Megosztás a következőn keresztül:


Microsoft.KeyVault-tárolók

Bicep-erőforrásdefiníció

A tárolók erőforrástípusa olyan műveletekkel helyezhető üzembe, amelyek a következő célokat célják:

Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.

Megjegyzések

A kulcstartók biztonságos értékekhez való használatáról a Titkos kulcsok kezelése a Bicephasználatával című témakörben talál útmutatást.

A titkos kulcsok létrehozásáról rövid útmutató: Titkos kulcs beállítása és lekérése az Azure Key Vaultból ARM-sablonnal.

A kulcsok létrehozásáról rövid útmutató: Azure-kulcstartó és kulcs létrehozása ARM-sablonnal.

Erőforrás formátuma

Microsoft.KeyVault/Vaults-erőforrás létrehozásához adja hozzá a következő Bicep-et a sablonhoz.

resource symbolicname 'Microsoft.KeyVault/vaults@2023-07-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    publicNetworkAccess: 'string'
    sku: {
      family: 'A'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
}

Tulajdonságértékek

Boltívek

Név Leírás Érték
név Az erőforrás neve sztring (kötelező)

Karakterkorlát: 3-24

Érvényes karakterek:
Alfanumerikus és kötőjelek.

Kezdje a betűvel. Betűvel vagy számjegygel végződik. Egymást követő kötőjelek nem tartalmazhatnak.

Az erőforrásnévnek egyedinek kell lennie az Azure-ban.
hely A támogatott Azure-hely, ahol létre kell hozni a kulcstartót. sztring (kötelező)
Címkék A kulcstartóhoz hozzárendelendő címkék. Címkenevek és -értékek szótára. sablonok címkéinek megtekintése
kellékek A tároló tulajdonságai VaultProperties (kötelező)

VaultProperties

Név Leírás Érték
accessPolicies 0–1024 identitásból álló tömb, amely hozzáfér a kulcstartóhoz. A tömb minden identitásának ugyanazt a bérlőazonosítót kell használnia, mint a kulcstartó bérlőazonosítóját. Ha createModerecovervan beállítva, nincs szükség hozzáférési szabályzatra. Ellenkező esetben hozzáférési szabályzatok szükségesek. AccessPolicyEntry[]
createMode A tároló létrehozási módja jelzi, hogy a tárolót helyre kell-e állítani. 'alapértelmezett'
"helyreállítás"
enabledForDeployment Tulajdonság annak megadásához, hogy az Azure-beli virtuális gépek jogosultak-e titkos kulcsként tárolt tanúsítványok lekérésére a kulcstartóból. Bool
enabledForDiskEncryption Tulajdonság annak megadásához, hogy az Azure Disk Encryption jogosult-e titkos kulcsok lekérésére a tárolóból és a kulcsok kicsomagolására. Bool
enabledForTemplateDeployment Tulajdonság annak megadásához, hogy az Azure Resource Manager jogosult-e titkos kulcsok lekérésére a kulcstartóból. Bool
enablePurgeProtection Tulajdonság, amely megadja, hogy engedélyezve van-e a törlés elleni védelem ehhez a tárolóhoz. A tulajdonság igaz értékre állítása aktiválja a tároló és tartalma kiürítése elleni védelmet – csak a Key Vault szolgáltatás kezdeményezhet helyreállíthatatlan törlést. A beállítás csak akkor érvényes, ha a helyreállítható törlés is engedélyezve van. Ennek a funkciónak a engedélyezése visszavonhatatlan , vagyis a tulajdonság értéke nem fogadja el a hamis értéket. Bool
enableRbacAuthorization Az adatműveletek engedélyezését vezérlő tulajdonság. Ha igaz, a kulcstartó szerepköralapú hozzáférés-vezérlést (RBAC) használ az adatműveletek engedélyezéséhez, és a tároló tulajdonságaiban megadott hozzáférési szabályzatok figyelmen kívül lesznek hagyva. Ha hamis, a kulcstartó a tároló tulajdonságaiban megadott hozzáférési szabályzatokat fogja használni, és az Azure Resource Managerben tárolt házirendek figyelmen kívül lesznek hagyva. Ha null vagy nincs megadva, a tároló az alapértelmezett hamis értékkel jön létre. Vegye figyelembe, hogy a felügyeleti műveletek mindig engedélyezve vannak az RBAC-vel. Bool
enableSoftDelete Tulajdonság annak megadásához, hogy engedélyezve van-e a "helyreállítható törlés" funkció ehhez a kulcstartóhoz. Ha az új kulcstartó létrehozásakor nincs érték (igaz vagy hamis), alapértelmezés szerint igaz értékre lesz állítva. Ha igaz értékre van állítva, nem állítható vissza hamisra. Bool
networkAcls A kulcstartó adott hálózati helyekről való akadálymentességét szabályozó szabályok. NetworkRuleSet
provisioningState A tároló kiépítési állapota. "RegisteringDns"
"Sikeres"
publicNetworkAccess Tulajdonság annak megadásához, hogy a tároló fogadja-e a nyilvános internetről érkező forgalmat. Ha "letiltott" értékre van állítva az összes forgalom, kivéve a privát végpontok forgalmát, és amelyek megbízható szolgáltatásokból származnak, le lesz tiltva. Ez felülbírálja a beállított tűzfalszabályokat, ami azt jelenti, hogy még ha a tűzfalszabályok is jelen vannak, akkor sem fogjuk tiszteletben tartani a szabályokat. húr
Sku Termékváltozat részletei termékváltozat (kötelező)
softDeleteRetentionInDays softDelete adatmegőrzési napok. Elfogadja >=7 és <=90 értékeket. Int
tenantId Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. sztring (kötelező)

Korlátok:
Minimális hossz = 36
Maximális hossz = 36
Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri A tároló URI-ja a kulcsokon és titkos kulcsokon végzett műveletek végrehajtásához. húr

AccessPolicyEntry

Név Leírás Érték
applicationId A megbízó nevében kérelmet küldő ügyfél alkalmazásazonosítója húr

Korlátok:
Minimális hossz = 36
Maximális hossz = 36
Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Egy felhasználó, szolgáltatásnév vagy biztonsági csoport objektumazonosítója a tároló Azure Active Directory-bérlőjében. Az objektumazonosítónak egyedinek kell lennie a hozzáférési szabályzatok listájához. sztring (kötelező)
Engedélyek Az identitás kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz tartozó engedélyekkel rendelkezik. engedélyek (kötelező)
tenantId Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. sztring (kötelező)

Korlátok:
Minimális hossz = 36
Maximális hossz = 36
Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Engedélyek

