Microsoft.Authorization roleAssignments
Définition de ressource Bicep
Le type de ressource roleAssignments est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la scope propriété sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans Bicep.
Les étendues de déploiement valides pour la ressource roleAssignments sont les suivantes :
- Groupes de ressources - Voir commandes de déploiement de groupe de ressources
- Abonnements - Voir les commandes de déploiement d’abonnement
- Groupes d’administration - Voir commandes de déploiement de groupe d’administration
- Locataires - Voir les commandes de déploiement de locataire
Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.
Remarques
Pour obtenir des conseils sur la création d’attributions de rôles et de définitions, consultez Créer des ressources RBAC Azure à l’aide de Bicep.
Format des ressources
Pour créer une ressource Microsoft.Authorization/roleAssignments, ajoutez le Bicep suivant à votre modèle.
resource symbolicname 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
name: 'string'
scope: resourceSymbolicName or tenant()
properties: {
condition: 'string'
conditionVersion: 'string'
delegatedManagedIdentityResourceId: 'string'
description: 'string'
principalId: 'string'
principalType: 'string'
roleDefinitionId: 'string'
}
}
Valeurs de propriétés
roleAssignments
| Nom | Description | Valeur |
|---|---|---|
| name | Nom de la ressource | string (obligatoire) Limite de caractères : 36 Caractères valides : Doit être un identificateur unique au niveau mondial (GUID). Le nom de la ressource doit être unique au sein du locataire. |
| scope | Utilisez lors de la création d’une ressource d’extension dans une étendue différente de l’étendue de déploiement. | Ressource cible Pour Bicep, définissez cette propriété sur le nom symbolique de la ressource pour appliquer la ressource d’extension. Ce type de ressource peut également être appliqué à un locataire. Pour Bicep, utilisez tenant(). |
| properties | Propriétés d’attribution de rôle. | RoleAssignmentProperties (obligatoire) |
RoleAssignmentProperties
| Nom | Description | Valeur |
|---|---|---|
| condition | Conditions sur l’attribution de rôle. Cela limite les ressources auxquelles il peut être affecté. Par exemple : @Resource[Microsoft.Storage/storageAccounts/blobServices/containers :ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | string |
| conditionVersion | Version de la condition. Actuellement, la seule valeur acceptée est '2.0' | string |
| delegatedManagedIdentityResourceId | ID de la ressource d’identité managée déléguée | string |
| description | Description de l’attribution de rôle | string |
| principalId | ID du principal. | string (obligatoire) |
| principalType | Type de principal de l’ID de principal affecté. | 'Appareil' 'ForeignGroup' 'Group' 'ServicePrincipal' 'User' |
| roleDefinitionId | ID de définition de rôle. | string (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
Déployer des capteurs virtuels de mise à l’échelle automatique Darktrace |
Ce modèle vous permet de déployer un déploiement de mise à l’échelle automatique automatique de Darktrace vSensors |
| BrowserBox Édition Azure |
Ce modèle déploie BrowserBox sur une machine virtuelle Azure Ubuntu Server 22.04 LTS, Debian 11 ou RHEL 8.7 LVM. |
| Hazelcast Cluster |
Hazelcast est une plateforme de données en mémoire qui peut être utilisée pour diverses applications de données. Ce modèle déploie n’importe quel nombre de nœuds Hazelcast et ils se découvrent automatiquement. |
| IBM Cloud Pak for Data sur Azure |
Ce modèle déploie un cluster Openshift sur Azure avec toutes les ressources et l’infrastructure requises, puis déploie IBM Cloud Pak for Data avec les modules complémentaires choisis par l’utilisateur. |
| passerelle Azure min.io |
Déploiement entièrement privé min.io passerelle Azure pour fournir une API de stockage compatible S3 avec le stockage Blob |
| Déployer un compte de stockage pour le magasin ILM SAP |
Le compte Stockage Microsoft Azure peut désormais être utilisé comme magasin ILM pour conserver les fichiers d’archivage et les pièces jointes d’un système SAP ILM. Un magasin ILM est un composant qui répond aux exigences des systèmes de stockage conformes à SAP ILM. Vous pouvez stocker des fichiers d’archive dans un support de stockage à l’aide des normes d’interface WebDAV tout en utilisant les règles sap ILM Retention Management. Pour plus d’informations sur SAP ILM Store, reportez-vous au portail d’aide SAP . |
