Coffres Microsoft.KeyVault
Définition de ressource Bicep
Le type de ressource des coffres peut être déployé avec des opérations qui ciblent :
- groupes de ressources - Consultez commandes de déploiement de groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Remarques
Pour obtenir des conseils sur l’utilisation de coffres de clés pour des valeurs sécurisées, consultez Gérer les secrets à l’aide de Bicep.
Pour obtenir un guide de démarrage rapide sur la création d’un secret, consultez Démarrage rapide : Définir et récupérer un secret à partir d’Azure Key Vault à l’aide d’un modèle ARM.
Pour obtenir un guide de démarrage rapide sur la création d’une clé, consultez Démarrage rapide : Créer un coffre de clés Azure et une clé à l’aide d’un modèle ARM.
Format de ressource
Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.KeyVault/vaults@2023-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Valeurs de propriété
Voûtes
| Nom | Description | Valeur |
|---|---|---|
| nom | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 3 à 24 Caractères valides : Alphanumériques et traits d’union. Commencez par la lettre. Fin avec une lettre ou un chiffre. Ne peut pas contenir de traits d’union consécutifs. Le nom de la ressource doit être unique dans Azure. |
| emplacement | Emplacement Azure pris en charge où le coffre de clés doit être créé. | chaîne (obligatoire) |
| étiquettes | Balises qui seront affectées au coffre de clés. | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
| Propriétés | Propriétés du coffre | VaultProperties (obligatoire) |
VaultProperties
| Nom | Description | Valeur |
|---|---|---|
| accessPolicies | Tableau de 0 à 1024 identités qui ont accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover, les stratégies d’accès ne sont pas requises. Sinon, les stratégies d’accès sont requises. |
AccessPolicyEntry[] |
| createMode | Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. | 'default' 'récupérer' |
| enabledForDeployment | Propriété permettant de spécifier si les machines virtuelles Azure sont autorisées à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. | Bool |
| enabledForDiskEncryption | Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et des clés de décompressage. | Bool |
| enabledForTemplateDeployment | Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. | Bool |
| enablePurgeProtection | Propriété spécifiant si la protection contre le vidage est activée pour ce coffre. La définition de cette propriété sur true active la protection contre le vidage pour ce coffre et son contenu . seul le service Key Vault peut lancer une suppression irrécupérable. Le paramètre est effectif uniquement si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. | Bool |
| enableRbacAuthorization | Propriété qui contrôle la façon dont les actions de données sont autorisées. Lorsque la valeur est true, le coffre de clés utilise le contrôle d’accès en fonction du rôle (RBAC) pour l’autorisation des actions de données, et les stratégies d’accès spécifiées dans les propriétés du coffre sont ignorées. Si la valeur est false, le coffre de clés utilise les stratégies d’accès spécifiées dans les propriétés du coffre, et toute stratégie stockée sur Azure Resource Manager est ignorée. Si la valeur est null ou non spécifiée, le coffre est créé avec la valeur par défaut false. Notez que les actions de gestion sont toujours autorisées avec RBAC. | Bool |
| enableSoftDelete | Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. Si elle n’est pas définie sur une valeur (true ou false) lors de la création d’un coffre de clés, elle est définie sur true par défaut. Une fois la valeur true définie, elle ne peut pas être rétablie sur false. | Bool |
| networkAcls | Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. | NetworkRuleSet |
| provisioningState | État d’approvisionnement du coffre. | 'RegisteringDns' 'Réussi' |
| publicNetworkAccess | Propriété permettant de spécifier si le coffre accepte le trafic à partir d’Internet public. S’il est défini sur « désactivé » tout le trafic à l’exception du trafic de point de terminaison privé et qui provient des services approuvés sera bloqué. Cela remplacera les règles de pare-feu définies, ce qui signifie que même si les règles de pare-feu sont présentes, nous ne respecterons pas les règles. | corde |
| Sku | Détails de la référence SKU | référence SKU (obligatoire) |
| softDeleteRetentionInDays | softDelete data retention days. Elle accepte >=7 et <=90. | Int |
| tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | chaîne (obligatoire) Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | URI du coffre pour effectuer des opérations sur les clés et les secrets. | corde |
AccessPolicyEntry
| Nom | Description | Valeur |
|---|---|---|
| applicationId | ID d’application du client effectuant une demande pour le compte d’un principal | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. L’ID d’objet doit être unique pour la liste des stratégies d’accès. | chaîne (obligatoire) |
