Vault Microsoft.KeyVault 2022-07-01
- Terbaru
- 2023-07-01
-
2023-02-01 -
2022-11-01 -
2022-07-01 - 2022-02-01-preview
- pratinjau
2021-11-01 - 2021-10-01
- 2021-06-01-preview
- pratinjau
2021-04-01 - pratinjau
2020-04-01 - 2019-09-01
-
2018-02-14 - pratinjau
2018-02-14 - 2016-10-01
- 2015-06-01
Definisi sumber daya Bicep
Jenis sumber daya vault dapat disebarkan dengan operasi yang menargetkan:
- Grup sumber daya
- Lihat perintah penyebaran grup sumber daya
Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.
Komentar
Untuk panduan tentang menggunakan brankas kunci untuk nilai aman, lihat Mengelola rahasia dengan menggunakan Bicep.
Untuk mulai cepat membuat rahasia, lihat mulai cepat : Mengatur dan mengambil rahasia dari Azure Key Vault menggunakan templat ARM.
Untuk mulai cepat membuat kunci, lihat mulai cepat : Membuat brankas kunci Azure dan kunci dengan menggunakan templat ARM.
Format sumber daya
Untuk membuat sumber daya Microsoft.KeyVault/vaults, tambahkan Bicep berikut ke templat Anda.
resource symbolicname 'Microsoft.KeyVault/vaults@2022-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Nilai properti
Kubah
Nama | Deskripsi | Nilai |
---|---|---|
Nama | Nama sumber daya | string (diperlukan) Batas karakter: 3-24 Karakter yang valid: Alfanumerik dan tanda hubung. Mulailah dengan huruf. Akhiri dengan huruf atau digit. Tidak dapat berisi tanda hubung berturut-turut. Nama sumber daya harus unik di seluruh Azure. |
tempat | Lokasi Azure yang didukung tempat brankas kunci harus dibuat. | string (diperlukan) |
Tags | Tag yang akan ditetapkan ke brankas kunci. | Kamus nama dan nilai tag. Lihat Tag dalam templat |
Properti | Properti vault | VaultProperties (wajib) |
VaultProperties
Nama | Deskripsi | Nilai |
---|---|---|
accessPolicies | Array identitas 0 hingga 1024 yang memiliki akses ke brankas kunci. Semua identitas dalam array harus menggunakan ID penyewa yang sama dengan ID penyewa brankas kunci. Ketika createMode diatur ke recover , kebijakan akses tidak diperlukan. Jika tidak, kebijakan akses diperlukan. |
AccessPolicyEntry[] |
createMode | Mode buat vault untuk menunjukkan apakah vault perlu dipulihkan atau tidak. | 'default' 'pulihkan' |
enabledForDeployment | Properti untuk menentukan apakah Azure Virtual Machines diizinkan untuk mengambil sertifikat yang disimpan sebagai rahasia dari brankas kunci. | bool |
enabledForDiskEncryption | Properti untuk menentukan apakah Azure Disk Encryption diizinkan untuk mengambil rahasia dari brankas dan membongkar kunci. | bool |
enabledForTemplateDeployment | Properti untuk menentukan apakah Azure Resource Manager diizinkan untuk mengambil rahasia dari brankas kunci. | bool |
enablePurgeProtection | Properti yang menentukan apakah perlindungan terhadap penghapusan menyeluruh diaktifkan untuk vault ini. Mengatur properti ini ke true mengaktifkan perlindungan terhadap penghapusan menyeluruh untuk brankas ini dan kontennya - hanya layanan Key Vault yang dapat memulai penghapusan yang sulit dan tidak dapat dipulihkan. Pengaturan ini hanya efektif jika penghapusan sementara juga diaktifkan. Mengaktifkan fungsionalitas ini tidak dapat diubah - artinya, properti tidak menerima false sebagai nilainya. | bool |
enableRbacAuthorization | Properti yang mengontrol bagaimana tindakan data diotorisasi. Jika benar, brankas kunci akan menggunakan Kontrol Akses Berbasis Peran (RBAC) untuk otorisasi tindakan data, dan kebijakan akses yang ditentukan dalam properti vault akan diabaikan. Ketika false, brankas kunci akan menggunakan kebijakan akses yang ditentukan dalam properti vault, dan kebijakan apa pun yang disimpan di Azure Resource Manager akan diabaikan. Jika null atau tidak ditentukan, vault dibuat dengan nilai default false. Perhatikan bahwa tindakan manajemen selalu diotorisasi dengan RBAC. | bool |
enableSoftDelete | Properti untuk menentukan apakah fungsionalitas 'penghapusan sementara' diaktifkan untuk brankas kunci ini. Jika tidak diatur ke nilai apa pun (benar atau salah) saat membuat brankas kunci baru, nilai tersebut akan diatur ke true secara default. Setelah diatur ke true, itu tidak dapat dikembalikan ke false. | bool |
networkAcls | Aturan yang mengatur aksesibilitas brankas kunci dari lokasi jaringan tertentu. | |
provisioningState | Status provisi vault. | 'RegisteringDns' 'Berhasil' |
publicNetworkAccess | Properti untuk menentukan apakah vault akan menerima lalu lintas dari internet publik. Jika diatur ke 'dinonaktifkan' semua lalu lintas kecuali lalu lintas titik akhir privat dan yang berasal dari layanan tepercaya akan diblokir. Ini akan mengesampingkan aturan firewall yang ditetapkan, yang berarti bahwa bahkan jika aturan firewall ada, kami tidak akan mematuhi aturan. | tali |
Sku | Detail SKU | Sku (diperlukan) |
softDeleteRetentionInDays | softDelete data retention days. Ini menerima >=7 dan <=90. | Int |
tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | string (diperlukan) Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI vault untuk melakukan operasi pada kunci dan rahasia. | tali |
AccessPolicyEntry
Nama | Deskripsi | Nilai |
---|---|---|
applicationId | ID aplikasi klien yang membuat permintaan atas nama prinsipal | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID objek pengguna, perwakilan layanan, atau grup keamanan di penyewa Azure Active Directory untuk vault. ID objek harus unik untuk daftar kebijakan akses. | string (diperlukan) |
Izin | Izin yang dimiliki identitas untuk kunci, rahasia, dan sertifikat. | Izin |
tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | string (diperlukan) Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Izin
Nama | Deskripsi | Nilai |
---|---|---|
Sertifikat | Izin ke sertifikat | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'create' 'hapus' 'deleteissuers' 'get' 'getissuers' 'impor' 'daftar' 'listissuers' 'managecontacts' 'manageissuers' 'hapus menyeluruh' 'pulihkan' 'restore' 'setissuers' 'update' |
Tombol | Izin ke kunci | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'create' 'dekripsi' 'hapus' 'enkripsi' 'get' 'getrotationpolicy' 'impor' 'daftar' 'hapus menyeluruh' 'pulihkan' 'rilis' 'restore' 'putar' 'setrotationpolicy' 'tanda tangan' 'unwrapKey' 'update' 'verifikasi' 'wrapKey' |
Rahasia | Izin ke rahasia | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'hapus' 'get' 'daftar' 'hapus menyeluruh' 'pulihkan' 'restore' 'set' |
penyimpanan | Izin ke akun penyimpanan | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'hapus' 'deletesas' 'get' 'getsas' 'daftar' 'listsas' 'hapus menyeluruh' 'pulihkan' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
Nama | Deskripsi | Nilai |
---|---|---|
Bypass | Memberi tahu lalu lintas apa yang dapat melewati aturan jaringan. Ini bisa menjadi 'AzureServices' atau 'None'. Jika tidak ditentukan, defaultnya adalah 'AzureServices'. | 'AzureServices' 'Tidak Ada' |
defaultAction | Tindakan default ketika tidak ada aturan dari ipRules dan dari virtualNetworkRules yang cocok. Ini hanya digunakan setelah properti bypass dievaluasi. | 'Izinkan' 'Tolak' |
ipRules | Daftar aturan alamat IP. | IPRule [] |
virtualNetworkRules | Daftar aturan jaringan virtual. | VirtualNetworkRule[] |
IPRule
Nama | Deskripsi | Nilai |
---|---|---|
nilai | Rentang alamat IPv4 dalam notasi CIDR, seperti '124.56.78.91' (alamat IP sederhana) atau '124.56.78.0/24' (semua alamat yang dimulai dengan 124.56.78). | string (diperlukan) |
VirtualNetworkRule
Nama | Deskripsi | Nilai |
---|---|---|
Id | Id sumber daya lengkap subnet vnet, seperti '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | string (diperlukan) |
ignoreMissingVnetServiceEndpoint | Properti untuk menentukan apakah NRP akan mengabaikan pemeriksaan apakah subnet induk memiliki serviceEndpoints yang dikonfigurasi. | bool |
Sku
Nama | Deskripsi | Nilai |
---|---|---|
keluarga | Nama keluarga SKU | 'A' (diperlukan) |
Nama | Nama SKU untuk menentukan apakah brankas kunci adalah vault standar atau brankas premium. | 'premium' 'standar' (diperlukan) |
Templat mulai cepat
Templat mulai cepat berikut menyebarkan jenis sumber daya ini.
Templat | Deskripsi |
---|---|
Kluster AKS dengan NAT Gateway dan Application Gateway |
Sampel ini menunjukkan cara menyebarkan kluster AKS dengan NAT Gateway untuk koneksi keluar dan Application Gateway untuk koneksi masuk. |
Membuat Kluster AKS Privat dengan Zona DNS Publik |
Sampel ini menunjukkan cara menyebarkan kluster AKS privat dengan Zona DNS Publik. |
Menyebarkan Analitik Olahraga di Arsitektur Azure |
Membuat akun penyimpanan Azure dengan ADLS Gen 2 diaktifkan, instans Azure Data Factory dengan layanan tertaut untuk akun penyimpanan (Azure SQL Database jika disebarkan), dan instans Azure Databricks. Identitas AAD untuk pengguna yang menyebarkan templat dan identitas terkelola untuk instans ADF akan diberikan peran Kontributor Data Blob Penyimpanan pada akun penyimpanan. Ada juga opsi untuk menyebarkan instans Azure Key Vault, Azure SQL Database, dan Azure Event Hub (untuk kasus penggunaan streaming). Saat Azure Key Vault disebarkan, identitas terkelola pabrik data dan identitas AAD untuk pengguna yang menyebarkan templat akan diberikan peran Pengguna Rahasia Key Vault. |
Ruang Kerja Azure Machine Learning |
Templat ini membuat Ruang Kerja Azure Machine Learning baru, bersama dengan Akun Penyimpanan terenkripsi, KeyVault, dan Pengelogan Application Insights |
Membuat KeyVault |
Modul ini membuat sumber daya KeyVault dengan apiVersion 2019-09-01. |
Membuat layanan API Management dengan SSL dari KeyVault |
Templat ini menyebarkan layanan API Management yang dikonfigurasi dengan Identitas yang Ditetapkan Pengguna. Ini menggunakan identitas ini untuk mengambil sertifikat SSL dari KeyVault dan terus memperbaruinya dengan memeriksa setiap 4 jam. |