| Créer un site WordPress |
Ce modèle crée un site WordPress sur Container Instance |
| Cluster AKS avec une passerelle NAT et un Application Gateway |
Cet exemple montre comment déployer un cluster AKS avec une passerelle NAT pour les connexions sortantes et un Application Gateway pour les connexions entrantes. |
| Azure Cloud Shell - Réseau virtuel |
Ce modèle déploie des ressources Azure Cloud Shell dans un réseau virtuel Azure. |
| Azure Image Builder avec la base de référence Azure Windows |
Crée un environnement Azure Image Builder et génère une image Windows Server avec la dernière version de Windows Mises à jour et la base de référence Azure Windows appliquées. |
| Créer un cluster AKS privé avec une zone DNS publique |
Cet exemple montre comment déployer un cluster AKS privé avec une zone DNS publique. |
| Déployer Sports Analytics sur l’architecture Azure |
Crée un compte de stockage Azure avec ADLS Gen 2 activé, un Azure Data Factory instance avec des services liés pour le compte de stockage (un Azure SQL Database s’il est déployé) et un instance Azure Databricks. L’identité AAD pour l’utilisateur qui déploie le modèle et l’identité managée pour le instance ADF se verront attribuer le rôle Contributeur aux données blob de stockage sur le compte de stockage. Il existe également des options pour déployer un Key Vault instance Azure, une base de données Azure SQL et un hub d’événements Azure (pour les cas d’usage de streaming). Lorsqu’un Key Vault Azure est déployé, l’identité gérée par la fabrique de données et l’identité AAD de l’utilisateur qui déploie le modèle se voient attribuer le rôle Utilisateur Key Vault Secrets. |
| Importer des objets blob de disque dur virtuel à partir d’une URL d’archive ZIP |
Le déploiement de Machines Virtuelles basés sur des images de disque spécialisées nécessite d’importer des fichiers VHD dans un compte de stockage. Dans le cas où plusieurs fichiers VHD sont compressés dans un seul fichier ZIP et que vous obtenez l’URL pour extraire l’archive ZIP, ce modèle ARM facilite la tâche : Télécharger, extraire et importer dans un conteneur d’objets blob de compte de stockage existant. |
| Créer une identité managée affectée par l’utilisateur et une attribution de rôle |
Ce module vous permet de créer une identité managée affectée par l’utilisateur et une attribution de rôle étendue au groupe de ressources. |
| Créer un service Gestion des API avec SSL à partir de KeyVault |
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour extraire le certificat SSL de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
| Crée une application conteneur et un environnement avec Le Registre |
Créez un environnement d’application conteneur avec une application conteneur de base à partir d’un Azure Container Registry. Il déploie également un espace de travail Log Analytics pour stocker les journaux. |
| Crée une application servicebus pub-sub Dapr à l’aide de Container Apps |
Créez une application servicebus pub-sub Dapr à l’aide de Container Apps. |
| Déployer une application de microservice Azure Spring Apps simple |
Ce modèle déploie une application de microservice Azure Spring Apps simple pour s’exécuter sur Azure. |
| RBAC - Accorder l’accès au rôle intégré pour plusieurs machines virtuelles existantes dans un groupe de ressources |
Ce modèle accorde l’accès en fonction du rôle applicable à plusieurs machines virtuelles existantes dans un groupe de ressources |
| Attribuer un rôle RBAC à un groupe de ressources |
Ce modèle attribue l’accès Propriétaire, Lecteur ou Contributeur à un groupe de ressources existant. |
| RBAC - Machine virtuelle existante |
Ce modèle accorde l’accès en fonction du rôle applicable à une machine virtuelle existante dans un groupe de ressources |
| RBAC - Créer un accès aux identités managées sur Azure Maps compte |
Ce modèle crée une identité managée et lui attribue l’accès à un compte Azure Maps créé. |
| Créer une règle d’alerte pour les éléments de continuité d’activité Azure |
Ce modèle crée une règle d’alerte et un MSI attribué par l’utilisateur. Il affecte également l’accès du lecteur MSI à l’abonnement afin que la règle d’alerte ait accès à l’interrogation des éléments protégés requis et des détails du point de récupération les plus récents. |