| Autorisations | Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. | autorisations (obligatoire) |
| tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | chaîne (obligatoire) Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Autorisations
| Nom | Description | Valeur |
|---|---|---|
| Certificats | Autorisations sur les certificats | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'récupérer' 'restore' 'setissuers' 'update' |
| Clés | Autorisations sur les clés | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'create' 'déchiffrer' 'delete' 'chiffrer' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'récupérer' 'release' 'restore' 'rotation' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| Secrets | Autorisations sur les secrets | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'delete' 'get' 'list' 'purge' 'récupérer' 'restore' 'set' |
| stockage | Autorisations pour les comptes de stockage | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'récupérer' 'régénérer la clé' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
| Nom | Description | Valeur |
|---|---|---|
| contourner | Indique ce que le trafic peut contourner les règles réseau. Il peut s’agir d'« AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». | 'AzureServices' 'None' |
| defaultAction | Action par défaut lorsqu’aucune règle d’ipRules et de virtualNetworkRules ne correspond. Cette opération est utilisée uniquement après l’évaluation de la propriété de contournement. | 'Autoriser' 'Refuser' |
| ipRules | Liste des règles d’adresse IP. | IPRule [] |
| virtualNetworkRules | Liste des règles de réseau virtuel. | VirtualNetworkRule[] |
IPRule
| Nom | Description | Valeur |
|---|---|---|
| valeur | Plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses commençant par 124.56.78). | chaîne (obligatoire) |
VirtualNetworkRule
| Nom | Description | Valeur |
|---|---|---|
| id | ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1 ». | chaîne (obligatoire) |
| ignoreMissingVnetServiceEndpoint | Propriété permettant de spécifier si NRP ignore la vérification si le sous-réseau parent a configuré serviceEndpoints. | Bool |
Sku
| Nom | Description | Valeur |
|---|---|---|
| Famille | Nom de la famille de référenceS (SKU) | 'A' (obligatoire) |
| nom | Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. | 'premium' 'standard' (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
cluster AKS avec une passerelle NAT et un Application Gateway
|
Cet exemple montre comment déployer un cluster AKS avec NAT Gateway pour les connexions sortantes et une passerelle Application Gateway pour les connexions entrantes. |
|
créer un cluster AKS privé avec une zone DNS publique
|
Cet exemple montre comment déployer un cluster AKS privé avec une zone DNS publique. |
|
Déployer sports Analytics sur l’architecture Azure
|
Crée un compte de stockage Azure avec ADLS Gen2 activé, une instance Azure Data Factory avec des services liés pour le compte de stockage (une base de données Azure SQL si déployée) et une instance Azure Databricks. L’identité AAD pour l’utilisateur qui déploie le modèle et l’identité managée pour l’instance ADF reçoivent le rôle Contributeur aux données blob de stockage sur le compte de stockage. Il existe également des options pour déployer une instance Azure Key Vault, une base de données Azure SQL et un Hub d’événements Azure (pour les cas d’utilisation de streaming). Lorsqu’un coffre de clés Azure est déployé, l’identité managée de la fabrique de données et l’identité AAD pour l’utilisateur qui déploie le modèle reçoivent le rôle Utilisateur des secrets Key Vault. |
|
espace de travail Azure Machine Learning
|
Ce modèle crée un espace de travail Azure Machine Learning, ainsi qu’un compte de stockage chiffré, un coffre de clés et une journalisation Applications Insights |
|
Créer un KeyVault
|
Ce module crée une ressource KeyVault avec apiVersion 2019-09-01. |
|
Créer un service Gestion des API avec SSL à partir de KeyVault
|
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour récupérer le certificat SSL à partir de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
|
Crée une application Dapr pub-sub servicebus à l’aide de Container Apps
|
Créez une application Dapr pub-sub servicebus à l’aide de Container Apps. |
|
crée un cluster Azure Stack HCI 23H2
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
crée un cluster Azure Stack HCI 23H2
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM, à l’aide d’une adresse IP de stockage personnalisée |
|
crée un cluster Azure Stack HCI 23H2 en mode réseau switchless-double liaison
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
crée un cluster Azure Stack HCI 23H2 en mode réseau Switchless-SingleLink
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
Créer une machine virtuelle Windows chiffrée à partir d’une image de galerie
|
Ce modèle crée une machine virtuelle Windows chiffrée à l’aide de l’image de la galerie server 2k12. |
