Microsoft.Storage storageAccounts
Définition de ressource Bicep
Le type de ressource storageAccounts peut être déployé avec des opérations qui ciblent :
- groupes de ressources - Consultez commandes de déploiement de groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Storage/storageAccounts, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.Storage/storageAccounts@2023-05-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
sku: {
name: 'string'
}
kind: 'string'
extendedLocation: {
name: 'string'
type: 'EdgeZone'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
accessTier: 'string'
allowBlobPublicAccess: bool
allowCrossTenantReplication: bool
allowedCopyScope: 'string'
allowSharedKeyAccess: bool
azureFilesIdentityBasedAuthentication: {
activeDirectoryProperties: {
accountType: 'string'
azureStorageSid: 'string'
domainGuid: 'string'
domainName: 'string'
domainSid: 'string'
forestName: 'string'
netBiosDomainName: 'string'
samAccountName: 'string'
}
defaultSharePermission: 'string'
directoryServiceOptions: 'string'
}
customDomain: {
name: 'string'
useSubDomainName: bool
}
defaultToOAuthAuthentication: bool
dnsEndpointType: 'string'
enableExtendedGroups: bool
encryption: {
identity: {
federatedIdentityClientId: 'string'
userAssignedIdentity: 'string'
}
keySource: 'string'
keyvaultproperties: {
keyname: 'string'
keyvaulturi: 'string'
keyversion: 'string'
}
requireInfrastructureEncryption: bool
services: {
blob: {
enabled: bool
keyType: 'string'
}
file: {
enabled: bool
keyType: 'string'
}
queue: {
enabled: bool
keyType: 'string'
}
table: {
enabled: bool
keyType: 'string'
}
}
}
immutableStorageWithVersioning: {
enabled: bool
immutabilityPolicy: {
allowProtectedAppendWrites: bool
immutabilityPeriodSinceCreationInDays: int
state: 'string'
}
}
isHnsEnabled: bool
isLocalUserEnabled: bool
isNfsV3Enabled: bool
isSftpEnabled: bool
keyPolicy: {
keyExpirationPeriodInDays: int
}
largeFileSharesState: 'string'
minimumTlsVersion: 'string'
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
action: 'Allow'
value: 'string'
}
]
resourceAccessRules: [
{
resourceId: 'string'
tenantId: 'string'
}
]
virtualNetworkRules: [
{
action: 'Allow'
id: 'string'
state: 'string'
}
]
}
publicNetworkAccess: 'string'
routingPreference: {
publishInternetEndpoints: bool
publishMicrosoftEndpoints: bool
routingChoice: 'string'
}
sasPolicy: {
expirationAction: 'string'
sasExpirationPeriod: 'string'
}
supportsHttpsTrafficOnly: bool
}
}
Valeurs de propriété
storageAccounts
| Nom | Description | Valeur |
|---|---|---|
| nom | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 3 à 24 Caractères valides : Lettres minuscules et chiffres. Le nom de la ressource doit être unique dans Azure. |
| emplacement | Obligatoire. Obtient ou définit l’emplacement de la ressource. Il s’agit de l’une des régions Géographiques Azure prises en charge et inscrites (par exemple, USA Ouest, USA Est, Asie Sud-Est, etc.). La zone géographique d’une ressource ne peut pas être modifiée une fois qu’elle est créée, mais si une région géographique identique est spécifiée lors de la mise à jour, la demande réussit. | chaîne (obligatoire) |
| étiquettes | Obtient ou définit une liste de paires clé-valeur qui décrivent la ressource. Ces balises peuvent être utilisées pour afficher et regrouper cette ressource (entre les groupes de ressources). Un maximum de 15 balises peut être fourni pour une ressource. Chaque balise doit avoir une clé dont la longueur n’est pas supérieure à 128 caractères et une valeur dont la longueur n’est pas supérieure à 256 caractères. | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
| Sku | Obligatoire. Obtient ou définit le nom de la référence SKU. | référence SKU (obligatoire) |
| gentil | Obligatoire. Indique le type de compte de stockage. | 'BlobStorage' 'BlockBlobStorage' 'FileStorage' 'Storage' 'StorageV2' (obligatoire) |
| extendedLocation | Optionnel. Définissez l’emplacement étendu de la ressource. Si ce n’est pas le cas, le compte de stockage est créé dans la région principale d’Azure. Sinon, il sera créé à l’emplacement étendu spécifié | ExtendedLocation |
| identité | Identité de la ressource. | Identity |
| Propriétés | Paramètres utilisés pour créer le compte de stockage. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Nom | Description | Valeur |
|---|---|---|
| nom | Nom de l’emplacement étendu. | corde |
| type | Type de l’emplacement étendu. | 'EdgeZone' |
Identité
| Nom | Description | Valeur |
|---|---|---|
| type | Type d’identité. | 'None' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obligatoire) |
| userAssignedIdentities | Obtient ou définit une liste de paires clé-valeur qui décrivent l’ensemble d’identités affectées par l’utilisateur qui seront utilisées avec ce compte de stockage. La clé est l’identificateur de ressource ARM de l’identité. Seule 1 identité affectée par l’utilisateur est autorisée ici. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| Nom | Description | Valeur |
|---|---|---|
| {propriété personnalisée} | UserAssignedIdentity |
UserAssignedIdentity
Cet objet ne contient aucune propriété à définir pendant le déploiement. Toutes les propriétés sont ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Nom | Description | Valeur |
|---|---|---|
| accessTier | Obligatoire pour les comptes de stockage où kind = BlobStorage. Le niveau d’accès est utilisé pour la facturation. Le niveau d’accès « Premium » est la valeur par défaut pour le type de compte de stockage d’objets blob de blocs Premium et il ne peut pas être modifié pour le type de compte de stockage d’objets blob de blocs Premium. | 'Froid' 'Cool' 'Chaud' 'Premium' |
| allowBlobPublicAccess | Autoriser ou interdire l’accès public à tous les objets blob ou conteneurs dans le compte de stockage. L’interprétation par défaut est false pour cette propriété. | Bool |
| allowCrossTenantReplication | Autoriser ou interdire la réplication d’objets de locataire AAD. Définissez cette propriété sur true pour les comptes nouveaux ou existants uniquement si les stratégies de réplication d’objets impliquent des comptes de stockage dans différents locataires AAD. L’interprétation par défaut est false pour que les nouveaux comptes suivent les meilleures pratiques de sécurité par défaut. | Bool |
| allowedCopyScope | Limitez la copie vers et depuis les comptes de stockage au sein d’un locataire AAD ou avec des liaisons privées vers le même réseau virtuel. | 'AAD' 'PrivateLink' |
| allowSharedKeyAccess | Indique si le compte de stockage autorise l’autorisation des demandes avec la clé d’accès du compte via une clé partagée. Si la valeur est false, toutes les demandes, y compris les signatures d’accès partagé, doivent être autorisées avec Azure Active Directory (Azure AD). La valeur par défaut est Null, ce qui équivaut à true. | Bool |
| azureFilesIdentityBasedAuthentication | Fournit les paramètres d’authentification basés sur l’identité pour Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Domaine utilisateur affecté au compte de stockage. Le nom est la source CNAME. Un seul domaine personnalisé est pris en charge par compte de stockage pour l’instant. Pour effacer le domaine personnalisé existant, utilisez une chaîne vide pour la propriété de nom de domaine personnalisé. | CustomDomain |
| defaultToOAuthentication | Indicateur booléen qui indique si l’authentification par défaut est OAuth ou non. L’interprétation par défaut est false pour cette propriété. | Bool |
| dnsEndpointType | Vous permet de spécifier le type de point de terminaison. Définissez-le sur AzureDNSZone pour créer un grand nombre de comptes dans un seul abonnement, ce qui crée des comptes dans une zone Azure DNS et l’URL du point de terminaison aura un identificateur de zone DNS alphanumérique. | 'AzureDnsZone' 'Standard' |
| enableExtendedGroups | Active la prise en charge des groupes étendus avec la fonctionnalité utilisateurs locaux, si la valeur est true | Bool |