| Front Door Standard/Premium avec origine de site web statique |
Ce modèle crée un site web statique Front Door Standard/Premium et un site web statique stockage Azure, et configuré Front Door pour envoyer du trafic vers le site web statique. |
| Déployer une machine virtuelle Linux ou Windows avec MSI |
Ce modèle vous permet de déployer une machine virtuelle Linux ou Windows avec une identité de service managée. |
| Terraform sur Azure |
Ce modèle vous permet de déployer une station de travail Terraform en tant que machine virtuelle Linux avec MSI. |
| Créer un serveur SFTP à la demande avec stockage persistant |
Ce modèle illustre un serveur SFTP à la demande à l’aide d’une instance de conteneur Azure (ACI). |
| Créer une organisation Datadog |
Ce modèle crée une ressource Datadog - Une ressource Azure Native ISV Service et une organization Datadog pour surveiller les ressources de votre abonnement. |
| Créer un disque & activer la protection via le coffre de sauvegarde |
Modèle qui crée un disque et active la protection via le coffre de sauvegarde |
| Créer un compte de stockage & activer la protection via le coffre de sauvegarde |
Modèle qui crée un compte de stockage et active la protection via Le coffre de sauvegarde |
| Créer un partage de données à partir d’un compte de stockage |
Ce modèle crée un partage de données à partir d’un compte de stockage |
| Déployer Dev Box Service avec une image intégrée |
Ce modèle permet de déployer un service Dev Box avec une image intégrée. |
| Configurer le service Dev Box |
Ce modèle créerait toutes les ressources d’administration Dev Box conformément au guide de démarrage rapide Dev Box. Vous pouvez afficher toutes les ressources créées ou accéder directement à DevPortal.microsoft.com pour créer votre première Dev Box. |
| Azure Digital Twins avec le service Function et Private Link |
Ce modèle crée un service Azure Digital Twins configuré avec une fonction Azure Réseau virtuel connectée qui peut communiquer via un point de terminaison Private Link à Digital Twins. Il crée également une zone de DNS privé pour permettre une résolution transparente du nom d’hôte du point de terminaison Digital Twins à partir du Réseau virtuel à l’adresse IP du sous-réseau interne du point de terminaison privé. Le nom d’hôte est stocké en tant que paramètre de la fonction Azure avec le nom « ADT_ENDPOINT ». |
| Azure Digital Twins avec connexion d’historique des données temporelles |
Ce modèle crée un instance Azure Digital Twins configuré avec une connexion d’historique des données de série chronologique. Pour créer une connexion, d’autres ressources doivent être créées, telles qu’un espace de noms Event Hubs, un hub d’événements, un cluster Azure Data Explorer et une base de données. Les données sont envoyées à un hub d’événements qui les transfère finalement au cluster Azure Data Explorer. Les données sont stockées dans une table de base de données dans le cluster |
| Déployer le service MedTech |
Le service MedTech est l’un des services de données Azure Health conçu pour ingérer les données d’appareil à partir de plusieurs appareils, transformer les données d’appareil en observations FHIR, qui sont ensuite conservées dans le service FHIR Azure Health Data Services. |
| Déployer le service MedTech, y compris un Azure IoT Hub |
Le service MedTech est l’un des services de données Azure Health conçu pour ingérer les données d’appareil à partir de plusieurs appareils, transformer les données d’appareil en observations FHIR, qui sont ensuite conservées dans le service FHIR Azure Health Data Services. |
| Créer un Key Vault Azure avec RBAC et un secret |
Ce modèle crée un Key Vault Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
| Créer un coffre de clés, une identité managée et une attribution de rôle |
Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle. |
| Azure Container Service (AKS) avec Helm |
Déployer un cluster managé avec Azure Container Service (AKS) avec Helm |
| Déployer Azure Data Explorer DB avec une connexion Cosmos DB |
Déployez Azure Data Explorer DB avec une connexion Cosmos DB. |
| Déployer une base de données Azure Data Explorer avec une connexion Event Hub |
Déployez Azure Data Explorer db avec une connexion Event Hub. |
| Modèle d’attribution de rôle d’identité affectée par l’utilisateur |
Modèle qui crée des attributions de rôles d’identité affectée par l’utilisateur sur les ressources dont dépend l’espace de travail Azure Machine Learning |
