Rôles Microsoft.AuthorizationAssignments 2022-04-01
Définition de ressource Bicep
Le type de ressource roleAssignments est une ressource d’extension , ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la propriété scope sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue sur les ressources d’extension dans Bicep.
Le type de ressource roleAssignments peut être déployé avec des opérations qui ciblent :
- groupes de ressources - Consultez commandes de déploiement de groupes de ressources
- abonnements - Consultez commandes de déploiement d’abonnement
- groupes d’administration - Voir commandes de déploiement de groupe d’administration
- locataires - Consultez commandes de déploiement de locataire
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Remarques
Pour obtenir des conseils sur la création d’attributions de rôles et de définitions, consultez Créer des ressources RBAC Azure à l’aide de Bicep.
Format de ressource
Pour créer une ressource Microsoft.Authorization/roleAssignments, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
name: 'string'
scope: resourceSymbolicName or tenant()
properties: {
condition: 'string'
conditionVersion: 'string'
delegatedManagedIdentityResourceId: 'string'
description: 'string'
principalId: 'string'
principalType: 'string'
roleDefinitionId: 'string'
}
}
Valeurs de propriété
roleAssignments
| Nom | Description | Valeur |
|---|---|---|
| nom | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 36 Caractères valides : Doit être un identificateur global unique (GUID). Le nom de la ressource doit être unique sur le locataire. |
| portée | Utilisez-la lors de la création d’une ressource d’extension dans une étendue différente de l’étendue de déploiement. | Ressource cible Pour Bicep, définissez cette propriété sur le nom symbolique de la ressource pour appliquer la ressource d’extension . Ce type de ressource peut également être appliqué à un locataire. Pour Bicep, utilisez tenant(). |
| Propriétés | Propriétés d’attribution de rôle. | RoleAssignmentProperties (obligatoire) |
RoleAssignmentProperties
| Nom | Description | Valeur |
|---|---|---|
| condition | Conditions sur l’attribution de rôle. Cela limite les ressources auxquelles il peut être affecté. par exemple : @Resource[Microsoft.Storage/storageAccounts/blobServices/containers :ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | corde |
| conditionVersion | Version de la condition. Actuellement, la seule valeur acceptée est « 2.0 » | corde |
| delegatedManagedIdentityResourceId | ID de la ressource d’identité managée déléguée | corde |
| description | Description de l’attribution de rôle | corde |
| principalId | ID du principal. | chaîne (obligatoire) |
| principalType | Type principal de l’ID de principal affecté. | 'Appareil' 'ForeignGroup' 'Groupe' 'ServicePrincipal' 'User' |
| roleDefinitionId | ID de définition de rôle. | chaîne (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
déployer des de mise à l’échelle automatique darktrace
|
Ce modèle vous permet de déployer automatiquement un déploiement de mise à l’échelle automatique de darktrace vSensors |
|
BrowserBox Édition Azure
|
Ce modèle déploie BrowserBox sur une machine virtuelle LVM Azure Ubuntu Server 22.04, Debian 11 ou RHEL 8.7 LVM. |
|
cluster Hazelcast
|
Hazelcast est une plateforme de données en mémoire qui peut être utilisée pour diverses applications de données. Ce modèle déploie n’importe quel nombre de nœuds Hazelcast et ils se découvrent automatiquement. |
|
IBM Cloud Pak for Data sur Azure
|
Ce modèle déploie un cluster Openshift sur Azure avec toutes les ressources requises, l’infrastructure, puis déploie IBM Cloud Pak for Data, ainsi que les modules complémentaires choisis par l’utilisateur. |
|
min.io de passerelle Azure
|
Déploiement de passerelle Azure entièrement privé min.io pour fournir une API de stockage conforme S3 soutenue par le stockage d’objets blob |
|
déployer un compte de stockage pour le magasin ILM SAP
|
Le compte de stockage Microsoft Azure peut désormais être utilisé comme magasin ILM pour conserver les fichiers et pièces jointes archive à partir d’un système SAP ILM. Un magasin ILM est un composant qui répond aux exigences des systèmes de stockage conformes à SAP ILM. Vous pouvez stocker des fichiers d’archivage dans un support de stockage à l’aide de normes d’interface WebDAV tout en utilisant des règles de gestion de rétention SAP ILM. Pour plus d’informations sur sap ILM Store, reportez-vous au du portail d’aide SAP |
|
Créer un site WordPress
|
Ce modèle crée un site WordPress sur Container Instance |
|
cluster AKS avec une passerelle NAT et un Application Gateway
|
Cet exemple montre comment déployer un cluster AKS avec NAT Gateway pour les connexions sortantes et une passerelle Application Gateway pour les connexions entrantes. |
|
Azure Cloud Shell - Réseau virtuel
