Azure Key Vault- és tárolóelérési szabályzat létrehozása Resource Manager-sablonnal
Az Azure Key Vault egy felhőalapú szolgáltatás, amely biztonságos tárat biztosít a titkos kulcsokhoz, jelszavakhoz és tanúsítványokhoz. Ez a cikk egy Azure Resource Manager-sablon (ARM-sablon) kulcstartó létrehozásához történő üzembe helyezésének folyamatát ismerteti.
Az Azure Resource Manager-sablon egy JavaScript Object Notation (JSON) fájl, amely meghatározza a projekt infrastruktúráját és konfigurációját. A sablon deklaratív szintaxist használ. Az üzembe helyezés létrehozásához szükséges programozási parancsok sorozatának megírása nélkül írhatja le a tervezett üzembe helyezést.
Előfeltételek
A cikk lépéseinek végrehajtása:
- Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot .
Key Vault Resource Manager-sablon létrehozása
Az alábbi sablon egy kulcstartó létrehozásának alapszintű módját mutatja be. Néhány érték meg van adva a sablonban.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"keyVaultName": {
"type": "string",
"metadata": {
"description": "Specifies the name of the key vault."
}
},
"skuName": {
"type": "string",
"defaultValue": "Standard",
"allowedValues": [
"Standard",
"Premium"
],
"metadata": {
"description": "Specifies whether the key vault is a standard vault or a premium vault."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2019-09-01",
"name": "[parameters('keyVaultName')]",
"location": "[resourceGroup().location]",
"properties": {
"enabledForDeployment": "false",
"enabledForDiskEncryption": "false",
"enabledForTemplateDeployment": "false",
"tenantId": "[subscription().tenantId]",
"accessPolicies": [],
"sku": {
"name": "[parameters('skuName')]",
"family": "A"
},
"networkAcls": {
"defaultAction": "Allow",
"bypass": "AzureServices"
}
}
}
]
}
A Key Vault sablonbeállításairól további információt a Key Vault ARM-sablonreferenciájában talál.
Fontos
Ha újra üzembe helyezik a sablont, a kulcstartóban lévő meglévő hozzáférési szabályzatok felül lesznek bírálva. Javasoljuk, hogy töltse fel a tulajdonságot meglévő accessPolicies hozzáférési szabályzatokkal, hogy elkerülje a kulcstartóhoz való hozzáférés elvesztését.
Hozzáférési szabályzat hozzáadása Key Vault Resource Manager-sablonhoz
Hozzáférési szabályzatokat helyezhet üzembe egy meglévő kulcstartóban a teljes kulcstartósablon ismételt üzembe helyezése nélkül. Az alábbi sablon a hozzáférési szabályzatok létrehozásának alapvető módját mutatja be:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"keyVaultName": {
"type": "string",
"metadata": {
"description": "Specifies the name of the key vault."
}
},
"objectId": {
"type": "string",
"metadata": {
"description": "Specifies the object ID of a user, service principal or security group in the Azure Active Directory tenant for the vault. The object ID must be unique for the list of access policies. Get it by using Get-AzADUser or Get-AzADServicePrincipal cmdlets."
}
},
"keysPermissions": {
"type": "array",
"defaultValue": [
"list"
],
"metadata": {
"description": "Specifies the permissions to keys in the vault. Valid values are: all, encrypt, decrypt, wrapKey, unwrapKey, sign, verify, get, list, create, update, import, delete, backup, restore, recover, and purge."
}
},
"secretsPermissions": {
"type": "array",
"defaultValue": [
"list"
],
"metadata": {
"description": "Specifies the permissions to secrets in the vault. Valid values are: all, get, list, set, delete, backup, restore, recover, and purge."
}
},
"certificatePermissions": {
"type": "array",
"defaultValue": [
"list"
],
"metadata": {
"description": "Specifies the permissions to certificates in the vault. Valid values are: all, create, delete, update, deleteissuers, get, getissuers, import, list, listissuers, managecontacts, manageissuers, recover, backup, restore, setissuers, and purge."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"name": "[concat(parameters('keyVaultName'), '/add')]",
"apiVersion": "2019-09-01",
"properties": {
"accessPolicies": [
{
"tenantId": "[subscription().tenantId]",
"objectId": "[parameters('objectId')]",
"permissions": {
"keys": "[parameters('keysPermissions')]",
"secrets": "[parameters('secretsPermissions')]",
"certificates": "[parameters('certificatePermissions')]"
}
}
]
}
}
]
}
A Key Vault-sablonbeállításokról további információt a Key Vault ARM-sablonreferenciájában talál.
További Key Vault Resource Manager-sablonok
A Key Vault-objektumokhoz más Resource Manager-sablonok is elérhetők:
| Titkos kódok | Kulcsok | Diplomák |
|---|---|---|
| N.A. | N.A. |
További Key Vault-sablonokat itt talál: Key Vault Resource Manager-referencia.
A sablonok üzembe helyezése
Az Azure Portal használatával telepítheti az előző sablonokat a Saját sablon létrehozása szerkesztőben lehetőséggel, az alábbiak szerint: Erőforrások üzembe helyezése egyéni sablonból.
Az előző sablonokat fájlba is mentheti, és a következő parancsokat használhatja: New-AzResourceGroupDeployment és az deployment group create:
New-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile key-vault-template.json
az deployment group create --resource-group ExampleGroup --template-file key-vault-template.json
Az erőforrások eltávolítása
Ha további rövid útmutatókat és oktatóanyagokat tervez folytatni, ezeket az erőforrásokat a helyén hagyhatja. Ha már nincs szüksége az erőforrásokra, törölje az erőforráscsoportot. Ha törli a csoportot, a kulcstartó és a kapcsolódó erőforrások is törlődnek. Ha törölni szeretné az erőforráscsoportot az Azure CLI vagy az Azure PowerShell használatával, hajtsa végre az alábbi lépéseket:
echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."
Források
- Olvassa el az Azure Key Vault áttekintését.
- További információ az Azure Resource Managerről.
- Tekintse át az Azure Key Vault biztonsági áttekintését