Microsoft.KeyVault-tárolók

• legújabb
• 2025-05-01
• 2024-12-01-előzetes verzió
• 2024.11.01-
• 2024.04.01- előzetes
• 2023.07.01-
• 2023.02.01-
• 2022.11.01-
• 2022.07.01-
• 2022-02-01-preview
• 2021-11-01-preview
• 2021.10.01-
• 2021.06.01- előzetes verziójú
• 2021.04.01-
• 2020.04.01-i előzetes
• 2019.09.01-
• 2018-02-14
• 2018.02.14-i előzetes
• 2016.10.01-
• 2015.06.01-

Megjegyzések

A kulcstartók biztonságos értékek használatához vonatkozó útmutatásért lásd: Titkok kezelése Bicep használatával.

A titok létrehozásához szükséges gyors kezdésért lásd: Quickstart: Titsz be és szerezz be egy titkot Azure Key Vault-től ARM sablon segítségével.

A kulcs létrehozásához szükséges gyors kezdésért lásd: Quickstart: Create an Azure key vault and a key using ARM template.

Bicep erőforrás definíciója

A tárolók erőforrástípusa olyan műveletekkel helyezhető üzembe, amelyek a következő célokat célják:

• Erőforráscsoportok – Lásd erőforráscsoport üzembe helyezési parancsaival

Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.

Erőforrás formátuma

Microsoft.KeyVault/vaults erőforrás létrehozásához add hozzá a következő Bicep-et a sablonodhoz.

resource symbolicname 'Microsoft.KeyVault/vaults@2025-05-01' = {
  location: 'string'
  name: 'string'
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    publicNetworkAccess: 'string'
    sku: {
      family: 'string'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
  tags: {
    {customized property}: 'string'
  }
}

Tulajdonságértékek

Microsoft.KeyVault/tárolók

Név	Leírás	Érték
hely	Az a támogatott Azure hely, ahol a kulcstárat létre kell hozni.	sztring (kötelező)
név	Az erőforrás neve	sztring (kötelező)
kellékek	A tároló tulajdonságai	VaultProperties (kötelező)
Címkék	Erőforráscímkék	Címkenevek és -értékek szótára. sablonok címkéinek megtekintése

AccessPolicyEntry

Név	Leírás	Érték
applicationId	A megbízó nevében kérelmet küldő ügyfél alkalmazásazonosítója	húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId	A felhasználó, szolgáltatásfő vagy biztonsági csoport objektumazonosítója az Azure Active Directory bérlőben a vaulthoz. Az objektumazonosítónak egyedinek kell lennie a hozzáférési szabályzatok listájához.	sztring (kötelező)
engedélyek	Az identitás kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz tartozó engedélyekkel rendelkezik.	engedélyek (kötelező)
bérlőazonosító	Az Azure Active Directory bérlőazonosító, amelyet a kulcstartó lekérdezések hitelesítésére kell használni.	húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező)

Szellemi tulajdon

Név	Leírás	Érték
érték	Egy IPv4-címtartomány a CIDR-jelölésben, például "124.56.78.91" (egyszerű IP-cím) vagy "124.56.78.0/24" (minden cím, amely a 124.56.78-as számmal kezdődik).	sztring (kötelező)

Hálózati szabálykészlet

Név	Leírás	Érték
Kitérő	Azt jelzi, hogy milyen forgalom kerülheti meg a hálózati szabályokat. Ez lehet "AzureServices" vagy "None". Ha nincs megadva, az alapértelmezett érték az "AzureServices".	"AzureServices" "Nincs"
defaultAction	Az alapértelmezett művelet, ha az ipRules és a virtualNetworkRules szabálya nem egyezik. Ezt csak a bypass tulajdonság kiértékelése után használja a rendszer.	"Engedélyezés" "Megtagadás"
ipRules	Az IP-címszabályok listája.	IPRule[]
virtualNetworkRules	A virtuális hálózati szabályok listája.	VirtualNetworkRule[]

Engedélyek

Név	Leírás	Érték
Tanúsítványok	Tanúsítványokra vonatkozó engedélyek	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "törlés" "deleteissuers" "kapni" "getissuers" "importálás" "lista" "listissuers" "managecontacts" "kezelők" 'kiürítés' "helyreállítás" "visszaállítás" "setissuers" "frissítés"
Kulcsok	Kulcsok engedélyei	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "visszafejtés" "törlés" "titkosítás" "kapni" "Getrotationpolicy" "importálás" "lista" 'kiürítés' "helyreállítás" "kiadás" "visszaállítás" "forgatás" "setrotationpolicy" "sign" "unwrapKey" "frissítés" "ellenőrzés" "wrapKey"
Titkok	Titkos kódokra vonatkozó engedélyek	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" "kapni" "lista" 'kiürítés' "helyreállítás" "visszaállítás" "Készlet"
tár	Tárfiókok engedélyei	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" "deletesas" "kapni" "getsas" "lista" "listsas" 'kiürítés' "helyreállítás" "Regeneratekey" "visszaállítás" "Készlet" "setsas" "frissítés"

termékazonosító (SKU)

Név	Leírás	Érték
Család	Termékváltozat családneve	"A" (kötelező)
név	Termékváltozat neve annak megadásához, hogy a kulcstartó standard vagy prémium szintű tároló-e.	"prémium" "standard" (kötelező)