| chiffrement | Paramètres de chiffrement à utiliser pour le chiffrement côté serveur pour le compte de stockage. | chiffrement |
| immutableStorageWithVersioning | La propriété est immuable et ne peut être définie que sur true au moment de la création du compte. Lorsqu’elle est définie sur true, elle active l’immuabilité au niveau de l’objet pour tous les nouveaux conteneurs du compte par défaut. | ImmutableStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace activé si la valeur est true. | Bool |
| isLocalUserEnabled | Active la fonctionnalité des utilisateurs locaux, si la valeur est true | Bool |
| isNfsV3Enabled | Prise en charge du protocole NFS 3.0 activée si la valeur est true. | Bool |
| isSftpEnabled | Active le protocole de transfert de fichiers sécurisé, s’il est défini sur true | Bool |
| keyPolicy | KeyPolicy affecté au compte de stockage. | KeyPolicy |
| largeFileSharesState | Autorisez les partages de fichiers volumineux si les ensembles sont activés. Elle ne peut pas être désactivée une fois qu’elle est activée. | 'Désactivé' 'Activé' |
| minimumTlsVersion | Définissez la version TLS minimale à autoriser sur les demandes de stockage. L’interprétation par défaut est TLS 1.0 pour cette propriété. | 'TLS1_0' 'TLS1_1' 'TLS1_2' 'TLS1_3' |
| networkAcls | Ensemble de règles réseau | NetworkRuleSet |
| publicNetworkAccess | Autoriser, interdire ou laisser la configuration du périmètre de sécurité réseau pour évaluer l’accès au réseau public au compte de stockage. La valeur est facultative, mais si elle est passée, doit être « Enabled », « Disabled » ou « SecuredByPerimeter ». | 'Désactivé' 'Activé' 'SecuredByPerimeter' |
| routingPreference | Conserve des informations sur le choix de routage réseau choisi par l’utilisateur pour le transfert de données | RoutingPreference |
| sasPolicy | SasPolicy affecté au compte de stockage. | SasPolicy |
| supportsHttpsTrafficOnly | Autorise le trafic https uniquement vers le service de stockage si la valeur est true. La valeur par défaut est true depuis la version d’API 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
| Nom | Description | Valeur |
|---|---|---|
| activeDirectoryProperties | Obligatoire si directoryServiceOptions est AD, facultatif s’il s’agit d’AADKERB. | ActiveDirectoryProperties |
| defaultSharePermission | Autorisation de partage par défaut pour les utilisateurs utilisant l’authentification Kerberos si le rôle RBAC n’est pas attribué. | 'None' 'StorageFileDataSmbShareContributor' 'StorageFileDataSmbShareElevatedContributor' 'StorageFileDataSmbShareReader' |
| directoryServiceOptions | Indique le service d’annuaire utilisé. Notez que cette énumération peut être étendue à l’avenir. | 'AADDS' 'AADKERB' 'AD' 'None' (obligatoire) |
ActiveDirectoryProperties
| Nom | Description | Valeur |
|---|---|---|
| accountType | Spécifie le type de compte Active Directory pour stockage Azure. | 'Computer' 'User' |
| azureStorageSid | Spécifie l’identificateur de sécurité (SID) pour stockage Azure. | corde |
| domainGuid | Spécifie le GUID de domaine. | chaîne (obligatoire) |
| domainName | Spécifie le domaine principal pour lequel le serveur DNS AD fait autorité. | chaîne (obligatoire) |
| domainSid | Spécifie l’identificateur de sécurité (SID). | corde |
| forestName | Spécifie la forêt Active Directory à obtenir. | corde |
| netBiosDomainName | Spécifie le nom de domaine NetBIOS. | corde |
| samAccountName | Spécifie le nom SAMAccountName Active Directory pour stockage Azure. | corde |
CustomDomain
| Nom | Description | Valeur |
|---|---|---|
| nom | Obtient ou définit le nom de domaine personnalisé affecté au compte de stockage. Le nom est la source CNAME. | chaîne (obligatoire) |
| useSubDomainName | Indique si la validation CName indirecte est activée. La valeur par défaut est false. Cela ne doit être défini que sur les mises à jour. | Bool |
Chiffrement
| Nom | Description | Valeur |
|---|---|---|
| identité | Identité à utiliser avec le chiffrement côté service au repos. | EncryptionIdentity |
| keySource | KeySource de chiffrement (fournisseur). Valeurs possibles (sans respect de la casse) : Microsoft.Storage, Microsoft.Keyvault | 'Microsoft.Keyvault' 'Microsoft.Storage' |
| keyvaultproperties | Propriétés fournies par le coffre de clés. | KeyVaultProperties |
| requireInfrastructureEncryption | Valeur booléenne indiquant si le service applique ou non une couche de chiffrement secondaire avec des clés gérées par la plateforme pour les données au repos. | Bool |
| services | Liste des services qui prennent en charge le chiffrement. | EncryptionServices |
EncryptionIdentity
| Nom | Description | Valeur |
|---|---|---|
| federatedIdentityClientId | ClientId de l’application multilocataire à utiliser conjointement avec l’identité affectée par l’utilisateur pour le chiffrement côté serveur géré par le client interlocataire sur le compte de stockage. | corde |
| userAssignedIdentity | Identificateur de ressource de l’identité UserAssigned à associer au chiffrement côté serveur sur le compte de stockage. | corde |
KeyVaultProperties
| Nom | Description | Valeur |
|---|---|---|
| nom de clé | Nom de la clé KeyVault. | corde |
| keyvaulturi | URI de KeyVault. | corde |
| keyversion | Version de la clé KeyVault. | corde |
EncryptionServices
| Nom | Description | Valeur |
|---|---|---|
| BLOB | Fonction de chiffrement du service de stockage d’objets blob. | EncryptionService |
| lime | Fonction de chiffrement du service de stockage de fichiers. | EncryptionService |
| queue | Fonction de chiffrement du service de stockage de file d’attente. | EncryptionService |
| table | Fonction de chiffrement du service de stockage de table. | EncryptionService |
EncryptionService
| Nom | Description | Valeur |
|---|---|---|
| Activé | Valeur booléenne indiquant si le service chiffre ou non les données telles qu’elles sont stockées. Le chiffrement au repos est activé par défaut aujourd’hui et ne peut pas être désactivé. | Bool |
| keyType | Type de clé de chiffrement à utiliser pour le service de chiffrement. Le type de clé « Compte » implique qu’une clé de chiffrement étendue au compte sera utilisée. Le type de clé « Service » implique qu’une clé de service par défaut est utilisée. | 'Compte' 'Service' |
ImmutableStorageAccount
| Nom | Description | Valeur |
|---|---|---|
| Activé | Indicateur booléen qui active l’immuabilité au niveau du compte. Tous les conteneurs d’un tel compte ont une immuabilité au niveau de l’objet activée par défaut. | Bool |
| immutabilityPolicy | Spécifie la stratégie d’immuabilité au niveau du compte par défaut héritée et appliquée aux objets qui ne possèdent pas de stratégie d’immuabilité explicite au niveau de l’objet. La stratégie d’immuabilité au niveau de l’objet a une priorité plus élevée que la stratégie d’immuabilité au niveau du conteneur, qui a une priorité plus élevée que la stratégie d’immuabilité au niveau du compte. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Nom | Description | Valeur |
|---|---|---|
| allowProtectedAppendWrites | Cette propriété ne peut être modifiée que pour les stratégies de rétention basées sur le temps désactivées et déverrouillées. Lorsqu’il est activé, de nouveaux blocs peuvent être écrits dans un objet blob d’ajout tout en conservant la protection et la conformité immuabilité. Seuls les nouveaux blocs peuvent être ajoutés et tous les blocs existants ne peuvent pas être modifiés ou supprimés. | Bool |
| immutabilityPeriodSinceCreationInDays | Période d’immuabilité pour les objets blob dans le conteneur depuis la création de la stratégie, en jours. | Int Contraintes: Valeur minimale = 1 Valeur maximale = 146000 |