Membuat aplikasi servicebus pub-sub Dapr menggunakan Container Apps |
Buat aplikasi dapr pub-sub servicebus menggunakan Container Apps. |
membuat kluster Azure Stack HCI 23H2 |
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM. |
membuat kluster Azure Stack HCI 23H2 |
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM, menggunakan IP penyimpanan kustom |
membuat kluster Azure Stack HCI 23H2 dalam mode Jaringan Switchless-Dual-link |
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM. |
membuat kluster Azure Stack HCI 23H2 dalam mode jaringan Switchless-SingleLink |
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM. |
Membuat vm windows terenkripsi baru dari gambar galeri |
Templat ini membuat vm windows terenkripsi baru menggunakan gambar galeri server 2k12. |
Membuat disk terkelola baru yang dienkripsi win-vm dari gambar galeri |
Templat ini membuat vm windows disk terkelola terenkripsi baru menggunakan gambar galeri server 2k12. |
Templat ini mengenkripsi windows VMSS yang sedang berjalan |
Templat ini memungkinkan enkripsi pada Windows VM Scale Set yang sedang berjalan |
Mengaktifkan enkripsi pada windows VM yang sedang berjalan |
Templat ini memungkinkan enkripsi pada vm windows yang sedang berjalan. |
Membuat dan mengenkripsi VMSS Windows baru dengan jumpbox |
Templat ini memungkinkan Anda untuk menyebarkan VM Scale Set sederhana VM Windows menggunakan versi Windows serveral yang di-patch terakhir. Templat ini juga menyebarkan jumpbox dengan alamat IP publik di jaringan virtual yang sama. Anda dapat terhubung ke jumpbox melalui alamat IP publik ini, lalu menyambungkan dari sana ke VM dalam set skala melalui alamat IP privat. Templat ini memungkinkan enkripsi pada VM Scale Set VM Windows VM. |
Membuat Azure Key Vault dan rahasia |
Templat ini membuat Azure Key Vault dan rahasia. |
Membuat Azure Key Vault dengan RBAC dan rahasia |
Templat ini membuat Azure Key Vault dan rahasia. Alih-alih mengandalkan kebijakan akses, ini memanfaatkan Azure RBAC untuk mengelola otorisasi pada rahasia |
Membuat brankas kunci, identitas terkelola, dan penetapan peran |
Templat ini membuat brankas kunci, identitas terkelola, dan penetapan peran. |
Menyambungkan ke Key Vault melalui titik akhir privat |
Sampel ini menunjukkan cara menggunakan konfigurasi jaringan virtual dan zona DNS privat untuk mengakses Key Vault melalui titik akhir privat. |
Membuat Key Vault dan daftar rahasia |
Templat ini membuat Key Vault dan daftar rahasia dalam brankas kunci seperti yang diteruskan bersama dengan parameter |
Buat Key Vault dengan pengelogan diaktifkan |
Templat ini membuat Azure Key Vault dan akun Azure Storage yang digunakan untuk pengelogan. Ini secara opsional membuat kunci sumber daya untuk melindungi Key Vault dan sumber daya penyimpanan Anda. |
penyiapan dasar Azure AI Studio |
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
penyiapan dasar Azure AI Studio |
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
Azure AI Studio dengan Autentikasi ID Microsoft Entra |
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan autentikasi ID Microsoft Entra untuk sumber daya dependen, seperti Azure AI Services dan Azure Storage. |
Membuat ruang kerja AML dengan beberapa Himpunan Data & Datastore |
Templat ini membuat ruang kerja Azure Machine Learning dengan beberapa himpunan data & datastore. |
penyiapan aman end-to-end Azure Machine Learning |
Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang. |
penyiapan aman end-to-end (warisan) Azure Machine Learning |
Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang. |
Membuat target komputasi AKS dengan alamat IP Privat |
Templat ini membuat target komputasi AKS di ruang kerja layanan Azure Machine Learning tertentu dengan alamat IP privat. |
Membuat ruang kerja layanan Azure Machine Learning |
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan kumpulan sumber daya minimal yang Anda butuhkan untuk mulai menggunakan Azure Machine Learning. |
Membuat ruang kerja layanan Azure Machine Learning (CMK) |
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Contoh menunjukkan cara mengonfigurasi Azure Machine Learning untuk enkripsi dengan kunci enkripsi yang dikelola pelanggan. |
Membuat ruang kerja layanan Azure Machine Learning (CMK) |
Templat penyebaran ini menentukan cara membuat ruang kerja Azure Machine Learning dengan enkripsi sisi layanan menggunakan kunci enkripsi Anda. |
Membuat ruang kerja layanan Azure Machine Learning (vnet) |
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan. |
Membuat ruang kerja layanan Azure Machine Learning (warisan) |
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan. |
kluster AKS dengan Pengontrol Ingress Application Gateway |
Sampel ini menunjukkan cara menyebarkan kluster AKS dengan Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics, dan Key Vault |