VaultCreateOrUpdateParametersTags

Név	Leírás	Érték

VaultProperties

Név	Leírás	Érték
accessPolicies	0–1024 identitásból álló tömb, amely hozzáfér a kulcstartóhoz. A tömb minden identitásának ugyanazt a bérlőazonosítót kell használnia, mint a kulcstartó bérlőazonosítóját. Ha createModerecovervan beállítva, nincs szükség hozzáférési szabályzatra. Ellenkező esetben hozzáférési szabályzatok szükségesek.	AccessPolicyEntry[]
createMode	A tároló létrehozási módja jelzi, hogy a tárolót helyre kell-e állítani.	'alapértelmezett' "helyreállítás"
enabledForDeployment	Property, amely megadja, hogy az Azure Virtual Machines jogosult-e a kulcs széfből titkos tanúsítványként tárolt tanúsítványok visszanyerésére.	Bool
enabledForDiskEncryption	Property, amely megadja, hogy engedélyezett-e az Azure Disk Encryption titkok lekérésére a tárolóból és a kulcsok kibontására.	Bool
enabledForTemplateDeployment	Property, hogy megadja, hogy az Azure Resource Manager jogosult-e titkokat letölteni a kulcstárból.	Bool
enablePurgeProtection	Tulajdonság, amely megadja, hogy engedélyezve van-e a törlés elleni védelem ehhez a tárolóhoz. Ennek a tulajdonságnak a true-ra állítása aktiválja a védelemet a vault és annak tartalmának törlése ellen – csak a Key Vault szolgáltatás indíthat el kemény, visszafordíthatatlan törlést. A beállítás csak akkor érvényes, ha a helyreállítható törlés is engedélyezve van. Ennek a funkciónak a engedélyezése visszavonhatatlan , vagyis a tulajdonság értéke nem fogadja el a hamis értéket.	Bool
enableRbacAuthorization	Az adatműveletek engedélyezését vezérlő tulajdonság. Ha igaz, a kulcstár a Role Based Access Control (RBAC) rendszert használja az adatműveletek hitelesítéséhez, és a vault tulajdonságaiban megadott hozzáférési szabályzatokat figyelmen kívül hagyják. Ha hamis, a kulcstár a vault tulajdonságaiban megadott hozzáférési szabályzatokat használja, és az Azure Resource Manager-ben tárolt szabályzatokat figyelmen kívül hagyják. Ha null vagy nincs megadva, a tároló az alapértelmezett hamis értékkel jön létre. Vegye figyelembe, hogy a felügyeleti műveletek mindig engedélyezve vannak az RBAC-vel.	Bool
enableSoftDelete	Tulajdonság annak megadásához, hogy engedélyezve van-e a "helyreállítható törlés" funkció ehhez a kulcstartóhoz. Ha az új kulcstartó létrehozásakor nincs érték (igaz vagy hamis), alapértelmezés szerint igaz értékre lesz állítva. Ha igaz értékre van állítva, nem állítható vissza hamisra.	Bool
hálózat ACL-ek	A kulcstartó adott hálózati helyekről való akadálymentességét szabályozó szabályok.	Hálózati szabálykészlet
ellátottsági állapot	A tároló kiépítési állapota.	"RegisteringDns" "Sikeres"
nyilvános hálózati hozzáférés	Tulajdonság annak megadásához, hogy a tároló fogadja-e a nyilvános internetről érkező forgalmat. Ha "letiltott" értékre van állítva az összes forgalom, kivéve a privát végpontok forgalmát, és amelyek megbízható szolgáltatásokból származnak, le lesz tiltva. Ez felülbírálja a beállított tűzfalszabályokat, ami azt jelenti, hogy még ha a tűzfalszabályok is jelen vannak, akkor sem fogjuk tiszteletben tartani a szabályokat.	karakterlánc
Sku	Termékváltozat részletei	termékváltozat (kötelező)
softDeleteRetentionInDays	softDelete adatmegőrzési napok. Elfogadja >=7 és <=90 értékeket.	Int
bérlőazonosító	Az Azure Active Directory bérlőazonosító, amelyet a kulcstartó lekérdezések hitelesítésére kell használni.	húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező)
vaultUri	A tároló URI-ja a kulcsokon és titkos kulcsokon végzett műveletek végrehajtásához.	karakterlánc

VirtualNetworkRule

Név	Leírás	Érték
azonosító	Egy virtuális hálózat alhálózatának teljes erőforrás-azonosítója, például "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1".	sztring (kötelező)
ignoreMissingVnetServiceEndpoint	Tulajdonság annak megadásához, hogy az NRP figyelmen kívül hagyja-e azt az ellenőrzést, hogy a szülő alhálózat rendelkezik-e serviceEndpoints konfigurálva.	Bool

Használati példák

Bicep minták

Egy alapvető példa a Key Vault telepítésére.

param resourceName string = 'acctest0001'
param location string = 'westeurope'

resource vault 'Microsoft.KeyVault/vaults@2021-10-01' = {
  name: resourceName
  location: location
  properties: {
    accessPolicies: [
      {
        objectId: deployer().objectId
        permissions: {
          certificates: [
            'ManageContacts'
          ]
          keys: [
            'Create'
          ]
          secrets: [
            'Set'
          ]
          storage: []
        }
        tenantId: deployer().tenantId
      }
    ]
    createMode: 'default'
    enableRbacAuthorization: false
    enableSoftDelete: true
    enabledForDeployment: false
    enabledForDiskEncryption: false
    enabledForTemplateDeployment: false
    publicNetworkAccess: 'Enabled'
    sku: {
      family: 'A'
      name: 'standard'
    }
    softDeleteRetentionInDays: 7
    tenantId: deployer().tenantId
  }
}

Azure-ból ellenőrzött modulok

A következő Azure Verified Modules használhatók ennek az erőforrástípusnak a telepítéséhez.

Modul	Leírás
Key Vault (kulcstároló)	AVM Erőforrás Modul a Key Vault-hoz

Azure gyorsútmutató-minták

A következő Azure Gyorsindítás sablonok Bicep mintát tartalmaznak ennek az erőforrástípusnak a telepítéséhez.