| état | L’état ImmutabilityPolicy définit le mode de la stratégie. L’état désactivé désactive la stratégie, l’état déverrouillé permet d’augmenter et de diminuer le temps de rétention de l’immuabilité et permet également d’activer la propriété allowProtectedAppendWrites, l’état verrouillé autorise uniquement l’augmentation du temps de rétention de l’immuabilité. Une stratégie ne peut être créée que dans un état Désactivé ou déverrouillé et peut être bascule entre les deux états. Seule une stratégie dans un état déverrouillé peut passer à un état verrouillé qui ne peut pas être rétabli. | 'Désactivé' 'Verrouillé' 'Déverrouillé' |
KeyPolicy
| Nom | Description | Valeur |
|---|---|---|
| keyExpirationPeriodInDays | Période d’expiration de clé en jours. | int (obligatoire) |
NetworkRuleSet
| Nom | Description | Valeur |
|---|---|---|
| contourner | Spécifie si le trafic est contourné pour la journalisation/métriques/AzureServices. Les valeurs possibles sont n’importe quelle combinaison de Journalisation,Métriques,AzureServices (par exemple, « Journalisation, Métriques ») ou Aucun pour contourner aucun de ces trafics. | 'AzureServices' 'Journalisation' 'Métriques' 'None' |
| defaultAction | Spécifie l’action par défaut d’autorisation ou de refus lorsqu’aucune autre règle ne correspond. | 'Autoriser' 'Deny' (obligatoire) |
| ipRules | Définit les règles de liste de contrôle d’accès IP | IPRule [] |
| resourceAccessRules | Définit les règles d’accès aux ressources | ResourceAccessRule[] |
| virtualNetworkRules | Définit les règles de réseau virtuel | VirtualNetworkRule[] |
IPRule
| Nom | Description | Valeur |
|---|---|---|
| action | Action de la règle de liste de contrôle d’accès IP. | 'Autoriser' |
| valeur | Spécifie l’adresse IP ou la plage IP au format CIDR. Seule l’adresse IPV4 est autorisée. | chaîne (obligatoire) |
ResourceAccessRule
| Nom | Description | Valeur |
|---|---|---|
| resourceId | ID de ressource | corde |
| tenantId | ID de locataire | corde |
VirtualNetworkRule
| Nom | Description | Valeur |
|---|---|---|
| action | Action de la règle de réseau virtuel. | 'Autoriser' |
| id | ID de ressource d’un sous-réseau, par exemple : /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | chaîne (obligatoire) |
| état | Obtient l’état de la règle de réseau virtuel. | 'Déprovisionnement' 'Échec' 'NetworkSourceDeleted' 'Approvisionnement' 'Réussi' |
RoutingPreference
| Nom | Description | Valeur |
|---|---|---|
| publishInternetEndpoints | Indicateur booléen qui indique si les points de terminaison de stockage de routage Internet doivent être publiés | Bool |
| publishMicrosoftEndpoints | Indicateur booléen qui indique si les points de terminaison de stockage de routage Microsoft doivent être publiés | Bool |
| routingChoice | Le choix de routage définit le type de routage réseau choisi par l’utilisateur. | 'InternetRouting' 'MicrosoftRouting' |
SasPolicy
| Nom | Description | Valeur |
|---|---|---|
| expirationAction | L’action d’expiration SAS définit l’action à effectuer lorsque sasPolicy.sasExpirationPeriod est violée. L’action « Journal » peut être utilisée à des fins d’audit et l’action « Bloquer » peut être utilisée pour bloquer et refuser l’utilisation des jetons SAP qui ne respectent pas la période d’expiration de la stratégie sas. | 'Bloquer' 'Log' (obligatoire) |
| sasExpirationPeriod | Période d’expiration SAS, DD.HH :MM :SS. | chaîne (obligatoire) |
Sku
| Nom | Description | Valeur |
|---|---|---|
| nom | Nom de la référence SKU. Obligatoire pour la création de compte ; facultatif pour la mise à jour. Notez que dans les versions antérieures, le nom de la référence SKU a été appelé accountType. | 'Premium_LRS' 'Premium_ZRS' 'Standard_GRS' 'Standard_GZRS' 'Standard_LRS' 'Standard_RAGRS' 'Standard_RAGZRS' 'Standard_ZRS' (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
se connecter à un compte de stockage à partir d’une machine virtuelle via un point de terminaison privé
|
Cet exemple montre comment utiliser la connexion d’un réseau virtuel pour accéder à un compte de stockage d’objets blob via un point de terminaison privé. |
|
se connecter à un partage de fichiers Azure via un point de terminaison privé
|
Cet exemple montre comment utiliser la configuration d’un réseau virtuel et d’une zone DNS privée pour accéder à un partage de fichiers Azure via un point de terminaison privé. |
|
créer un compte de stockage standard
|
Ce modèle crée un compte de stockage Standard |
|
créer un compte de stockage avec SSE
|
Ce modèle crée un compte de stockage avec le chiffrement du service de stockage pour les données au repos |
| compte de stockage avec advanced threat Protection
|
Ce modèle vous permet de déployer un compte de stockage Azure avec Advanced Threat Protection activé. |
|
créer un compte de stockage Azure et un conteneur d’objets blob sur Azure
|
Ce modèle crée un compte de stockage Azure et un conteneur d’objets blob. |
|
compte de stockage avec la stratégie de rétention de suppression d’objets blob et SSE
|
Ce modèle crée un compte de stockage avec storage Service Encryption et une stratégie de rétention de suppression d’objets blob |
|
chiffrement de compte de stockage Azure avec de clé gérée par le client
|
Ce modèle déploie un compte de stockage avec une clé gérée par le client pour le chiffrement généré et placé dans un coffre de clés. |
|
Créer un compte de stockage avec de partage de fichiers
|
Ce modèle crée un compte de stockage Azure et un partage de fichiers. |
|
Créer un compte de stockage avec plusieurs conteneurs d’objets blob
|
Crée un compte de stockage Azure et plusieurs conteneurs d’objets blob. |
|
Créer un compte de stockage avec plusieurs partages de fichiers
|
Crée un compte de stockage Azure et plusieurs partages de fichiers. |
|
créer un compte de stockage avec activé par SFTP
|
Crée un compte de stockage Azure et un conteneur d’objets blob accessibles à l’aide du protocole SFTP. L’accès peut être basé sur un mot de passe ou une clé publique. |
|
déploie un site web statique
|
Déploie un site web statique avec un compte de stockage de stockage |
Définition de ressource de modèle ARM
Le type de ressource storageAccounts peut être déployé avec des opérations qui ciblent :
- groupes de ressources - Consultez commandes de déploiement de groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Storage/storageAccounts, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-05-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"sku": {
"name": "string"
},
"kind": "string",
"extendedLocation": {
"name": "string",
"type": "EdgeZone"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"accessTier": "string",
"allowBlobPublicAccess": "bool",
"allowCrossTenantReplication": "bool",
"allowedCopyScope": "string",
"allowSharedKeyAccess": "bool",
"azureFilesIdentityBasedAuthentication": {
"activeDirectoryProperties": {
"accountType": "string",
"azureStorageSid": "string",
"domainGuid": "string",
"domainName": "string",
"domainSid": "string",
"forestName": "string",
"netBiosDomainName": "string",
"samAccountName": "string"
},
"defaultSharePermission": "string",
"directoryServiceOptions": "string"
},
"customDomain": {
"name": "string",
"useSubDomainName": "bool"
},
"defaultToOAuthAuthentication": "bool",
"dnsEndpointType": "string",
"enableExtendedGroups": "bool",
"encryption": {
"identity": {
"federatedIdentityClientId": "string",
"userAssignedIdentity": "string"
},
"keySource": "string",
"keyvaultproperties": {
"keyname": "string",
"keyvaulturi": "string",
"keyversion": "string"
},
"requireInfrastructureEncryption": "bool",
"services": {
"blob": {
"enabled": "bool",
"keyType": "string"
},
"file": {
"enabled": "bool",
"keyType": "string"
},
"queue": {
"enabled": "bool",
"keyType": "string"
},
"table": {
"enabled": "bool",
"keyType": "string"
}
}
},
"immutableStorageWithVersioning": {
"enabled": "bool",
"immutabilityPolicy": {
"allowProtectedAppendWrites": "bool",
"immutabilityPeriodSinceCreationInDays": "int",
"state": "string"
}
},
"isHnsEnabled": "bool",
"isLocalUserEnabled": "bool",
"isNfsV3Enabled": "bool",
"isSftpEnabled": "bool",
"keyPolicy": {
"keyExpirationPeriodInDays": "int"
},
"largeFileSharesState": "string",