Membuat Application Gateway V2 dengan Key Vault |
Templat ini menyebarkan Application Gateway V2 di Virtual Network, identitas yang ditentukan pengguna, Key Vault, rahasia (data sertifikasi), dan kebijakan akses di Key Vault dan Application Gateway. |
lingkungan Pengujian untuk Azure Firewall Premium |
Templat ini membuat Azure Firewall Premium dan Firewall Policy dengan fitur premium seperti Intrusion Inspection Detection (IDPS), inspeksi TLS, dan pemfilteran Kategori Web |
Membuat sumber daya Titik Akhir Privat Lintas Penyewa |
Templat ini memungkinkan Anda membuat sumber daya Titik Akhir Priavate dalam lingkungan yang sama atau lintas penyewa dan menambahkan konfigurasi zona dns. |
Membuat Application Gateway dengan Sertifikat |
Templat ini menunjukkan cara membuat sertifikat yang ditandatangani sendiri Key Vault, lalu referensi dari Application Gateway. |
Enkripsi Akun Azure Storage dengan kunci yang dikelola pelanggan |
Templat ini menyebarkan Akun Penyimpanan dengan kunci yang dikelola pelanggan untuk enkripsi yang dihasilkan dan ditempatkan di dalam Key Vault. |
App Service Environment dengan backend Azure SQL |
Templat ini membuat Lingkungan App Service dengan backend Azure SQL bersama dengan titik akhir privat bersama dengan sumber daya terkait yang biasanya digunakan di lingkungan privat/terisolasi. |
aplikasi Azure Function dan fungsi yang dipicu HTTP |
Contoh ini menyebarkan aplikasi Azure Function dan fungsi yang dipicu HTTP sebaris dalam templat. Ini juga menyebarkan Key Vault dan mengisi rahasia dengan kunci host aplikasi fungsi. |
Application Gateway dengan API Management internal dan Aplikasi Web |
Lalu lintas Internet perutean Application Gateway ke instans API Management jaringan virtual (mode internal) yang melayani API web yang dihosting di Azure Web App. |
Definisi sumber daya templat ARM
Jenis sumber daya vault dapat disebarkan dengan operasi yang menargetkan:
- Grup sumber daya
- Lihat perintah penyebaran grup sumber daya
Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.
Komentar
Untuk panduan tentang menggunakan brankas kunci untuk nilai aman, lihat Mengelola rahasia dengan menggunakan Bicep.
Untuk mulai cepat membuat rahasia, lihat mulai cepat : Mengatur dan mengambil rahasia dari Azure Key Vault menggunakan templat ARM.
Untuk mulai cepat membuat kunci, lihat mulai cepat : Membuat brankas kunci Azure dan kunci dengan menggunakan templat ARM.
Format sumber daya
Untuk membuat sumber daya Microsoft.KeyVault/vaults, tambahkan JSON berikut ke templat Anda.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2022-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Nilai properti
Kubah
Nama | Deskripsi | Nilai |
---|---|---|
jenis | Jenis sumber daya | 'Microsoft.KeyVault/vaults' |
apiVersion | Versi api sumber daya | '2022-07-01' |
Nama | Nama sumber daya | string (diperlukan) Batas karakter: 3-24 Karakter yang valid: Alfanumerik dan tanda hubung. Mulailah dengan huruf. Akhiri dengan huruf atau digit. Tidak dapat berisi tanda hubung berturut-turut. Nama sumber daya harus unik di seluruh Azure. |
tempat | Lokasi Azure yang didukung tempat brankas kunci harus dibuat. | string (diperlukan) |
Tags | Tag yang akan ditetapkan ke brankas kunci. | Kamus nama dan nilai tag. Lihat Tag dalam templat |
Properti | Properti vault | VaultProperties (wajib) |
VaultProperties
Nama | Deskripsi | Nilai |
---|---|---|
accessPolicies | Array identitas 0 hingga 1024 yang memiliki akses ke brankas kunci. Semua identitas dalam array harus menggunakan ID penyewa yang sama dengan ID penyewa brankas kunci. Ketika createMode diatur ke recover , kebijakan akses tidak diperlukan. Jika tidak, kebijakan akses diperlukan. |
AccessPolicyEntry[] |
createMode | Mode buat vault untuk menunjukkan apakah vault perlu dipulihkan atau tidak. | 'default' 'pulihkan' |
enabledForDeployment | Properti untuk menentukan apakah Azure Virtual Machines diizinkan untuk mengambil sertifikat yang disimpan sebagai rahasia dari brankas kunci. | bool |
enabledForDiskEncryption | Properti untuk menentukan apakah Azure Disk Encryption diizinkan untuk mengambil rahasia dari brankas dan membongkar kunci. | bool |
enabledForTemplateDeployment | Properti untuk menentukan apakah Azure Resource Manager diizinkan untuk mengambil rahasia dari brankas kunci. | bool |
enablePurgeProtection | Properti yang menentukan apakah perlindungan terhadap penghapusan menyeluruh diaktifkan untuk vault ini. Mengatur properti ini ke true mengaktifkan perlindungan terhadap penghapusan menyeluruh untuk brankas ini dan kontennya - hanya layanan Key Vault yang dapat memulai penghapusan yang sulit dan tidak dapat dipulihkan. Pengaturan ini hanya efektif jika penghapusan sementara juga diaktifkan. Mengaktifkan fungsionalitas ini tidak dapat diubah - artinya, properti tidak menerima false sebagai nilainya. | bool |