Név Leírás Érték
Tanúsítványok Tanúsítványokra vonatkozó engedélyek Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"létrehozás"
"törlés"
"deleteissuers"
'get'
"getissuers"
"importálás"
"lista"
"listissuers"
"managecontacts"
"kezelők"
'kiürítés'
"helyreállítás"
"visszaállítás"
"setissuers"
"frissítés"
Kulcsok Kulcsok engedélyei Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"létrehozás"
"visszafejtés"
"törlés"
"titkosítás"
'get'
'getrotationpolicy'
"importálás"
"lista"
'kiürítés'
"helyreállítás"
"kiadás"
"visszaállítás"
"forgatás"
"setrotationpolicy"
"sign"
'unwrapKey'
"frissítés"
"ellenőrzés"
'wrapKey'
Titkok Titkos kódokra vonatkozó engedélyek Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"törlés"
'get'
"lista"
'kiürítés'
"helyreállítás"
"visszaállítás"
'set'
raktározás Tárfiókok engedélyei Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"törlés"
"deletesas"
'get'
'getsas'
"lista"
"listsas"
'kiürítés'
"helyreállítás"
'regeneratekey'
"visszaállítás"
'set'
"setsas"
"frissítés"

NetworkRuleSet

Név Leírás Érték
Kitérő Azt jelzi, hogy milyen forgalom kerülheti meg a hálózati szabályokat. Ez lehet "AzureServices" vagy "None". Ha nincs megadva, az alapértelmezett érték az "AzureServices". "AzureServices"
"Nincs"
defaultAction Az alapértelmezett művelet, ha az ipRules és a virtualNetworkRules szabálya nem egyezik. Ezt csak a bypass tulajdonság kiértékelése után használja a rendszer. "Engedélyezés"
"Megtagadás"
ipRules Az IP-címszabályok listája. IPRule[]
virtualNetworkRules A virtuális hálózati szabályok listája. VirtualNetworkRule[]

IPRule

Név Leírás Érték
érték Egy IPv4-címtartomány a CIDR-jelölésben, például "124.56.78.91" (egyszerű IP-cím) vagy "124.56.78.0/24" (minden cím, amely a 124.56.78-as számmal kezdődik). sztring (kötelező)

VirtualNetworkRule

Név Leírás Érték
azonosító Egy virtuális hálózat alhálózatának teljes erőforrás-azonosítója, például "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". sztring (kötelező)
ignoreMissingVnetServiceEndpoint Tulajdonság annak megadásához, hogy az NRP figyelmen kívül hagyja-e azt az ellenőrzést, hogy a szülő alhálózat rendelkezik-e serviceEndpoints konfigurálva. Bool

Sku

Név Leírás Érték
Család Termékváltozat családneve "A" (kötelező)
név Termékváltozat neve annak megadásához, hogy a kulcstartó standard vagy prémium szintű tároló-e. "prémium"
"standard" (kötelező)

Rövid útmutatósablonok

Az alábbi rövid útmutatósablonok üzembe helyezik ezt az erőforrástípust.

Sablon Leírás
AKS-fürt NAT-átjáróval és Application Gateway-

Üzembe helyezés az Azure
Ez a minta bemutatja, hogyan helyezhet üzembe egy AKS-fürtöt NAT Gateway használatával a kimenő kapcsolatokhoz, valamint egy Application Gatewayt a bejövő kapcsolatokhoz.
Privát AKS-fürt létrehozása nyilvános DNS-zónával

Üzembe helyezés az Azure
Ez a minta bemutatja, hogyan helyezhet üzembe privát AKS-fürtöt nyilvános DNS-zónával.
A Sports Analytics üzembe helyezése az Azure Architecture

Üzembe helyezés az Azure
Létrehoz egy Azure-tárfiókot az ADLS Gen 2 engedélyezésével, egy Azure Data Factory-példányt a tárfiók társított szolgáltatásaival (üzembe helyezés esetén az Azure SQL Database-t), valamint egy Azure Databricks-példányt. A sablont üzembe helyező felhasználó AAD-identitása és az ADF-példány felügyelt identitása megkapja a tárfiókban a Storage Blob-adat közreműködői szerepkört. Az Azure Key Vault-példány, az Azure SQL Database és az Azure Event Hub üzembe helyezésére is van lehetőség (streamelési használati esetekben). Az Azure Key Vault üzembe helyezésekor a data factory által felügyelt identitás és a sablont üzembe helyező felhasználó AAD-identitása megkapja a Key Vault titkos kulcsfelhasználói szerepkörét.
Azure Machine Learning-munkaterület

Üzembe helyezés az Azure
Ez a sablon létrehoz egy új Azure Machine Learning-munkaterületet, valamint egy titkosított tárfiókot, KeyVaultot és Application Insights-naplózást
KeyVault- létrehozása

Üzembe helyezés az Azure
Ez a modul létrehoz egy KeyVault-erőforrást az apiVersion 2019-09-01 használatával.
API Management szolgáltatás létrehozása SSL-lel a KeyVault

Üzembe helyezés az Azure
Ez a sablon üzembe helyez egy felhasználói hozzárendelt identitással konfigurált API Management szolgáltatást. Ezzel az identitással lekéri az SSL-tanúsítványt a KeyVaultból, és 4 óránként ellenőrzi.
Dapr pub-sub servicebus-alkalmazás létrehozása a Container Apps használatával

Üzembe helyezés az Azure
Hozzon létre egy Dapr pub-sub servicebus alkalmazást a Container Apps használatával.
létrehoz egy Azure Stack HCI 23H2-fürt

Üzembe helyezés az Azure
Ez a sablon arm-sablonnal hoz létre egy Azure Stack HCI 23H2-fürtöt.
létrehoz egy Azure Stack HCI 23H2-fürt

Üzembe helyezés az Azure
Ez a sablon létrehoz egy Azure Stack HCI 23H2-fürtöt EGY ARM-sablon használatával, egyéni tárolási IP-cím használatával
Létrehoz egy Azure Stack HCI 23H2-fürtöt Switchless-Dual-link hálózati módban

Üzembe helyezés az Azure
Ez a sablon arm-sablonnal hoz létre egy Azure Stack HCI 23H2-fürtöt.
létrehoz egy Azure Stack HCI 23H2-fürtöt Switchless-SingleLink hálózati módban

Üzembe helyezés az Azure
Ez a sablon arm-sablonnal hoz létre egy Azure Stack HCI 23H2-fürtöt.
Új titkosított windowsos virtuális gép létrehozása katalógusképből

Üzembe helyezés az Azure
Ez a sablon létrehoz egy új titkosított windowsos virtuális gépet a kiszolgáló 2k12 katalógusképével.
Új titkosított felügyelt lemezek létrehozása win-vm katalógusképből

Üzembe helyezés az Azure
Ez a sablon egy új titkosított felügyelt lemezt hoz létre windowsos virtuális gépként a kiszolgáló 2k12 katalógusának rendszerképével.
Ez a sablon titkosít egy futó Windows VMSS-