Bicep-fájl	Leírás
AKS klaszter NAT átjáróval és alkalmazásátjár	Ez a minta bemutatja, hogyan helyezhet üzembe egy AKS-fürtöt NAT Gateway használatával a kimenő kapcsolatokhoz, valamint egy Application Gatewayt a bejövő kapcsolatokhoz.
AKS klaszter az Application Gateway Ingress Controller	Ez a példa bemutatja, hogyan lehet telepíteni egy AKS klastert Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics és Key Vault segítségével
Application Gateway belső API menedzsmenttel és Web App	Application Gateway, amely az internetes forgalmat egy virtuális hálózat (belső mód) API-kezelő példányhoz irányítja, amely egy Azure Web alkalmazásban hosztolt web-API-t szolgál ki.
Azure AI Foundry alapbeállítás	Ez a sablonkészlet bemutatja, hogyan lehet beállítani az Azure AI Foundry-t az alapbeállítással, vagyis nyilvános internet-hozzáféréssel, Microsoft által kezelt kulcsokkal a titkosításhoz és Microsoft által kezelt identitáskonfigurációval az AI erőforráshoz.
Azure AI Foundry alapbeállítás	Ez a sablonkészlet bemutatja, hogyan lehet beállítani az Azure AI Foundry-t az alapbeállítással, vagyis nyilvános internet-hozzáféréssel, Microsoft által kezelt kulcsokkal a titkosításhoz és Microsoft által kezelt identitáskonfigurációval az AI erőforráshoz.
Az Azure AI Foundry hálózata korlátozott	Ez a sablonkészlet bemutatja, hogyan lehet beállítani az Azure AI Foundry-t privát kapcsolat és kilépés tiltott módon, Microsoft által kezelt kulcsokkal titkosításhoz és Microsoft által kezelt identitáskonfigurációval az AI erőforráshoz.
Azure AI Foundry Microsoft Entra ID hitelesítéssel	Ez a sablonkészlet bemutatja, hogyan lehet Azure AI Foundry-t beállítani Microsoft Entra ID hitelesítéssel függő erőforrásokhoz, mint például az Azure AI Services és az Azure Storage.
Azure AI Studio alapbeállítás	Ez a sablonkészlet bemutatja, hogyan lehet az Azure AI Studio-t az alapbeállítással beállítani, vagyis nyilvános internet-hozzáféréssel, Microsoft által kezelt titkosítási kulcsokkal és Microsoft által kezelt identitáskonfigurációval az AI erőforráshoz.
Azure AI Studio Network korlátozott	Ez a sablonkészlet bemutatja, hogyan lehet beállítani az Azure AI Studio-t privát kapcsolat és kilépés tiltva, Microsoft által kezelt kulcsokkal titkosítva, valamint Microsoft által kezelt identitáskonfigurációval az AI erőforráshoz.
Azure Function alkalmazás és egy HTTP-triggerelt funkció	Ez a példa egy Azure Function alkalmazást és egy HTTP-alapú funkciót telepít a sablonban. Emellett telepít egy Key Vault-t, és titkot tölt fel a funkcióalkalmazás host kulcsával.
Azure Machine Learning végponttól végpontig biztonságos beállítás	Ez a Bicep sablonkészlet bemutatja, hogyan lehet biztonságos beállításban beállítani az Azure Machine Learning-et végtől végig. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt.
Azure Machine Learning végponttól végig biztonságos beállítás (legacy)	Ez a Bicep sablonkészlet bemutatja, hogyan lehet biztonságos beállításban beállítani az Azure Machine Learning-et végtől végig. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt.
Azure Storage Fiók titkosítás ügyfél által kezelt kulccsal	Ez a sablon egy Storage Account fiókot telepít, amely egy ügyfél által kezelt titkosítási kulcsot tartalmaz, amelyet egy Key Vault-ban generálnak és helyeznek el.
egyszerű ügynökbeállítási identitás	Ez a sablonkészlet bemutatja, hogyan lehet Azure AI Agent Service-t beállítani az AI Service/AOAI kapcsolat menedzselt identitásának alapbeállításával. Az ügynökök a Microsoft által teljes mértékben felügyelt több-bérlős keresési és tárolási erőforrásokat használják. Nem ™lesz láthatóságod vagy irányításod ezeknek az alapul szolgáló Azure erőforrásoknak a felett.
Készíts egy Key Vault és egy titkos listát	Ez a sablon létrehoz egy Key Vault-ot és a key vault-on belüli titkok listáját, amelyet a paraméterekkel együtt továbbítanak
Hozz létre hálózati biztonsági perimetert	Ez a sablon létrehoz egy hálózati biztonsági perimétert és hozzá tartozó erőforrást egy Azure kulcstár védelmére.
Hozzon létre egy AKS számítási célpontot privát IP-címmel	Ez a sablon egy AKS számítási célpontot hoz létre az adott Azure Machine Learning szolgáltatási munkaterületen privát IP-címmel.
Hozz létre API-kezelő szolgáltatást SSL-lel a KeyVault	Ez a sablon üzembe helyez egy felhasználói hozzárendelt identitással konfigurált API Management szolgáltatást. Ezzel az identitással lekéri az SSL-tanúsítványt a KeyVaultból, és 4 óránként ellenőrzi.
Hozz létre egy Azure Key Vault és egy titkot	Ez a sablon létrehoz egy Azure Key Vault-ot és egy titkot.
Hozz létre egy Azure Key Vault RBAC-tal és egy titkos	Ez a sablon létrehoz egy Azure Key Vault-ot és egy titkot. Ahelyett, hogy hozzáférési szabályzatokra támaszkodna, az Azure RBAC-ot használja a titkok hitelesítésének kezelésére
Hozzon létre egy Azure Machine Learning szolgáltatási munkaterületet	Ez a telepítési sablon egy Azure Machine Learning munkaterületet és hozzá tartozó erőforrásokat határoz meg, beleértve az Azure Key Vault-ot, Azure Storage-t, Azure Application Insights-t és Azure Container Registry-t. Ez a konfiguráció leírja a minimális erőforrás-készletet, amire szükséged van az Azure Machine Learning kezdéséhez.
Hozzon létre egy Azure Machine Learning szolgáltatási munkaterületet (CMK)	Ez a telepítési sablon meghatározza, hogyan hozhatsz létre Azure Machine Learning munkaterületet szolgáltatásoldali titkosítással a titkosítási kulcsaiddal.
Hozzon létre egy Azure Machine Learning szolgáltatási munkaterületet (CMK)	Ez a telepítési sablon egy Azure Machine Learning munkaterületet és hozzá tartozó erőforrásokat határoz meg, beleértve az Azure Key Vault-ot, Azure Storage-t, Azure Application Insights-t és Azure Container Registry-t. A példa bemutatja, hogyan lehet konfigurálni az Azure Machine Learning-et titkosításra egy ügyfél által kezelt titkosítási kulccsal.
Hozzon létre egy Azure Machine Learning szolgáltatási munkaterületet (örökség)	Ez a telepítési sablon egy Azure Machine Learning munkaterületet és hozzá tartozó erőforrásokat határoz meg, beleértve az Azure Key Vault-ot, Azure Storage-t, Azure Application Insights-t és Azure Container Registry-t. Ez a konfiguráció leírja, milyen erőforrásokra van szükséged ahhoz, hogy elkezdd az Azure Machine Learning-et egy hálózatra elszigetelt rendszerben.
Create an Azure Machine Learning service workspace (vnet)	Ez a telepítési sablon egy Azure Machine Learning munkaterületet és hozzá tartozó erőforrásokat határoz meg, beleértve az Azure Key Vault-ot, Azure Storage-t, Azure Application Insights-t és Azure Container Registry-t. Ez a konfiguráció leírja, milyen erőforrásokra van szükséged ahhoz, hogy elkezdd az Azure Machine Learning-et egy hálózatra elszigetelt rendszerben.
Create Application Gateway tanúsítványokkal	Ez a sablon bemutatja, hogyan generálható Key Vault önalárendelt tanúsítványokat, majd az Application Gateway hivatkozása.
Létrehozz Key Vault bejelentkezéssel engedélyezve	Ez a sablon létrehoz egy Azure Key Vault-ot és egy Azure Storage fiókot, amelyet naplózásra használnak. Opcionálisan létrehoz erőforrás-zárokat, hogy megvédje a Key Vault-ot és a tárolóeszközöket.
Kulcstartó tároló létrehozása, menedzselt identitás és szerepkiosztás	Ez a sablon létrehoz egy kulcstartót, felügyelt identitást és szerepkör-hozzárendelést.
Generál egy Cross-tenant Private Endpoint erőforrást	Ez a sablon lehetővé teszi, hogy priavate végponterőforrást hozzon létre ugyanazon vagy bérlőközi környezetben, és dns-zónakonfigurációt adjon hozzá.
Létrehoz egy Dapr pub-sub servicebus alkalmazást a Container Apps	Hozzon létre egy Dapr pub-sub servicebus alkalmazást a Container Apps használatával.
Secure AI Foundry telepítése menedzselt virtuális hálózattal	Ez a sablon biztonságos Azure AI Foundry környezetet hoz létre robusztus hálózati és identitásbiztonsági korlátozásokkal.
Telepítsd a Sport Analytics rendszert Azure architektúrán	Létrehoz egy Azure tárolófiókot ADLS Gen 2 engedélyezve, egy Azure Data Factory példányt összekapcsolt szolgáltatásokkal a tárolófiókhoz (Azure SQL Database-t, ha telepített), valamint egy Azure Databricks példányt. A sablont üzembe helyező felhasználó AAD-identitása és az ADF-példány felügyelt identitása megkapja a tárfiókban a Storage Blob-adat közreműködői szerepkört. Van lehetőség Azure Key Vault instance, Azure SQL Database és Azure Event Hub (streaming használat esetén) telepítésére is. Amikor Azure Key Vault telepítve kerül, az adatgyár által kezelt identitás és az AAD identitás a sablont telepítő felhasználó számára a Key Vault Secrets User szerepét kapja.
FinOps Hub	Ez a sablon egy új FinOps hub példányt hoz létre, beleértve a Data Explorer-t, a Data Lake tárolást és a Data Factory-t.
hálózat biztonságos ügynök felhasználói menedzsel azonosítóval	Ez a sablonkészlet bemutatja, hogyan állítható be az Azure AI Agent Service-t virtuális hálózati izolációval, felhasználói Managed Identity hitelesítéssel az AI Service/AOAI kapcsolat és a privát hálózati kapcsolatok segítségével, hogy az ügynököt a biztonságos adataidhoz köthessék.
Standard ügynök beállítás	Ez a sablonkészlet bemutatja, hogyan lehet Azure AI Agent Service-t beállítani a szabványos beállítással, vagyis menedzselt azonosítással a projekt/hub kapcsolatok és a nyilvános internet-hozzáférés engedélyezve. Az ügynökök az ügyfél tulajdonában lévő, egybérlős keresési és tárolási erőforrásokat használják. Ezzel a beállítással teljes mértékben szabályozhatja és áttekintheti ezeket az erőforrásokat, de a használat alapján költségekkel kell számolnia.
tesztelési környezet Azure Firewall Premium	Ez a sablon egy Azure Firewall Premiumot és Firewall Policy-t hoz létre prémium funkciókkal, mint például Intruzió Inspection Detection (IDPS), TLS ellenőrzés és Web Kategória szűrés