"minimumTlsVersion": "string",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"action": "Allow",
"value": "string"
}
],
"resourceAccessRules": [
{
"resourceId": "string",
"tenantId": "string"
}
],
"virtualNetworkRules": [
{
"action": "Allow",
"id": "string",
"state": "string"
}
]
},
"publicNetworkAccess": "string",
"routingPreference": {
"publishInternetEndpoints": "bool",
"publishMicrosoftEndpoints": "bool",
"routingChoice": "string"
},
"sasPolicy": {
"expirationAction": "string",
"sasExpirationPeriod": "string"
},
"supportsHttpsTrafficOnly": "bool"
}
}
Valeurs de propriété
storageAccounts
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | 'Microsoft.Storage/storageAccounts' |
| apiVersion | Version de l’API de ressource | '2023-05-01' |
| nom | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 3 à 24 Caractères valides : Lettres minuscules et chiffres. Le nom de la ressource doit être unique dans Azure. |
| emplacement | Obligatoire. Obtient ou définit l’emplacement de la ressource. Il s’agit de l’une des régions Géographiques Azure prises en charge et inscrites (par exemple, USA Ouest, USA Est, Asie Sud-Est, etc.). La zone géographique d’une ressource ne peut pas être modifiée une fois qu’elle est créée, mais si une région géographique identique est spécifiée lors de la mise à jour, la demande réussit. | chaîne (obligatoire) |
| étiquettes | Obtient ou définit une liste de paires clé-valeur qui décrivent la ressource. Ces balises peuvent être utilisées pour afficher et regrouper cette ressource (entre les groupes de ressources). Un maximum de 15 balises peut être fourni pour une ressource. Chaque balise doit avoir une clé dont la longueur n’est pas supérieure à 128 caractères et une valeur dont la longueur n’est pas supérieure à 256 caractères. | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
| Sku | Obligatoire. Obtient ou définit le nom de la référence SKU. | référence SKU (obligatoire) |
| gentil | Obligatoire. Indique le type de compte de stockage. | 'BlobStorage' 'BlockBlobStorage' 'FileStorage' 'Storage' 'StorageV2' (obligatoire) |
| extendedLocation | Optionnel. Définissez l’emplacement étendu de la ressource. Si ce n’est pas le cas, le compte de stockage est créé dans la région principale d’Azure. Sinon, il sera créé à l’emplacement étendu spécifié | ExtendedLocation |
| identité | Identité de la ressource. | Identity |
| Propriétés | Paramètres utilisés pour créer le compte de stockage. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Nom | Description | Valeur |
|---|---|---|
| nom | Nom de l’emplacement étendu. | corde |
| type | Type de l’emplacement étendu. | 'EdgeZone' |
Identité
| Nom | Description | Valeur |
|---|---|---|
| type | Type d’identité. | 'None' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obligatoire) |
| userAssignedIdentities | Obtient ou définit une liste de paires clé-valeur qui décrivent l’ensemble d’identités affectées par l’utilisateur qui seront utilisées avec ce compte de stockage. La clé est l’identificateur de ressource ARM de l’identité. Seule 1 identité affectée par l’utilisateur est autorisée ici. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| Nom | Description | Valeur |
|---|---|---|
| {propriété personnalisée} | UserAssignedIdentity |
UserAssignedIdentity
Cet objet ne contient aucune propriété à définir pendant le déploiement. Toutes les propriétés sont ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Nom | Description | Valeur |
|---|---|---|
| accessTier | Obligatoire pour les comptes de stockage où kind = BlobStorage. Le niveau d’accès est utilisé pour la facturation. Le niveau d’accès « Premium » est la valeur par défaut pour le type de compte de stockage d’objets blob de blocs Premium et il ne peut pas être modifié pour le type de compte de stockage d’objets blob de blocs Premium. | 'Froid' 'Cool' 'Chaud' 'Premium' |
| allowBlobPublicAccess | Autoriser ou interdire l’accès public à tous les objets blob ou conteneurs dans le compte de stockage. L’interprétation par défaut est false pour cette propriété. | Bool |
| allowCrossTenantReplication | Autoriser ou interdire la réplication d’objets de locataire AAD. Définissez cette propriété sur true pour les comptes nouveaux ou existants uniquement si les stratégies de réplication d’objets impliquent des comptes de stockage dans différents locataires AAD. L’interprétation par défaut est false pour que les nouveaux comptes suivent les meilleures pratiques de sécurité par défaut. | Bool |
| allowedCopyScope | Limitez la copie vers et depuis les comptes de stockage au sein d’un locataire AAD ou avec des liaisons privées vers le même réseau virtuel. | 'AAD' 'PrivateLink' |
| allowSharedKeyAccess | Indique si le compte de stockage autorise l’autorisation des demandes avec la clé d’accès du compte via une clé partagée. Si la valeur est false, toutes les demandes, y compris les signatures d’accès partagé, doivent être autorisées avec Azure Active Directory (Azure AD). La valeur par défaut est Null, ce qui équivaut à true. | Bool |
| azureFilesIdentityBasedAuthentication | Fournit les paramètres d’authentification basés sur l’identité pour Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Domaine utilisateur affecté au compte de stockage. Le nom est la source CNAME. Un seul domaine personnalisé est pris en charge par compte de stockage pour l’instant. Pour effacer le domaine personnalisé existant, utilisez une chaîne vide pour la propriété de nom de domaine personnalisé. | CustomDomain |
| defaultToOAuthentication | Indicateur booléen qui indique si l’authentification par défaut est OAuth ou non. L’interprétation par défaut est false pour cette propriété. | Bool |
| dnsEndpointType | Vous permet de spécifier le type de point de terminaison. Définissez-le sur AzureDNSZone pour créer un grand nombre de comptes dans un seul abonnement, ce qui crée des comptes dans une zone Azure DNS et l’URL du point de terminaison aura un identificateur de zone DNS alphanumérique. | 'AzureDnsZone' 'Standard' |
| enableExtendedGroups | Active la prise en charge des groupes étendus avec la fonctionnalité utilisateurs locaux, si la valeur est true | Bool |
| chiffrement | Paramètres de chiffrement à utiliser pour le chiffrement côté serveur pour le compte de stockage. | chiffrement |
| immutableStorageWithVersioning | La propriété est immuable et ne peut être définie que sur true au moment de la création du compte. Lorsqu’elle est définie sur true, elle active l’immuabilité au niveau de l’objet pour tous les nouveaux conteneurs du compte par défaut. | ImmutableStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace activé si la valeur est true. | Bool |
| isLocalUserEnabled | Active la fonctionnalité des utilisateurs locaux, si la valeur est true | Bool |
| isNfsV3Enabled | Prise en charge du protocole NFS 3.0 activée si la valeur est true. | Bool |
| isSftpEnabled | Active le protocole de transfert de fichiers sécurisé, s’il est défini sur true | Bool |
| keyPolicy | KeyPolicy affecté au compte de stockage. | KeyPolicy |
| largeFileSharesState | Autorisez les partages de fichiers volumineux si les ensembles sont activés. Elle ne peut pas être désactivée une fois qu’elle est activée. | 'Désactivé' 'Activé' |
| minimumTlsVersion | Définissez la version TLS minimale à autoriser sur les demandes de stockage. L’interprétation par défaut est TLS 1.0 pour cette propriété. | 'TLS1_0' 'TLS1_1' 'TLS1_2' 'TLS1_3' |
| networkAcls | Ensemble de règles réseau | NetworkRuleSet |
| publicNetworkAccess | Autoriser, interdire ou laisser la configuration du périmètre de sécurité réseau pour évaluer l’accès au réseau public au compte de stockage. La valeur est facultative, mais si elle est passée, doit être « Enabled », « Disabled » ou « SecuredByPerimeter ». | 'Désactivé' 'Activé' 'SecuredByPerimeter' |
| routingPreference | Conserve des informations sur le choix de routage réseau choisi par l’utilisateur pour le transfert de données | RoutingPreference |