Üzembe helyezés az Azure
Ez a sablon lehetővé teszi a titkosítást egy futó Windows rendszerű virtuálisgép-méretezési csoporton
Titkosítás engedélyezése futó Windows rendszerű virtuális gépeken

Üzembe helyezés az Azure
Ez a sablon lehetővé teszi a titkosítást egy futó windowsos virtuális gépen.
Új Windows VMSS létrehozása és titkosítása jumpbox

Üzembe helyezés az Azure
Ez a sablon lehetővé teszi a Windows rendszerű virtuális gépek egyszerű méretezési készletének üzembe helyezését a kiszolgálói Windows-verziók utolsó javított verziójával. Ez a sablon egy jumpboxot is üzembe helyez egy nyilvános IP-címmel ugyanabban a virtuális hálózaton. Ezzel a nyilvános IP-címmel csatlakozhat a jumpboxhoz, majd onnan csatlakozhat a méretezési csoport virtuális gépeihez privát IP-címeken keresztül. Ez a sablon lehetővé teszi a windowsos virtuális gépek virtuálisgép-méretezési csoportjának titkosítását.
Azure Key Vault és titkos létrehozása

Üzembe helyezés az Azure
Ez a sablon létrehoz egy Azure Key Vaultot és egy titkos kulcsot.
Azure Key Vault létrehozása RBAC-vel és titkos

Üzembe helyezés az Azure
Ez a sablon létrehoz egy Azure Key Vaultot és egy titkos kulcsot. Ahelyett, hogy hozzáférési szabályzatokra támaszkodik, az Azure RBAC-t használja a titkos kódokra vonatkozó engedélyezés kezelésére
Kulcstartó, felügyelt identitás és szerepkör-hozzárendelés létrehozása

Üzembe helyezés az Azure
Ez a sablon létrehoz egy kulcstartót, felügyelt identitást és szerepkör-hozzárendelést.
Csatlakozás Key Vaulthoz privát végponton keresztül

Üzembe helyezés az Azure
Ez a minta bemutatja, hogyan használható virtuális hálózat és privát DNS-zóna konfigurálása a Key Vault privát végponton keresztüli eléréséhez.
Key Vault és titkos kulcsok listájának létrehozása

Üzembe helyezés az Azure
Ez a sablon létrehoz egy Key Vaultot és egy titkos kulcslistát a kulcstartóban a paraméterekkel együtt
Key Vault létrehozása naplózással engedélyezve

Üzembe helyezés az Azure
Ez a sablon létrehoz egy Azure Key Vaultot és egy naplózáshoz használt Azure Storage-fiókot. Szükség esetén erőforrás-zárolásokat hoz létre a Key Vault és a tár erőforrásainak védelme érdekében.
Azure AI Studio alapszintű beállítási

Üzembe helyezés az Azure
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t az alapszintű beállítással, azaz a nyilvános internet-hozzáférés engedélyezésével, a Microsoft által felügyelt titkosítási kulcsokkal és az AI-erőforrás Microsoft által felügyelt identitáskonfigurációjával.
Azure AI Studio alapszintű beállítási

Üzembe helyezés az Azure
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t az alapszintű beállítással, azaz a nyilvános internet-hozzáférés engedélyezésével, a Microsoft által felügyelt titkosítási kulcsokkal és az AI-erőforrás Microsoft által felügyelt identitáskonfigurációjával.
Azure AI Studio a Microsoft Entra ID Authentication

Üzembe helyezés az Azure
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t a Microsoft Entra ID-hitelesítéssel függő erőforrásokhoz, például az Azure AI Serviceshez és az Azure Storage-hoz.
AML-munkaterület létrehozása több adatkészlettel & Adattárak

Üzembe helyezés az Azure
Ez a sablon több adatkészlettel & adattárakkal hozza létre az Azure Machine Learning-munkaterületet.
Azure Machine Learning végpontok közötti biztonságos beállítása

Üzembe helyezés az Azure
Ez a Bicep-sablonkészlet bemutatja, hogyan állíthatja be az Azure Machine Learning végpontok közötti beállítását egy biztonságos beállításban. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt.
Azure Machine Learning végpontok közötti biztonságos beállítása (örökölt)

Üzembe helyezés az Azure
Ez a Bicep-sablonkészlet bemutatja, hogyan állíthatja be az Azure Machine Learning végpontok közötti beállítását egy biztonságos beállításban. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt.
AKS számítási cél létrehozása privát IP-címmel

Üzembe helyezés az Azure
Ez a sablon létrehoz egy AKS számítási célt egy privát IP-címmel rendelkező Azure Machine Learning service-munkaterületen.
Azure Machine Learning-szolgáltatás munkaterületének létrehozása

Üzembe helyezés az Azure
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció az Azure Machine Learning használatának megkezdéséhez szükséges minimális erőforráskészletet ismerteti.
Azure Machine Learning Service-munkaterület (CMK) létrehozása

Üzembe helyezés az Azure
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. A példa bemutatja, hogyan konfigurálható az Azure Machine Learning titkosításhoz egy ügyfél által felügyelt titkosítási kulccsal.
Azure Machine Learning Service-munkaterület (CMK) létrehozása

Üzembe helyezés az Azure
Ez az üzembe helyezési sablon azt határozza meg, hogyan hozhat létre Azure Machine Learning-munkaterületet szolgáltatásoldali titkosítással a titkosítási kulcsok használatával.
Azure Machine Learning Service-munkaterület (vnet) létrehozása

Üzembe helyezés az Azure
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció ismerteti az Azure Machine Learning használatának megkezdéséhez szükséges erőforrások készletét egy elkülönített hálózati beállításban.
Azure Machine Learning-szolgáltatás munkaterületének létrehozása (örökölt)

Üzembe helyezés az Azure
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció ismerteti az Azure Machine Learning használatának megkezdéséhez szükséges erőforrások készletét egy elkülönített hálózati beállításban.
AKS-fürt az Application Gateway bejövőforgalom-vezérlőjével

Üzembe helyezés az Azure
Ez a minta bemutatja, hogyan helyezhet üzembe AKS-fürtöt az Application Gateway, az Application Gateway bejövőforgalom-vezérlője, az Azure Container Registry, a Log Analytics és a Key Vault használatával
Application Gateway V2 létrehozása Key Vault

Üzembe helyezés az Azure
Ez a sablon egy Application Gateway V2-t helyez üzembe egy virtuális hálózaton, egy felhasználó által definiált identitásban, a Key Vaultban, egy titkos kulcsban (tanúsítványadatok), valamint hozzáférési szabályzatban a Key Vaulton és az Application Gatewayen.
Prémium szintű Azure Firewall- tesztelési környezete