ARM-sablon erőforrásdefiníciója

A tárolók erőforrástípusa olyan műveletekkel helyezhető üzembe, amelyek a következő célokat célják:

• Erőforráscsoportok – Lásd erőforráscsoport üzembe helyezési parancsaival

Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.

Erőforrás formátuma

Microsoft.KeyVault/Vaults-erőforrás létrehozásához adja hozzá a következő JSON-t a sablonhoz.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2025-05-01",
  "name": "string",
  "location": "string",
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "publicNetworkAccess": "string",
    "sku": {
      "family": "string",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  },
  "tags": {
    "{customized property}": "string"
  }
}

Tulajdonságértékek

Microsoft.KeyVault/tárolók

Név	Leírás	Érték
apiVersion	Az API verziója	'2025-05-01'
hely	Az a támogatott Azure hely, ahol a kulcstárat létre kell hozni.	sztring (kötelező)
név	Az erőforrás neve	sztring (kötelező)
kellékek	A tároló tulajdonságai	VaultProperties (kötelező)
Címkék	Erőforráscímkék	Címkenevek és -értékek szótára. sablonok címkéinek megtekintése
típus	Az erőforrás típusa	"Microsoft.KeyVault/vaults"

AccessPolicyEntry

Név	Leírás	Érték
applicationId	A megbízó nevében kérelmet küldő ügyfél alkalmazásazonosítója	húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId	A felhasználó, szolgáltatásfő vagy biztonsági csoport objektumazonosítója az Azure Active Directory bérlőben a vaulthoz. Az objektumazonosítónak egyedinek kell lennie a hozzáférési szabályzatok listájához.	sztring (kötelező)
engedélyek	Az identitás kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz tartozó engedélyekkel rendelkezik.	engedélyek (kötelező)
bérlőazonosító	Az Azure Active Directory bérlőazonosító, amelyet a kulcstartó lekérdezések hitelesítésére kell használni.	húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező)

Szellemi tulajdon

Név	Leírás	Érték
érték	Egy IPv4-címtartomány a CIDR-jelölésben, például "124.56.78.91" (egyszerű IP-cím) vagy "124.56.78.0/24" (minden cím, amely a 124.56.78-as számmal kezdődik).	sztring (kötelező)

Hálózati szabálykészlet

Név	Leírás	Érték
Kitérő	Azt jelzi, hogy milyen forgalom kerülheti meg a hálózati szabályokat. Ez lehet "AzureServices" vagy "None". Ha nincs megadva, az alapértelmezett érték az "AzureServices".	"AzureServices" "Nincs"
defaultAction	Az alapértelmezett művelet, ha az ipRules és a virtualNetworkRules szabálya nem egyezik. Ezt csak a bypass tulajdonság kiértékelése után használja a rendszer.	"Engedélyezés" "Megtagadás"
ipRules	Az IP-címszabályok listája.	IPRule[]
virtualNetworkRules	A virtuális hálózati szabályok listája.	VirtualNetworkRule[]

Engedélyek

Név	Leírás	Érték
Tanúsítványok	Tanúsítványokra vonatkozó engedélyek	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "törlés" "deleteissuers" "kapni" "getissuers" "importálás" "lista" "listissuers" "managecontacts" "kezelők" 'kiürítés' "helyreállítás" "visszaállítás" "setissuers" "frissítés"
Kulcsok	Kulcsok engedélyei	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "visszafejtés" "törlés" "titkosítás" "kapni" "Getrotationpolicy" "importálás" "lista" 'kiürítés' "helyreállítás" "kiadás" "visszaállítás" "forgatás" "setrotationpolicy" "sign" "unwrapKey" "frissítés" "ellenőrzés" "wrapKey"
Titkok	Titkos kódokra vonatkozó engedélyek	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" "kapni" "lista" 'kiürítés' "helyreállítás" "visszaállítás" "Készlet"
tár	Tárfiókok engedélyei	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" "deletesas" "kapni" "getsas" "lista" "listsas" 'kiürítés' "helyreállítás" "Regeneratekey" "visszaállítás" "Készlet" "setsas" "frissítés"

termékazonosító (SKU)

Név	Leírás	Érték
Család	Termékváltozat családneve	"A" (kötelező)
név	Termékváltozat neve annak megadásához, hogy a kulcstartó standard vagy prémium szintű tároló-e.	"prémium" "standard" (kötelező)