|
Ce modèle déploie des ressources Azure Cloud Shell dans un réseau virtuel Azure. |
|
Azure Image Builder avec azure Windows Baseline
|
Crée un environnement Azure Image Builder et génère une image Windows Server avec les dernières mises à jour Windows et la base de référence Azure Windows appliquée. |
|
créer un cluster AKS privé avec une zone DNS publique
|
Cet exemple montre comment déployer un cluster AKS privé avec une zone DNS publique. |
|
Déployer sports Analytics sur l’architecture Azure
|
Crée un compte de stockage Azure avec ADLS Gen2 activé, une instance Azure Data Factory avec des services liés pour le compte de stockage (une base de données Azure SQL si déployée) et une instance Azure Databricks. L’identité AAD pour l’utilisateur qui déploie le modèle et l’identité managée pour l’instance ADF reçoivent le rôle Contributeur aux données blob de stockage sur le compte de stockage. Il existe également des options pour déployer une instance Azure Key Vault, une base de données Azure SQL et un Hub d’événements Azure (pour les cas d’utilisation de streaming). Lorsqu’un coffre de clés Azure est déployé, l’identité managée de la fabrique de données et l’identité AAD pour l’utilisateur qui déploie le modèle reçoivent le rôle Utilisateur des secrets Key Vault. |
|
Importer des objets blob de disque dur virtuel à partir d’une URL d’archivage ZIP
|
Le déploiement de machines virtuelles basées sur des images de disque spécialisées nécessite d’importer des fichiers de disque dur virtuel dans un compte de stockage. Dans le cas où plusieurs fichiers VHD sont compressés dans un fichier ZIP unique et que vous avez obtenu l’URL pour extraire l’archive ZIP, ce modèle ARM facilite le travail : télécharger, extraire et importer dans un conteneur d’objets blob de compte de stockage existant. |
|
Créer une identité managée affectée par l’utilisateur et une attribution de rôle
|
Ce module vous permet de créer une identité managée affectée par l’utilisateur et une attribution de rôle délimitée au groupe de ressources. |
|
Créer un service Gestion des API avec SSL à partir de KeyVault
|
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour récupérer le certificat SSL à partir de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
|
crée une application conteneur et un environnement avec le registre
|
Créez un environnement d’application conteneur avec une application conteneur de base à partir d’azure Container Registry. Il déploie également un espace de travail Log Analytics pour stocker les journaux. |
|
Crée une application Dapr pub-sub servicebus à l’aide de Container Apps
|
Créez une application Dapr pub-sub servicebus à l’aide de Container Apps. |
|
Déployer une application de microservice Azure Spring Apps simple
|
Ce modèle déploie une application de microservice Azure Spring Apps simple à exécuter sur Azure. |
|
RBAC - Accorder un accès en rôle intégré pour plusieurs machines virtuelles existantes dans un groupe de ressources
|
Ce modèle accorde un accès en fonction du rôle applicable à plusieurs machines virtuelles existantes dans un groupe de ressources |
|
Attribuer un rôle RBAC à un groupe de ressources
|
Ce modèle affecte l’accès Propriétaire, Lecteur ou Contributeur à un groupe de ressources existant. |
|
RBAC - de machine virtuelle existante
|
Ce modèle accorde l’accès en fonction du rôle applicable à une machine virtuelle existante dans un groupe de ressources |
|
RBAC - Créer un accès aux identités managées sur un compte Azure Maps
|
Ce modèle crée une identité managée et lui attribue l’accès à un compte Azure Maps créé. |
|
Créer une règle d’alerte pour les éléments de continuité d’activité Azure
|
Ce modèle crée une règle d’alerte et une msi affectée par l’utilisateur. Il affecte également l’accès du lecteur MSI à l’abonnement afin que la règle d’alerte ait accès à l’interrogation des éléments protégés requis et des derniers détails du point de récupération. |
|
crée un cluster Azure Stack HCI 23H2
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
crée un cluster Azure Stack HCI 23H2
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM, à l’aide d’une adresse IP de stockage personnalisée |
|
crée un cluster Azure Stack HCI 23H2 en mode réseau switchless-double liaison
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
crée un cluster Azure Stack HCI 23H2 en mode réseau Switchless-SingleLink
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
Front Door Standard/Premium avec l’origine du site web statique
|
Ce modèle crée un site web statique Front Door Standard/Premium et un site web statique Stockage Azure et configure Front Door pour envoyer du trafic au site web statique. |
|
Déployer une machine virtuelle Linux ou Windows avec msi
|
Ce modèle vous permet de déployer une machine virtuelle Linux ou Windows avec une identité de service managée. |
|