|
Créer des disques managés chiffrés win-vm à partir de l’image de la galerie
|
Ce modèle crée une machine virtuelle windows de disques managés chiffrés à l’aide de l’image de la galerie server 2k12. |
|
Ce modèle chiffre une VMSS Windows en cours d’exécution
|
Ce modèle active le chiffrement sur un groupe de machines virtuelles identiques Windows en cours d’exécution |
|
activer le chiffrement sur une machine virtuelle Windows en cours d’exécution
|
Ce modèle active le chiffrement sur une machine virtuelle Windows en cours d’exécution. |
|
Créer et chiffrer une nouvelle machine virtuelle Windows avec jumpbox
|
Ce modèle vous permet de déployer un groupe de machines virtuelles identiques simple de machines virtuelles Windows à l’aide de la dernière version corrigée des versions de Windows serveral. Ce modèle déploie également une jumpbox avec une adresse IP publique dans le même réseau virtuel. Vous pouvez vous connecter à la jumpbox via cette adresse IP publique, puis vous y connecter aux machines virtuelles du groupe identique via des adresses IP privées. Ce modèle active le chiffrement sur le groupe de machines virtuelles identiques de machines virtuelles Windows. |
|
Créer un coffre de clés Azure et un secret
|
Ce modèle crée un coffre de clés Azure et un secret. |
|
Créer un coffre de clés Azure avec RBAC et un secret
|
Ce modèle crée un coffre de clés Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
|
Créer un coffre de clés, une identité managée et une attribution de rôle
|
Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle. |
|
se connecter à un coffre de clés via un point de terminaison privé
|
Cet exemple montre comment utiliser la configuration d’un réseau virtuel et d’une zone DNS privée pour accéder à Key Vault via un point de terminaison privé. |
|
Créer un coffre de clés et une liste de secrets
|
Ce modèle crée un coffre de clés et une liste de secrets dans le coffre de clés comme transmis avec les paramètres |
|
Créer un coffre de clés avec journalisation activée
|
Ce modèle crée un coffre de clés Azure et un compte de stockage Azure utilisé pour la journalisation. Il crée éventuellement des verrous de ressources pour protéger vos ressources Key Vault et stockage. |
|
configuration de base d’Azure AI Studio
|
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
|
configuration de base d’Azure AI Studio
|
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
|
Azure AI Studio avec microsoft Entra ID Authentication
|
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’authentification Microsoft Entra ID pour les ressources dépendantes, telles qu’Azure AI Services et Stockage Azure. |
|
Créer un espace de travail AML avec plusieurs jeux de données & magasins de données
|
Ce modèle crée un espace de travail Azure Machine Learning avec plusieurs jeux de données & magasins de données. |
|
configuration sécurisée de bout en bout d’Azure Machine Learning
|
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché. |
|
configuration sécurisée de bout en bout Azure Machine Learning (hérité)
|
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché. |
|
Créer une cible de calcul AKS avec une adresse IP privée
|
Ce modèle crée une cible de calcul AKS dans un espace de travail azure Machine Learning service donné avec une adresse IP privée. |
|
Créer un espace de travail du service Azure Machine Learning
|
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble minimal de ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning. |
|
Créer un espace de travail du service Azure Machine Learning (CMK)
|
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. L’exemple montre comment configurer Azure Machine Learning pour le chiffrement avec une clé de chiffrement gérée par le client. |
|
Créer un espace de travail du service Azure Machine Learning (CMK)
|
Ce modèle de déploiement spécifie comment créer un espace de travail Azure Machine Learning avec chiffrement côté service à l’aide de vos clés de chiffrement. |
|
Créer un espace de travail du service Azure Machine Learning (réseau virtuel)
|
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau. |
|
Créer un espace de travail du service Azure Machine Learning (hérité)
|
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau. |
|
cluster AKS avec le contrôleur d’entrée Application Gateway
|
Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics et Key Vault |
|
créer une passerelle Application Gateway V2 avec le Key Vault
|
Ce modèle déploie une application Gateway V2 dans un réseau virtuel, une identité définie par l’utilisateur, Key Vault, un secret (données de certificat) et une stratégie d’accès sur Key Vault et Application Gateway. |
| environnement de test pour le pare-feu Azure Premium
|
Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
|
crée une ressource de point de terminaison privé interlocataire
|
Ce modèle vous permet de créer une ressource de point de terminaison Priavate dans le même environnement ou interlocataire et d’ajouter une configuration de zone DNS. |