VaultCreateOrUpdateParametersTags

Név	Leírás	Érték

VaultProperties

Név	Leírás	Érték
accessPolicies	0–1024 identitásból álló tömb, amely hozzáfér a kulcstartóhoz. A tömb minden identitásának ugyanazt a bérlőazonosítót kell használnia, mint a kulcstartó bérlőazonosítóját. Ha createModerecovervan beállítva, nincs szükség hozzáférési szabályzatra. Ellenkező esetben hozzáférési szabályzatok szükségesek.	AccessPolicyEntry[]
createMode	A tároló létrehozási módja jelzi, hogy a tárolót helyre kell-e állítani.	'alapértelmezett' "helyreállítás"
enabledForDeployment	Property, amely megadja, hogy az Azure Virtual Machines jogosult-e a kulcs széfből titkos tanúsítványként tárolt tanúsítványok visszanyerésére.	Bool
enabledForDiskEncryption	Property, amely megadja, hogy engedélyezett-e az Azure Disk Encryption titkok lekérésére a tárolóból és a kulcsok kibontására.	Bool
enabledForTemplateDeployment	Property, hogy megadja, hogy az Azure Resource Manager jogosult-e titkokat letölteni a kulcstárból.	Bool
enablePurgeProtection	Tulajdonság, amely megadja, hogy engedélyezve van-e a törlés elleni védelem ehhez a tárolóhoz. Ennek a tulajdonságnak a true-ra állítása aktiválja a védelemet a vault és annak tartalmának törlése ellen – csak a Key Vault szolgáltatás indíthat el kemény, visszafordíthatatlan törlést. A beállítás csak akkor érvényes, ha a helyreállítható törlés is engedélyezve van. Ennek a funkciónak a engedélyezése visszavonhatatlan , vagyis a tulajdonság értéke nem fogadja el a hamis értéket.	Bool
enableRbacAuthorization	Az adatműveletek engedélyezését vezérlő tulajdonság. Ha igaz, a kulcstár a Role Based Access Control (RBAC) rendszert használja az adatműveletek hitelesítéséhez, és a vault tulajdonságaiban megadott hozzáférési szabályzatokat figyelmen kívül hagyják. Ha hamis, a kulcstár a vault tulajdonságaiban megadott hozzáférési szabályzatokat használja, és az Azure Resource Manager-ben tárolt szabályzatokat figyelmen kívül hagyják. Ha null vagy nincs megadva, a tároló az alapértelmezett hamis értékkel jön létre. Vegye figyelembe, hogy a felügyeleti műveletek mindig engedélyezve vannak az RBAC-vel.	Bool
enableSoftDelete	Tulajdonság annak megadásához, hogy engedélyezve van-e a "helyreállítható törlés" funkció ehhez a kulcstartóhoz. Ha az új kulcstartó létrehozásakor nincs érték (igaz vagy hamis), alapértelmezés szerint igaz értékre lesz állítva. Ha igaz értékre van állítva, nem állítható vissza hamisra.	Bool
hálózat ACL-ek	A kulcstartó adott hálózati helyekről való akadálymentességét szabályozó szabályok.	Hálózati szabálykészlet
ellátottsági állapot	A tároló kiépítési állapota.	"RegisteringDns" "Sikeres"
nyilvános hálózati hozzáférés	Tulajdonság annak megadásához, hogy a tároló fogadja-e a nyilvános internetről érkező forgalmat. Ha "letiltott" értékre van állítva az összes forgalom, kivéve a privát végpontok forgalmát, és amelyek megbízható szolgáltatásokból származnak, le lesz tiltva. Ez felülbírálja a beállított tűzfalszabályokat, ami azt jelenti, hogy még ha a tűzfalszabályok is jelen vannak, akkor sem fogjuk tiszteletben tartani a szabályokat.	karakterlánc
Sku	Termékváltozat részletei	termékváltozat (kötelező)
softDeleteRetentionInDays	softDelete adatmegőrzési napok. Elfogadja >=7 és <=90 értékeket.	Int
bérlőazonosító	Az Azure Active Directory bérlőazonosító, amelyet a kulcstartó lekérdezések hitelesítésére kell használni.	húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező)
vaultUri	A tároló URI-ja a kulcsokon és titkos kulcsokon végzett műveletek végrehajtásához.	karakterlánc

VirtualNetworkRule

Név	Leírás	Érték
azonosító	Egy virtuális hálózat alhálózatának teljes erőforrás-azonosítója, például "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1".	sztring (kötelező)
ignoreMissingVnetServiceEndpoint	Tulajdonság annak megadásához, hogy az NRP figyelmen kívül hagyja-e azt az ellenőrzést, hogy a szülő alhálózat rendelkezik-e serviceEndpoints konfigurálva.	Bool

Használati példák

Azure Quickstart Sablonok

A következő Azure Gyorsindítás sablonok telepítik ezt az erőforrás-típust.