| Créer Azure Maps jeton SAP stocké dans un Key Vault Azure |
Ce modèle déploie et Azure Maps compte et répertorie un jeton Sas en fonction de l’identité affectée par l’utilisateur fournie à stocker dans un secret Azure Key Vault. |
| Cluster AKS avec le contrôleur d’entrée Application Gateway |
Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway contrôleur d’entrée, Azure Container Registry, Log Analytics et Key Vault |
| Utiliser Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke |
Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels. |
| Créer des images conteneur avec ACR Tasks |
Ce modèle utilise DeploymentScript pour orchestrer ACR afin de générer votre image conteneur à partir d’un référentiel de code. |
| Importer des images conteneur dans ACR |
Ce modèle tire parti du module Importer ACR à partir du registre bicep pour importer des images conteneur publiques dans un Azure Container Registry. |
| Créer des Application Gateway avec des certificats |
Ce modèle montre comment générer Key Vault certificats auto-signés, puis faire référence à partir de Application Gateway. |
| Créer des clés ssh et stocker dans KeyVault |
Ce modèle utilise la ressource deploymentScript pour générer des clés ssh et stocke la clé privée dans keyVault. |
| serveur Azure SQL avec l’audit écrit dans un stockage d’objets blob |
Ce modèle vous permet de déployer un serveur Azure SQL avec l’audit activé pour écrire des journaux d’audit dans un stockage blob |
| Déploie un site web statique |
Déploie un site web statique avec un compte de stockage de sauvegarde |
| Azure Synapse preuve de concept |
Ce modèle crée un environnement de preuve de concept pour Azure Synapse, y compris les pools SQL et les pools Apache Spark facultatifs |
| Application de fonction Azure avec Event Hub et Identité managée |
son modèle provisionne une application de fonction Azure sur un plan de consommation Linux, ainsi qu’un Hub d’événements, stockage Azure et Application Insights. L’application de fonction est en mesure d’utiliser l’identité managée pour se connecter au compte Event Hub et stockage |
| Application web avec identité managée, SQL Server et ΑΙ |
Exemple simple de déploiement de l’infrastructure Azure pour l’application + les données + l’identité managée + la supervision |
| Créer une ressource Azure Native New Relic |
Ce modèle configure un « Service Azure Native New Relic » pour surveiller les ressources de votre abonnement Azure. |
| Créer un groupe de ressources et appliquer un verrouillage et le RBAC |
Ce modèle est un modèle au niveau de l’abonnement qui crée un resourceGroup, applique un verrou au resourceGroup et affecte contributeur permssions au principalId fourni. Actuellement, ce modèle ne peut pas être déployé via le portail Azure. |
| Créer un gestionnaire de Réseau virtuel Azure et des exemples de réseaux virtuels |
Ce modèle déploie un azure Réseau virtuel Manager et des exemples de réseaux virtuels dans le groupe de ressources nommé. Il prend en charge plusieurs topologies de connectivité et types d’appartenance à un groupe réseau. |
| Attribuer un rôle étendu à un abonnement |
Ce modèle est un modèle au niveau de l’abonnement qui attribuera un rôle à l’étendue de l’abonnement. |
| Attribuer un rôle étendu à un locataire |
Ce modèle est un modèle au niveau du locataire qui attribuera un rôle au principal fourni dans l’étendue du locataire. Le rôle Propriétaire doit déjà être attribué à l’utilisateur qui déploie le modèle dans l’étendue du locataire. |
Définition de ressources de modèle ARM
Le type de ressource roleAssignments est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la scope propriété sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans les modèles ARM.
Les étendues de déploiement valides pour la ressource roleAssignments sont les suivantes :
- Groupes de ressources - Voir commandes de déploiement de groupes de ressources
- Abonnements - Voir Commandes de déploiement d’abonnement
- Groupes d’administration - Voir Commandes de déploiement de groupe d’administration
- Locataires - Voir commandes de déploiement de locataire
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Remarques
Pour obtenir des conseils sur la création d’attributions et de définitions de rôles, consultez Créer des ressources RBAC Azure à l’aide de Bicep.