|
créer Application Gateway avec des certificats
|
Ce modèle montre comment générer des certificats auto-signés Key Vault, puis référencer à partir d’Application Gateway. |
|
chiffrement de compte de stockage Azure avec de clé gérée par le client
|
Ce modèle déploie un compte de stockage avec une clé gérée par le client pour le chiffrement généré et placé dans un coffre de clés. |
|
App Service Environment avec le serveur principal Azure SQL
|
Ce modèle crée un environnement App Service avec un back-end Azure SQL, ainsi que des points de terminaison privés, ainsi que des ressources associées généralement utilisées dans un environnement privé/isolé. |
|
application de fonction Azure et une fonction déclenchée par HTTP
|
Cet exemple déploie une application de fonction Azure et une fonction déclenchée par HTTP inline dans le modèle. Il déploie également un coffre de clés et remplit un secret avec la clé hôte de l’application de fonction. |
|
Application Gateway avec gestion des API internes et d’application web
|
Application Gateway achemine le trafic Internet vers une instance de gestion des API de réseau virtuel (mode interne) qui services une API web hébergée dans une application web Azure. |
Définition de ressource de modèle ARM
Le type de ressource des coffres peut être déployé avec des opérations qui ciblent :
- groupes de ressources - Consultez commandes de déploiement de groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Remarques
Pour obtenir des conseils sur l’utilisation de coffres de clés pour des valeurs sécurisées, consultez Gérer les secrets à l’aide de Bicep.
Pour obtenir un guide de démarrage rapide sur la création d’un secret, consultez Démarrage rapide : Définir et récupérer un secret à partir d’Azure Key Vault à l’aide d’un modèle ARM.
Pour obtenir un guide de démarrage rapide sur la création d’une clé, consultez Démarrage rapide : Créer un coffre de clés Azure et une clé à l’aide d’un modèle ARM.
Format de ressource
Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Valeurs de propriété
Voûtes
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | 'Microsoft.KeyVault/vaults' |
| apiVersion | Version de l’API de ressource | '2023-07-01' |
| nom | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 3 à 24 Caractères valides : Alphanumériques et traits d’union. Commencez par la lettre. Fin avec une lettre ou un chiffre. Ne peut pas contenir de traits d’union consécutifs. Le nom de la ressource doit être unique dans Azure. |
| emplacement | Emplacement Azure pris en charge où le coffre de clés doit être créé. | chaîne (obligatoire) |
| étiquettes | Balises qui seront affectées au coffre de clés. | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
| Propriétés | Propriétés du coffre | VaultProperties (obligatoire) |
VaultProperties
| Nom | Description | Valeur |
|---|---|---|
| accessPolicies | Tableau de 0 à 1024 identités qui ont accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover, les stratégies d’accès ne sont pas requises. Sinon, les stratégies d’accès sont requises. |
AccessPolicyEntry[] |
| createMode | Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. | 'default' 'récupérer' |
| enabledForDeployment | Propriété permettant de spécifier si les machines virtuelles Azure sont autorisées à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. | Bool |
| enabledForDiskEncryption | Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et des clés de décompressage. | Bool |
| enabledForTemplateDeployment | Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. | Bool |
| enablePurgeProtection | Propriété spécifiant si la protection contre le vidage est activée pour ce coffre. La définition de cette propriété sur true active la protection contre le vidage pour ce coffre et son contenu . seul le service Key Vault peut lancer une suppression irrécupérable. Le paramètre est effectif uniquement si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. | Bool |
| enableRbacAuthorization | Propriété qui contrôle la façon dont les actions de données sont autorisées. Lorsque la valeur est true, le coffre de clés utilise le contrôle d’accès en fonction du rôle (RBAC) pour l’autorisation des actions de données, et les stratégies d’accès spécifiées dans les propriétés du coffre sont ignorées. Si la valeur est false, le coffre de clés utilise les stratégies d’accès spécifiées dans les propriétés du coffre, et toute stratégie stockée sur Azure Resource Manager est ignorée. Si la valeur est null ou non spécifiée, le coffre est créé avec la valeur par défaut false. Notez que les actions de gestion sont toujours autorisées avec RBAC. | Bool |
| enableSoftDelete | Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. Si elle n’est pas définie sur une valeur (true ou false) lors de la création d’un coffre de clés, elle est définie sur true par défaut. Une fois la valeur true définie, elle ne peut pas être rétablie sur false. | Bool |