enableRbacAuthorization | Properti yang mengontrol bagaimana tindakan data diotorisasi. Jika benar, brankas kunci akan menggunakan Kontrol Akses Berbasis Peran (RBAC) untuk otorisasi tindakan data, dan kebijakan akses yang ditentukan dalam properti vault akan diabaikan. Ketika false, brankas kunci akan menggunakan kebijakan akses yang ditentukan dalam properti vault, dan kebijakan apa pun yang disimpan di Azure Resource Manager akan diabaikan. Jika null atau tidak ditentukan, vault dibuat dengan nilai default false. Perhatikan bahwa tindakan manajemen selalu diotorisasi dengan RBAC. | bool |
enableSoftDelete | Properti untuk menentukan apakah fungsionalitas 'penghapusan sementara' diaktifkan untuk brankas kunci ini. Jika tidak diatur ke nilai apa pun (benar atau salah) saat membuat brankas kunci baru, nilai tersebut akan diatur ke true secara default. Setelah diatur ke true, itu tidak dapat dikembalikan ke false. | bool |
networkAcls | Aturan yang mengatur aksesibilitas brankas kunci dari lokasi jaringan tertentu. | |
provisioningState | Status provisi vault. | 'RegisteringDns' 'Berhasil' |
publicNetworkAccess | Properti untuk menentukan apakah vault akan menerima lalu lintas dari internet publik. Jika diatur ke 'dinonaktifkan' semua lalu lintas kecuali lalu lintas titik akhir privat dan yang berasal dari layanan tepercaya akan diblokir. Ini akan mengesampingkan aturan firewall yang ditetapkan, yang berarti bahwa bahkan jika aturan firewall ada, kami tidak akan mematuhi aturan. | tali |
Sku | Detail SKU | Sku (diperlukan) |
softDeleteRetentionInDays | softDelete data retention days. Ini menerima >=7 dan <=90. | Int |
tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | string (diperlukan) Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI vault untuk melakukan operasi pada kunci dan rahasia. | tali |
AccessPolicyEntry
Nama | Deskripsi | Nilai |
---|---|---|
applicationId | ID aplikasi klien yang membuat permintaan atas nama prinsipal | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID objek pengguna, perwakilan layanan, atau grup keamanan di penyewa Azure Active Directory untuk vault. ID objek harus unik untuk daftar kebijakan akses. | string (diperlukan) |
Izin | Izin yang dimiliki identitas untuk kunci, rahasia, dan sertifikat. | Izin |
tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | string (diperlukan) Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Izin
Nama | Deskripsi | Nilai |
---|---|---|
Sertifikat | Izin ke sertifikat | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'create' 'hapus' 'deleteissuers' 'get' 'getissuers' 'impor' 'daftar' 'listissuers' 'managecontacts' 'manageissuers' 'hapus menyeluruh' 'pulihkan' 'restore' 'setissuers' 'update' |
Tombol | Izin ke kunci | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'create' 'dekripsi' 'hapus' 'enkripsi' 'get' 'getrotationpolicy' 'impor' 'daftar' 'hapus menyeluruh' 'pulihkan' 'rilis' 'restore' 'putar' 'setrotationpolicy' 'tanda tangan' 'unwrapKey' 'update' 'verifikasi' 'wrapKey' |
Rahasia | Izin ke rahasia | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'hapus' 'get' 'daftar' 'hapus menyeluruh' 'pulihkan' 'restore' 'set' |
penyimpanan | Izin ke akun penyimpanan | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'hapus' 'deletesas' 'get' 'getsas' 'daftar' 'listsas' 'hapus menyeluruh' 'pulihkan' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
Nama | Deskripsi | Nilai |
---|---|---|
Bypass | Memberi tahu lalu lintas apa yang dapat melewati aturan jaringan. Ini bisa menjadi 'AzureServices' atau 'None'. Jika tidak ditentukan, defaultnya adalah 'AzureServices'. | 'AzureServices' 'Tidak Ada' |
defaultAction | Tindakan default ketika tidak ada aturan dari ipRules dan dari virtualNetworkRules yang cocok. Ini hanya digunakan setelah properti bypass dievaluasi. | 'Izinkan' 'Tolak' |
ipRules | Daftar aturan alamat IP. | IPRule [] |
virtualNetworkRules | Daftar aturan jaringan virtual. | VirtualNetworkRule[] |
IPRule
Nama | Deskripsi | Nilai |
---|---|---|
nilai | Rentang alamat IPv4 dalam notasi CIDR, seperti '124.56.78.91' (alamat IP sederhana) atau '124.56.78.0/24' (semua alamat yang dimulai dengan 124.56.78). | string (diperlukan) |
VirtualNetworkRule
Nama | Deskripsi | Nilai |
---|---|---|
Id | Id sumber daya lengkap subnet vnet, seperti '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | string (diperlukan) |
ignoreMissingVnetServiceEndpoint | Properti untuk menentukan apakah NRP akan mengabaikan pemeriksaan apakah subnet induk memiliki serviceEndpoints yang dikonfigurasi. | bool |
Sku
Nama | Deskripsi | Nilai |
---|---|---|
keluarga | Nama keluarga SKU | 'A' (diperlukan) |
Nama | Nama SKU untuk menentukan apakah brankas kunci adalah vault standar atau brankas premium. | 'premium' 'standar' (diperlukan) |
Templat mulai cepat
Templat mulai cepat berikut menyebarkan jenis sumber daya ini.
