Nom | Description | Valeur |
---|---|---|
accessPolicies | Tableau de 0 à 1 024 identités ayant accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover , les stratégies d’accès ne sont pas requises. Sinon, des stratégies d’accès sont requises. |
AccessPolicyEntry[] |
createMode | Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. | 'default' 'recover' |
enabledForDeployment | Propriété permettant de spécifier si les Machines Virtuelles Azure sont autorisés à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. | bool |
enabledForDiskEncryption | Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et à désencapsuler les clés. | bool |
enabledForTemplateDeployment | Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets du coffre de clés. | bool |
enablePurgeProtection | Propriété spécifiant si la protection contre le vidage est activée pour ce coffre. La définition de cette propriété sur true active la protection contre le vidage de ce coffre et de son contenu. Seul le service Key Vault peut initier une suppression définitive et irrécupérable. Le paramètre n’est effectif que si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. | bool |
enableRbacAuthorization | Propriété qui contrôle la façon dont les actions de données sont autorisées. Lorsque la valeur est true, le coffre de clés utilise le Access Control en fonction du rôle (RBAC) pour l’autorisation des actions de données, et les stratégies d’accès spécifiées dans les propriétés du coffre sont ignorées. Si la valeur est false, le coffre de clés utilise les stratégies d’accès spécifiées dans les propriétés du coffre, et toute stratégie stockée sur Azure Resource Manager est ignorée. Si null ou n’est pas spécifié, le coffre est créé avec la valeur par défaut false. Notez que les actions de gestion sont toujours autorisées avec RBAC. | bool |
enableSoftDelete | Propriété permettant de spécifier si la fonctionnalité de « suppression réversible » est activée pour ce coffre de clés. S’il n’est défini sur aucune valeur (true ou false) lors de la création d’un coffre de clés, il est défini sur true par défaut. Une fois défini sur true, il ne peut pas être rétabli sur false. | bool |
networkAcls | Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. | NetworkRuleSet |
provisioningState | État d’approvisionnement du coffre. | 'RegisteringDns' 'Réussi' |
publicNetworkAccess | Propriété permettant de spécifier si le coffre accepte le trafic provenant de l’Internet public. S’il est défini sur « désactivé », tout le trafic à l’exception du point de terminaison privé et qui provient des services approuvés sera bloqué. Cela remplacera les règles de pare-feu définies, ce qui signifie que même si les règles de pare-feu sont présentes, nous ne respecterons pas les règles. | string |
sku | Détails de la référence SKU | Référence SKU (obligatoire) |
softDeleteRetentionInDays | softDelete data retention days. Il accepte >=7 et <=90. | int |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour l’authentification des demandes adressées au coffre de clés. | chaîne (obligatoire) Contraintes : Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI du coffre pour effectuer des opérations sur les clés et les secrets. | string |
AccessPolicyEntry
Nom | Description | Valeur |
---|---|---|
applicationId | ID d’application du client effectuant une demande pour le compte d’un principal | string Contraintes : Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. Cet ID d’objet doit être unique dans la liste des stratégies d’accès. | chaîne (obligatoire) |
autorisations | Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. | Autorisations (obligatoires) |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour l’authentification des demandes adressées au coffre de clés. | chaîne (obligatoire) Contraintes : Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Autorisations
Nom | Description | Valeur |
---|---|---|
certificates | Autorisations sur les certificats | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'récupérer' 'restore' 'setissuers' 'update' |
clés | Autorisations sur les clés | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'create' 'déchiffrer' 'delete' 'chiffre' 'get' 'import' 'list' 'purge' 'récupérer' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
secrets | Autorisations sur les secrets | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
storage | Autorisations sur les comptes de stockage | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'régénérerkey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
Nom | Description | Valeur |
---|---|---|
ignorer | Indique quel trafic peut contourner les règles réseau. Il peut s’agir de « AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». | 'AzureServices' 'None' |
defaultAction | Action par défaut quand aucune règle d’ipRules et de virtualNetworkRules ne correspondent. Elle est utilisée uniquement après l’évaluation de la propriété bypass. | 'Autoriser' 'Deny' |
ipRules | Liste des règles d’adresse IP. | IPRule[] |