| sasPolicy | SasPolicy affecté au compte de stockage. | SasPolicy |
| supportsHttpsTrafficOnly | Autorise le trafic https uniquement vers le service de stockage si la valeur est true. La valeur par défaut est true depuis la version d’API 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
| Nom | Description | Valeur |
|---|---|---|
| activeDirectoryProperties | Obligatoire si directoryServiceOptions est AD, facultatif s’il s’agit d’AADKERB. | ActiveDirectoryProperties |
| defaultSharePermission | Autorisation de partage par défaut pour les utilisateurs utilisant l’authentification Kerberos si le rôle RBAC n’est pas attribué. | 'None' 'StorageFileDataSmbShareContributor' 'StorageFileDataSmbShareElevatedContributor' 'StorageFileDataSmbShareReader' |
| directoryServiceOptions | Indique le service d’annuaire utilisé. Notez que cette énumération peut être étendue à l’avenir. | 'AADDS' 'AADKERB' 'AD' 'None' (obligatoire) |
ActiveDirectoryProperties
| Nom | Description | Valeur |
|---|---|---|
| accountType | Spécifie le type de compte Active Directory pour stockage Azure. | 'Computer' 'User' |
| azureStorageSid | Spécifie l’identificateur de sécurité (SID) pour stockage Azure. | corde |
| domainGuid | Spécifie le GUID de domaine. | chaîne (obligatoire) |
| domainName | Spécifie le domaine principal pour lequel le serveur DNS AD fait autorité. | chaîne (obligatoire) |
| domainSid | Spécifie l’identificateur de sécurité (SID). | corde |
| forestName | Spécifie la forêt Active Directory à obtenir. | corde |
| netBiosDomainName | Spécifie le nom de domaine NetBIOS. | corde |
| samAccountName | Spécifie le nom SAMAccountName Active Directory pour stockage Azure. | corde |
CustomDomain
| Nom | Description | Valeur |
|---|---|---|
| nom | Obtient ou définit le nom de domaine personnalisé affecté au compte de stockage. Le nom est la source CNAME. | chaîne (obligatoire) |
| useSubDomainName | Indique si la validation CName indirecte est activée. La valeur par défaut est false. Cela ne doit être défini que sur les mises à jour. | Bool |
Chiffrement
| Nom | Description | Valeur |
|---|---|---|
| identité | Identité à utiliser avec le chiffrement côté service au repos. | EncryptionIdentity |
| keySource | KeySource de chiffrement (fournisseur). Valeurs possibles (sans respect de la casse) : Microsoft.Storage, Microsoft.Keyvault | 'Microsoft.Keyvault' 'Microsoft.Storage' |
| keyvaultproperties | Propriétés fournies par le coffre de clés. | KeyVaultProperties |
| requireInfrastructureEncryption | Valeur booléenne indiquant si le service applique ou non une couche de chiffrement secondaire avec des clés gérées par la plateforme pour les données au repos. | Bool |
| services | Liste des services qui prennent en charge le chiffrement. | EncryptionServices |
EncryptionIdentity
| Nom | Description | Valeur |
|---|---|---|
| federatedIdentityClientId | ClientId de l’application multilocataire à utiliser conjointement avec l’identité affectée par l’utilisateur pour le chiffrement côté serveur géré par le client interlocataire sur le compte de stockage. | corde |
| userAssignedIdentity | Identificateur de ressource de l’identité UserAssigned à associer au chiffrement côté serveur sur le compte de stockage. | corde |
KeyVaultProperties
| Nom | Description | Valeur |
|---|---|---|
| nom de clé | Nom de la clé KeyVault. | corde |
| keyvaulturi | URI de KeyVault. | corde |
| keyversion | Version de la clé KeyVault. | corde |
EncryptionServices
| Nom | Description | Valeur |
|---|---|---|
| BLOB | Fonction de chiffrement du service de stockage d’objets blob. | EncryptionService |
| lime | Fonction de chiffrement du service de stockage de fichiers. | EncryptionService |
| queue | Fonction de chiffrement du service de stockage de file d’attente. | EncryptionService |
| table | Fonction de chiffrement du service de stockage de table. | EncryptionService |
EncryptionService
| Nom | Description | Valeur |
|---|---|---|
| Activé | Valeur booléenne indiquant si le service chiffre ou non les données telles qu’elles sont stockées. Le chiffrement au repos est activé par défaut aujourd’hui et ne peut pas être désactivé. | Bool |
| keyType | Type de clé de chiffrement à utiliser pour le service de chiffrement. Le type de clé « Compte » implique qu’une clé de chiffrement étendue au compte sera utilisée. Le type de clé « Service » implique qu’une clé de service par défaut est utilisée. | 'Compte' 'Service' |
ImmutableStorageAccount
| Nom | Description | Valeur |
|---|---|---|
| Activé | Indicateur booléen qui active l’immuabilité au niveau du compte. Tous les conteneurs d’un tel compte ont une immuabilité au niveau de l’objet activée par défaut. | Bool |
| immutabilityPolicy | Spécifie la stratégie d’immuabilité au niveau du compte par défaut héritée et appliquée aux objets qui ne possèdent pas de stratégie d’immuabilité explicite au niveau de l’objet. La stratégie d’immuabilité au niveau de l’objet a une priorité plus élevée que la stratégie d’immuabilité au niveau du conteneur, qui a une priorité plus élevée que la stratégie d’immuabilité au niveau du compte. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Nom | Description | Valeur |
|---|---|---|
| allowProtectedAppendWrites | Cette propriété ne peut être modifiée que pour les stratégies de rétention basées sur le temps désactivées et déverrouillées. Lorsqu’il est activé, de nouveaux blocs peuvent être écrits dans un objet blob d’ajout tout en conservant la protection et la conformité immuabilité. Seuls les nouveaux blocs peuvent être ajoutés et tous les blocs existants ne peuvent pas être modifiés ou supprimés. | Bool |
| immutabilityPeriodSinceCreationInDays | Période d’immuabilité pour les objets blob dans le conteneur depuis la création de la stratégie, en jours. | Int Contraintes: Valeur minimale = 1 Valeur maximale = 146000 |
| état | L’état ImmutabilityPolicy définit le mode de la stratégie. L’état désactivé désactive la stratégie, l’état déverrouillé permet d’augmenter et de diminuer le temps de rétention de l’immuabilité et permet également d’activer la propriété allowProtectedAppendWrites, l’état verrouillé autorise uniquement l’augmentation du temps de rétention de l’immuabilité. Une stratégie ne peut être créée que dans un état Désactivé ou déverrouillé et peut être bascule entre les deux états. Seule une stratégie dans un état déverrouillé peut passer à un état verrouillé qui ne peut pas être rétabli. | 'Désactivé' 'Verrouillé' 'Déverrouillé' |
KeyPolicy
| Nom | Description | Valeur |
|---|---|---|
| keyExpirationPeriodInDays | Période d’expiration de clé en jours. | int (obligatoire) |
NetworkRuleSet
| Nom | Description | Valeur |
|---|---|---|
| contourner | Spécifie si le trafic est contourné pour la journalisation/métriques/AzureServices. Les valeurs possibles sont n’importe quelle combinaison de Journalisation,Métriques,AzureServices (par exemple, « Journalisation, Métriques ») ou Aucun pour contourner aucun de ces trafics. | 'AzureServices' 'Journalisation' 'Métriques' 'None' |
| defaultAction | Spécifie l’action par défaut d’autorisation ou de refus lorsqu’aucune autre règle ne correspond. | 'Autoriser' 'Deny' (obligatoire) |
| ipRules | Définit les règles de liste de contrôle d’accès IP | IPRule [] |
| resourceAccessRules | Définit les règles d’accès aux ressources | ResourceAccessRule[] |
| virtualNetworkRules | Définit les règles de réseau virtuel | VirtualNetworkRule[] |
IPRule
| Nom | Description | Valeur |
|---|---|---|
| action | Action de la règle de liste de contrôle d’accès IP. | 'Autoriser' |
| valeur | Spécifie l’adresse IP ou la plage IP au format CIDR. Seule l’adresse IPV4 est autorisée. | chaîne (obligatoire) |
ResourceAccessRule
| Nom | Description | Valeur |
|---|---|---|
| resourceId | ID de ressource | corde |
| tenantId | ID de locataire | corde |
VirtualNetworkRule
| Nom | Description | Valeur |