Sablon	Leírás
AKS klaszter NAT átjáróval és alkalmazásátjár deploy Azure	Ez a minta bemutatja, hogyan helyezhet üzembe egy AKS-fürtöt NAT Gateway használatával a kimenő kapcsolatokhoz, valamint egy Application Gatewayt a bejövő kapcsolatokhoz.
AKS klaszter az Application Gateway Ingress Controller deploy Azure	Ez a példa bemutatja, hogyan lehet telepíteni egy AKS klastert Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics és Key Vault segítségével
App Service Environment Azure SQL háttérrendszerrel deploy Azure	Ez a sablon egy App Service Environment-et hoz létre Azure SQL háttérrendszerrel, privát végpontokkal, valamint a jellemzően privát/elszigetelt környezetben használt kapcsolódó erőforrásokkal.
Application Gateway belső API menedzsmenttel és Web App deploy Azure	Application Gateway, amely az internetes forgalmat egy virtuális hálózat (belső mód) API-kezelő példányhoz irányítja, amely egy Azure Web alkalmazásban hosztolt web-API-t szolgál ki.
Azure AI Foundry alapbeállítás deploy Azure	Ez a sablonkészlet bemutatja, hogyan lehet beállítani az Azure AI Foundry-t az alapbeállítással, vagyis nyilvános internet-hozzáféréssel, Microsoft által kezelt kulcsokkal a titkosításhoz és Microsoft által kezelt identitáskonfigurációval az AI erőforráshoz.
Azure AI Foundry alapbeállítás deploy Azure	Ez a sablonkészlet bemutatja, hogyan lehet beállítani az Azure AI Foundry-t az alapbeállítással, vagyis nyilvános internet-hozzáféréssel, Microsoft által kezelt kulcsokkal a titkosításhoz és Microsoft által kezelt identitáskonfigurációval az AI erőforráshoz.
Az Azure AI Foundry hálózata korlátozott deploy Azure	Ez a sablonkészlet bemutatja, hogyan lehet beállítani az Azure AI Foundry-t privát kapcsolat és kilépés tiltott módon, Microsoft által kezelt kulcsokkal titkosításhoz és Microsoft által kezelt identitáskonfigurációval az AI erőforráshoz.
Azure AI Foundry Microsoft Entra ID hitelesítéssel deploy Azure	Ez a sablonkészlet bemutatja, hogyan lehet Azure AI Foundry-t beállítani Microsoft Entra ID hitelesítéssel függő erőforrásokhoz, mint például az Azure AI Services és az Azure Storage.
Azure AI Studio alapbeállítás deploy Azure	Ez a sablonkészlet bemutatja, hogyan lehet az Azure AI Studio-t az alapbeállítással beállítani, vagyis nyilvános internet-hozzáféréssel, Microsoft által kezelt titkosítási kulcsokkal és Microsoft által kezelt identitáskonfigurációval az AI erőforráshoz.
Azure AI Studio Network korlátozott deploy Azure	Ez a sablonkészlet bemutatja, hogyan lehet beállítani az Azure AI Studio-t privát kapcsolat és kilépés tiltva, Microsoft által kezelt kulcsokkal titkosítva, valamint Microsoft által kezelt identitáskonfigurációval az AI erőforráshoz.
Azure Function alkalmazás és egy HTTP-triggerelt funkció deploy Azure	Ez a példa egy Azure Function alkalmazást és egy HTTP-alapú funkciót telepít a sablonban. Emellett telepít egy Key Vault-t, és titkot tölt fel a funkcióalkalmazás host kulcsával.
Azure Machine Learning végponttól végpontig biztonságos beállítás deploy Azure	Ez a Bicep sablonkészlet bemutatja, hogyan lehet biztonságos beállításban beállítani az Azure Machine Learning-et végtől végig. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt.
Azure Machine Learning végponttól végig biztonságos beállítás (legacy) deploy Azure	Ez a Bicep sablonkészlet bemutatja, hogyan lehet biztonságos beállításban beállítani az Azure Machine Learning-et végtől végig. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt.
Azure Machine Learning Workspace deploy Azure	Ez a sablon új Azure Machine Learning Workspace-t hoz létre, valamint titkosított Storage Accountot, KeyVaultot és Applications Insights Logging rendszert
Azure Storage Fiók titkosítás ügyfél által kezelt kulccsal deploy Azure	Ez a sablon egy Storage Account fiókot telepít, amely egy ügyfél által kezelt titkosítási kulcsot tartalmaz, amelyet egy Key Vault-ban generálnak és helyeznek el.
egyszerű ügynökbeállítási identitás deploy Azure	Ez a sablonkészlet bemutatja, hogyan lehet Azure AI Agent Service-t beállítani az AI Service/AOAI kapcsolat menedzselt identitásának alapbeállításával. Az ügynökök a Microsoft által teljes mértékben felügyelt több-bérlős keresési és tárolási erőforrásokat használják. Nem ™lesz láthatóságod vagy irányításod ezeknek az alapul szolgáló Azure erőforrásoknak a felett.
csatlakozz egy Key Vault-hez privát végponton keresztül deploy Azure	Ez a minta bemutatja, hogyan lehet virtuális hálózat és privát DNS zóna konfigurálását használni a Key Vault elérésére privát végponton keresztül.
Készíts egy Key Vault és egy titkos listát deploy Azure	Ez a sablon létrehoz egy Key Vault-ot és a key vault-on belüli titkok listáját, amelyet a paraméterekkel együtt továbbítanak
KeyVault létrehozása deploy Azure	Ez a modul létrehoz egy KeyVault-erőforrást az apiVersion 2019-09-01 használatával.
Hozz létre hálózati biztonsági perimetert deploy Azure	Ez a sablon létrehoz egy hálózati biztonsági perimétert és hozzá tartozó erőforrást egy Azure kulcstár védelmére.
Hozzon létre egy új titkosított Windows VM-et a galéria képből deploy Azure	Ez a sablon létrehoz egy új titkosított windowsos virtuális gépet a kiszolgáló 2k12 katalógusképével.
hozzon létre egy privát AKS klastert nyilvános DNS zónával deploy Azure	Ez a minta bemutatja, hogyan helyezhet üzembe privát AKS-fürtöt nyilvános DNS-zónával.
AML munkaterület létrehozása több adathalmazzal és Adattárolók deploy Azure	Ez a sablon Azure Machine Learning munkaterületet hoz létre több adathalmával és adattárolóval.
Hozzon létre egy AKS számítási célpontot privát IP-címmel deploy Azure	Ez a sablon egy AKS számítási célpontot hoz létre az adott Azure Machine Learning szolgáltatási munkaterületen privát IP-címmel.
Hozz létre API-kezelő szolgáltatást SSL-lel a KeyVault deploy Azure	Ez a sablon üzembe helyez egy felhasználói hozzárendelt identitással konfigurált API Management szolgáltatást. Ezzel az identitással lekéri az SSL-tanúsítványt a KeyVaultból, és 4 óránként ellenőrzi.
Hozzon létre egy Application Gateway V2-t Key Vault deploy Azure	Ez a sablon egy Application Gateway V2-t telepít egy Virtual Network-ben, egy felhasználó által definiált identitást, Key Vault-ot, egy titkot (cert adatok), valamint hozzáférési szabályzatot a Key Vault-on és az Application Gateway-en.
Hozz létre egy Azure Key Vault és egy titkot deploy Azure	Ez a sablon létrehoz egy Azure Key Vault-ot és egy titkot.
Hozz létre egy Azure Key Vault RBAC-tal és egy titkos deploy Azure	Ez a sablon létrehoz egy Azure Key Vault-ot és egy titkot. Ahelyett, hogy hozzáférési szabályzatokra támaszkodna, az Azure RBAC-ot használja a titkok hitelesítésének kezelésére
Hozzon létre egy Azure Machine Learning szolgáltatási munkaterületet deploy Azure	Ez a telepítési sablon egy Azure Machine Learning munkaterületet és hozzá tartozó erőforrásokat határoz meg, beleértve az Azure Key Vault-ot, Azure Storage-t, Azure Application Insights-t és Azure Container Registry-t. Ez a konfiguráció leírja a minimális erőforrás-készletet, amire szükséged van az Azure Machine Learning kezdéséhez.
Hozzon létre egy Azure Machine Learning szolgáltatási munkaterületet (CMK) deploy Azure	Ez a telepítési sablon meghatározza, hogyan hozhatsz létre Azure Machine Learning munkaterületet szolgáltatásoldali titkosítással a titkosítási kulcsaiddal.
Hozzon létre egy Azure Machine Learning szolgáltatási munkaterületet (CMK) deploy Azure	Ez a telepítési sablon egy Azure Machine Learning munkaterületet és hozzá tartozó erőforrásokat határoz meg, beleértve az Azure Key Vault-ot, Azure Storage-t, Azure Application Insights-t és Azure Container Registry-t. A példa bemutatja, hogyan lehet konfigurálni az Azure Machine Learning-et titkosításra egy ügyfél által kezelt titkosítási kulccsal.
Hozzon létre egy Azure Machine Learning szolgáltatási munkaterületet (örökség) deploy Azure	Ez a telepítési sablon egy Azure Machine Learning munkaterületet és hozzá tartozó erőforrásokat határoz meg, beleértve az Azure Key Vault-ot, Azure Storage-t, Azure Application Insights-t és Azure Container Registry-t. Ez a konfiguráció leírja, milyen erőforrásokra van szükséged ahhoz, hogy elkezdd az Azure Machine Learning-et egy hálózatra elszigetelt rendszerben.
Create an Azure Machine Learning service workspace (vnet) deploy Azure	Ez a telepítési sablon egy Azure Machine Learning munkaterületet és hozzá tartozó erőforrásokat határoz meg, beleértve az Azure Key Vault-ot, Azure Storage-t, Azure Application Insights-t és Azure Container Registry-t. Ez a konfiguráció leírja, milyen erőforrásokra van szükséged ahhoz, hogy elkezdd az Azure Machine Learning-et egy hálózatra elszigetelt rendszerben.
új VMSS-Windows t hozz létre és titkosítsd jumpbox deploy Azure	Ez a sablon lehetővé teszi, hogy egy egyszerű VM Scale Set Windows VM-eket telepítsünk a leglegutóbb javított szerver Windows verziók segítségével. Ez a sablon egy jumpboxot is üzembe helyez egy nyilvános IP-címmel ugyanabban a virtuális hálózaton. Csatlakozhatsz a jumpboxhoz ezen a nyilvános IP-címen keresztül, majd onnan privát IP-címeken keresztül csatlakozhatsz a skálázási rendszerű VM-ekhez. Ez a sablon lehetővé teszi a titkosítást a Windows VM-ek VM Scale Set-én.
Create Application Gateway tanúsítványokkal deploy Azure	Ez a sablon bemutatja, hogyan generálható Key Vault önalárendelt tanúsítványokat, majd az Application Gateway hivatkozása.
Létrehozz Key Vault bejelentkezéssel engedélyezve deploy Azure	Ez a sablon létrehoz egy Azure Key Vault-ot és egy Azure Storage fiókot, amelyet naplózásra használnak. Opcionálisan létrehoz erőforrás-zárokat, hogy megvédje a Key Vault-ot és a tárolóeszközöket.
Kulcstartó tároló létrehozása, menedzselt identitás és szerepkiosztás deploy Azure	Ez a sablon létrehoz egy kulcstartót, felügyelt identitást és szerepkör-hozzárendelést.
Új titkosított menedzselt lemezek létrehozása a galériaképből deploy Azure	Ez a sablon egy új titkosított felügyelt lemezt hoz létre windowsos virtuális gépként a kiszolgáló 2k12 katalógusának rendszerképével.
Generál egy Cross-tenant Private Endpoint erőforrást deploy Azure	Ez a sablon lehetővé teszi, hogy priavate végponterőforrást hozzon létre ugyanazon vagy bérlőközi környezetben, és dns-zónakonfigurációt adjon hozzá.
Létrehoz egy Dapr pub-sub servicebus alkalmazást a Container Apps deploy Azure	Hozzon létre egy Dapr pub-sub servicebus alkalmazást a Container Apps használatával.
Secure AI Foundry telepítése menedzselt virtuális hálózattal deploy Azure	Ez a sablon biztonságos Azure AI Foundry környezetet hoz létre robusztus hálózati és identitásbiztonsági korlátozásokkal.
Telepítsd a Sport Analytics rendszert Azure architektúrán deploy Azure	Létrehoz egy Azure tárolófiókot ADLS Gen 2 engedélyezve, egy Azure Data Factory példányt összekapcsolt szolgáltatásokkal a tárolófiókhoz (Azure SQL Database-t, ha telepített), valamint egy Azure Databricks példányt. A sablont üzembe helyező felhasználó AAD-identitása és az ADF-példány felügyelt identitása megkapja a tárfiókban a Storage Blob-adat közreműködői szerepkört. Van lehetőség Azure Key Vault instance, Azure SQL Database és Azure Event Hub (streaming használat esetén) telepítésére is. Amikor Azure Key Vault telepítve kerül, az adatgyár által kezelt identitás és az AAD identitás a sablont telepítő felhasználó számára a Key Vault Secrets User szerepét kapja.
Titkosítás engedélyezése egy futó Windows VM deploy Azure	Ez a sablon lehetővé teszi a titkosítást egy futó windowsos virtuális gépen.
FinOps Hub deploy Azure	Ez a sablon egy új FinOps hub példányt hoz létre, beleértve a Data Explorer-t, a Data Lake tárolást és a Data Factory-t.
hálózat biztonságos ügynök felhasználói menedzsel azonosítóval deploy Azure	Ez a sablonkészlet bemutatja, hogyan állítható be az Azure AI Agent Service-t virtuális hálózati izolációval, felhasználói Managed Identity hitelesítéssel az AI Service/AOAI kapcsolat és a privát hálózati kapcsolatok segítségével, hogy az ügynököt a biztonságos adataidhoz köthessék.
Standard ügynök beállítás deploy Azure	Ez a sablonkészlet bemutatja, hogyan lehet Azure AI Agent Service-t beállítani a szabványos beállítással, vagyis menedzselt azonosítással a projekt/hub kapcsolatok és a nyilvános internet-hozzáférés engedélyezve. Az ügynökök az ügyfél tulajdonában lévő, egybérlős keresési és tárolási erőforrásokat használják. Ezzel a beállítással teljes mértékben szabályozhatja és áttekintheti ezeket az erőforrásokat, de a használat alapján költségekkel kell számolnia.
tesztelési környezet Azure Firewall Premium deploy Azure	Ez a sablon egy Azure Firewall Premiumot és Firewall Policy-t hoz létre prémium funkciókkal, mint például Intruzió Inspection Detection (IDPS), TLS ellenőrzés és Web Kategória szűrés
Ez a sablon titkosítja a futó Windows VMSS deploy Azure	Ez a sablon lehetővé teszi a titkosítást egy futó Windows VM Scale Set esetén