Terraform sur Azure
|
Ce modèle vous permet de déployer une station de travail Terraform en tant que machine virtuelle Linux avec MSI. |
|
Créer un serveur SFTP à la demande avec des de stockage persistant
|
Ce modèle illustre un serveur SFTP à la demande à l’aide d’azure Container Instance (ACI). |
|
hub FinOps
|
Ce modèle crée une instance de hub FinOps, notamment Data Lake Storage et Data Factory. |
|
Créer une organisation Datadog
|
Ce modèle crée une ressource Datadog - Une ressource azure ISV Service et une organisation Datadog pour surveiller les ressources de votre abonnement. |
|
Créer un disque & activer la protection via le coffre de sauvegarde
|
Modèle qui crée un disque et active la protection via le coffre de sauvegarde |
|
Créer un serveur MySqlFlex & activer la protection via le coffre de sauvegarde
|
Modèle qui crée un serveur flexible MySQL et active la protection via le coffre de sauvegarde |
|
Créer un serveur PgFlex & activer la protection via le coffre de sauvegarde
|
Modèle qui crée un serveur flexible PostgreSQL et active la protection via le coffre de sauvegarde |
|
créer un compte de stockage & activer la protection via le coffre de sauvegarde
|
Modèle qui crée un compte de stockage et active la sauvegarde opérationnelle et coffretée via le coffre de sauvegarde |
|
Créer un partage de données à partir d’un compte de stockage
|
Ce modèle crée un partage de données à partir d’un compte de stockage |
|
configurer le service Environnements de déploiement
|
Ce modèle permet de configurer des environnements de déploiement. |
|
déployer Dev Box Service avec des d’images intégrées
|
Ce modèle permet de déployer un service Dev Box avec une image intégrée. |
|
configurer le service Dev Box
|
Ce modèle créerait toutes les ressources d’administration Dev Box en fonction du guide de démarrage rapide de Dev Box (https://learn.microsoft.com/azure/dev-box/quickstart-create-dev-box). Vous pouvez afficher toutes les ressources créées ou accéder directement à DevPortal.microsoft.com pour créer votre première zone de développement. |
|
Azure Digital Twins avec le service Function et Private Link
|
Ce modèle crée un service Azure Digital Twins configuré avec une fonction Azure connectée au réseau virtuel qui peut communiquer via un point de terminaison Private Link vers Digital Twins. Il crée également une zone DNS privée pour autoriser la résolution transparente du nom d’hôte du point de terminaison Digital Twins du réseau virtuel vers l’adresse IP du sous-réseau interne du point de terminaison privé. Le nom d’hôte est stocké en tant que paramètre pour la fonction Azure avec le nom « ADT_ENDPOINT ». |
|
Azure Digital Twins avec de connexion d’historique des données temporelles
|
Ce modèle crée une instance Azure Digital Twins configurée avec une connexion d’historique des données de série chronologique. Pour créer une connexion, d’autres ressources doivent être créées, telles qu’un espace de noms Event Hubs, un hub d’événements, un cluster Azure Data Explorer et une base de données. Les données sont envoyées à un hub d’événements qui transfère finalement les données au cluster Azure Data Explorer. Les données sont stockées dans une table de base de données dans le cluster |
|
Déployer le service MedTech
|
Le service MedTech est l’un des services de données Azure Health conçus pour ingérer des données d’appareil à partir de plusieurs appareils, transformer les données d’appareil en observations FHIR, qui sont ensuite conservées dans le service FHIR Azure Health Data Services. |
|
déployer le service MedTech, y compris un Azure IoT Hub
|
Le service MedTech est l’un des services de données Azure Health conçus pour ingérer des données d’appareil à partir de plusieurs appareils, transformer les données d’appareil en observations FHIR, qui sont ensuite conservées dans le service FHIR Azure Health Data Services. |
|
Créer un coffre de clés Azure avec RBAC et un secret
|
Ce modèle crée un coffre de clés Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
|
Créer un coffre de clés, une identité managée et une attribution de rôle
|
Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle. |
|
Azure Container Service (AKS) avec Helm
|
Déployer un cluster managé avec Azure Container Service (AKS) avec Helm |
|
Déployer Azure Data Explorer DB avec de connexion Cosmos DB
|
Déployez Azure Data Explorer DB avec la connexion Cosmos DB. |
|
Déployer une base de données Azure Data Explorer avec de connexion Event Grid
|
Déployez la base de données Azure Data Explorer avec la connexion Event Grid. |
|
Déployer une base de données Azure Data Explorer avec de connexion Event Hub
|
Déployez la base de données Azure Data Explorer avec la connexion Event Hub. |
|
Azure AI Studio avec microsoft Entra ID Authentication
|