Üzembe helyezés az Azure
Ez a sablon prémium szintű Azure Firewall- és tűzfalszabályzatot hoz létre olyan prémium funkciókkal, mint a behatolásvizsgálat észlelése (IDPS), a TLS-vizsgálat és a webkategória-szűrés
Bérlők közötti privát végpont erőforrást hoz létre

Üzembe helyezés az Azure
Ez a sablon lehetővé teszi, hogy priavate végponterőforrást hozzon létre ugyanazon vagy bérlőközi környezetben, és dns-zónakonfigurációt adjon hozzá.
Application Gateway létrehozása tanúsítványokkal

Üzembe helyezés az Azure
Ez a sablon bemutatja, hogyan hozhat létre önaláírt Key Vault-tanúsítványokat, majd hogyan hivatkozhat az Application Gatewayről.
Azure Storage-fióktitkosítás ügyfél által felügyelt kulccsal

Üzembe helyezés az Azure
Ez a sablon egy ügyfél által felügyelt kulccsal rendelkező tárfiókot helyez üzembe a kulcstartóban létrehozott és elhelyezett titkosításhoz.
App Service-környezet azure SQL-háttérrendszerrel

Üzembe helyezés az Azure
Ez a sablon létrehoz egy App Service-környezetet egy Azure SQL-háttérrendszerrel, valamint privát végpontokkal, valamint a jellemzően privát/izolált környezetben használt társított erőforrásokkal.
Azure-függvényalkalmazás és egy HTTP-aktivált függvény

Üzembe helyezés az Azure
Ez a példa üzembe helyez egy Azure-függvényalkalmazást és egy HTTP-aktivált függvényt a sablonban. Emellett egy Key Vaultot is üzembe helyez, és feltölt egy titkos kulcsot a függvényalkalmazás gazdagépkulcsával.
Application Gateway belső API Management és Web App

Üzembe helyezés az Azure
Az Application Gateway internetes forgalmat irányít egy virtuális hálózati (belső módú) API Management-példányhoz, amely egy Azure-webalkalmazásban üzemeltetett webes API-t nyújt.

ARM-sablon erőforrásdefiníciója

A tárolók erőforrástípusa olyan műveletekkel helyezhető üzembe, amelyek a következő célokat célják:

Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.

Megjegyzések

A kulcstartók biztonságos értékekhez való használatáról a Titkos kulcsok kezelése a Bicephasználatával című témakörben talál útmutatást.

A titkos kulcsok létrehozásáról rövid útmutató: Titkos kulcs beállítása és lekérése az Azure Key Vaultból ARM-sablonnal.

A kulcsok létrehozásáról rövid útmutató: Azure-kulcstartó és kulcs létrehozása ARM-sablonnal.

Erőforrás formátuma

Microsoft.KeyVault/Vaults-erőforrás létrehozásához adja hozzá a következő JSON-t a sablonhoz.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2023-07-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "publicNetworkAccess": "string",
    "sku": {
      "family": "A",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  }
}

Tulajdonságértékek

Boltívek

Név Leírás Érték
típus Az erőforrás típusa "Microsoft.KeyVault/vaults"
apiVersion Az erőforrás API-verziója '2023-07-01'
név Az erőforrás neve sztring (kötelező)

Karakterkorlát: 3-24

Érvényes karakterek:
Alfanumerikus és kötőjelek.

Kezdje a betűvel. Betűvel vagy számjegygel végződik. Egymást követő kötőjelek nem tartalmazhatnak.

Az erőforrásnévnek egyedinek kell lennie az Azure-ban.
hely A támogatott Azure-hely, ahol létre kell hozni a kulcstartót. sztring (kötelező)
Címkék A kulcstartóhoz hozzárendelendő címkék. Címkenevek és -értékek szótára. sablonok címkéinek megtekintése
kellékek A tároló tulajdonságai VaultProperties (kötelező)

VaultProperties

Név Leírás Érték
accessPolicies 0–1024 identitásból álló tömb, amely hozzáfér a kulcstartóhoz. A tömb minden identitásának ugyanazt a bérlőazonosítót kell használnia, mint a kulcstartó bérlőazonosítóját. Ha createModerecovervan beállítva, nincs szükség hozzáférési szabályzatra. Ellenkező esetben hozzáférési szabályzatok szükségesek. AccessPolicyEntry[]
createMode A tároló létrehozási módja jelzi, hogy a tárolót helyre kell-e állítani. 'alapértelmezett'
"helyreállítás"
enabledForDeployment Tulajdonság annak megadásához, hogy az Azure-beli virtuális gépek jogosultak-e titkos kulcsként tárolt tanúsítványok lekérésére a kulcstartóból. Bool
enabledForDiskEncryption Tulajdonság annak megadásához, hogy az Azure Disk Encryption jogosult-e titkos kulcsok lekérésére a tárolóból és a kulcsok kicsomagolására. Bool
enabledForTemplateDeployment Tulajdonság annak megadásához, hogy az Azure Resource Manager jogosult-e titkos kulcsok lekérésére a kulcstartóból. Bool
enablePurgeProtection Tulajdonság, amely megadja, hogy engedélyezve van-e a törlés elleni védelem ehhez a tárolóhoz. A tulajdonság igaz értékre állítása aktiválja a tároló és tartalma kiürítése elleni védelmet – csak a Key Vault szolgáltatás kezdeményezhet helyreállíthatatlan törlést. A beállítás csak akkor érvényes, ha a helyreállítható törlés is engedélyezve van. Ennek a funkciónak a engedélyezése visszavonhatatlan , vagyis a tulajdonság értéke nem fogadja el a hamis értéket. Bool
enableRbacAuthorization Az adatműveletek engedélyezését vezérlő tulajdonság. Ha igaz, a kulcstartó szerepköralapú hozzáférés-vezérlést (RBAC) használ az adatműveletek engedélyezéséhez, és a tároló tulajdonságaiban megadott hozzáférési szabályzatok figyelmen kívül lesznek hagyva. Ha hamis, a kulcstartó a tároló tulajdonságaiban megadott hozzáférési szabályzatokat fogja használni, és az Azure Resource Managerben tárolt házirendek figyelmen kívül lesznek hagyva. Ha null vagy nincs megadva, a tároló az alapértelmezett hamis értékkel jön létre. Vegye figyelembe, hogy a felügyeleti műveletek mindig engedélyezve vannak az RBAC-vel. Bool
enableSoftDelete Tulajdonság annak megadásához, hogy engedélyezve van-e a "helyreállítható törlés" funkció ehhez a kulcstartóhoz. Ha az új kulcstartó létrehozásakor nincs érték (igaz vagy hamis), alapértelmezés szerint igaz értékre lesz állítva. Ha igaz értékre van állítva, nem állítható vissza hamisra. Bool
networkAcls A kulcstartó adott hálózati helyekről való akadálymentességét szabályozó szabályok. NetworkRuleSet
provisioningState A tároló kiépítési állapota. "RegisteringDns"
"Sikeres"
publicNetworkAccess Tulajdonság annak megadásához, hogy a tároló fogadja-e a nyilvános internetről érkező forgalmat. Ha "letiltott" értékre van állítva az összes forgalom, kivéve a privát végpontok forgalmát, és amelyek megbízható szolgáltatásokból származnak, le lesz tiltva. Ez felülbírálja a beállított tűzfalszabályokat, ami azt jelenti, hogy még ha a tűzfalszabályok is jelen vannak, akkor sem fogjuk tiszteletben tartani a szabályokat. húr
Sku Termékváltozat részletei termékváltozat (kötelező)
softDeleteRetentionInDays softDelete adatmegőrzési napok. Elfogadja >=7 és <=90 értékeket. Int
tenantId Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. sztring (kötelező)