|---|---|---|
| action | Action de la règle de réseau virtuel. | 'Autoriser' |
| id | ID de ressource d’un sous-réseau, par exemple : /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | chaîne (obligatoire) |
| état | Obtient l’état de la règle de réseau virtuel. | 'Déprovisionnement' 'Échec' 'NetworkSourceDeleted' 'Approvisionnement' 'Réussi' |
RoutingPreference
| Nom | Description | Valeur |
|---|---|---|
| publishInternetEndpoints | Indicateur booléen qui indique si les points de terminaison de stockage de routage Internet doivent être publiés | Bool |
| publishMicrosoftEndpoints | Indicateur booléen qui indique si les points de terminaison de stockage de routage Microsoft doivent être publiés | Bool |
| routingChoice | Le choix de routage définit le type de routage réseau choisi par l’utilisateur. | 'InternetRouting' 'MicrosoftRouting' |
SasPolicy
| Nom | Description | Valeur |
|---|---|---|
| expirationAction | L’action d’expiration SAS définit l’action à effectuer lorsque sasPolicy.sasExpirationPeriod est violée. L’action « Journal » peut être utilisée à des fins d’audit et l’action « Bloquer » peut être utilisée pour bloquer et refuser l’utilisation des jetons SAP qui ne respectent pas la période d’expiration de la stratégie sas. | 'Bloquer' 'Log' (obligatoire) |
| sasExpirationPeriod | Période d’expiration SAS, DD.HH :MM :SS. | chaîne (obligatoire) |
Sku
| Nom | Description | Valeur |
|---|---|---|
| nom | Nom de la référence SKU. Obligatoire pour la création de compte ; facultatif pour la mise à jour. Notez que dans les versions antérieures, le nom de la référence SKU a été appelé accountType. | 'Premium_LRS' 'Premium_ZRS' 'Standard_GRS' 'Standard_GZRS' 'Standard_LRS' 'Standard_RAGRS' 'Standard_RAGZRS' 'Standard_ZRS' (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
|
se connecter à un compte de stockage à partir d’une machine virtuelle via un point de terminaison privé
|
Cet exemple montre comment utiliser la connexion d’un réseau virtuel pour accéder à un compte de stockage d’objets blob via un point de terminaison privé. |
|
se connecter à un partage de fichiers Azure via un point de terminaison privé
|
Cet exemple montre comment utiliser la configuration d’un réseau virtuel et d’une zone DNS privée pour accéder à un partage de fichiers Azure via un point de terminaison privé. |
|
créer un compte de stockage standard
|
Ce modèle crée un compte de stockage Standard |
|
créer un compte de stockage avec SSE
|
Ce modèle crée un compte de stockage avec le chiffrement du service de stockage pour les données au repos |
| compte de stockage avec advanced threat Protection
|
Ce modèle vous permet de déployer un compte de stockage Azure avec Advanced Threat Protection activé. |
|
créer un compte de stockage Azure et un conteneur d’objets blob sur Azure
|
Ce modèle crée un compte de stockage Azure et un conteneur d’objets blob. |
|
compte de stockage avec la stratégie de rétention de suppression d’objets blob et SSE
|
Ce modèle crée un compte de stockage avec storage Service Encryption et une stratégie de rétention de suppression d’objets blob |
|
chiffrement de compte de stockage Azure avec de clé gérée par le client
|
Ce modèle déploie un compte de stockage avec une clé gérée par le client pour le chiffrement généré et placé dans un coffre de clés. |
|
Créer un compte de stockage avec de partage de fichiers
|
Ce modèle crée un compte de stockage Azure et un partage de fichiers. |
|
Créer un compte de stockage avec plusieurs conteneurs d’objets blob
|
Crée un compte de stockage Azure et plusieurs conteneurs d’objets blob. |
|
Créer un compte de stockage avec plusieurs partages de fichiers
|
Crée un compte de stockage Azure et plusieurs partages de fichiers. |
|
créer un compte de stockage avec activé par SFTP
|
Crée un compte de stockage Azure et un conteneur d’objets blob accessibles à l’aide du protocole SFTP. L’accès peut être basé sur un mot de passe ou une clé publique. |
|
déploie un site web statique
|
Déploie un site web statique avec un compte de stockage de stockage |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource storageAccounts peut être déployé avec des opérations qui ciblent :
- groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Storage/storageAccounts, ajoutez terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Storage/storageAccounts@2023-05-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
accessTier = "string"
allowBlobPublicAccess = bool
allowCrossTenantReplication = bool
allowedCopyScope = "string"
allowSharedKeyAccess = bool
azureFilesIdentityBasedAuthentication = {
activeDirectoryProperties = {
accountType = "string"
azureStorageSid = "string"
domainGuid = "string"
domainName = "string"
domainSid = "string"
forestName = "string"
netBiosDomainName = "string"
samAccountName = "string"
}
defaultSharePermission = "string"
directoryServiceOptions = "string"
}
customDomain = {
name = "string"
useSubDomainName = bool
}
defaultToOAuthAuthentication = bool
dnsEndpointType = "string"
enableExtendedGroups = bool
encryption = {
identity = {
federatedIdentityClientId = "string"
userAssignedIdentity = "string"
}
keySource = "string"
keyvaultproperties = {
keyname = "string"
keyvaulturi = "string"
keyversion = "string"
}
requireInfrastructureEncryption = bool
services = {
blob = {
enabled = bool
keyType = "string"
}
file = {
enabled = bool
keyType = "string"
}
queue = {
enabled = bool
keyType = "string"
}
table = {
enabled = bool
keyType = "string"
}
}
}
immutableStorageWithVersioning = {
enabled = bool
immutabilityPolicy = {
allowProtectedAppendWrites = bool
immutabilityPeriodSinceCreationInDays = int
state = "string"
}
}
isHnsEnabled = bool
isLocalUserEnabled = bool
isNfsV3Enabled = bool
isSftpEnabled = bool
keyPolicy = {
keyExpirationPeriodInDays = int
}
largeFileSharesState = "string"
minimumTlsVersion = "string"
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
action = "Allow"
value = "string"
}
]
resourceAccessRules = [
{
resourceId = "string"
tenantId = "string"
}
]
virtualNetworkRules = [
{
action = "Allow"
id = "string"
state = "string"
}
]
}
publicNetworkAccess = "string"
routingPreference = {
publishInternetEndpoints = bool
publishMicrosoftEndpoints = bool
routingChoice = "string"
}
sasPolicy = {
expirationAction = "string"
sasExpirationPeriod = "string"
}
supportsHttpsTrafficOnly = bool
}
sku = {
name = "string"
}
kind = "string"
extendedLocation = {
name = "string"
type = "EdgeZone"
}
})
}
Valeurs de propriété
storageAccounts
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | « Microsoft.Storage/storageAccounts@2023-05-01 » |
| nom | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 3 à 24 Caractères valides : Lettres minuscules et chiffres. Le nom de la ressource doit être unique dans Azure. |
| emplacement | Obligatoire. Obtient ou définit l’emplacement de la ressource. Il s’agit de l’une des régions Géographiques Azure prises en charge et inscrites (par exemple, USA Ouest, USA Est, Asie Sud-Est, etc.). La zone géographique d’une ressource ne peut pas être modifiée une fois qu’elle est créée, mais si une région géographique identique est spécifiée lors de la mise à jour, la demande réussit. | chaîne (obligatoire) |
| parent_id | Pour effectuer un déploiement sur un groupe de ressources, utilisez l’ID de ce groupe de ressources. | chaîne (obligatoire) |
| étiquettes | Obtient ou définit une liste de paires clé-valeur qui décrivent la ressource. Ces balises peuvent être utilisées pour afficher et regrouper cette ressource (entre les groupes de ressources). Un maximum de 15 balises peut être fourni pour une ressource. Chaque balise doit avoir une clé dont la longueur n’est pas supérieure à 128 caractères et une valeur dont la longueur n’est pas supérieure à 256 caractères. | Dictionnaire de noms et de valeurs d’étiquettes. |
| Sku | Obligatoire. Obtient ou définit le nom de la référence SKU. | référence SKU (obligatoire) |