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’authentification Microsoft Entra ID pour les ressources dépendantes, telles qu’Azure AI Services et Stockage Azure. |
|
restreint réseau Azure AI Studio
|
Cet ensemble de modèles montre comment configurer Azure AI Studio avec une liaison privée et une sortie désactivées, à l’aide de clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
|
modèle d’attribution de rôle d’identité affecté par l’utilisateur
|
Modèle qui crée des attributions de rôles d’identité attribuées par l’utilisateur sur les ressources dont dépend l’espace de travail Azure Machine Learning |
|
créer un jeton SAP Azure Maps stocké dans un Azure Key Vault
|
Ce modèle déploie et compte Azure Maps et répertorie un jeton Sas basé sur l’identité affectée par l’utilisateur fournie à stocker dans un secret Azure Key Vault. |
|
cluster AKS avec le contrôleur d’entrée Application Gateway
|
Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics et Key Vault |
|
utiliser le Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke
|
Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels. |
|
Générer des images conteneur avec des tâches ACR
|
Ce modèle utilise DeploymentScript pour orchestrer ACR pour générer votre image conteneur à partir du dépôt de code. |
|
importer des images conteneur dans aCR
|
Ce modèle tire parti du module Import ACR à partir du registre bicep pour importer des images conteneur publiques dans Azure Container Registry. |
|
créer Application Gateway avec des certificats
|
Ce modèle montre comment générer des certificats auto-signés Key Vault, puis référencer à partir d’Application Gateway. |
|
Créer des clés ssh et stocker dans keyVault
|
Ce modèle utilise la ressource deploymentScript pour générer des clés SSH et stocke la clé privée dans keyVault. |
|
Azure SQL Server avec l’audit écrit dans un de stockage d’objets blob
|
Ce modèle vous permet de déployer un serveur SQL Azure avec l’audit activé pour écrire des journaux d’audit dans un stockage d’objets blob |
|
déploie un site web statique
|
Déploie un site web statique avec un compte de stockage de stockage |
|
preuve de concept Azure Synapse
|
Ce modèle crée un environnement de preuve de concept pour Azure Synapse, notamment des pools SQL et des pools Apache Spark facultatifs |
|
Application de fonction Azure avec Event Hub et Managed Identity
|
son modèle provisionne une application de fonction Azure sur un plan de consommation Linux, ainsi qu’un hub d’événements, stockage Azure et Application Insights. L’application de fonction est en mesure d’utiliser l’identité managée pour se connecter au hub d’événements et au compte de stockage |
|
Web App avec Managed Identity, SQL Server et ΑΙ
|
Exemple simple pour déployer l’infrastructure Azure pour l’application + données + identité managée + surveillance |
|
créer une ressource Azure Native New Relic
|
Ce modèle configure un service « Azure Native New Relic » pour surveiller les ressources de votre abonnement Azure. |
|
Créer un groupe de ressources, appliquer un verrou et un RBAC
|
Ce modèle est un modèle de niveau abonnement qui crée un groupe de ressources, applique un verrou au groupe de ressources et affecte des permssions contributeurs au principalId fourni. Actuellement, ce modèle ne peut pas être déployé via le portail Azure. |
|
créer un gestionnaire de réseaux virtuels Azure et des exemples de réseaux virtuels
|
Ce modèle déploie un Gestionnaire de réseaux virtuels Azure et des exemples de réseaux virtuels dans le groupe de ressources nommé. Il prend en charge plusieurs topologies de connectivité et types d’appartenance au groupe réseau. |
|
Attribuer un rôle à l’étendue de l’abonnement
|
Ce modèle est un modèle de niveau abonnement qui affectera un rôle dans l’étendue de l’abonnement. |
|
Attribuer un rôle au niveau de l’étendue du locataire
|
Ce modèle est un modèle au niveau du locataire qui affectera un rôle au principal fourni dans l’étendue du locataire. L’utilisateur qui déploie le modèle doit déjà avoir le rôle Propriétaire affecté à l’étendue du locataire. |
Définition de ressource de modèle ARM
Le type de ressource roleAssignments est une ressource d’extension , ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la propriété scope sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans les modèles ARM.
Le type de ressource roleAssignments peut être déployé avec des opérations qui ciblent :
- groupes de ressources - Consultez commandes de déploiement de groupes de ressources
- abonnements - Consultez commandes de déploiement d’abonnement
- groupes d’administration - Voir commandes de déploiement de groupe d’administration
- locataires - Consultez commandes de déploiement de locataire
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Remarques
Pour obtenir des conseils sur la création d’attributions de rôles et de définitions, consultez Créer des ressources RBAC Azure à l’aide de Bicep.