Korlátok:
Minimális hossz = 36
Maximális hossz = 36
Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri A tároló URI-ja a kulcsokon és titkos kulcsokon végzett műveletek végrehajtásához. húr

AccessPolicyEntry

Név Leírás Érték
applicationId A megbízó nevében kérelmet küldő ügyfél alkalmazásazonosítója húr

Korlátok:
Minimális hossz = 36
Maximális hossz = 36
Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Egy felhasználó, szolgáltatásnév vagy biztonsági csoport objektumazonosítója a tároló Azure Active Directory-bérlőjében. Az objektumazonosítónak egyedinek kell lennie a hozzáférési szabályzatok listájához. sztring (kötelező)
Engedélyek Az identitás kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz tartozó engedélyekkel rendelkezik. engedélyek (kötelező)
tenantId Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. sztring (kötelező)

Korlátok:
Minimális hossz = 36
Maximális hossz = 36
Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Engedélyek

Név Leírás Érték
Tanúsítványok Tanúsítványokra vonatkozó engedélyek Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"létrehozás"
"törlés"
"deleteissuers"
'get'
"getissuers"
"importálás"
"lista"
"listissuers"
"managecontacts"
"kezelők"
'kiürítés'
"helyreállítás"
"visszaállítás"
"setissuers"
"frissítés"
Kulcsok Kulcsok engedélyei Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"létrehozás"
"visszafejtés"
"törlés"
"titkosítás"
'get'
'getrotationpolicy'
"importálás"
"lista"
'kiürítés'
"helyreállítás"
"kiadás"
"visszaállítás"
"forgatás"
"setrotationpolicy"
"sign"
'unwrapKey'
"frissítés"
"ellenőrzés"
'wrapKey'
Titkok Titkos kódokra vonatkozó engedélyek Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"törlés"
'get'
"lista"
'kiürítés'
"helyreállítás"
"visszaállítás"
'set'
raktározás Tárfiókok engedélyei Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"törlés"
"deletesas"
'get'
'getsas'
"lista"
"listsas"
'kiürítés'
"helyreállítás"
'regeneratekey'
"visszaállítás"
'set'
"setsas"
"frissítés"

NetworkRuleSet

Név Leírás Érték
Kitérő Azt jelzi, hogy milyen forgalom kerülheti meg a hálózati szabályokat. Ez lehet "AzureServices" vagy "None". Ha nincs megadva, az alapértelmezett érték az "AzureServices". "AzureServices"
"Nincs"
defaultAction Az alapértelmezett művelet, ha az ipRules és a virtualNetworkRules szabálya nem egyezik. Ezt csak a bypass tulajdonság kiértékelése után használja a rendszer. "Engedélyezés"
"Megtagadás"
ipRules Az IP-címszabályok listája. IPRule[]
virtualNetworkRules A virtuális hálózati szabályok listája. VirtualNetworkRule[]

IPRule

Név Leírás Érték
érték Egy IPv4-címtartomány a CIDR-jelölésben, például "124.56.78.91" (egyszerű IP-cím) vagy "124.56.78.0/24" (minden cím, amely a 124.56.78-as számmal kezdődik). sztring (kötelező)

VirtualNetworkRule

Név Leírás Érték
azonosító Egy virtuális hálózat alhálózatának teljes erőforrás-azonosítója, például "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". sztring (kötelező)
ignoreMissingVnetServiceEndpoint Tulajdonság annak megadásához, hogy az NRP figyelmen kívül hagyja-e azt az ellenőrzést, hogy a szülő alhálózat rendelkezik-e serviceEndpoints konfigurálva. Bool

Sku

Név Leírás Érték
Család Termékváltozat családneve "A" (kötelező)
név Termékváltozat neve annak megadásához, hogy a kulcstartó standard vagy prémium szintű tároló-e. "prémium"
"standard" (kötelező)

Rövid útmutatósablonok

Az alábbi rövid útmutatósablonok üzembe helyezik ezt az erőforrástípust.

Sablon Leírás
AKS-fürt NAT-átjáróval és Application Gateway-

Üzembe helyezés az Azure
Ez a minta bemutatja, hogyan helyezhet üzembe egy AKS-fürtöt NAT Gateway használatával a kimenő kapcsolatokhoz, valamint egy Application Gatewayt a bejövő kapcsolatokhoz.
Privát AKS-fürt létrehozása nyilvános DNS-zónával

Üzembe helyezés az Azure
Ez a minta bemutatja, hogyan helyezhet üzembe privát AKS-fürtöt nyilvános DNS-zónával.
A Sports Analytics üzembe helyezése az Azure Architecture

Üzembe helyezés az Azure
Létrehoz egy Azure-tárfiókot az ADLS Gen 2 engedélyezésével, egy Azure Data Factory-példányt a tárfiók társított szolgáltatásaival (üzembe helyezés esetén az Azure SQL Database-t), valamint egy Azure Databricks-példányt. A sablont üzembe helyező felhasználó AAD-identitása és az ADF-példány felügyelt identitása megkapja a tárfiókban a Storage Blob-adat közreműködői szerepkört. Az Azure Key Vault-példány, az Azure SQL Database és az Azure Event Hub üzembe helyezésére is van lehetőség (streamelési használati esetekben). Az Azure Key Vault üzembe helyezésekor a data factory által felügyelt identitás és a sablont üzembe helyező felhasználó AAD-identitása megkapja a Key Vault titkos kulcsfelhasználói szerepkörét.
Azure Machine Learning-munkaterület

Üzembe helyezés az Azure
Ez a sablon létrehoz egy új Azure Machine Learning-munkaterületet, valamint egy titkosított tárfiókot, KeyVaultot és Application Insights-naplózást
KeyVault- létrehozása