Terraform (AzAPI-szolgáltató) erőforrásdefiníciója

A tárolók erőforrástípusa olyan műveletekkel helyezhető üzembe, amelyek a következő célokat célják:

• erőforráscsoportok

Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.

Erőforrás formátuma

Microsoft.KeyVault/Vaults-erőforrás létrehozásához adja hozzá a következő Terraformot a sablonhoz.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2025-05-01"
  name = "string"
  parent_id = "string"
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = {
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      publicNetworkAccess = "string"
      sku = {
        family = "string"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  }
}

Tulajdonságértékek

Microsoft.KeyVault/tárolók

Név	Leírás	Érték
hely	Az a támogatott Azure hely, ahol a kulcstárat létre kell hozni.	sztring (kötelező)
név	Az erőforrás neve	sztring (kötelező)
kellékek	A tároló tulajdonságai	VaultProperties (kötelező)
Címkék	Erőforráscímkék	Címkenevek és -értékek szótára.
típus	Az erőforrás típusa	"Microsoft.KeyVault/vaults@2025-05-01"

AccessPolicyEntry

Név	Leírás	Érték
applicationId	A megbízó nevében kérelmet küldő ügyfél alkalmazásazonosítója	húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId	A felhasználó, szolgáltatásfő vagy biztonsági csoport objektumazonosítója az Azure Active Directory bérlőben a vaulthoz. Az objektumazonosítónak egyedinek kell lennie a hozzáférési szabályzatok listájához.	sztring (kötelező)
engedélyek	Az identitás kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz tartozó engedélyekkel rendelkezik.	engedélyek (kötelező)
bérlőazonosító	Az Azure Active Directory bérlőazonosító, amelyet a kulcstartó lekérdezések hitelesítésére kell használni.	húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező)

Szellemi tulajdon

Név	Leírás	Érték
érték	Egy IPv4-címtartomány a CIDR-jelölésben, például "124.56.78.91" (egyszerű IP-cím) vagy "124.56.78.0/24" (minden cím, amely a 124.56.78-as számmal kezdődik).	sztring (kötelező)

Hálózati szabálykészlet

Név	Leírás	Érték
Kitérő	Azt jelzi, hogy milyen forgalom kerülheti meg a hálózati szabályokat. Ez lehet "AzureServices" vagy "None". Ha nincs megadva, az alapértelmezett érték az "AzureServices".	"AzureServices" "Nincs"
defaultAction	Az alapértelmezett művelet, ha az ipRules és a virtualNetworkRules szabálya nem egyezik. Ezt csak a bypass tulajdonság kiértékelése után használja a rendszer.	"Engedélyezés" "Megtagadás"
ipRules	Az IP-címszabályok listája.	IPRule[]
virtualNetworkRules	A virtuális hálózati szabályok listája.	VirtualNetworkRule[]

Engedélyek

Név	Leírás	Érték
Tanúsítványok	Tanúsítványokra vonatkozó engedélyek	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "törlés" "deleteissuers" "kapni" "getissuers" "importálás" "lista" "listissuers" "managecontacts" "kezelők" 'kiürítés' "helyreállítás" "visszaállítás" "setissuers" "frissítés"
Kulcsok	Kulcsok engedélyei	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "visszafejtés" "törlés" "titkosítás" "kapni" "Getrotationpolicy" "importálás" "lista" 'kiürítés' "helyreállítás" "kiadás" "visszaállítás" "forgatás" "setrotationpolicy" "sign" "unwrapKey" "frissítés" "ellenőrzés" "wrapKey"
Titkok	Titkos kódokra vonatkozó engedélyek	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" "kapni" "lista" 'kiürítés' "helyreállítás" "visszaállítás" "Készlet"
tár	Tárfiókok engedélyei	Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" "deletesas" "kapni" "getsas" "lista" "listsas" 'kiürítés' "helyreállítás" "Regeneratekey" "visszaállítás" "Készlet" "setsas" "frissítés"

termékazonosító (SKU)