| networkAcls | Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. | NetworkRuleSet |
| provisioningState | État d’approvisionnement du coffre. | 'RegisteringDns' 'Réussi' |
| publicNetworkAccess | Propriété permettant de spécifier si le coffre accepte le trafic à partir d’Internet public. S’il est défini sur « désactivé » tout le trafic à l’exception du trafic de point de terminaison privé et qui provient des services approuvés sera bloqué. Cela remplacera les règles de pare-feu définies, ce qui signifie que même si les règles de pare-feu sont présentes, nous ne respecterons pas les règles. | corde |
| Sku | Détails de la référence SKU | référence SKU (obligatoire) |
| softDeleteRetentionInDays | softDelete data retention days. Elle accepte >=7 et <=90. | Int |
| tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | chaîne (obligatoire) Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | URI du coffre pour effectuer des opérations sur les clés et les secrets. | corde |
AccessPolicyEntry
| Nom | Description | Valeur |
|---|---|---|
| applicationId | ID d’application du client effectuant une demande pour le compte d’un principal | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. L’ID d’objet doit être unique pour la liste des stratégies d’accès. | chaîne (obligatoire) |
| Autorisations | Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. | autorisations (obligatoire) |
| tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | chaîne (obligatoire) Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Autorisations
| Nom | Description | Valeur |
|---|---|---|
| Certificats | Autorisations sur les certificats | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'récupérer' 'restore' 'setissuers' 'update' |
| Clés | Autorisations sur les clés | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'create' 'déchiffrer' 'delete' 'chiffrer' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'récupérer' 'release' 'restore' 'rotation' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| Secrets | Autorisations sur les secrets | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'delete' 'get' 'list' 'purge' 'récupérer' 'restore' 'set' |
| stockage | Autorisations pour les comptes de stockage | Tableau de chaînes contenant l’un des éléments suivants : 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'récupérer' 'régénérer la clé' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
| Nom | Description | Valeur |
|---|---|---|
| contourner | Indique ce que le trafic peut contourner les règles réseau. Il peut s’agir d'« AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». | 'AzureServices' 'None' |
| defaultAction | Action par défaut lorsqu’aucune règle d’ipRules et de virtualNetworkRules ne correspond. Cette opération est utilisée uniquement après l’évaluation de la propriété de contournement. | 'Autoriser' 'Refuser' |
| ipRules | Liste des règles d’adresse IP. | IPRule [] |
| virtualNetworkRules | Liste des règles de réseau virtuel. | VirtualNetworkRule[] |
IPRule
| Nom | Description | Valeur |
|---|---|---|
| valeur | Plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses commençant par 124.56.78). | chaîne (obligatoire) |
VirtualNetworkRule
| Nom | Description | Valeur |
|---|---|---|
| id | ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1 ». | chaîne (obligatoire) |
| ignoreMissingVnetServiceEndpoint | Propriété permettant de spécifier si NRP ignore la vérification si le sous-réseau parent a configuré serviceEndpoints. | Bool |
Sku
| Nom | Description | Valeur |
|---|---|---|
| Famille | Nom de la famille de référenceS (SKU) | 'A' (obligatoire) |
| nom | Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. | 'premium' 'standard' (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
|
cluster AKS avec une passerelle NAT et un Application Gateway
|
Cet exemple montre comment déployer un cluster AKS avec NAT Gateway pour les connexions sortantes et une passerelle Application Gateway pour les connexions entrantes. |
|
créer un cluster AKS privé avec une zone DNS publique
|
Cet exemple montre comment déployer un cluster AKS privé avec une zone DNS publique. |
|
Déployer sports Analytics sur l’architecture Azure
|
Crée un compte de stockage Azure avec ADLS Gen2 activé, une instance Azure Data Factory avec des services liés pour le compte de stockage (une base de données Azure SQL si déployée) et une instance Azure Databricks. L’identité AAD pour l’utilisateur qui déploie le modèle et l’identité managée pour l’instance ADF reçoivent le rôle Contributeur aux données blob de stockage sur le compte de stockage. Il existe également des options pour déployer une instance Azure Key Vault, une base de données Azure SQL et un Hub d’événements Azure (pour les cas d’utilisation de streaming). Lorsqu’un coffre de clés Azure est déployé, l’identité managée de la fabrique de données et l’identité AAD pour l’utilisateur qui déploie le modèle reçoivent le rôle Utilisateur des secrets Key Vault. |
|