Templat | Deskripsi |
---|---|
Kluster AKS dengan NAT Gateway dan Application Gateway |
Sampel ini menunjukkan cara menyebarkan kluster AKS dengan NAT Gateway untuk koneksi keluar dan Application Gateway untuk koneksi masuk. |
Membuat Kluster AKS Privat dengan Zona DNS Publik |
Sampel ini menunjukkan cara menyebarkan kluster AKS privat dengan Zona DNS Publik. |
Menyebarkan Analitik Olahraga di Arsitektur Azure |
Membuat akun penyimpanan Azure dengan ADLS Gen 2 diaktifkan, instans Azure Data Factory dengan layanan tertaut untuk akun penyimpanan (Azure SQL Database jika disebarkan), dan instans Azure Databricks. Identitas AAD untuk pengguna yang menyebarkan templat dan identitas terkelola untuk instans ADF akan diberikan peran Kontributor Data Blob Penyimpanan pada akun penyimpanan. Ada juga opsi untuk menyebarkan instans Azure Key Vault, Azure SQL Database, dan Azure Event Hub (untuk kasus penggunaan streaming). Saat Azure Key Vault disebarkan, identitas terkelola pabrik data dan identitas AAD untuk pengguna yang menyebarkan templat akan diberikan peran Pengguna Rahasia Key Vault. |
Ruang Kerja Azure Machine Learning |
Templat ini membuat Ruang Kerja Azure Machine Learning baru, bersama dengan Akun Penyimpanan terenkripsi, KeyVault, dan Pengelogan Application Insights |
Membuat KeyVault |
Modul ini membuat sumber daya KeyVault dengan apiVersion 2019-09-01. |
Membuat layanan API Management dengan SSL dari KeyVault |
Templat ini menyebarkan layanan API Management yang dikonfigurasi dengan Identitas yang Ditetapkan Pengguna. Ini menggunakan identitas ini untuk mengambil sertifikat SSL dari KeyVault dan terus memperbaruinya dengan memeriksa setiap 4 jam. |
Membuat aplikasi servicebus pub-sub Dapr menggunakan Container Apps |
Buat aplikasi dapr pub-sub servicebus menggunakan Container Apps. |
membuat kluster Azure Stack HCI 23H2 |
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM. |
membuat kluster Azure Stack HCI 23H2 |
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM, menggunakan IP penyimpanan kustom |
membuat kluster Azure Stack HCI 23H2 dalam mode Jaringan Switchless-Dual-link |
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM. |
membuat kluster Azure Stack HCI 23H2 dalam mode jaringan Switchless-SingleLink |
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM. |
Membuat vm windows terenkripsi baru dari gambar galeri |
Templat ini membuat vm windows terenkripsi baru menggunakan gambar galeri server 2k12. |
Membuat disk terkelola baru yang dienkripsi win-vm dari gambar galeri |
Templat ini membuat vm windows disk terkelola terenkripsi baru menggunakan gambar galeri server 2k12. |
Templat ini mengenkripsi windows VMSS yang sedang berjalan |
Templat ini memungkinkan enkripsi pada Windows VM Scale Set yang sedang berjalan |
Mengaktifkan enkripsi pada windows VM yang sedang berjalan |
Templat ini memungkinkan enkripsi pada vm windows yang sedang berjalan. |
Membuat dan mengenkripsi VMSS Windows baru dengan jumpbox |
Templat ini memungkinkan Anda untuk menyebarkan VM Scale Set sederhana VM Windows menggunakan versi Windows serveral yang di-patch terakhir. Templat ini juga menyebarkan jumpbox dengan alamat IP publik di jaringan virtual yang sama. Anda dapat terhubung ke jumpbox melalui alamat IP publik ini, lalu menyambungkan dari sana ke VM dalam set skala melalui alamat IP privat. Templat ini memungkinkan enkripsi pada VM Scale Set VM Windows VM. |
Membuat Azure Key Vault dan rahasia |
Templat ini membuat Azure Key Vault dan rahasia. |
Membuat Azure Key Vault dengan RBAC dan rahasia |
Templat ini membuat Azure Key Vault dan rahasia. Alih-alih mengandalkan kebijakan akses, ini memanfaatkan Azure RBAC untuk mengelola otorisasi pada rahasia |
Membuat brankas kunci, identitas terkelola, dan penetapan peran |
Templat ini membuat brankas kunci, identitas terkelola, dan penetapan peran. |
Menyambungkan ke Key Vault melalui titik akhir privat |
Sampel ini menunjukkan cara menggunakan konfigurasi jaringan virtual dan zona DNS privat untuk mengakses Key Vault melalui titik akhir privat. |
Membuat Key Vault dan daftar rahasia |
Templat ini membuat Key Vault dan daftar rahasia dalam brankas kunci seperti yang diteruskan bersama dengan parameter |
Buat Key Vault dengan pengelogan diaktifkan |
Templat ini membuat Azure Key Vault dan akun Azure Storage yang digunakan untuk pengelogan. Ini secara opsional membuat kunci sumber daya untuk melindungi Key Vault dan sumber daya penyimpanan Anda. |
penyiapan dasar Azure AI Studio |
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
penyiapan dasar Azure AI Studio |
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
Azure AI Studio dengan Autentikasi ID Microsoft Entra |
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan autentikasi ID Microsoft Entra untuk sumber daya dependen, seperti Azure AI Services dan Azure Storage. |
Membuat ruang kerja AML dengan beberapa Himpunan Data & Datastore |
Templat ini membuat ruang kerja Azure Machine Learning dengan beberapa himpunan data & datastore. |
penyiapan aman end-to-end Azure Machine Learning |
Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang. |
penyiapan aman end-to-end (warisan) Azure Machine Learning |
Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang. |