| gentil | Obligatoire. Indique le type de compte de stockage. | « BlobStorage » « BlockBlobStorage » « FileStorage » « Stockage » « StorageV2 » (obligatoire) |
| extendedLocation | Optionnel. Définissez l’emplacement étendu de la ressource. Si ce n’est pas le cas, le compte de stockage est créé dans la région principale d’Azure. Sinon, il sera créé à l’emplacement étendu spécifié | ExtendedLocation |
| identité | Identité de la ressource. | Identity |
| Propriétés | Paramètres utilisés pour créer le compte de stockage. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Nom | Description | Valeur |
|---|---|---|
| nom | Nom de l’emplacement étendu. | corde |
| type | Type de l’emplacement étendu. | « EdgeZone » |
Identité
| Nom | Description | Valeur |
|---|---|---|
| type | Type d’identité. | « SystemAssigned » « SystemAssigned,UserAssigned » « UserAssigned » (obligatoire) |
| identity_ids | Obtient ou définit une liste de paires clé-valeur qui décrivent l’ensemble d’identités affectées par l’utilisateur qui seront utilisées avec ce compte de stockage. La clé est l’identificateur de ressource ARM de l’identité. Seule 1 identité affectée par l’utilisateur est autorisée ici. | Tableau d’ID d’identité utilisateur. |
IdentityUserAssignedIdentities
| Nom | Description | Valeur |
|---|---|---|
| {propriété personnalisée} | UserAssignedIdentity |
UserAssignedIdentity
Cet objet ne contient aucune propriété à définir pendant le déploiement. Toutes les propriétés sont ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Nom | Description | Valeur |
|---|---|---|
| accessTier | Obligatoire pour les comptes de stockage où kind = BlobStorage. Le niveau d’accès est utilisé pour la facturation. Le niveau d’accès « Premium » est la valeur par défaut pour le type de compte de stockage d’objets blob de blocs Premium et il ne peut pas être modifié pour le type de compte de stockage d’objets blob de blocs Premium. | « Froid » « Cool » « Chaud » « Premium » |
| allowBlobPublicAccess | Autoriser ou interdire l’accès public à tous les objets blob ou conteneurs dans le compte de stockage. L’interprétation par défaut est false pour cette propriété. | Bool |
| allowCrossTenantReplication | Autoriser ou interdire la réplication d’objets de locataire AAD. Définissez cette propriété sur true pour les comptes nouveaux ou existants uniquement si les stratégies de réplication d’objets impliquent des comptes de stockage dans différents locataires AAD. L’interprétation par défaut est false pour que les nouveaux comptes suivent les meilleures pratiques de sécurité par défaut. | Bool |
| allowedCopyScope | Limitez la copie vers et depuis les comptes de stockage au sein d’un locataire AAD ou avec des liaisons privées vers le même réseau virtuel. | « AAD » « PrivateLink » |
| allowSharedKeyAccess | Indique si le compte de stockage autorise l’autorisation des demandes avec la clé d’accès du compte via une clé partagée. Si la valeur est false, toutes les demandes, y compris les signatures d’accès partagé, doivent être autorisées avec Azure Active Directory (Azure AD). La valeur par défaut est Null, ce qui équivaut à true. | Bool |
| azureFilesIdentityBasedAuthentication | Fournit les paramètres d’authentification basés sur l’identité pour Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Domaine utilisateur affecté au compte de stockage. Le nom est la source CNAME. Un seul domaine personnalisé est pris en charge par compte de stockage pour l’instant. Pour effacer le domaine personnalisé existant, utilisez une chaîne vide pour la propriété de nom de domaine personnalisé. | CustomDomain |
| defaultToOAuthentication | Indicateur booléen qui indique si l’authentification par défaut est OAuth ou non. L’interprétation par défaut est false pour cette propriété. | Bool |
| dnsEndpointType | Vous permet de spécifier le type de point de terminaison. Définissez-le sur AzureDNSZone pour créer un grand nombre de comptes dans un seul abonnement, ce qui crée des comptes dans une zone Azure DNS et l’URL du point de terminaison aura un identificateur de zone DNS alphanumérique. | « AzureDnsZone » « Standard » |
| enableExtendedGroups | Active la prise en charge des groupes étendus avec la fonctionnalité utilisateurs locaux, si la valeur est true | Bool |
| chiffrement | Paramètres de chiffrement à utiliser pour le chiffrement côté serveur pour le compte de stockage. | chiffrement |
| immutableStorageWithVersioning | La propriété est immuable et ne peut être définie que sur true au moment de la création du compte. Lorsqu’elle est définie sur true, elle active l’immuabilité au niveau de l’objet pour tous les nouveaux conteneurs du compte par défaut. | ImmutableStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace activé si la valeur est true. | Bool |
| isLocalUserEnabled | Active la fonctionnalité des utilisateurs locaux, si la valeur est true | Bool |
| isNfsV3Enabled | Prise en charge du protocole NFS 3.0 activée si la valeur est true. | Bool |
| isSftpEnabled | Active le protocole de transfert de fichiers sécurisé, s’il est défini sur true | Bool |
| keyPolicy | KeyPolicy affecté au compte de stockage. | KeyPolicy |
| largeFileSharesState | Autorisez les partages de fichiers volumineux si les ensembles sont activés. Elle ne peut pas être désactivée une fois qu’elle est activée. | « Désactivé » « Activé » |
| minimumTlsVersion | Définissez la version TLS minimale à autoriser sur les demandes de stockage. L’interprétation par défaut est TLS 1.0 pour cette propriété. | « TLS1_0 » « TLS1_1 » « TLS1_2 » « TLS1_3 » |
| networkAcls | Ensemble de règles réseau | NetworkRuleSet |
| publicNetworkAccess | Autoriser, interdire ou laisser la configuration du périmètre de sécurité réseau pour évaluer l’accès au réseau public au compte de stockage. La valeur est facultative, mais si elle est passée, doit être « Enabled », « Disabled » ou « SecuredByPerimeter ». | « Désactivé » « Activé » « SecuredByPerimeter » |
| routingPreference | Conserve des informations sur le choix de routage réseau choisi par l’utilisateur pour le transfert de données | RoutingPreference |
| sasPolicy | SasPolicy affecté au compte de stockage. | SasPolicy |
| supportsHttpsTrafficOnly | Autorise le trafic https uniquement vers le service de stockage si la valeur est true. La valeur par défaut est true depuis la version d’API 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
| Nom | Description | Valeur |
|---|---|---|
| activeDirectoryProperties | Obligatoire si directoryServiceOptions est AD, facultatif s’il s’agit d’AADKERB. | ActiveDirectoryProperties |
| defaultSharePermission | Autorisation de partage par défaut pour les utilisateurs utilisant l’authentification Kerberos si le rôle RBAC n’est pas attribué. | « Aucun » « StorageFileDataSmbShareContributor » « StorageFileDataSmbShareElevatedContributor » « StorageFileDataSmbShareReader » |
| directoryServiceOptions | Indique le service d’annuaire utilisé. Notez que cette énumération peut être étendue à l’avenir. | « AADDS » « AADKERB » « AD » « Aucun » (obligatoire) |
ActiveDirectoryProperties
| Nom | Description | Valeur |
|---|---|---|
| accountType | Spécifie le type de compte Active Directory pour stockage Azure. | « Ordinateur » « Utilisateur » |
| azureStorageSid | Spécifie l’identificateur de sécurité (SID) pour stockage Azure. | corde |
| domainGuid | Spécifie le GUID de domaine. | chaîne (obligatoire) |
| domainName | Spécifie le domaine principal pour lequel le serveur DNS AD fait autorité. | chaîne (obligatoire) |
| domainSid | Spécifie l’identificateur de sécurité (SID). | corde |
| forestName | Spécifie la forêt Active Directory à obtenir. | corde |
| netBiosDomainName | Spécifie le nom de domaine NetBIOS. | corde |
| samAccountName | Spécifie le nom SAMAccountName Active Directory pour stockage Azure. | corde |
CustomDomain
| Nom | Description | Valeur |
|---|---|---|