espace de travail Azure Machine Learning
|
Ce modèle crée un espace de travail Azure Machine Learning, ainsi qu’un compte de stockage chiffré, un coffre de clés et une journalisation Applications Insights |
|
Créer un KeyVault
|
Ce module crée une ressource KeyVault avec apiVersion 2019-09-01. |
|
Créer un service Gestion des API avec SSL à partir de KeyVault
|
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour récupérer le certificat SSL à partir de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
|
Crée une application Dapr pub-sub servicebus à l’aide de Container Apps
|
Créez une application Dapr pub-sub servicebus à l’aide de Container Apps. |
|
crée un cluster Azure Stack HCI 23H2
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
crée un cluster Azure Stack HCI 23H2
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM, à l’aide d’une adresse IP de stockage personnalisée |
|
crée un cluster Azure Stack HCI 23H2 en mode réseau switchless-double liaison
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
crée un cluster Azure Stack HCI 23H2 en mode réseau Switchless-SingleLink
|
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
|
Créer une machine virtuelle Windows chiffrée à partir d’une image de galerie
|
Ce modèle crée une machine virtuelle Windows chiffrée à l’aide de l’image de la galerie server 2k12. |
|
Créer des disques managés chiffrés win-vm à partir de l’image de la galerie
|
Ce modèle crée une machine virtuelle windows de disques managés chiffrés à l’aide de l’image de la galerie server 2k12. |
|
Ce modèle chiffre une VMSS Windows en cours d’exécution
|
Ce modèle active le chiffrement sur un groupe de machines virtuelles identiques Windows en cours d’exécution |
|
activer le chiffrement sur une machine virtuelle Windows en cours d’exécution
|
Ce modèle active le chiffrement sur une machine virtuelle Windows en cours d’exécution. |
|
Créer et chiffrer une nouvelle machine virtuelle Windows avec jumpbox
|
Ce modèle vous permet de déployer un groupe de machines virtuelles identiques simple de machines virtuelles Windows à l’aide de la dernière version corrigée des versions de Windows serveral. Ce modèle déploie également une jumpbox avec une adresse IP publique dans le même réseau virtuel. Vous pouvez vous connecter à la jumpbox via cette adresse IP publique, puis vous y connecter aux machines virtuelles du groupe identique via des adresses IP privées. Ce modèle active le chiffrement sur le groupe de machines virtuelles identiques de machines virtuelles Windows. |
|
Créer un coffre de clés Azure et un secret
|
Ce modèle crée un coffre de clés Azure et un secret. |
|
Créer un coffre de clés Azure avec RBAC et un secret
|
Ce modèle crée un coffre de clés Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
|
Créer un coffre de clés, une identité managée et une attribution de rôle
|
Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle. |
|
se connecter à un coffre de clés via un point de terminaison privé
|
Cet exemple montre comment utiliser la configuration d’un réseau virtuel et d’une zone DNS privée pour accéder à Key Vault via un point de terminaison privé. |
|
Créer un coffre de clés et une liste de secrets
|
Ce modèle crée un coffre de clés et une liste de secrets dans le coffre de clés comme transmis avec les paramètres |
|
Créer un coffre de clés avec journalisation activée
|
Ce modèle crée un coffre de clés Azure et un compte de stockage Azure utilisé pour la journalisation. Il crée éventuellement des verrous de ressources pour protéger vos ressources Key Vault et stockage. |
|
configuration de base d’Azure AI Studio
|
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
|
configuration de base d’Azure AI Studio
|
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
|
Azure AI Studio avec microsoft Entra ID Authentication
|
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’authentification Microsoft Entra ID pour les ressources dépendantes, telles qu’Azure AI Services et Stockage Azure. |
|
Créer un espace de travail AML avec plusieurs jeux de données & magasins de données
|
Ce modèle crée un espace de travail Azure Machine Learning avec plusieurs jeux de données & magasins de données. |
|
configuration sécurisée de bout en bout d’Azure Machine Learning
|
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché. |
|
configuration sécurisée de bout en bout Azure Machine Learning (hérité)
|
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché. |
|
Créer une cible de calcul AKS avec une adresse IP privée
|
Ce modèle crée une cible de calcul AKS dans un espace de travail azure Machine Learning service donné avec une adresse IP privée. |
|
Créer un espace de travail du service Azure Machine Learning
|
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble minimal de ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning. |
|
Créer un espace de travail du service Azure Machine Learning (CMK)
|