Format des ressources
Pour créer une ressource Microsoft.Authorization/roleAssignments, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2022-04-01",
"name": "string",
"scope": "string" or "/",
"properties": {
"condition": "string",
"conditionVersion": "string",
"delegatedManagedIdentityResourceId": "string",
"description": "string",
"principalId": "string",
"principalType": "string",
"roleDefinitionId": "string"
}
}
Valeurs de propriétés
roleAssignments
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | « Microsoft.Authorization/roleAssignments » |
| apiVersion | Version de l’API de ressource | '2022-04-01' |
| name | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 36 Caractères valides : Doit être un identificateur unique au niveau mondial (GUID). Le nom de la ressource doit être unique au sein du locataire. |
| scope | Utilisez lors de la création d’une ressource d’extension dans une étendue différente de l’étendue du déploiement. | Ressource cible Pour JSON, définissez la valeur sur le nom complet de la ressource à laquelle appliquer la ressource d’extension . Ce type de ressource peut également être appliqué à un locataire. Pour JSON, utilisez "/". |
| properties | Propriétés d’attribution de rôle. | RoleAssignmentProperties (obligatoire) |
RoleAssignmentProperties
| Nom | Description | Valeur |
|---|---|---|
| condition | Conditions sur l’attribution de rôle. Cela limite les ressources auxquelles il peut être affecté. par exemple : @Resource[Microsoft.Storage/storageAccounts/blobServices/containers :ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | string |
| conditionVersion | Version de la condition. Actuellement, la seule valeur acceptée est « 2.0 » | string |
| delegatedManagedIdentityResourceId | ID de la ressource d’identité managée déléguée | string |
| description | Description de l’attribution de rôle | string |
| principalId | ID principal. | chaîne (obligatoire) |
| principalType | Type principal de l’ID principal attribué. | 'Appareil' 'ForeignGroup' 'Groupe' 'ServicePrincipal' 'Utilisateur' |
| roleDefinitionId | ID de définition de rôle. | chaîne (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
| Déployer des vSensors de mise à l’échelle automatique Darktrace |
Ce modèle vous permet de déployer un déploiement de mise à l’échelle automatique automatique de Darktrace vSensors |
| BrowserBox Édition Azure |
Ce modèle déploie BrowserBox sur une machine virtuelle Azure Ubuntu Server 22.04 LTS, Debian 11 ou RHEL 8.7 LVM. |
| Hazelcast Cluster |
Hazelcast est une plateforme de données en mémoire qui peut être utilisée pour diverses applications de données. Ce modèle déploie n’importe quel nombre de nœuds Hazelcast et ils se découvrent automatiquement. |
| IBM Cloud Pak for Data sur Azure |
Ce modèle déploie un cluster Openshift sur Azure avec toutes les ressources et l’infrastructure nécessaires, puis déploie IBM Cloud Pak for Data avec les modules complémentaires que l’utilisateur choisit. |
| passerelle Azure min.io |
Déploiement de passerelle Azure entièrement privé min.io pour fournir une API de stockage compatible S3 avec le stockage d’objets blob |
| Déployer un compte de stockage pour SAP ILM Store |
Le compte Stockage Microsoft Azure peut désormais être utilisé en tant que magasin ILM pour conserver les fichiers d’archivage et les pièces jointes d’un système SAP ILM. Un magasin ILM est un composant qui répond aux exigences des systèmes de stockage conformes à SAP ILM. Vous pouvez stocker des fichiers d’archive dans un support de stockage à l’aide des normes d’interface WebDAV tout en utilisant les règles sap ILM Retention Management. Pour plus d’informations sur SAP ILM Store, reportez-vous au portail d’aide SAP . |
| Créer un site WordPress |
Ce modèle crée un site WordPress sur Container Instance |
| Cluster AKS avec une passerelle NAT et un Application Gateway |
Cet exemple montre comment déployer un cluster AKS avec une passerelle NAT pour les connexions sortantes et un Application Gateway pour les connexions entrantes. |
| Azure Cloud Shell - Réseau virtuel |
Ce modèle déploie des ressources Azure Cloud Shell dans un réseau virtuel Azure. |
| Azure Image Builder avec la base de référence Azure Windows |
Crée un environnement Azure Image Builder et génère une image Windows Server avec la dernière version de Windows Mises à jour et la base de référence Azure Windows appliquées. |
| Créer un cluster AKS privé avec une zone DNS publique |
Cet exemple montre comment déployer un cluster AKS privé avec une zone DNS publique. |
| Déployer Sports Analytics sur l’architecture Azure |