Név	Leírás	Érték
Család	Termékváltozat családneve	"A" (kötelező)
név	Termékváltozat neve annak megadásához, hogy a kulcstartó standard vagy prémium szintű tároló-e.	"prémium" "standard" (kötelező)

VaultCreateOrUpdateParametersTags

Név	Leírás	Érték

VaultProperties

Név	Leírás	Érték
accessPolicies	0–1024 identitásból álló tömb, amely hozzáfér a kulcstartóhoz. A tömb minden identitásának ugyanazt a bérlőazonosítót kell használnia, mint a kulcstartó bérlőazonosítóját. Ha createModerecovervan beállítva, nincs szükség hozzáférési szabályzatra. Ellenkező esetben hozzáférési szabályzatok szükségesek.	AccessPolicyEntry[]
createMode	A tároló létrehozási módja jelzi, hogy a tárolót helyre kell-e állítani.	'alapértelmezett' "helyreállítás"
enabledForDeployment	Property, amely megadja, hogy az Azure Virtual Machines jogosult-e a kulcs széfből titkos tanúsítványként tárolt tanúsítványok visszanyerésére.	Bool
enabledForDiskEncryption	Property, amely megadja, hogy engedélyezett-e az Azure Disk Encryption titkok lekérésére a tárolóból és a kulcsok kibontására.	Bool
enabledForTemplateDeployment	Property, hogy megadja, hogy az Azure Resource Manager jogosult-e titkokat letölteni a kulcstárból.	Bool
enablePurgeProtection	Tulajdonság, amely megadja, hogy engedélyezve van-e a törlés elleni védelem ehhez a tárolóhoz. Ennek a tulajdonságnak a true-ra állítása aktiválja a védelemet a vault és annak tartalmának törlése ellen – csak a Key Vault szolgáltatás indíthat el kemény, visszafordíthatatlan törlést. A beállítás csak akkor érvényes, ha a helyreállítható törlés is engedélyezve van. Ennek a funkciónak a engedélyezése visszavonhatatlan , vagyis a tulajdonság értéke nem fogadja el a hamis értéket.	Bool
enableRbacAuthorization	Az adatműveletek engedélyezését vezérlő tulajdonság. Ha igaz, a kulcstár a Role Based Access Control (RBAC) rendszert használja az adatműveletek hitelesítéséhez, és a vault tulajdonságaiban megadott hozzáférési szabályzatokat figyelmen kívül hagyják. Ha hamis, a kulcstár a vault tulajdonságaiban megadott hozzáférési szabályzatokat használja, és az Azure Resource Manager-ben tárolt szabályzatokat figyelmen kívül hagyják. Ha null vagy nincs megadva, a tároló az alapértelmezett hamis értékkel jön létre. Vegye figyelembe, hogy a felügyeleti műveletek mindig engedélyezve vannak az RBAC-vel.	Bool
enableSoftDelete	Tulajdonság annak megadásához, hogy engedélyezve van-e a "helyreállítható törlés" funkció ehhez a kulcstartóhoz. Ha az új kulcstartó létrehozásakor nincs érték (igaz vagy hamis), alapértelmezés szerint igaz értékre lesz állítva. Ha igaz értékre van állítva, nem állítható vissza hamisra.	Bool
hálózat ACL-ek	A kulcstartó adott hálózati helyekről való akadálymentességét szabályozó szabályok.	Hálózati szabálykészlet
ellátottsági állapot	A tároló kiépítési állapota.	"RegisteringDns" "Sikeres"
nyilvános hálózati hozzáférés	Tulajdonság annak megadásához, hogy a tároló fogadja-e a nyilvános internetről érkező forgalmat. Ha "letiltott" értékre van állítva az összes forgalom, kivéve a privát végpontok forgalmát, és amelyek megbízható szolgáltatásokból származnak, le lesz tiltva. Ez felülbírálja a beállított tűzfalszabályokat, ami azt jelenti, hogy még ha a tűzfalszabályok is jelen vannak, akkor sem fogjuk tiszteletben tartani a szabályokat.	karakterlánc
Sku	Termékváltozat részletei	termékváltozat (kötelező)
softDeleteRetentionInDays	softDelete adatmegőrzési napok. Elfogadja >=7 és <=90 értékeket.	Int
bérlőazonosító	Az Azure Active Directory bérlőazonosító, amelyet a kulcstartó lekérdezések hitelesítésére kell használni.	húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező)
vaultUri	A tároló URI-ja a kulcsokon és titkos kulcsokon végzett műveletek végrehajtásához.	karakterlánc

VirtualNetworkRule

Név	Leírás	Érték
azonosító	Egy virtuális hálózat alhálózatának teljes erőforrás-azonosítója, például "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1".	sztring (kötelező)
ignoreMissingVnetServiceEndpoint	Tulajdonság annak megadásához, hogy az NRP figyelmen kívül hagyja-e azt az ellenőrzést, hogy a szülő alhálózat rendelkezik-e serviceEndpoints konfigurálva.	Bool

Használati példák

Terraform minták

Egy alapvető példa a Key Vault telepítésére.

terraform {
  required_providers {
    azapi = {
      source = "Azure/azapi"
    }
    azurerm = {
      source = "hashicorp/azurerm"
    }
  }
}

provider "azurerm" {
  features {
  }
}

provider "azapi" {
  skip_provider_registration = false
}

variable "resource_name" {
  type    = string
  default = "acctest0001"
}

variable "location" {
  type    = string
  default = "westeurope"
}

data "azurerm_client_config" "current" {
}

resource "azapi_resource" "resourceGroup" {
  type     = "Microsoft.Resources/resourceGroups@2020-06-01"
  name     = var.resource_name
  location = var.location
}

resource "azapi_resource" "vault" {
  type      = "Microsoft.KeyVault/vaults@2021-10-01"
  parent_id = azapi_resource.resourceGroup.id
  name      = var.resource_name
  location  = var.location
  body = {
    properties = {
      accessPolicies = [
        {
          objectId = data.azurerm_client_config.current.object_id
          permissions = {
            certificates = [
              "ManageContacts",
            ]
            keys = [
              "Create",
            ]
            secrets = [
              "Set",
            ]
            storage = [
            ]
          }
          tenantId = data.azurerm_client_config.current.tenant_id
        },
      ]
      createMode                   = "default"
      enableRbacAuthorization      = false
      enableSoftDelete             = true
      enabledForDeployment         = false
      enabledForDiskEncryption     = false
      enabledForTemplateDeployment = false
      publicNetworkAccess          = "Enabled"
      sku = {
        family = "A"
        name   = "standard"
      }
      softDeleteRetentionInDays = 7
      tenantId                  = data.azurerm_client_config.current.tenant_id
    }
  }
  schema_validation_enabled = false
  response_export_values    = ["*"]
}

Azure-ból ellenőrzött modulok

A következő Azure Verified Modules használhatók ennek az erőforrástípusnak a telepítéséhez.

Modul	Leírás
Key Vault (kulcstároló)	AVM Erőforrás Modul a Key Vault-hoz