virtualNetworkRules | Liste des règles de réseau virtuel. | VirtualNetworkRule[] |
IPRule
Nom | Description | Valeur |
---|---|---|
value | Une plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses qui commencent par 124.56.78). | string (obligatoire) |
VirtualNetworkRule
Nom | Description | Valeur |
---|---|---|
id | ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnets/subnets1 ». | string (obligatoire) |
ignoreMissingVnetServiceEndpoint | Propriété permettant de spécifier si le NRP ignore le case activée si le sous-réseau parent a serviceEndpoints configurés. | bool |
Sku
Nom | Description | Valeur |
---|---|---|
famille | Nom de la famille de référence SKU | 'A' (obligatoire) |
name | Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. | 'premium' 'standard' (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
Modèle | Description |
---|---|
Modèle de démarrage rapide SAS 9.4 et Viya pour Azure |
Le modèle de démarrage rapide SAS® 9.4 et Viya pour Azure déploient ces produits sur le cloud : SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 et SAS® Visual Analytics 8.5 sur Linux, et SAS® Visual Data Mining et Machine Learning 8.5 sur Linux pour Viya. Ce guide de démarrage rapide est une architecture de référence pour les utilisateurs qui souhaitent déployer la combinaison de SAS® 9.4 et de Viya sur Azure à l’aide de technologies compatibles avec le cloud. En déployant la plateforme SAS® sur Azure, vous obtenez un environnement intégré d’environnements SAS® 9.4 et Viya afin de tirer parti des deux mondes. SAS® Viya est un moteur d’analytique en mémoire compatible avec le cloud. Il utilise un traitement élastique, évolutif et tolérant aux pannes pour relever des défis analytiques complexes. SAS® Viya offre un traitement plus rapide pour l’analytique à l’aide d’une base de code standardisée qui prend en charge la programmation dans SAS®, Python, R, Java et Lua. Il prend également en charge les environnements cloud, locaux ou hybrides et se déploie en toute transparence dans n’importe quel écosystème d’infrastructure ou d’application. |
Cluster AKS avec une passerelle NAT et un Application Gateway |
Cet exemple montre comment déployer un cluster AKS avec une passerelle NAT pour les connexions sortantes et un Application Gateway pour les connexions entrantes. |
Créer un cluster AKS privé avec une zone DNS publique |
Cet exemple montre comment déployer un cluster AKS privé avec une zone DNS publique. |
Déployer l’architecture Sports Analytics sur Azure |
Crée un compte de stockage Azure avec ADLS Gen2 activé, un Azure Data Factory instance avec des services liés pour le compte de stockage (une base de données Azure SQL si elle est déployée) et une instance Azure Databricks. L’identité AAD de l’utilisateur qui déploie le modèle et l’identité managée pour le instance ADF se verront attribuer le rôle Contributeur aux données Blob du stockage sur le compte de stockage. Il existe également des options pour déployer un Key Vault instance Azure, une base de données Azure SQL et un hub d’événements Azure (pour les cas d’usage de streaming). Lorsqu’un Key Vault Azure est déployé, l’identité managée de la fabrique de données et l’identité AAD de l’utilisateur qui déploie le modèle se voient attribuer le rôle Utilisateur Key Vault Secrets. |
Espace de travail Azure Machine Learning |
Ce modèle crée un espace de travail Azure Machine Learning, ainsi qu’un compte de stockage chiffré, keyVault et la journalisation Applications Insights |
Créer un coffre de clés |
Ce module crée une ressource KeyVault avec apiVersion 2019-09-01. |
Créer un service Gestion des API avec SSL à partir de KeyVault |
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour extraire le certificat SSL de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
Crée une application servicebus Dapr pub-sub à l’aide de Container Apps |
Créez une application servicebus Dapr pub-sub à l’aide de Container Apps. |
crée un cluster Azure Stack HCI 23H2 |
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
Créer une machine virtuelle Windows chiffrée à partir d’une image de galerie |
Ce modèle crée une machine virtuelle Windows chiffrée à l’aide de l’image de la galerie server 2k12. |
Créer des disques managés chiffrés win-vm à partir d’une image de galerie |
Ce modèle crée une machine virtuelle windows de disques managés chiffrés à l’aide de l’image de la galerie server 2k12. |
Ce modèle chiffre un VMSS Windows en cours d’exécution |
Ce modèle active le chiffrement sur un groupe de machines virtuelles identiques Windows en cours d’exécution |
Activer le chiffrement sur une machine virtuelle Windows en cours d’exécution |
Ce modèle active le chiffrement sur une machine virtuelle Windows en cours d’exécution. |
Créer et chiffrer un nouveau VMSS Windows avec jumpbox |