Crée un compte de stockage Azure avec ADLS Gen 2 activé, un Azure Data Factory instance avec des services liés pour le compte de stockage (un Azure SQL Database s’il est déployé) et un instance Azure Databricks. L’identité AAD pour l’utilisateur qui déploie le modèle et l’identité managée pour le instance ADF se verront attribuer le rôle Contributeur aux données blob de stockage sur le compte de stockage. Il existe également des options pour déployer un Key Vault instance Azure, une base de données Azure SQL et un hub d’événements Azure (pour les cas d’usage de streaming). Lorsqu’un Key Vault Azure est déployé, l’identité gérée par la fabrique de données et l’identité AAD de l’utilisateur qui déploie le modèle se voient attribuer le rôle Utilisateur Key Vault Secrets. |
| Importer des objets blob de disque dur virtuel à partir d’une URL d’archive ZIP |
Le déploiement de Machines Virtuelles basés sur des images de disque spécialisées nécessite d’importer des fichiers VHD dans un compte de stockage. Dans le cas où plusieurs fichiers VHD sont compressés dans un seul fichier ZIP et que vous obtenez l’URL pour extraire l’archive ZIP, ce modèle ARM facilite la tâche : Télécharger, extraire et importer dans un conteneur d’objets blob de compte de stockage existant. |
| Créer une identité managée affectée par l’utilisateur et une attribution de rôle |
Ce module vous permet de créer une identité managée affectée par l’utilisateur et une attribution de rôle étendue au groupe de ressources. |
| Créer un service Gestion des API avec SSL à partir de KeyVault |
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour extraire le certificat SSL de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
| Crée une application conteneur et un environnement avec Le Registre |
Créez un environnement d’application conteneur avec une application conteneur de base à partir d’un Azure Container Registry. Il déploie également un espace de travail Log Analytics pour stocker les journaux. |
| Crée une application servicebus pub-sub Dapr à l’aide de Container Apps |
Créez une application servicebus pub-sub Dapr à l’aide de Container Apps. |
| Déployer une application de microservice Azure Spring Apps simple |
Ce modèle déploie une application de microservice Azure Spring Apps simple pour s’exécuter sur Azure. |
| RBAC - Accorder l’accès au rôle intégré pour plusieurs machines virtuelles existantes dans un groupe de ressources |
Ce modèle accorde l’accès en fonction du rôle applicable à plusieurs machines virtuelles existantes dans un groupe de ressources |
| Attribuer un rôle RBAC à un groupe de ressources |
Ce modèle attribue l’accès Propriétaire, Lecteur ou Contributeur à un groupe de ressources existant. |
| RBAC - Machine virtuelle existante |
Ce modèle accorde l’accès en fonction du rôle applicable à une machine virtuelle existante dans un groupe de ressources |
| RBAC - Créer un accès aux identités managées sur Azure Maps compte |
Ce modèle crée une identité managée et lui attribue l’accès à un compte Azure Maps créé. |
| Créer une règle d’alerte pour les éléments de continuité d’activité Azure |
Ce modèle crée une règle d’alerte et un MSI attribué par l’utilisateur. Il affecte également l’accès du lecteur MSI à l’abonnement afin que la règle d’alerte ait accès à l’interrogation des éléments protégés requis et des détails du point de récupération les plus récents. |
| Front Door Standard/Premium avec origine de site web statique |
Ce modèle crée un site web statique Front Door Standard/Premium et un site web statique stockage Azure, et configuré Front Door pour envoyer du trafic vers le site web statique. |
| Déployer une machine virtuelle Linux ou Windows avec MSI |
Ce modèle vous permet de déployer une machine virtuelle Linux ou Windows avec une identité de service managée. |
| Terraform sur Azure |
Ce modèle vous permet de déployer une station de travail Terraform en tant que machine virtuelle Linux avec MSI. |
| Créer un serveur SFTP à la demande avec stockage persistant |
Ce modèle illustre un serveur SFTP à la demande à l’aide d’une instance de conteneur Azure (ACI). |
| Créer une organisation Datadog |
Ce modèle crée une ressource Datadog - Une ressource Azure Native ISV Service et une organization Datadog pour surveiller les ressources de votre abonnement. |
| Créer un disque & activer la protection via le coffre de sauvegarde |
Modèle qui crée un disque et active la protection via le coffre de sauvegarde |
| Créer un compte de stockage & activer la protection via le coffre de sauvegarde |