Format de ressource
Pour créer une ressource Microsoft.Authorization/roleAssignments, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2022-04-01",
"name": "string",
"scope": "string" or "/",
"properties": {
"condition": "string",
"conditionVersion": "string",
"delegatedManagedIdentityResourceId": "string",
"description": "string",
"principalId": "string",
"principalType": "string",
"roleDefinitionId": "string"
}
}
Valeurs de propriété
roleAssignments
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | 'Microsoft.Authorization/roleAssignments' |
| apiVersion | Version de l’API de ressource | '2022-04-01' |
| nom | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 36 Caractères valides : Doit être un identificateur global unique (GUID). Le nom de la ressource doit être unique sur le locataire. |
| portée | Utilisez-la lors de la création d’une ressource d’extension dans une étendue différente de l’étendue de déploiement. | Ressource cible Pour JSON, définissez la valeur sur le nom complet de la ressource pour appliquer la ressource d’extension . Ce type de ressource peut également être appliqué à un locataire. Pour JSON, utilisez "/". |
| Propriétés | Propriétés d’attribution de rôle. | RoleAssignmentProperties (obligatoire) |
RoleAssignmentProperties
| Nom | Description | Valeur |
|---|---|---|
| condition | Conditions sur l’attribution de rôle. Cela limite les ressources auxquelles il peut être affecté. par exemple : @Resource[Microsoft.Storage/storageAccounts/blobServices/containers :ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | corde |
| conditionVersion | Version de la condition. Actuellement, la seule valeur acceptée est « 2.0 » | corde |
| delegatedManagedIdentityResourceId | ID de la ressource d’identité managée déléguée | corde |
| description | Description de l’attribution de rôle | corde |
| principalId | ID du principal. | chaîne (obligatoire) |
| principalType | Type principal de l’ID de principal affecté. | 'Appareil' 'ForeignGroup' 'Groupe' 'ServicePrincipal' 'User' |
| roleDefinitionId | ID de définition de rôle. | chaîne (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
|
déployer des de mise à l’échelle automatique darktrace
|
Ce modèle vous permet de déployer automatiquement un déploiement de mise à l’échelle automatique de darktrace vSensors |
|
BrowserBox Édition Azure
|
Ce modèle déploie BrowserBox sur une machine virtuelle LVM Azure Ubuntu Server 22.04, Debian 11 ou RHEL 8.7 LVM. |
|
cluster Hazelcast
|
Hazelcast est une plateforme de données en mémoire qui peut être utilisée pour diverses applications de données. Ce modèle déploie n’importe quel nombre de nœuds Hazelcast et ils se découvrent automatiquement. |
|
IBM Cloud Pak for Data sur Azure
|
Ce modèle déploie un cluster Openshift sur Azure avec toutes les ressources requises, l’infrastructure, puis déploie IBM Cloud Pak for Data, ainsi que les modules complémentaires choisis par l’utilisateur. |
|
min.io de passerelle Azure
|
Déploiement de passerelle Azure entièrement privé min.io pour fournir une API de stockage conforme S3 soutenue par le stockage d’objets blob |
|
déployer un compte de stockage pour le magasin ILM SAP
|
Le compte de stockage Microsoft Azure peut désormais être utilisé comme magasin ILM pour conserver les fichiers et pièces jointes archive à partir d’un système SAP ILM. Un magasin ILM est un composant qui répond aux exigences des systèmes de stockage conformes à SAP ILM. Vous pouvez stocker des fichiers d’archivage dans un support de stockage à l’aide de normes d’interface WebDAV tout en utilisant des règles de gestion de rétention SAP ILM. Pour plus d’informations sur sap ILM Store, reportez-vous au du portail d’aide SAP |
|
Créer un site WordPress
|
Ce modèle crée un site WordPress sur Container Instance |
|
cluster AKS avec une passerelle NAT et un Application Gateway
|
Cet exemple montre comment déployer un cluster AKS avec NAT Gateway pour les connexions sortantes et une passerelle Application Gateway pour les connexions entrantes. |
|
Azure Cloud Shell - Réseau virtuel
|
Ce modèle déploie des ressources Azure Cloud Shell dans un réseau virtuel Azure. |
|
Azure Image Builder avec azure Windows Baseline
|
Crée un environnement Azure Image Builder et génère une image Windows Server avec les dernières mises à jour Windows et la base de référence Azure Windows appliquée. |
|
créer un cluster AKS privé avec une zone DNS publique
|
Cet exemple montre comment déployer un cluster AKS privé avec une zone DNS publique. |
|
Déployer sports Analytics sur l’architecture Azure
|
Crée un compte de stockage Azure avec ADLS Gen2 activé, une instance Azure Data Factory avec des services liés pour le compte de stockage (une base de données Azure SQL si déployée) et une instance Azure Databricks. L’identité AAD pour l’utilisateur qui déploie le modèle et l’identité managée pour l’instance ADF reçoivent le rôle Contributeur aux données blob de stockage sur le compte de stockage. Il existe également des options pour déployer une instance Azure Key Vault, une base de données Azure SQL et un Hub d’événements Azure (pour les cas d’utilisation de streaming). Lorsqu’un coffre de clés Azure est déployé, l’identité managée de la fabrique de données et l’identité AAD pour l’utilisateur qui déploie le modèle reçoivent le rôle Utilisateur des secrets Key Vault. |