Membuat target komputasi AKS dengan alamat IP Privat |
Templat ini membuat target komputasi AKS di ruang kerja layanan Azure Machine Learning tertentu dengan alamat IP privat. |
Membuat ruang kerja layanan Azure Machine Learning |
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan kumpulan sumber daya minimal yang Anda butuhkan untuk mulai menggunakan Azure Machine Learning. |
Membuat ruang kerja layanan Azure Machine Learning (CMK) |
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Contoh menunjukkan cara mengonfigurasi Azure Machine Learning untuk enkripsi dengan kunci enkripsi yang dikelola pelanggan. |
Membuat ruang kerja layanan Azure Machine Learning (CMK) |
Templat penyebaran ini menentukan cara membuat ruang kerja Azure Machine Learning dengan enkripsi sisi layanan menggunakan kunci enkripsi Anda. |
Membuat ruang kerja layanan Azure Machine Learning (vnet) |
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan. |
Membuat ruang kerja layanan Azure Machine Learning (warisan) |
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan. |
kluster AKS dengan Pengontrol Ingress Application Gateway |
Sampel ini menunjukkan cara menyebarkan kluster AKS dengan Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics, dan Key Vault |
Membuat Application Gateway V2 dengan Key Vault |
Templat ini menyebarkan Application Gateway V2 di Virtual Network, identitas yang ditentukan pengguna, Key Vault, rahasia (data sertifikasi), dan kebijakan akses di Key Vault dan Application Gateway. |
lingkungan Pengujian untuk Azure Firewall Premium |
Templat ini membuat Azure Firewall Premium dan Firewall Policy dengan fitur premium seperti Intrusion Inspection Detection (IDPS), inspeksi TLS, dan pemfilteran Kategori Web |
Membuat sumber daya Titik Akhir Privat Lintas Penyewa |
Templat ini memungkinkan Anda membuat sumber daya Titik Akhir Priavate dalam lingkungan yang sama atau lintas penyewa dan menambahkan konfigurasi zona dns. |
Membuat Application Gateway dengan Sertifikat |
Templat ini menunjukkan cara membuat sertifikat yang ditandatangani sendiri Key Vault, lalu referensi dari Application Gateway. |
Enkripsi Akun Azure Storage dengan kunci yang dikelola pelanggan |
Templat ini menyebarkan Akun Penyimpanan dengan kunci yang dikelola pelanggan untuk enkripsi yang dihasilkan dan ditempatkan di dalam Key Vault. |
App Service Environment dengan backend Azure SQL |
Templat ini membuat Lingkungan App Service dengan backend Azure SQL bersama dengan titik akhir privat bersama dengan sumber daya terkait yang biasanya digunakan di lingkungan privat/terisolasi. |
aplikasi Azure Function dan fungsi yang dipicu HTTP |
Contoh ini menyebarkan aplikasi Azure Function dan fungsi yang dipicu HTTP sebaris dalam templat. Ini juga menyebarkan Key Vault dan mengisi rahasia dengan kunci host aplikasi fungsi. |
Application Gateway dengan API Management internal dan Aplikasi Web |
Lalu lintas Internet perutean Application Gateway ke instans API Management jaringan virtual (mode internal) yang melayani API web yang dihosting di Azure Web App. |
Definisi sumber daya Terraform (penyedia AzAPI)
Jenis sumber daya vault dapat disebarkan dengan operasi yang menargetkan:
- grup Sumber Daya
Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.
Format sumber daya
Untuk membuat sumber daya Microsoft.KeyVault/vaults, tambahkan Terraform berikut ke templat Anda.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2022-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Nilai properti
Kubah
Nama | Deskripsi | Nilai |
---|---|---|
jenis | Jenis sumber daya | "Microsoft.KeyVault/vaults@2022-07-01" |
Nama | Nama sumber daya | string (diperlukan) Batas karakter: 3-24 Karakter yang valid: Alfanumerik dan tanda hubung. Mulailah dengan huruf. Akhiri dengan huruf atau digit. Tidak dapat berisi tanda hubung berturut-turut. Nama sumber daya harus unik di seluruh Azure. |
tempat | Lokasi Azure yang didukung tempat brankas kunci harus dibuat. | string (diperlukan) |
parent_id | Untuk menyebarkan ke grup sumber daya, gunakan ID grup sumber daya tersebut. | string (diperlukan) |
Tags | Tag yang akan ditetapkan ke brankas kunci. | Kamus nama dan nilai tag. |
Properti | Properti vault | VaultProperties (wajib) |
VaultProperties
Nama | Deskripsi | Nilai |
---|---|---|
accessPolicies | Array identitas 0 hingga 1024 yang memiliki akses ke brankas kunci. Semua identitas dalam array harus menggunakan ID penyewa yang sama dengan ID penyewa brankas kunci. Ketika createMode diatur ke recover , kebijakan akses tidak diperlukan. Jika tidak, kebijakan akses diperlukan. |
AccessPolicyEntry[] |
createMode | Mode buat vault untuk menunjukkan apakah vault perlu dipulihkan atau tidak. | "default" "pulihkan" |
enabledForDeployment | Properti untuk menentukan apakah Azure Virtual Machines diizinkan untuk mengambil sertifikat yang disimpan sebagai rahasia dari brankas kunci. | bool |
enabledForDiskEncryption | Properti untuk menentukan apakah Azure Disk Encryption diizinkan untuk mengambil rahasia dari brankas dan membongkar kunci. | bool |
enabledForTemplateDeployment | Properti untuk menentukan apakah Azure Resource Manager diizinkan untuk mengambil rahasia dari brankas kunci. | bool |