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. L’exemple montre comment configurer Azure Machine Learning pour le chiffrement avec une clé de chiffrement gérée par le client. |
|
Créer un espace de travail du service Azure Machine Learning (CMK)
|
Ce modèle de déploiement spécifie comment créer un espace de travail Azure Machine Learning avec chiffrement côté service à l’aide de vos clés de chiffrement. |
|
Créer un espace de travail du service Azure Machine Learning (réseau virtuel)
|
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau. |
|
Créer un espace de travail du service Azure Machine Learning (hérité)
|
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau. |
|
cluster AKS avec le contrôleur d’entrée Application Gateway
|
Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics et Key Vault |
|
créer une passerelle Application Gateway V2 avec le Key Vault
|
Ce modèle déploie une application Gateway V2 dans un réseau virtuel, une identité définie par l’utilisateur, Key Vault, un secret (données de certificat) et une stratégie d’accès sur Key Vault et Application Gateway. |
| environnement de test pour le pare-feu Azure Premium
|
Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
|
crée une ressource de point de terminaison privé interlocataire
|
Ce modèle vous permet de créer une ressource de point de terminaison Priavate dans le même environnement ou interlocataire et d’ajouter une configuration de zone DNS. |
|
créer Application Gateway avec des certificats
|
Ce modèle montre comment générer des certificats auto-signés Key Vault, puis référencer à partir d’Application Gateway. |
|
chiffrement de compte de stockage Azure avec de clé gérée par le client
|
Ce modèle déploie un compte de stockage avec une clé gérée par le client pour le chiffrement généré et placé dans un coffre de clés. |
|
App Service Environment avec le serveur principal Azure SQL
|
Ce modèle crée un environnement App Service avec un back-end Azure SQL, ainsi que des points de terminaison privés, ainsi que des ressources associées généralement utilisées dans un environnement privé/isolé. |
|
application de fonction Azure et une fonction déclenchée par HTTP
|
Cet exemple déploie une application de fonction Azure et une fonction déclenchée par HTTP inline dans le modèle. Il déploie également un coffre de clés et remplit un secret avec la clé hôte de l’application de fonction. |
|
Application Gateway avec gestion des API internes et d’application web
|
Application Gateway achemine le trafic Internet vers une instance de gestion des API de réseau virtuel (mode interne) qui services une API web hébergée dans une application web Azure. |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource des coffres peut être déployé avec des opérations qui ciblent :
- groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2023-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Valeurs de propriété
Voûtes
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | « Microsoft.KeyVault/vaults@2023-07-01 » |
| nom | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 3 à 24 Caractères valides : Alphanumériques et traits d’union. Commencez par la lettre. Fin avec une lettre ou un chiffre. Ne peut pas contenir de traits d’union consécutifs. Le nom de la ressource doit être unique dans Azure. |
| emplacement | Emplacement Azure pris en charge où le coffre de clés doit être créé. | chaîne (obligatoire) |
| parent_id | Pour effectuer un déploiement sur un groupe de ressources, utilisez l’ID de ce groupe de ressources. | chaîne (obligatoire) |
| étiquettes | Balises qui seront affectées au coffre de clés. | Dictionnaire de noms et de valeurs d’étiquettes. |
| Propriétés | Propriétés du coffre | VaultProperties (obligatoire) |
VaultProperties
| Nom | Description | Valeur |
|---|---|---|
| accessPolicies | Tableau de 0 à 1024 identités qui ont accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover, les stratégies d’accès ne sont pas requises. Sinon, les stratégies d’accès sont requises. |
AccessPolicyEntry[] |
| createMode | Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. | « default » « récupérer » |
| enabledForDeployment | Propriété permettant de spécifier si les machines virtuelles Azure sont autorisées à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. | Bool |
| enabledForDiskEncryption | Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et des clés de décompressage. | Bool |
| enabledForTemplateDeployment | Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. | Bool |
| enablePurgeProtection | Propriété spécifiant si la protection contre le vidage est activée pour ce coffre. La définition de cette propriété sur true active la protection contre le vidage pour ce coffre et son contenu . seul le service Key Vault peut lancer une suppression irrécupérable. Le paramètre est effectif uniquement si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. | Bool |