|
Importer des objets blob de disque dur virtuel à partir d’une URL d’archivage ZIP
|
Le déploiement de machines virtuelles basées sur des images de disque spécialisées nécessite d’importer des fichiers de disque dur virtuel dans un compte de stockage. Dans le cas où plusieurs fichiers VHD sont compressés dans un fichier ZIP unique et que vous avez obtenu l’URL pour extraire l’archive ZIP, ce modèle ARM facilite le travail : télécharger, extraire et importer dans un conteneur d’objets blob de compte de stockage existant. |
|
Créer une identité managée affectée par l’utilisateur et une attribution de rôle
|
Ce module vous permet de créer une identité managée affectée par l’utilisateur et une attribution de rôle délimitée au groupe de ressources. |
|
Créer un service Gestion des API avec SSL à partir de KeyVault
|
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour récupérer le certificat SSL à partir de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
|
crée une application conteneur et un environnement avec le registre
|
Créez un environnement d’application conteneur avec une application conteneur de base à partir d’azure Container Registry. Il déploie également un espace de travail Log Analytics pour stocker les journaux. |
|
Crée une application Dapr pub-sub servicebus à l’aide de Container Apps
|
Créez une application Dapr pub-sub servicebus à l’aide de Container Apps. |
|
Déployer une application de microservice Azure Spring Apps simple
|
Ce modèle déploie une application de microservice Azure Spring Apps simple à exécuter sur Azure. |
|
RBAC - Accorder un accès en rôle intégré pour plusieurs machines virtuelles existantes dans un groupe de ressources
|
Ce modèle accorde un accès en fonction du rôle applicable à plusieurs machines virtuelles existantes dans un groupe de ressources |
|
Attribuer un rôle RBAC à un groupe de ressources
|
Ce modèle affecte l’accès Propriétaire, Lecteur ou Contributeur à un groupe de ressources existant. |
|
RBAC - de machine virtuelle existante
|
Ce modèle accorde l’accès en fonction du rôle applicable à une machine virtuelle existante dans un groupe de ressources |
|
RBAC - Créer un accès aux identités managées sur un compte Azure Maps
|
Ce modèle crée une identité managée et lui attribue l’accès à un compte Azure Maps créé. |
|
Créer une règle d’alerte pour les éléments de continuité d’activité Azure
|
Ce modèle crée une règle d’alerte et une msi affectée par l’utilisateur. Il affecte également l’accès du lecteur MSI à l’abonnement afin que la règle d’alerte ait accès à l’interrogation des éléments protégés requis et des derniers détails du point de récupération. |
|
crée un cluster Azure Stack HCI 23H2
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
crée un cluster Azure Stack HCI 23H2
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM, à l’aide d’une adresse IP de stockage personnalisée |
|
crée un cluster Azure Stack HCI 23H2 en mode réseau switchless-double liaison
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
crée un cluster Azure Stack HCI 23H2 en mode réseau Switchless-SingleLink
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
Front Door Standard/Premium avec l’origine du site web statique
|
Ce modèle crée un site web statique Front Door Standard/Premium et un site web statique Stockage Azure et configure Front Door pour envoyer du trafic au site web statique. |
|
Déployer une machine virtuelle Linux ou Windows avec msi
|
Ce modèle vous permet de déployer une machine virtuelle Linux ou Windows avec une identité de service managée. |
|
Terraform sur Azure
|
Ce modèle vous permet de déployer une station de travail Terraform en tant que machine virtuelle Linux avec MSI. |
|
Créer un serveur SFTP à la demande avec des de stockage persistant
|
Ce modèle illustre un serveur SFTP à la demande à l’aide d’azure Container Instance (ACI). |
|
hub FinOps
|
Ce modèle crée une instance de hub FinOps, notamment Data Lake Storage et Data Factory. |
|
Créer une organisation Datadog
|
Ce modèle crée une ressource Datadog - Une ressource azure ISV Service et une organisation Datadog pour surveiller les ressources de votre abonnement. |
|
Créer un disque & activer la protection via le coffre de sauvegarde
|
Modèle qui crée un disque et active la protection via le coffre de sauvegarde |
|
Créer un serveur MySqlFlex & activer la protection via le coffre de sauvegarde
|
Modèle qui crée un serveur flexible MySQL et active la protection via le coffre de sauvegarde |
|
Créer un serveur PgFlex & activer la protection via le coffre de sauvegarde
|
Modèle qui crée un serveur flexible PostgreSQL et active la protection via le coffre de sauvegarde |
|