Ce modèle vous permet de déployer un simple groupe de machines virtuelles identiques de machines virtuelles Windows à l’aide de la dernière version corrigée des versions serveurales de Windows. Ce modèle déploie également une jumpbox avec une adresse IP publique dans le même réseau virtuel. Vous pouvez vous connecter à la jumpbox via cette adresse IP publique, puis vous connecter aux machines virtuelles du groupe identique via des adresses IP privées. Ce modèle active le chiffrement sur le groupe de machines virtuelles identiques de machines virtuelles Windows. |
Créer un coffre de clés Azure et un secret |
Ce modèle crée un Key Vault Azure et un secret. |
Créer un Key Vault Azure avec RBAC et un secret |
Ce modèle crée un Key Vault Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
Créer un coffre de clés, une identité managée et une attribution de rôle |
Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle. |
Se connecter à un Key Vault via un point de terminaison privé |
Cet exemple montre comment utiliser la configuration d’un réseau virtuel et d’une zone DNS privée pour accéder à Key Vault via un point de terminaison privé. |
Créer un coffre de clés et une liste de secrets |
Ce modèle crée un Key Vault et une liste de secrets dans le coffre de clés tels qu’ils sont transmis avec les paramètres |
Créer Key Vault avec la journalisation activée |
Ce modèle crée un Key Vault Azure et un compte de stockage Azure qui est utilisé pour la journalisation. Il crée éventuellement des verrous de ressources pour protéger vos ressources de Key Vault et de stockage. |
Créer un espace de travail AML avec plusieurs jeux de données & magasins de données |
Ce modèle crée un espace de travail Azure Machine Learning avec plusieurs jeux de données & magasins de données. |
Configuration sécurisée de bout en bout d’Azure Machine Learning |
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, des instance de calcul et un cluster AKS privé attaché. |
Configuration sécurisée de bout en bout d’Azure Machine Learning (héritée) |
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, des instance de calcul et un cluster AKS privé attaché. |
Créer une cible de calcul AKS avec une adresse IP privée |
Ce modèle crée une cible de calcul AKS dans un espace de travail de service Azure Machine Learning donné avec une adresse IP privée. |
Créer un espace de travail Azure Machine Learning service |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble minimal de ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning. |
Créer un espace de travail azure Machine Learning Service (CMK) |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. L’exemple montre comment configurer Azure Machine Learning pour le chiffrement avec une clé de chiffrement gérée par le client. |
Créer un espace de travail du service Azure Machine Learning (réseau virtuel) |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration réseau isolée. |
Créer un espace de travail du service Azure Machine Learning (hérité) |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration réseau isolée. |
Cluster AKS avec le contrôleur d’entrée Application Gateway |
Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway contrôleur d’entrée, Azure Container Registry, Log Analytics et Key Vault |
Créer un Application Gateway V2 avec Key Vault |
Ce modèle déploie une Application Gateway V2 dans un Réseau virtuel, une identité définie par l’utilisateur, une Key Vault, un secret (données de certificat) et une stratégie d’accès sur Key Vault et Application Gateway. |
Environnement de test pour Pare-feu Azure Premium |
Ce modèle crée une Pare-feu Azure Premium et une stratégie de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
Créer des Application Gateway avec des certificats |
Ce modèle montre comment générer Key Vault certificats auto-signés, puis comment faire référence à partir de Application Gateway. |
Azure Storage Account Encryption avec une clé gérée par le client |
Ce modèle déploie un compte de stockage avec une clé gérée par le client pour le chiffrement qui est générée et placée dans un Key Vault. |
App Service Environment avec Azure SQL back-end |
Ce modèle crée une App Service Environment avec un back-end Azure SQL ainsi que des points de terminaison privés, ainsi que des ressources associées généralement utilisées dans un environnement privé/isolé. |
Application de fonction Azure et fonction déclenchée par HTTP |
Cet exemple montre comment déployer une application de fonction Azure et une fonction déclenchée par HTTP dans le modèle. Il déploie également un Key Vault et remplit un secret avec la clé hôte de l’application de fonction. |
Application Gateway avec Gestion des API interne et Web App |
Application Gateway le routage du trafic Internet vers un réseau virtuel (mode interne) Gestion des API instance qui traite une API web hébergée dans une application web Azure. |
Définition de ressources de modèle ARM
Le type de ressource coffres peut être déployé avec des opérations qui ciblent :
- Groupes de ressources - Voir commandes de déploiement de groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Remarques
Pour obtenir des conseils sur l’utilisation de coffres de clés pour des valeurs sécurisées, consultez Gérer les secrets à l’aide de Bicep.