Üzembe helyezés az Azure
Ez a modul létrehoz egy KeyVault-erőforrást az apiVersion 2019-09-01 használatával.
API Management szolgáltatás létrehozása SSL-lel a KeyVault

Üzembe helyezés az Azure
Ez a sablon üzembe helyez egy felhasználói hozzárendelt identitással konfigurált API Management szolgáltatást. Ezzel az identitással lekéri az SSL-tanúsítványt a KeyVaultból, és 4 óránként ellenőrzi.
Dapr pub-sub servicebus-alkalmazás létrehozása a Container Apps használatával

Üzembe helyezés az Azure
Hozzon létre egy Dapr pub-sub servicebus alkalmazást a Container Apps használatával.
létrehoz egy Azure Stack HCI 23H2-fürt

Üzembe helyezés az Azure
Ez a sablon arm-sablonnal hoz létre egy Azure Stack HCI 23H2-fürtöt.
létrehoz egy Azure Stack HCI 23H2-fürt

Üzembe helyezés az Azure
Ez a sablon létrehoz egy Azure Stack HCI 23H2-fürtöt EGY ARM-sablon használatával, egyéni tárolási IP-cím használatával
Létrehoz egy Azure Stack HCI 23H2-fürtöt Switchless-Dual-link hálózati módban

Üzembe helyezés az Azure
Ez a sablon arm-sablonnal hoz létre egy Azure Stack HCI 23H2-fürtöt.
létrehoz egy Azure Stack HCI 23H2-fürtöt Switchless-SingleLink hálózati módban

Üzembe helyezés az Azure
Ez a sablon arm-sablonnal hoz létre egy Azure Stack HCI 23H2-fürtöt.
Új titkosított windowsos virtuális gép létrehozása katalógusképből

Üzembe helyezés az Azure
Ez a sablon létrehoz egy új titkosított windowsos virtuális gépet a kiszolgáló 2k12 katalógusképével.
Új titkosított felügyelt lemezek létrehozása win-vm katalógusképből

Üzembe helyezés az Azure
Ez a sablon egy új titkosított felügyelt lemezt hoz létre windowsos virtuális gépként a kiszolgáló 2k12 katalógusának rendszerképével.
Ez a sablon titkosít egy futó Windows VMSS-

Üzembe helyezés az Azure
Ez a sablon lehetővé teszi a titkosítást egy futó Windows rendszerű virtuálisgép-méretezési csoporton
Titkosítás engedélyezése futó Windows rendszerű virtuális gépeken

Üzembe helyezés az Azure
Ez a sablon lehetővé teszi a titkosítást egy futó windowsos virtuális gépen.
Új Windows VMSS létrehozása és titkosítása jumpbox

Üzembe helyezés az Azure
Ez a sablon lehetővé teszi a Windows rendszerű virtuális gépek egyszerű méretezési készletének üzembe helyezését a kiszolgálói Windows-verziók utolsó javított verziójával. Ez a sablon egy jumpboxot is üzembe helyez egy nyilvános IP-címmel ugyanabban a virtuális hálózaton. Ezzel a nyilvános IP-címmel csatlakozhat a jumpboxhoz, majd onnan csatlakozhat a méretezési csoport virtuális gépeihez privát IP-címeken keresztül. Ez a sablon lehetővé teszi a windowsos virtuális gépek virtuálisgép-méretezési csoportjának titkosítását.
Azure Key Vault és titkos létrehozása

Üzembe helyezés az Azure
Ez a sablon létrehoz egy Azure Key Vaultot és egy titkos kulcsot.
Azure Key Vault létrehozása RBAC-vel és titkos

Üzembe helyezés az Azure
Ez a sablon létrehoz egy Azure Key Vaultot és egy titkos kulcsot. Ahelyett, hogy hozzáférési szabályzatokra támaszkodik, az Azure RBAC-t használja a titkos kódokra vonatkozó engedélyezés kezelésére
Kulcstartó, felügyelt identitás és szerepkör-hozzárendelés létrehozása

Üzembe helyezés az Azure
Ez a sablon létrehoz egy kulcstartót, felügyelt identitást és szerepkör-hozzárendelést.
Csatlakozás Key Vaulthoz privát végponton keresztül

Üzembe helyezés az Azure
Ez a minta bemutatja, hogyan használható virtuális hálózat és privát DNS-zóna konfigurálása a Key Vault privát végponton keresztüli eléréséhez.
Key Vault és titkos kulcsok listájának létrehozása

Üzembe helyezés az Azure
Ez a sablon létrehoz egy Key Vaultot és egy titkos kulcslistát a kulcstartóban a paraméterekkel együtt
Key Vault létrehozása naplózással engedélyezve

Üzembe helyezés az Azure
Ez a sablon létrehoz egy Azure Key Vaultot és egy naplózáshoz használt Azure Storage-fiókot. Szükség esetén erőforrás-zárolásokat hoz létre a Key Vault és a tár erőforrásainak védelme érdekében.
Azure AI Studio alapszintű beállítási

Üzembe helyezés az Azure
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t az alapszintű beállítással, azaz a nyilvános internet-hozzáférés engedélyezésével, a Microsoft által felügyelt titkosítási kulcsokkal és az AI-erőforrás Microsoft által felügyelt identitáskonfigurációjával.
Azure AI Studio alapszintű beállítási

Üzembe helyezés az Azure
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t az alapszintű beállítással, azaz a nyilvános internet-hozzáférés engedélyezésével, a Microsoft által felügyelt titkosítási kulcsokkal és az AI-erőforrás Microsoft által felügyelt identitáskonfigurációjával.
Azure AI Studio a Microsoft Entra ID Authentication

Üzembe helyezés az Azure
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t a Microsoft Entra ID-hitelesítéssel függő erőforrásokhoz, például az Azure AI Serviceshez és az Azure Storage-hoz.
AML-munkaterület létrehozása több adatkészlettel & Adattárak

Üzembe helyezés az Azure
Ez a sablon több adatkészlettel & adattárakkal hozza létre az Azure Machine Learning-munkaterületet.
Azure Machine Learning végpontok közötti biztonságos beállítása

Üzembe helyezés az Azure
Ez a Bicep-sablonkészlet bemutatja, hogyan állíthatja be az Azure Machine Learning végpontok közötti beállítását egy biztonságos beállításban. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt.
Azure Machine Learning végpontok közötti biztonságos beállítása (örökölt)

Üzembe helyezés az Azure
Ez a Bicep-sablonkészlet bemutatja, hogyan állíthatja be az Azure Machine Learning végpontok közötti beállítását egy biztonságos beállításban. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt.
AKS számítási cél létrehozása privát IP-címmel