créer un compte de stockage & activer la protection via le coffre de sauvegarde
|
Modèle qui crée un compte de stockage et active la sauvegarde opérationnelle et coffretée via le coffre de sauvegarde |
|
Créer un partage de données à partir d’un compte de stockage
|
Ce modèle crée un partage de données à partir d’un compte de stockage |
|
configurer le service Environnements de déploiement
|
Ce modèle permet de configurer des environnements de déploiement. |
|
déployer Dev Box Service avec des d’images intégrées
|
Ce modèle permet de déployer un service Dev Box avec une image intégrée. |
|
configurer le service Dev Box
|
Ce modèle créerait toutes les ressources d’administration Dev Box en fonction du guide de démarrage rapide de Dev Box (https://learn.microsoft.com/azure/dev-box/quickstart-create-dev-box). Vous pouvez afficher toutes les ressources créées ou accéder directement à DevPortal.microsoft.com pour créer votre première zone de développement. |
|
Azure Digital Twins avec le service Function et Private Link
|
Ce modèle crée un service Azure Digital Twins configuré avec une fonction Azure connectée au réseau virtuel qui peut communiquer via un point de terminaison Private Link vers Digital Twins. Il crée également une zone DNS privée pour autoriser la résolution transparente du nom d’hôte du point de terminaison Digital Twins du réseau virtuel vers l’adresse IP du sous-réseau interne du point de terminaison privé. Le nom d’hôte est stocké en tant que paramètre pour la fonction Azure avec le nom « ADT_ENDPOINT ». |
|
Azure Digital Twins avec de connexion d’historique des données temporelles
|
Ce modèle crée une instance Azure Digital Twins configurée avec une connexion d’historique des données de série chronologique. Pour créer une connexion, d’autres ressources doivent être créées, telles qu’un espace de noms Event Hubs, un hub d’événements, un cluster Azure Data Explorer et une base de données. Les données sont envoyées à un hub d’événements qui transfère finalement les données au cluster Azure Data Explorer. Les données sont stockées dans une table de base de données dans le cluster |
|
Déployer le service MedTech
|
Le service MedTech est l’un des services de données Azure Health conçus pour ingérer des données d’appareil à partir de plusieurs appareils, transformer les données d’appareil en observations FHIR, qui sont ensuite conservées dans le service FHIR Azure Health Data Services. |
|
déployer le service MedTech, y compris un Azure IoT Hub
|
Le service MedTech est l’un des services de données Azure Health conçus pour ingérer des données d’appareil à partir de plusieurs appareils, transformer les données d’appareil en observations FHIR, qui sont ensuite conservées dans le service FHIR Azure Health Data Services. |
|
Créer un coffre de clés Azure avec RBAC et un secret
|
Ce modèle crée un coffre de clés Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
|
Créer un coffre de clés, une identité managée et une attribution de rôle
|
Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle. |
|
Azure Container Service (AKS) avec Helm
|
Déployer un cluster managé avec Azure Container Service (AKS) avec Helm |
|
Déployer Azure Data Explorer DB avec de connexion Cosmos DB
|
Déployez Azure Data Explorer DB avec la connexion Cosmos DB. |
|
Déployer une base de données Azure Data Explorer avec de connexion Event Grid
|
Déployez la base de données Azure Data Explorer avec la connexion Event Grid. |
|
Déployer une base de données Azure Data Explorer avec de connexion Event Hub
|
Déployez la base de données Azure Data Explorer avec la connexion Event Hub. |
|
Azure AI Studio avec microsoft Entra ID Authentication
|
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’authentification Microsoft Entra ID pour les ressources dépendantes, telles qu’Azure AI Services et Stockage Azure. |
|
restreint réseau Azure AI Studio
|
Cet ensemble de modèles montre comment configurer Azure AI Studio avec une liaison privée et une sortie désactivées, à l’aide de clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
|
modèle d’attribution de rôle d’identité affecté par l’utilisateur
|
Modèle qui crée des attributions de rôles d’identité attribuées par l’utilisateur sur les ressources dont dépend l’espace de travail Azure Machine Learning |
|
créer un jeton SAP Azure Maps stocké dans un Azure Key Vault
|
Ce modèle déploie et compte Azure Maps et répertorie un jeton Sas basé sur l’identité affectée par l’utilisateur fournie à stocker dans un secret Azure Key Vault. |
|
cluster AKS avec le contrôleur d’entrée Application Gateway
|
Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics et Key Vault |
|
utiliser le Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke
|
Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels. |
|
Générer des images conteneur avec des tâches ACR
|
Ce modèle utilise DeploymentScript pour orchestrer ACR pour générer votre image conteneur à partir du dépôt de code. |
|
importer des images conteneur dans aCR
|