Pour un démarrage rapide sur la création d’un secret, consultez Démarrage rapide : Définir et récupérer un secret à partir d’Azure Key Vault à l’aide d’un modèle ARM.
Pour obtenir un guide de démarrage rapide sur la création d’une clé, consultez Démarrage rapide : Créer un coffre de clés Azure et une clé à l’aide d’un modèle ARM.
Format des ressources
Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez le json suivant à votre modèle.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2021-10-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Valeurs de propriétés
vaults
Nom | Description | Valeur |
---|---|---|
type | Type de ressource | « Microsoft.KeyVault/vaults » |
apiVersion | Version de l’API de ressource | '2021-10-01' |
name | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 3-24 Caractères valides : Caractères alphanumériques et traits d’union. Doit commencer par une lettre. Doit se terminer par une lettre ou un chiffre. Ne peut pas contenir des traits d’union consécutifs. Le nom de la ressource doit être unique dans Azure. |
location | Emplacement Azure pris en charge où le coffre de clés doit être créé. | chaîne (obligatoire) |
tags | Balises qui seront affectées au coffre de clés. | Dictionnaire de noms et de valeurs d’étiquettes. Voir Balises dans les modèles |
properties | Propriétés du coffre | VaultProperties (obligatoire) |
VaultProperties
Nom | Description | Valeur |
---|---|---|
accessPolicies | Tableau de 0 à 1 024 identités ayant accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover , les stratégies d’accès ne sont pas requises. Dans le cas contraire, des stratégies d’accès sont requises. |
AccessPolicyEntry[] |
createMode | Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. | 'default' 'récupérer' |
enabledForDeployment | Propriété permettant de spécifier si Azure Machines Virtuelles sont autorisés à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. | bool |
enabledForDiskEncryption | Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et à désencapsuler les clés. | bool |
enabledForTemplateDeployment | Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. | bool |
enablePurgeProtection | Propriété spécifiant si la protection contre la purge est activée pour ce coffre. La définition de cette propriété sur true active la protection contre la purge de ce coffre et de son contenu. Seul le service Key Vault peut lancer une suppression difficile et irrécupérable. Le paramètre n’est effectif que si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. | bool |
enableRbacAuthorization | Propriété qui contrôle la façon dont les actions de données sont autorisées. Lorsque la valeur est true, le coffre de clés utilise le rôle Access Control (RBAC) pour l’autorisation des actions de données, et les stratégies d’accès spécifiées dans les propriétés du coffre sont ignorées. Lorsque la valeur est false, le coffre de clés utilise les stratégies d’accès spécifiées dans les propriétés du coffre, et toute stratégie stockée sur Azure Resource Manager est ignorée. S’il est null ou non spécifié, le coffre est créé avec la valeur par défaut false. Notez que les actions de gestion sont toujours autorisées avec RBAC. | bool |
enableSoftDelete | Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. S’il n’est défini sur aucune valeur (true ou false) lors de la création d’un coffre de clés, il est défini sur true par défaut. Une fois la valeur true définie, elle ne peut pas être rétablie sur false. | bool |
networkAcls | Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. | NetworkRuleSet |
provisioningState | État d’approvisionnement du coffre. | 'RegisteringDns' 'Réussi' |
publicNetworkAccess | Propriété permettant de spécifier si le coffre accepte le trafic provenant de l’Internet public. S’il est défini sur « désactivé », tout le trafic à l’exception du point de terminaison privé et qui provient des services approuvés sera bloqué. Cela remplacera les règles de pare-feu définies, ce qui signifie que même si les règles de pare-feu sont présentes, nous ne respecterons pas les règles. | string |
sku | Détails de la référence SKU | Référence SKU (obligatoire) |
softDeleteRetentionInDays | softDelete data retention days. Il accepte >=7 et <=90. | int |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour l’authentification des demandes adressées au coffre de clés. | string (obligatoire) Contraintes : Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI du coffre pour effectuer des opérations sur les clés et les secrets. | string |
AccessPolicyEntry
Nom | Description | Valeur |
---|---|---|