| enableRbacAuthorization | Propriété qui contrôle la façon dont les actions de données sont autorisées. Lorsque la valeur est true, le coffre de clés utilise le contrôle d’accès en fonction du rôle (RBAC) pour l’autorisation des actions de données, et les stratégies d’accès spécifiées dans les propriétés du coffre sont ignorées. Si la valeur est false, le coffre de clés utilise les stratégies d’accès spécifiées dans les propriétés du coffre, et toute stratégie stockée sur Azure Resource Manager est ignorée. Si la valeur est null ou non spécifiée, le coffre est créé avec la valeur par défaut false. Notez que les actions de gestion sont toujours autorisées avec RBAC. | Bool |
| enableSoftDelete | Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. Si elle n’est pas définie sur une valeur (true ou false) lors de la création d’un coffre de clés, elle est définie sur true par défaut. Une fois la valeur true définie, elle ne peut pas être rétablie sur false. | Bool |
| networkAcls | Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. | NetworkRuleSet |
| provisioningState | État d’approvisionnement du coffre. | « RegisteringDns » « Réussi » |
| publicNetworkAccess | Propriété permettant de spécifier si le coffre accepte le trafic à partir d’Internet public. S’il est défini sur « désactivé » tout le trafic à l’exception du trafic de point de terminaison privé et qui provient des services approuvés sera bloqué. Cela remplacera les règles de pare-feu définies, ce qui signifie que même si les règles de pare-feu sont présentes, nous ne respecterons pas les règles. | corde |
| Sku | Détails de la référence SKU | référence SKU (obligatoire) |
| softDeleteRetentionInDays | softDelete data retention days. Elle accepte >=7 et <=90. | Int |
| tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | chaîne (obligatoire) Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | URI du coffre pour effectuer des opérations sur les clés et les secrets. | corde |
AccessPolicyEntry
| Nom | Description | Valeur |
|---|---|---|
| applicationId | ID d’application du client effectuant une demande pour le compte d’un principal | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. L’ID d’objet doit être unique pour la liste des stratégies d’accès. | chaîne (obligatoire) |
| Autorisations | Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. | autorisations (obligatoire) |
| tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | chaîne (obligatoire) Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Autorisations
| Nom | Description | Valeur |
|---|---|---|
| Certificats | Autorisations sur les certificats | Tableau de chaînes contenant l’un des éléments suivants : « all » « sauvegarde » « create » « delete » « deleteissuers » « get » « getissuers » « import » « list » « listissuers » « managecontacts » « manageissuers » « purge » « récupérer » « restore » « setissuers » « mettre à jour » |
| Clés | Autorisations sur les clés | Tableau de chaînes contenant l’un des éléments suivants : « all » « sauvegarde » « create » « déchiffrer » « delete » « chiffrer » « get » « getrotationpolicy » « import » « list » « purge » « récupérer » « release » « restore » « faire pivoter » « setrotationpolicy » « sign » « unwrapKey » « mettre à jour » « vérifier » « wrapKey » |
| Secrets | Autorisations sur les secrets | Tableau de chaînes contenant l’un des éléments suivants : « all » « sauvegarde » « delete » « get » « list » « purge » « récupérer » « restore » « set » |
| stockage | Autorisations pour les comptes de stockage | Tableau de chaînes contenant l’un des éléments suivants : « all » « sauvegarde » « delete » « deletesas » « get » « getsas » « list » « listsas » « purge » « récupérer » « régénérer la clé » « restore » « set » « setsas » « mettre à jour » |
NetworkRuleSet
| Nom | Description | Valeur |
|---|---|---|
| contourner | Indique ce que le trafic peut contourner les règles réseau. Il peut s’agir d'« AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». | « AzureServices » « Aucun » |
| defaultAction | Action par défaut lorsqu’aucune règle d’ipRules et de virtualNetworkRules ne correspond. Cette opération est utilisée uniquement après l’évaluation de la propriété de contournement. | « Autoriser » « Refuser » |
| ipRules | Liste des règles d’adresse IP. | IPRule [] |
| virtualNetworkRules | Liste des règles de réseau virtuel. | VirtualNetworkRule[] |
IPRule
| Nom | Description | Valeur |
|---|---|---|
| valeur | Plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses commençant par 124.56.78). | chaîne (obligatoire) |
VirtualNetworkRule
| Nom | Description | Valeur |
|---|---|---|
| id | ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1 ». | chaîne (obligatoire) |
| ignoreMissingVnetServiceEndpoint | Propriété permettant de spécifier si NRP ignore la vérification si le sous-réseau parent a configuré serviceEndpoints. | Bool |
Sku
| Nom | Description | Valeur |
|---|---|---|
| Famille | Nom de la famille de référenceS (SKU) | « A » (obligatoire) |
| nom | Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. | « Premium » « standard » (obligatoire) |