Üzembe helyezés az Azure
Ez a sablon létrehoz egy AKS számítási célt egy privát IP-címmel rendelkező Azure Machine Learning service-munkaterületen.
Azure Machine Learning-szolgáltatás munkaterületének létrehozása

Üzembe helyezés az Azure
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció az Azure Machine Learning használatának megkezdéséhez szükséges minimális erőforráskészletet ismerteti.
Azure Machine Learning Service-munkaterület (CMK) létrehozása

Üzembe helyezés az Azure
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. A példa bemutatja, hogyan konfigurálható az Azure Machine Learning titkosításhoz egy ügyfél által felügyelt titkosítási kulccsal.
Azure Machine Learning Service-munkaterület (CMK) létrehozása

Üzembe helyezés az Azure
Ez az üzembe helyezési sablon azt határozza meg, hogyan hozhat létre Azure Machine Learning-munkaterületet szolgáltatásoldali titkosítással a titkosítási kulcsok használatával.
Azure Machine Learning Service-munkaterület (vnet) létrehozása

Üzembe helyezés az Azure
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció ismerteti az Azure Machine Learning használatának megkezdéséhez szükséges erőforrások készletét egy elkülönített hálózati beállításban.
Azure Machine Learning-szolgáltatás munkaterületének létrehozása (örökölt)

Üzembe helyezés az Azure
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció ismerteti az Azure Machine Learning használatának megkezdéséhez szükséges erőforrások készletét egy elkülönített hálózati beállításban.
AKS-fürt az Application Gateway bejövőforgalom-vezérlőjével

Üzembe helyezés az Azure
Ez a minta bemutatja, hogyan helyezhet üzembe AKS-fürtöt az Application Gateway, az Application Gateway bejövőforgalom-vezérlője, az Azure Container Registry, a Log Analytics és a Key Vault használatával
Application Gateway V2 létrehozása Key Vault

Üzembe helyezés az Azure
Ez a sablon egy Application Gateway V2-t helyez üzembe egy virtuális hálózaton, egy felhasználó által definiált identitásban, a Key Vaultban, egy titkos kulcsban (tanúsítványadatok), valamint hozzáférési szabályzatban a Key Vaulton és az Application Gatewayen.
Prémium szintű Azure Firewall- tesztelési környezete

Üzembe helyezés az Azure
Ez a sablon prémium szintű Azure Firewall- és tűzfalszabályzatot hoz létre olyan prémium funkciókkal, mint a behatolásvizsgálat észlelése (IDPS), a TLS-vizsgálat és a webkategória-szűrés
Bérlők közötti privát végpont erőforrást hoz létre

Üzembe helyezés az Azure
Ez a sablon lehetővé teszi, hogy priavate végponterőforrást hozzon létre ugyanazon vagy bérlőközi környezetben, és dns-zónakonfigurációt adjon hozzá.
Application Gateway létrehozása tanúsítványokkal

Üzembe helyezés az Azure
Ez a sablon bemutatja, hogyan hozhat létre önaláírt Key Vault-tanúsítványokat, majd hogyan hivatkozhat az Application Gatewayről.
Azure Storage-fióktitkosítás ügyfél által felügyelt kulccsal

Üzembe helyezés az Azure
Ez a sablon egy ügyfél által felügyelt kulccsal rendelkező tárfiókot helyez üzembe a kulcstartóban létrehozott és elhelyezett titkosításhoz.
App Service-környezet azure SQL-háttérrendszerrel

Üzembe helyezés az Azure
Ez a sablon létrehoz egy App Service-környezetet egy Azure SQL-háttérrendszerrel, valamint privát végpontokkal, valamint a jellemzően privát/izolált környezetben használt társított erőforrásokkal.
Azure-függvényalkalmazás és egy HTTP-aktivált függvény

Üzembe helyezés az Azure
Ez a példa üzembe helyez egy Azure-függvényalkalmazást és egy HTTP-aktivált függvényt a sablonban. Emellett egy Key Vaultot is üzembe helyez, és feltölt egy titkos kulcsot a függvényalkalmazás gazdagépkulcsával.
Application Gateway belső API Management és Web App

Üzembe helyezés az Azure
Az Application Gateway internetes forgalmat irányít egy virtuális hálózati (belső módú) API Management-példányhoz, amely egy Azure-webalkalmazásban üzemeltetett webes API-t nyújt.

Terraform (AzAPI-szolgáltató) erőforrásdefiníciója

A tárolók erőforrástípusa olyan műveletekkel helyezhető üzembe, amelyek a következő célokat célják:

  • erőforráscsoportok

Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.

Erőforrás formátuma

Microsoft.KeyVault/Vaults-erőforrás létrehozásához adja hozzá a következő Terraformot a sablonhoz.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2023-07-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      publicNetworkAccess = "string"
      sku = {
        family = "A"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Tulajdonságértékek

Boltívek

Név Leírás Érték
típus Az erőforrás típusa "Microsoft.KeyVault/vaults@2023-07-01"
név Az erőforrás neve sztring (kötelező)

Karakterkorlát: 3-24

Érvényes karakterek:
Alfanumerikus és kötőjelek.

Kezdje a betűvel. Betűvel vagy számjegygel végződik. Egymást követő kötőjelek nem tartalmazhatnak.

Az erőforrásnévnek egyedinek kell lennie az Azure-ban.
hely A támogatott Azure-hely, ahol létre kell hozni a kulcstartót. sztring (kötelező)
parent_id Az erőforráscsoportban való üzembe helyezéshez használja az erőforráscsoport azonosítóját. sztring (kötelező)
Címkék A kulcstartóhoz hozzárendelendő címkék. Címkenevek és -értékek szótára.
kellékek A tároló tulajdonságai VaultProperties (kötelező)