applicationId | ID d’application du client effectuant une demande pour le compte d’un principal | string Contraintes : Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. Cet ID d’objet doit être unique dans la liste des stratégies d’accès. | string (obligatoire) |
autorisations | Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. | Autorisations (obligatoires) |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour l’authentification des demandes adressées au coffre de clés. | string (obligatoire) Contraintes : Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Autorisations
Nom | Description | Valeur |
---|---|---|
certificates | Autorisations sur les certificats | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
clés | Autorisations sur les clés | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
secrets | Autorisations sur les secrets | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
storage | Autorisations sur les comptes de stockage | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'régénérerkey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
Nom | Description | Valeur |
---|---|---|
ignorer | Indique quel trafic peut contourner les règles réseau. Il peut s’agir de « AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». | 'AzureServices' 'None' |
defaultAction | Action par défaut quand aucune règle d’ipRules et de virtualNetworkRules ne correspondent. Elle est utilisée uniquement après l’évaluation de la propriété bypass. | 'Autoriser' 'Deny' |
ipRules | Liste des règles d’adresse IP. | IPRule[] |
virtualNetworkRules | Liste des règles de réseau virtuel. | VirtualNetworkRule[] |
IPRule
Nom | Description | Valeur |
---|---|---|
value | Une plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses qui commencent par 124.56.78). | string (obligatoire) |
VirtualNetworkRule
Nom | Description | Valeur |
---|---|---|
id | ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnets/subnets1 ». | string (obligatoire) |
ignoreMissingVnetServiceEndpoint | Propriété permettant de spécifier si le NRP ignore le case activée si le sous-réseau parent a serviceEndpoints configurés. | bool |
Sku
Nom | Description | Valeur |
---|---|---|
famille | Nom de la famille de référence SKU | 'A' (obligatoire) |
name | Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. | 'premium' 'standard' (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
Modèle | Description |
---|---|
Modèle de démarrage rapide SAS 9.4 et Viya pour Azure |
Le modèle de démarrage rapide SAS® 9.4 et Viya pour Azure déploient ces produits sur le cloud : SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 et SAS® Visual Analytics 8.5 sur Linux, et SAS® Visual Data Mining et Machine Learning 8.5 sur Linux pour Viya. Ce guide de démarrage rapide est une architecture de référence pour les utilisateurs qui souhaitent déployer la combinaison de SAS® 9.4 et de Viya sur Azure à l’aide de technologies compatibles avec le cloud. En déployant la plateforme SAS® sur Azure, vous obtenez un environnement intégré d’environnements SAS® 9.4 et Viya afin de tirer parti des deux mondes. SAS® Viya est un moteur d’analytique en mémoire compatible avec le cloud. Il utilise un traitement élastique, évolutif et tolérant aux pannes pour relever des défis analytiques complexes. SAS® Viya offre un traitement plus rapide pour l’analytique à l’aide d’une base de code standardisée qui prend en charge la programmation dans SAS®, Python, R, Java et Lua. Il prend également en charge les environnements cloud, locaux ou hybrides et se déploie en toute transparence dans n’importe quel écosystème d’infrastructure ou d’application. |
Cluster AKS avec une passerelle NAT et un Application Gateway |
Cet exemple montre comment déployer un cluster AKS avec une passerelle NAT pour les connexions sortantes et un Application Gateway pour les connexions entrantes. |
Créer un cluster AKS privé avec une zone DNS publique |
Cet exemple montre comment déployer un cluster AKS privé avec une zone DNS publique. |
Déployer l’architecture Sports Analytics sur Azure |
Crée un compte de stockage Azure avec ADLS Gen2 activé, un Azure Data Factory instance avec des services liés pour le compte de stockage (une base de données Azure SQL si elle est déployée) et une instance Azure Databricks. L’identité AAD de l’utilisateur qui déploie le modèle et l’identité managée pour le instance ADF se verront attribuer le rôle Contributeur aux données Blob du stockage sur le compte de stockage. Il existe également des options pour déployer un Key Vault instance Azure, une base de données Azure SQL et un hub d’événements Azure (pour les cas d’usage de streaming). Lorsqu’un Key Vault Azure est déployé, l’identité managée de la fabrique de données et l’identité AAD de l’utilisateur qui déploie le modèle se voient attribuer le rôle Utilisateur Key Vault Secrets. |
Espace de travail Azure Machine Learning |
Ce modèle crée un espace de travail Azure Machine Learning, ainsi qu’un compte de stockage chiffré, keyVault et la journalisation Applications Insights |
Créer un coffre de clés |
Ce module crée une ressource KeyVault avec apiVersion 2019-09-01. |
Créer un service Gestion des API avec SSL à partir de KeyVault |
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour extraire le certificat SSL de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
Crée une application servicebus pub-sub Dapr à l’aide de Container Apps |
Créez une application servicebus pub-sub Dapr à l’aide de Container Apps. |
crée un cluster Azure Stack HCI 23H2 |
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
Créer une machine virtuelle Windows chiffrée à partir d’une image de galerie |
Ce modèle crée une nouvelle machine virtuelle Windows chiffrée à l’aide de l’image de la galerie server 2k12. |
Créer des disques managés chiffrés win-vm à partir d’une image de galerie |
Ce modèle crée une nouvelle machine virtuelle windows de disques managés chiffrés à l’aide de l’image de la galerie server 2k12. |
Ce modèle chiffre une machine virtuelle Windows en cours d’exécution |
Ce modèle active le chiffrement sur un groupe de machines virtuelles identiques Windows en cours d’exécution |
Activer le chiffrement sur une machine virtuelle Windows en cours d’exécution |
Ce modèle active le chiffrement sur une machine virtuelle Windows en cours d’exécution. |
Créer et chiffrer une machine virtuelle Windows avec jumpbox |
Ce modèle vous permet de déployer un groupe de machines virtuelles identiques simple de machines virtuelles Windows à l’aide de la dernière version corrigée des versions de Windows serverales. Ce modèle déploie également une jumpbox avec une adresse IP publique dans le même réseau virtuel. Vous pouvez vous connecter à la jumpbox via cette adresse IP publique, puis vous y connecter aux machines virtuelles du groupe identique via des adresses IP privées. Ce modèle active le chiffrement sur le groupe de machines virtuelles identiques des machines virtuelles Windows. |
Créer un coffre de clés Azure et un secret |
Ce modèle crée un Key Vault Azure et un secret. |
Créer un Key Vault Azure avec RBAC et un secret |
Ce modèle crée un Key Vault Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
Créer un coffre de clés, une identité managée et une attribution de rôle |
Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle. |
Se connecter à un Key Vault via un point de terminaison privé |
Cet exemple montre comment utiliser la configuration d’un réseau virtuel et d’une zone DNS privée pour accéder à Key Vault via un point de terminaison privé. |
Créer un coffre de clés et une liste de secrets |
Ce modèle crée une Key Vault et une liste de secrets dans le coffre de clés, comme transmis avec les paramètres |
Créer des Key Vault avec la journalisation activée |
Ce modèle crée un Key Vault Azure et un compte Stockage Azure qui est utilisé pour la journalisation. Elle crée éventuellement des verrous de ressources pour protéger vos ressources Key Vault et de stockage. |
Créer un espace de travail AML avec plusieurs jeux de données & magasins de données |
Ce modèle crée un espace de travail Azure Machine Learning avec plusieurs jeux de données & magasins de données. |
Configuration sécurisée de bout en bout d’Azure Machine Learning |
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, des instance de calcul et un cluster AKS privé attaché. |
Configuration sécurisée d’Azure Machine Learning de bout en bout (héritée) |
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, des instance de calcul et un cluster AKS privé attaché. |
Créer une cible de calcul AKS avec une adresse IP privée |
Ce modèle crée une cible de calcul AKS dans un espace de travail de service Azure Machine Learning donné avec une adresse IP privée. |
Créer un espace de travail Azure Machine Learning service |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble minimal de ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning. |
Créer un espace de travail de service Azure Machine Learning (CMK) |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. L’exemple montre comment configurer Azure Machine Learning pour le chiffrement avec une clé de chiffrement gérée par le client. |
Créer un espace de travail de service Azure Machine Learning (réseau virtuel) |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration réseau isolée. |
Créer un espace de travail de service Azure Machine Learning (hérité) |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration réseau isolée. |