enablePurgeProtection | Properti yang menentukan apakah perlindungan terhadap penghapusan menyeluruh diaktifkan untuk vault ini. Mengatur properti ini ke true mengaktifkan perlindungan terhadap penghapusan menyeluruh untuk brankas ini dan kontennya - hanya layanan Key Vault yang dapat memulai penghapusan yang sulit dan tidak dapat dipulihkan. Pengaturan ini hanya efektif jika penghapusan sementara juga diaktifkan. Mengaktifkan fungsionalitas ini tidak dapat diubah - artinya, properti tidak menerima false sebagai nilainya. | bool |
enableRbacAuthorization | Properti yang mengontrol bagaimana tindakan data diotorisasi. Jika benar, brankas kunci akan menggunakan Kontrol Akses Berbasis Peran (RBAC) untuk otorisasi tindakan data, dan kebijakan akses yang ditentukan dalam properti vault akan diabaikan. Ketika false, brankas kunci akan menggunakan kebijakan akses yang ditentukan dalam properti vault, dan kebijakan apa pun yang disimpan di Azure Resource Manager akan diabaikan. Jika null atau tidak ditentukan, vault dibuat dengan nilai default false. Perhatikan bahwa tindakan manajemen selalu diotorisasi dengan RBAC. | bool |
enableSoftDelete | Properti untuk menentukan apakah fungsionalitas 'penghapusan sementara' diaktifkan untuk brankas kunci ini. Jika tidak diatur ke nilai apa pun (benar atau salah) saat membuat brankas kunci baru, nilai tersebut akan diatur ke true secara default. Setelah diatur ke true, itu tidak dapat dikembalikan ke false. | bool |
networkAcls | Aturan yang mengatur aksesibilitas brankas kunci dari lokasi jaringan tertentu. | |
provisioningState | Status provisi vault. | "RegisteringDns" "Berhasil" |
publicNetworkAccess | Properti untuk menentukan apakah vault akan menerima lalu lintas dari internet publik. Jika diatur ke 'dinonaktifkan' semua lalu lintas kecuali lalu lintas titik akhir privat dan yang berasal dari layanan tepercaya akan diblokir. Ini akan mengesampingkan aturan firewall yang ditetapkan, yang berarti bahwa bahkan jika aturan firewall ada, kami tidak akan mematuhi aturan. | tali |
Sku | Detail SKU | Sku (diperlukan) |
softDeleteRetentionInDays | softDelete data retention days. Ini menerima >=7 dan <=90. | Int |
tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | string (diperlukan) Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI vault untuk melakukan operasi pada kunci dan rahasia. | tali |
AccessPolicyEntry
Nama | Deskripsi | Nilai |
---|---|---|
applicationId | ID aplikasi klien yang membuat permintaan atas nama prinsipal | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID objek pengguna, perwakilan layanan, atau grup keamanan di penyewa Azure Active Directory untuk vault. ID objek harus unik untuk daftar kebijakan akses. | string (diperlukan) |
Izin | Izin yang dimiliki identitas untuk kunci, rahasia, dan sertifikat. | Izin |
tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | string (diperlukan) Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Izin
Nama | Deskripsi | Nilai |
---|---|---|
Sertifikat | Izin ke sertifikat | Array string yang berisi salah satu dari: "semua" "cadangan" "buat" "hapus" "deleteissuers" "dapatkan" "getissuers" "impor" "daftar" "listissuers" "managecontacts" "manageissuers" "hapus menyeluruh" "pulihkan" "pulihkan" "setissuers" "perbarui" |
Tombol | Izin ke kunci | Array string yang berisi salah satu dari: "semua" "cadangan" "buat" "dekripsi" "hapus" "enkripsi" "dapatkan" "getrotationpolicy" "impor" "daftar" "hapus menyeluruh" "pulihkan" "rilis" "pulihkan" "putar" "setrotationpolicy" "tanda" "unwrapKey" "perbarui" "verifikasi" "wrapKey" |
Rahasia | Izin ke rahasia | Array string yang berisi salah satu dari: "semua" "cadangan" "hapus" "dapatkan" "daftar" "hapus menyeluruh" "pulihkan" "pulihkan" "set" |
penyimpanan | Izin ke akun penyimpanan | Array string yang berisi salah satu dari: "semua" "cadangan" "hapus" "deletesas" "dapatkan" "getsas" "daftar" "listsas" "hapus menyeluruh" "pulihkan" "regeneratekey" "pulihkan" "set" "setsas" "perbarui" |
NetworkRuleSet
Nama | Deskripsi | Nilai |
---|---|---|
Bypass | Memberi tahu lalu lintas apa yang dapat melewati aturan jaringan. Ini bisa menjadi 'AzureServices' atau 'None'. Jika tidak ditentukan, defaultnya adalah 'AzureServices'. | "AzureServices" "Tidak Ada" |
defaultAction | Tindakan default ketika tidak ada aturan dari ipRules dan dari virtualNetworkRules yang cocok. Ini hanya digunakan setelah properti bypass dievaluasi. | "Izinkan" "Tolak" |
ipRules | Daftar aturan alamat IP. | IPRule [] |
virtualNetworkRules | Daftar aturan jaringan virtual. | VirtualNetworkRule[] |
IPRule
Nama | Deskripsi | Nilai |
---|---|---|
nilai | Rentang alamat IPv4 dalam notasi CIDR, seperti '124.56.78.91' (alamat IP sederhana) atau '124.56.78.0/24' (semua alamat yang dimulai dengan 124.56.78). | string (diperlukan) |
VirtualNetworkRule
Nama | Deskripsi | Nilai |
---|---|---|
Id | Id sumber daya lengkap subnet vnet, seperti '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | string (diperlukan) |
ignoreMissingVnetServiceEndpoint | Properti untuk menentukan apakah NRP akan mengabaikan pemeriksaan apakah subnet induk memiliki serviceEndpoints yang dikonfigurasi. | bool |
Sku
Nama | Deskripsi | Nilai |
---|---|---|
keluarga | Nama keluarga SKU | "A" (diperlukan) |
Nama | Nama SKU untuk menentukan apakah brankas kunci adalah vault standar atau brankas premium. | "premium" "standar" (diperlukan) |