VaultProperties

Név Leírás Érték
accessPolicies 0–1024 identitásból álló tömb, amely hozzáfér a kulcstartóhoz. A tömb minden identitásának ugyanazt a bérlőazonosítót kell használnia, mint a kulcstartó bérlőazonosítóját. Ha createModerecovervan beállítva, nincs szükség hozzáférési szabályzatra. Ellenkező esetben hozzáférési szabályzatok szükségesek. AccessPolicyEntry[]
createMode A tároló létrehozási módja jelzi, hogy a tárolót helyre kell-e állítani. "alapértelmezett"
"helyreállítás"
enabledForDeployment Tulajdonság annak megadásához, hogy az Azure-beli virtuális gépek jogosultak-e titkos kulcsként tárolt tanúsítványok lekérésére a kulcstartóból. Bool
enabledForDiskEncryption Tulajdonság annak megadásához, hogy az Azure Disk Encryption jogosult-e titkos kulcsok lekérésére a tárolóból és a kulcsok kicsomagolására. Bool
enabledForTemplateDeployment Tulajdonság annak megadásához, hogy az Azure Resource Manager jogosult-e titkos kulcsok lekérésére a kulcstartóból. Bool
enablePurgeProtection Tulajdonság, amely megadja, hogy engedélyezve van-e a törlés elleni védelem ehhez a tárolóhoz. A tulajdonság igaz értékre állítása aktiválja a tároló és tartalma kiürítése elleni védelmet – csak a Key Vault szolgáltatás kezdeményezhet helyreállíthatatlan törlést. A beállítás csak akkor érvényes, ha a helyreállítható törlés is engedélyezve van. Ennek a funkciónak a engedélyezése visszavonhatatlan , vagyis a tulajdonság értéke nem fogadja el a hamis értéket. Bool
enableRbacAuthorization Az adatműveletek engedélyezését vezérlő tulajdonság. Ha igaz, a kulcstartó szerepköralapú hozzáférés-vezérlést (RBAC) használ az adatműveletek engedélyezéséhez, és a tároló tulajdonságaiban megadott hozzáférési szabályzatok figyelmen kívül lesznek hagyva. Ha hamis, a kulcstartó a tároló tulajdonságaiban megadott hozzáférési szabályzatokat fogja használni, és az Azure Resource Managerben tárolt házirendek figyelmen kívül lesznek hagyva. Ha null vagy nincs megadva, a tároló az alapértelmezett hamis értékkel jön létre. Vegye figyelembe, hogy a felügyeleti műveletek mindig engedélyezve vannak az RBAC-vel. Bool
enableSoftDelete Tulajdonság annak megadásához, hogy engedélyezve van-e a "helyreállítható törlés" funkció ehhez a kulcstartóhoz. Ha az új kulcstartó létrehozásakor nincs érték (igaz vagy hamis), alapértelmezés szerint igaz értékre lesz állítva. Ha igaz értékre van állítva, nem állítható vissza hamisra. Bool
networkAcls A kulcstartó adott hálózati helyekről való akadálymentességét szabályozó szabályok. NetworkRuleSet
provisioningState A tároló kiépítési állapota. "RegisteringDns"
"Sikeres"
publicNetworkAccess Tulajdonság annak megadásához, hogy a tároló fogadja-e a nyilvános internetről érkező forgalmat. Ha "letiltott" értékre van állítva az összes forgalom, kivéve a privát végpontok forgalmát, és amelyek megbízható szolgáltatásokból származnak, le lesz tiltva. Ez felülbírálja a beállított tűzfalszabályokat, ami azt jelenti, hogy még ha a tűzfalszabályok is jelen vannak, akkor sem fogjuk tiszteletben tartani a szabályokat. húr
Sku Termékváltozat részletei termékváltozat (kötelező)
softDeleteRetentionInDays softDelete adatmegőrzési napok. Elfogadja >=7 és <=90 értékeket. Int
tenantId Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. sztring (kötelező)

Korlátok:
Minimális hossz = 36
Maximális hossz = 36
Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri A tároló URI-ja a kulcsokon és titkos kulcsokon végzett műveletek végrehajtásához. húr

AccessPolicyEntry

Név Leírás Érték
applicationId A megbízó nevében kérelmet küldő ügyfél alkalmazásazonosítója húr

Korlátok:
Minimális hossz = 36
Maximális hossz = 36
Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Egy felhasználó, szolgáltatásnév vagy biztonsági csoport objektumazonosítója a tároló Azure Active Directory-bérlőjében. Az objektumazonosítónak egyedinek kell lennie a hozzáférési szabályzatok listájához. sztring (kötelező)
Engedélyek Az identitás kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz tartozó engedélyekkel rendelkezik. engedélyek (kötelező)
tenantId Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. sztring (kötelező)

Korlátok:
Minimális hossz = 36
Maximális hossz = 36
Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Engedélyek

Név Leírás Érték
Tanúsítványok Tanúsítványokra vonatkozó engedélyek Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"létrehozás"
"törlés"
"deleteissuers"
"get"
"getissuers"
"importálás"
"lista"
"listissuers"
"managecontacts"
"kezelők"
"törlés"
"helyreállítás"
"visszaállítás"
"setissuers"
"frissítés"
Kulcsok Kulcsok engedélyei Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"létrehozás"
"visszafejtés"
"törlés"
"titkosítás"
"get"
"getrotationpolicy"
"importálás"
"lista"
"törlés"
"helyreállítás"
"kiadás"
"visszaállítás"
"forgatás"
"setrotationpolicy"
"sign"
"unwrapKey"
"frissítés"
"ellenőrzés"
"wrapKey"
Titkok Titkos kódokra vonatkozó engedélyek Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"törlés"
"get"
"lista"
"törlés"
"helyreállítás"
"visszaállítás"
"set"
raktározás Tárfiókok engedélyei Sztringtömb, amely a következők bármelyikét tartalmazza:
"mind"
"biztonsági mentés"
"törlés"
"deletesas"
"get"
"getsas"
"lista"
"listák"
"törlés"
"helyreállítás"
"regeneratekey"
"visszaállítás"
"set"
"setsas"
"frissítés"

NetworkRuleSet

Név Leírás Érték
Kitérő Azt jelzi, hogy milyen forgalom kerülheti meg a hálózati szabályokat. Ez lehet "AzureServices" vagy "None". Ha nincs megadva, az alapértelmezett érték az "AzureServices". "AzureServices"
"Nincs"
defaultAction Az alapértelmezett művelet, ha az ipRules és a virtualNetworkRules szabálya nem egyezik. Ezt csak a bypass tulajdonság kiértékelése után használja a rendszer. "Engedélyezés"
"Megtagadás"
ipRules Az IP-címszabályok listája. IPRule[]
virtualNetworkRules A virtuális hálózati szabályok listája. VirtualNetworkRule[]

IPRule

Név Leírás Érték
érték Egy IPv4-címtartomány a CIDR-jelölésben, például "124.56.78.91" (egyszerű IP-cím) vagy "124.56.78.0/24" (minden cím, amely a 124.56.78-as számmal kezdődik). sztring (kötelező)

VirtualNetworkRule

Név Leírás Érték
azonosító Egy virtuális hálózat alhálózatának teljes erőforrás-azonosítója, például "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". sztring (kötelező)
ignoreMissingVnetServiceEndpoint Tulajdonság annak megadásához, hogy az NRP figyelmen kívül hagyja-e azt az ellenőrzést, hogy a szülő alhálózat rendelkezik-e serviceEndpoints konfigurálva. Bool

Sku

Név Leírás Érték
Család Termékváltozat családneve "A" (kötelező)
név Termékváltozat neve annak megadásához, hogy a kulcstartó standard vagy prémium szintű tároló-e. "prémium"
"standard" (kötelező)