Cluster AKS avec le contrôleur d’entrée Application Gateway |
Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway contrôleur d’entrée, Azure Container Registry, Log Analytics et Key Vault |
Créer un Application Gateway V2 avec Key Vault |
Ce modèle déploie une Application Gateway V2 dans un Réseau virtuel, une identité définie par l’utilisateur, une Key Vault, un secret (données de certificat) et une stratégie d’accès sur Key Vault et Application Gateway. |
Environnement de test pour Pare-feu Azure Premium |
Ce modèle crée une Pare-feu Azure Premium et une stratégie de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection d’intrusion (IDPS), l’inspection TLS et le filtrage de catégories web |
Créer des Application Gateway avec des certificats |
Ce modèle montre comment générer Key Vault certificats auto-signés, puis faire référence à partir de Application Gateway. |
Chiffrement de compte de stockage Azure avec clé gérée par le client |
Ce modèle déploie un compte de stockage avec une clé gérée par le client pour le chiffrement généré et placé à l’intérieur d’un Key Vault. |
App Service Environment avec Azure SQL back-end |
Ce modèle crée une App Service Environment avec un back-end Azure SQL ainsi que des points de terminaison privés ainsi que des ressources associées généralement utilisées dans un environnement privé/isolé. |
Application de fonction Azure et fonction déclenchée par HTTP |
Cet exemple montre comment déployer une application de fonction Azure et une fonction déclenchée par HTTP dans le modèle. Il déploie également un Key Vault et remplit un secret avec la clé hôte de l’application de fonction. |
Application Gateway avec Gestion des API interne et Web App |
Application Gateway le routage du trafic Internet vers un réseau virtuel (mode interne) Gestion des API instance qui traite une API web hébergée dans une application web Azure. |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource coffres peut être déployé avec des opérations qui ciblent :
- Groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez le Terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2021-10-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Valeurs de propriétés
vaults
Nom | Description | Valeur |
---|---|---|
type | Type de ressource | « Microsoft.KeyVault/vaults@2021-10-01 » |
name | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 3-24 Caractères valides : Caractères alphanumériques et traits d’union. Doit commencer par une lettre. Doit se terminer par une lettre ou un chiffre. Ne peut pas contenir des traits d’union consécutifs. Le nom de la ressource doit être unique dans Azure. |
location | Emplacement Azure pris en charge où le coffre de clés doit être créé. | chaîne (obligatoire) |
parent_id | Pour effectuer un déploiement sur un groupe de ressources, utilisez l’ID de ce groupe de ressources. | chaîne (obligatoire) |
tags | Balises qui seront affectées au coffre de clés. | Dictionnaire de noms et de valeurs d’étiquettes. |
properties | Propriétés du coffre | VaultProperties (obligatoire) |
VaultProperties
Nom | Description | Valeur |
---|---|---|
accessPolicies | Tableau de 0 à 1 024 identités ayant accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover , les stratégies d’accès ne sont pas requises. Dans le cas contraire, des stratégies d’accès sont requises. |
AccessPolicyEntry[] |
createMode | Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. | « valeur par défaut » « récupérer » |
enabledForDeployment | Propriété permettant de spécifier si Azure Machines Virtuelles sont autorisés à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. | bool |
enabledForDiskEncryption | Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et à désencapsuler les clés. | bool |
enabledForTemplateDeployment | Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. | bool |
enablePurgeProtection | Propriété spécifiant si la protection contre la purge est activée pour ce coffre. La définition de cette propriété sur true active la protection contre la purge de ce coffre et de son contenu. Seul le service Key Vault peut lancer une suppression difficile et irrécupérable. Le paramètre n’est effectif que si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. | bool |
enableRbacAuthorization | Propriété qui contrôle la façon dont les actions de données sont autorisées. Lorsque la valeur est true, le coffre de clés utilise le rôle Access Control (RBAC) pour l’autorisation des actions de données, et les stratégies d’accès spécifiées dans les propriétés du coffre sont ignorées. Lorsque la valeur est false, le coffre de clés utilise les stratégies d’accès spécifiées dans les propriétés du coffre, et toute stratégie stockée sur Azure Resource Manager est ignorée. S’il est null ou non spécifié, le coffre est créé avec la valeur par défaut false. Notez que les actions de gestion sont toujours autorisées avec RBAC. | bool |