| nom | Obtient ou définit le nom de domaine personnalisé affecté au compte de stockage. Le nom est la source CNAME. | chaîne (obligatoire) |
| useSubDomainName | Indique si la validation CName indirecte est activée. La valeur par défaut est false. Cela ne doit être défini que sur les mises à jour. | Bool |
Chiffrement
| Nom | Description | Valeur |
|---|---|---|
| identité | Identité à utiliser avec le chiffrement côté service au repos. | EncryptionIdentity |
| keySource | KeySource de chiffrement (fournisseur). Valeurs possibles (sans respect de la casse) : Microsoft.Storage, Microsoft.Keyvault | « Microsoft.Keyvault » « Microsoft.Storage » |
| keyvaultproperties | Propriétés fournies par le coffre de clés. | KeyVaultProperties |
| requireInfrastructureEncryption | Valeur booléenne indiquant si le service applique ou non une couche de chiffrement secondaire avec des clés gérées par la plateforme pour les données au repos. | Bool |
| services | Liste des services qui prennent en charge le chiffrement. | EncryptionServices |
EncryptionIdentity
| Nom | Description | Valeur |
|---|---|---|
| federatedIdentityClientId | ClientId de l’application multilocataire à utiliser conjointement avec l’identité affectée par l’utilisateur pour le chiffrement côté serveur géré par le client interlocataire sur le compte de stockage. | corde |
| userAssignedIdentity | Identificateur de ressource de l’identité UserAssigned à associer au chiffrement côté serveur sur le compte de stockage. | corde |
KeyVaultProperties
| Nom | Description | Valeur |
|---|---|---|
| nom de clé | Nom de la clé KeyVault. | corde |
| keyvaulturi | URI de KeyVault. | corde |
| keyversion | Version de la clé KeyVault. | corde |
EncryptionServices
| Nom | Description | Valeur |
|---|---|---|
| BLOB | Fonction de chiffrement du service de stockage d’objets blob. | EncryptionService |
| lime | Fonction de chiffrement du service de stockage de fichiers. | EncryptionService |
| queue | Fonction de chiffrement du service de stockage de file d’attente. | EncryptionService |
| table | Fonction de chiffrement du service de stockage de table. | EncryptionService |
EncryptionService
| Nom | Description | Valeur |
|---|---|---|
| Activé | Valeur booléenne indiquant si le service chiffre ou non les données telles qu’elles sont stockées. Le chiffrement au repos est activé par défaut aujourd’hui et ne peut pas être désactivé. | Bool |
| keyType | Type de clé de chiffrement à utiliser pour le service de chiffrement. Le type de clé « Compte » implique qu’une clé de chiffrement étendue au compte sera utilisée. Le type de clé « Service » implique qu’une clé de service par défaut est utilisée. | « Compte » « Service » |
ImmutableStorageAccount
| Nom | Description | Valeur |
|---|---|---|
| Activé | Indicateur booléen qui active l’immuabilité au niveau du compte. Tous les conteneurs d’un tel compte ont une immuabilité au niveau de l’objet activée par défaut. | Bool |
| immutabilityPolicy | Spécifie la stratégie d’immuabilité au niveau du compte par défaut héritée et appliquée aux objets qui ne possèdent pas de stratégie d’immuabilité explicite au niveau de l’objet. La stratégie d’immuabilité au niveau de l’objet a une priorité plus élevée que la stratégie d’immuabilité au niveau du conteneur, qui a une priorité plus élevée que la stratégie d’immuabilité au niveau du compte. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Nom | Description | Valeur |
|---|---|---|
| allowProtectedAppendWrites | Cette propriété ne peut être modifiée que pour les stratégies de rétention basées sur le temps désactivées et déverrouillées. Lorsqu’il est activé, de nouveaux blocs peuvent être écrits dans un objet blob d’ajout tout en conservant la protection et la conformité immuabilité. Seuls les nouveaux blocs peuvent être ajoutés et tous les blocs existants ne peuvent pas être modifiés ou supprimés. | Bool |
| immutabilityPeriodSinceCreationInDays | Période d’immuabilité pour les objets blob dans le conteneur depuis la création de la stratégie, en jours. | Int Contraintes: Valeur minimale = 1 Valeur maximale = 146000 |
| état | L’état ImmutabilityPolicy définit le mode de la stratégie. L’état désactivé désactive la stratégie, l’état déverrouillé permet d’augmenter et de diminuer le temps de rétention de l’immuabilité et permet également d’activer la propriété allowProtectedAppendWrites, l’état verrouillé autorise uniquement l’augmentation du temps de rétention de l’immuabilité. Une stratégie ne peut être créée que dans un état Désactivé ou déverrouillé et peut être bascule entre les deux états. Seule une stratégie dans un état déverrouillé peut passer à un état verrouillé qui ne peut pas être rétabli. | « Désactivé » « Verrouillé » « Déverrouillé » |
KeyPolicy
| Nom | Description | Valeur |
|---|---|---|
| keyExpirationPeriodInDays | Période d’expiration de clé en jours. | int (obligatoire) |
NetworkRuleSet
| Nom | Description | Valeur |
|---|---|---|
| contourner | Spécifie si le trafic est contourné pour la journalisation/métriques/AzureServices. Les valeurs possibles sont n’importe quelle combinaison de Journalisation,Métriques,AzureServices (par exemple, « Journalisation, Métriques ») ou Aucun pour contourner aucun de ces trafics. | « AzureServices » « Journalisation » « Métriques » « Aucun » |
| defaultAction | Spécifie l’action par défaut d’autorisation ou de refus lorsqu’aucune autre règle ne correspond. | « Autoriser » « Refuser » (obligatoire) |
| ipRules | Définit les règles de liste de contrôle d’accès IP | IPRule [] |
| resourceAccessRules | Définit les règles d’accès aux ressources | ResourceAccessRule[] |
| virtualNetworkRules | Définit les règles de réseau virtuel | VirtualNetworkRule[] |
IPRule
| Nom | Description | Valeur |
|---|---|---|
| action | Action de la règle de liste de contrôle d’accès IP. | « Autoriser » |
| valeur | Spécifie l’adresse IP ou la plage IP au format CIDR. Seule l’adresse IPV4 est autorisée. | chaîne (obligatoire) |
ResourceAccessRule
| Nom | Description | Valeur |
|---|---|---|
| resourceId | ID de ressource | corde |
| tenantId | ID de locataire | corde |
VirtualNetworkRule
| Nom | Description | Valeur |
|---|---|---|
| action | Action de la règle de réseau virtuel. | « Autoriser » |
| id | ID de ressource d’un sous-réseau, par exemple : /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | chaîne (obligatoire) |
| état | Obtient l’état de la règle de réseau virtuel. | « Déprovisionnement » « Échec » « NetworkSourceDeleted » « Approvisionnement » « Réussi » |
RoutingPreference
| Nom | Description | Valeur |
|---|---|---|
| publishInternetEndpoints | Indicateur booléen qui indique si les points de terminaison de stockage de routage Internet doivent être publiés | Bool |
| publishMicrosoftEndpoints | Indicateur booléen qui indique si les points de terminaison de stockage de routage Microsoft doivent être publiés | Bool |
| routingChoice | Le choix de routage définit le type de routage réseau choisi par l’utilisateur. | « InternetRouting » « MicrosoftRouting » |
SasPolicy
| Nom | Description | Valeur |
|---|---|---|
| expirationAction | L’action d’expiration SAS définit l’action à effectuer lorsque sasPolicy.sasExpirationPeriod est violée. L’action « Journal » peut être utilisée à des fins d’audit et l’action « Bloquer » peut être utilisée pour bloquer et refuser l’utilisation des jetons SAP qui ne respectent pas la période d’expiration de la stratégie sas. | « Bloquer » « Journal » (obligatoire) |
| sasExpirationPeriod | Période d’expiration SAS, DD.HH :MM :SS. | chaîne (obligatoire) |
Sku
| Nom | Description | Valeur |
|---|---|---|
| nom | Nom de la référence SKU. Obligatoire pour la création de compte ; facultatif pour la mise à jour. Notez que dans les versions antérieures, le nom de la référence SKU a été appelé accountType. | « Premium_LRS » « Premium_ZRS » « Standard_GRS » « Standard_GZRS » « Standard_LRS » « Standard_RAGRS » « Standard_RAGZRS » « Standard_ZRS » (obligatoire) |