Modèle qui crée un compte de stockage et active la protection via Le coffre de sauvegarde |
| Créer un partage de données à partir d’un compte de stockage |
Ce modèle crée un partage de données à partir d’un compte de stockage |
| Déployer Dev Box Service avec une image intégrée |
Ce modèle permet de déployer un service Dev Box avec une image intégrée. |
| Configurer le service Dev Box |
Ce modèle créerait toutes les ressources d’administration Dev Box conformément au guide de démarrage rapide Dev Box. Vous pouvez afficher toutes les ressources créées ou accéder directement à DevPortal.microsoft.com pour créer votre première Dev Box. |
| Azure Digital Twins avec le service Function et Private Link |
Ce modèle crée un service Azure Digital Twins configuré avec une fonction Azure Réseau virtuel connectée qui peut communiquer via un point de terminaison Private Link à Digital Twins. Il crée également une zone de DNS privé pour permettre une résolution transparente du nom d’hôte du point de terminaison Digital Twins à partir du Réseau virtuel à l’adresse IP du sous-réseau interne du point de terminaison privé. Le nom d’hôte est stocké en tant que paramètre de la fonction Azure avec le nom « ADT_ENDPOINT ». |
| Azure Digital Twins avec connexion d’historique des données temporelles |
Ce modèle crée un instance Azure Digital Twins configuré avec une connexion d’historique des données de série chronologique. Pour créer une connexion, d’autres ressources doivent être créées, telles qu’un espace de noms Event Hubs, un hub d’événements, un cluster Azure Data Explorer et une base de données. Les données sont envoyées à un hub d’événements qui les transfère finalement au cluster Azure Data Explorer. Les données sont stockées dans une table de base de données dans le cluster |
| Déployer le service MedTech |
Le service MedTech est l’un des services de données Azure Health conçu pour ingérer les données d’appareil à partir de plusieurs appareils, transformer les données d’appareil en observations FHIR, qui sont ensuite conservées dans le service FHIR Azure Health Data Services. |
| Déployer le service MedTech, y compris un Azure IoT Hub |
Le service MedTech est l’un des services de données Azure Health conçu pour ingérer les données d’appareil à partir de plusieurs appareils, transformer les données d’appareil en observations FHIR, qui sont ensuite conservées dans le service FHIR Azure Health Data Services. |
| Créer un Key Vault Azure avec RBAC et un secret |
Ce modèle crée un Key Vault Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
| Créer un coffre de clés, une identité managée et une attribution de rôle |
Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle. |
| Azure Container Service (AKS) avec Helm |
Déployer un cluster managé avec Azure Container Service (AKS) avec Helm |
| Déployer Azure Data Explorer DB avec une connexion Cosmos DB |
Déployez Azure Data Explorer DB avec une connexion Cosmos DB. |
| Déployer une base de données Azure Data Explorer avec une connexion Event Hub |
Déployez Azure Data Explorer db avec une connexion Event Hub. |
| Modèle d’attribution de rôle d’identité affectée par l’utilisateur |
Modèle qui crée des attributions de rôles d’identité affectée par l’utilisateur sur les ressources dont dépend l’espace de travail Azure Machine Learning |
| Créer Azure Maps jeton SAP stocké dans un Key Vault Azure |
Ce modèle déploie et Azure Maps compte et répertorie un jeton Sas en fonction de l’identité affectée par l’utilisateur fournie à stocker dans un secret Azure Key Vault. |
| Cluster AKS avec le contrôleur d’entrée Application Gateway |
Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway contrôleur d’entrée, Azure Container Registry, Log Analytics et Key Vault |
| Utiliser Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke |
Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels. |
| Créer des images conteneur avec ACR Tasks |
Ce modèle utilise DeploymentScript pour orchestrer ACR afin de générer votre image conteneur à partir d’un référentiel de code. |
| Importer des images conteneur dans ACR |
Ce modèle tire parti du module Importer ACR à partir du registre bicep pour importer des images conteneur publiques dans un Azure Container Registry. |
| Créer des Application Gateway avec des certificats |
Ce modèle montre comment générer Key Vault certificats auto-signés, puis faire référence à partir de Application Gateway. |
| Créer des clés ssh et stocker dans KeyVault |
Ce modèle utilise la ressource deploymentScript pour générer des clés ssh et stocke la clé privée dans keyVault. |