enableSoftDelete | Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. S’il n’est défini sur aucune valeur (true ou false) lors de la création d’un coffre de clés, il est défini sur true par défaut. Une fois la valeur true définie, elle ne peut pas être rétablie sur false. | bool |
networkAcls | Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. | NetworkRuleSet |
provisioningState | État d’approvisionnement du coffre. | « RegisteringDns » « Réussi » |
publicNetworkAccess | Propriété permettant de spécifier si le coffre accepte le trafic provenant de l’Internet public. S’il est défini sur « désactivé », tout le trafic à l’exception du point de terminaison privé et qui provient des services approuvés sera bloqué. Cela remplacera les règles de pare-feu définies, ce qui signifie que même si les règles de pare-feu sont présentes, nous ne respecterons pas les règles. | string |
sku | Détails de la référence SKU | Référence SKU (obligatoire) |
softDeleteRetentionInDays | softDelete data retention days. Il accepte >=7 et <=90. | int |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour l’authentification des demandes adressées au coffre de clés. | chaîne (obligatoire) Contraintes : Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI du coffre pour effectuer des opérations sur les clés et les secrets. | string |
AccessPolicyEntry
Nom | Description | Valeur |
---|---|---|
applicationId | ID d’application du client effectuant une demande pour le compte d’un principal | string Contraintes : Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. Cet ID d’objet doit être unique dans la liste des stratégies d’accès. | string (obligatoire) |
autorisations | Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. | Autorisations (obligatoires) |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour l’authentification des demandes adressées au coffre de clés. | string (obligatoire) Contraintes : Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Autorisations
Nom | Description | Valeur |
---|---|---|
certificates | Autorisations sur les certificats | Tableau de chaînes contenant l’un des éléments suivants : « all » « sauvegarde » « créer » « delete » « deleteissuers » « get » « getissuers » « import » « liste » « listissuers » « managecontacts » « manageissuers » « purge » « récupérer » « restore » « setissuers » « update » |
clés | Autorisations sur les clés | Tableau de chaînes contenant l’un des éléments suivants : « all » « sauvegarde » « créer » « déchiffrer » « delete » « chiffrer » « get » « import » « liste » « purge » « récupérer » « restore » « signe » « unwrapKey » « update » « verify » « wrapKey » |
secrets | Autorisations sur les secrets | Tableau de chaînes contenant l’un des éléments suivants : « all » « sauvegarde » « delete » « get » « liste » « purge » « récupérer » « restore » « set » |
storage | Autorisations sur les comptes de stockage | Tableau de chaînes contenant l’un des éléments suivants : « all » « sauvegarde » « delete » « deletesas » « get » « getsas » « liste » « listsas » « purge » « récupérer » « régénérerkey » « restore » « set » « setsas » « update » |
NetworkRuleSet
Nom | Description | Valeur |
---|---|---|
ignorer | Indique quel trafic peut contourner les règles réseau. Il peut s’agir de « AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». | « AzureServices » "None" |
defaultAction | Action par défaut quand aucune règle d’ipRules et de virtualNetworkRules ne correspondent. Elle est utilisée uniquement après l’évaluation de la propriété bypass. | « Autoriser » « Refuser » |
ipRules | Liste des règles d’adresse IP. | IPRule[] |
virtualNetworkRules | Liste des règles de réseau virtuel. | VirtualNetworkRule[] |
IPRule
Nom | Description | Valeur |
---|---|---|
value | Une plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses qui commencent par 124.56.78). | string (obligatoire) |
VirtualNetworkRule
Nom | Description | Valeur |
---|---|---|
id | ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnets/subnets1 ». | string (obligatoire) |
ignoreMissingVnetServiceEndpoint | Propriété permettant de spécifier si le NRP ignore le case activée si le sous-réseau parent a serviceEndpoints configurés. | bool |
Sku
Nom | Description | Valeur |
---|---|---|
famille | Nom de la famille de référence SKU | « A » (obligatoire) |
name | Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. | « premium » « standard » (obligatoire) |