Ce modèle tire parti du module Import ACR à partir du registre bicep pour importer des images conteneur publiques dans Azure Container Registry. |
|
créer Application Gateway avec des certificats
|
Ce modèle montre comment générer des certificats auto-signés Key Vault, puis référencer à partir d’Application Gateway. |
|
Créer des clés ssh et stocker dans keyVault
|
Ce modèle utilise la ressource deploymentScript pour générer des clés SSH et stocke la clé privée dans keyVault. |
|
Azure SQL Server avec l’audit écrit dans un de stockage d’objets blob
|
Ce modèle vous permet de déployer un serveur SQL Azure avec l’audit activé pour écrire des journaux d’audit dans un stockage d’objets blob |
|
déploie un site web statique
|
Déploie un site web statique avec un compte de stockage de stockage |
|
preuve de concept Azure Synapse
|
Ce modèle crée un environnement de preuve de concept pour Azure Synapse, notamment des pools SQL et des pools Apache Spark facultatifs |
|
Application de fonction Azure avec Event Hub et Managed Identity
|
son modèle provisionne une application de fonction Azure sur un plan de consommation Linux, ainsi qu’un hub d’événements, stockage Azure et Application Insights. L’application de fonction est en mesure d’utiliser l’identité managée pour se connecter au hub d’événements et au compte de stockage |
|
Web App avec Managed Identity, SQL Server et ΑΙ
|
Exemple simple pour déployer l’infrastructure Azure pour l’application + données + identité managée + surveillance |
|
créer une ressource Azure Native New Relic
|
Ce modèle configure un service « Azure Native New Relic » pour surveiller les ressources de votre abonnement Azure. |
|
Créer un groupe de ressources, appliquer un verrou et un RBAC
|
Ce modèle est un modèle de niveau abonnement qui crée un groupe de ressources, applique un verrou au groupe de ressources et affecte des permssions contributeurs au principalId fourni. Actuellement, ce modèle ne peut pas être déployé via le portail Azure. |
|
créer un gestionnaire de réseaux virtuels Azure et des exemples de réseaux virtuels
|
Ce modèle déploie un Gestionnaire de réseaux virtuels Azure et des exemples de réseaux virtuels dans le groupe de ressources nommé. Il prend en charge plusieurs topologies de connectivité et types d’appartenance au groupe réseau. |
|
Attribuer un rôle à l’étendue de l’abonnement
|
Ce modèle est un modèle de niveau abonnement qui affectera un rôle dans l’étendue de l’abonnement. |
|
Attribuer un rôle au niveau de l’étendue du locataire
|
Ce modèle est un modèle au niveau du locataire qui affectera un rôle au principal fourni dans l’étendue du locataire. L’utilisateur qui déploie le modèle doit déjà avoir le rôle Propriétaire affecté à l’étendue du locataire. |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource roleAssignments est une ressource d’extension , ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la propriété parent_id sur cette ressource pour définir l’étendue de cette ressource.
Le type de ressource roleAssignments peut être déployé avec des opérations qui ciblent :
- groupes de ressources
- abonnements
- groupes d’administration
- locataires
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Authorization/roleAssignments, ajoutez le terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Authorization/roleAssignments@2022-04-01"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
condition = "string"
conditionVersion = "string"
delegatedManagedIdentityResourceId = "string"
description = "string"
principalId = "string"
principalType = "string"
roleDefinitionId = "string"
}
})
}
Valeurs de propriété
roleAssignments
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | « Microsoft.Authorization/roleAssignments@2022-04-01 » |
| nom | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 36 Caractères valides : Doit être un identificateur global unique (GUID). Le nom de la ressource doit être unique sur le locataire. |
| parent_id | ID de la ressource à laquelle appliquer cette ressource d’extension. | chaîne (obligatoire) |
| Propriétés | Propriétés d’attribution de rôle. | RoleAssignmentProperties (obligatoire) |
RoleAssignmentProperties
| Nom | Description | Valeur |
|---|---|---|
| condition | Conditions sur l’attribution de rôle. Cela limite les ressources auxquelles il peut être affecté. par exemple : @Resource[Microsoft.Storage/storageAccounts/blobServices/containers :ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | corde |
| conditionVersion | Version de la condition. Actuellement, la seule valeur acceptée est « 2.0 » | corde |
| delegatedManagedIdentityResourceId | ID de la ressource d’identité managée déléguée | corde |
| description | Description de l’attribution de rôle | corde |
| principalId | ID du principal. | chaîne (obligatoire) |
| principalType | Type principal de l’ID de principal affecté. | « Appareil » « ForeignGroup » « Groupe » « ServicePrincipal » « Utilisateur » |
| roleDefinitionId | ID de définition de rôle. | chaîne (obligatoire) |