| serveur Azure SQL avec l’audit écrit dans un stockage d’objets blob |
Ce modèle vous permet de déployer un serveur Azure SQL avec l’audit activé pour écrire des journaux d’audit dans un stockage blob |
| Déploie un site web statique |
Déploie un site web statique avec un compte de stockage de sauvegarde |
| Azure Synapse preuve de concept |
Ce modèle crée un environnement de preuve de concept pour Azure Synapse, y compris les pools SQL et les pools Apache Spark facultatifs |
| Application de fonction Azure avec Event Hub et Identité managée |
son modèle provisionne une application de fonction Azure sur un plan de consommation Linux, ainsi qu’un Hub d’événements, stockage Azure et Application Insights. L’application de fonction est en mesure d’utiliser l’identité managée pour se connecter au compte Event Hub et stockage |
| Application web avec identité managée, SQL Server et ΑΙ |
Exemple simple de déploiement de l’infrastructure Azure pour l’application + les données + l’identité managée + la supervision |
| Créer une ressource Azure Native New Relic |
Ce modèle configure un « Service Azure Native New Relic » pour surveiller les ressources de votre abonnement Azure. |
| Créer un groupe de ressources et appliquer un verrouillage et le RBAC |
Ce modèle est un modèle au niveau de l’abonnement qui crée un resourceGroup, applique un verrou au resourceGroup et affecte contributeur permssions au principalId fourni. Actuellement, ce modèle ne peut pas être déployé via le portail Azure. |
| Créer un gestionnaire de Réseau virtuel Azure et des exemples de réseaux virtuels |
Ce modèle déploie un azure Réseau virtuel Manager et des exemples de réseaux virtuels dans le groupe de ressources nommé. Il prend en charge plusieurs topologies de connectivité et types d’appartenance à un groupe réseau. |
| Attribuer un rôle étendu à un abonnement |
Ce modèle est un modèle au niveau de l’abonnement qui attribuera un rôle à l’étendue de l’abonnement. |
| Attribuer un rôle étendu à un locataire |
Ce modèle est un modèle au niveau du locataire qui attribuera un rôle au principal fourni dans l’étendue du locataire. Le rôle Propriétaire doit déjà être attribué à l’utilisateur qui déploie le modèle dans l’étendue du locataire. |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource roleAssignments est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la parent_id propriété sur cette ressource pour définir l’étendue de cette ressource.
Les étendues de déploiement valides pour la ressource roleAssignments sont les suivantes :
- Groupes de ressources
- Abonnements
- Groupes d’administration
- Locataires
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.Authorization/roleAssignments, ajoutez le Terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Authorization/roleAssignments@2022-04-01"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
condition = "string"
conditionVersion = "string"
delegatedManagedIdentityResourceId = "string"
description = "string"
principalId = "string"
principalType = "string"
roleDefinitionId = "string"
}
})
}
Valeurs de propriétés
roleAssignments
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | « Microsoft.Authorization/roleAssignments@2022-04-01 » |
| name | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 36 Caractères valides : Doit être un identificateur unique au niveau mondial (GUID). Le nom de la ressource doit être unique au sein du locataire. |
| parent_id | ID de la ressource à laquelle appliquer cette ressource d’extension. | chaîne (obligatoire) |
| properties | Propriétés d’attribution de rôle. | RoleAssignmentProperties (obligatoire) |
RoleAssignmentProperties
| Nom | Description | Valeur |
|---|---|---|
| condition | Conditions sur l’attribution de rôle. Cela limite les ressources auxquelles il peut être affecté. par exemple : @Resource[Microsoft.Storage/storageAccounts/blobServices/containers :ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | string |
| conditionVersion | Version de la condition. Actuellement, la seule valeur acceptée est « 2.0 » | string |
| delegatedManagedIdentityResourceId | ID de la ressource d’identité managée déléguée | string |
| description | Description de l’attribution de rôle | string |
| principalId | ID principal. | chaîne (obligatoire) |
| principalType | Type principal de l’ID principal attribué. | « Appareil » « ForeignGroup » « Groupe » « ServicePrincipal » « Utilisateur » |
| roleDefinitionId | ID de définition de rôle. | chaîne (obligatoire) |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour