Bagikan melalui


Vault Microsoft.KeyVault 2022-11-01

  • Terbaru
  • 2023-07-01
  • 2023-02-01
  • 2022-11-01
  • 2022-07-01
  • 2022-02-01-preview
  • pratinjau 2021-11-01
  • 2021-10-01
  • 2021-06-01-preview
  • pratinjau 2021-04-01
  • pratinjau 2020-04-01
  • 2019-09-01
  • 2018-02-14
  • pratinjau 2018-02-14
  • 2016-10-01
  • 2015-06-01

Definisi sumber daya Bicep

Jenis sumber daya vault dapat disebarkan dengan operasi yang menargetkan:

  • Grup sumber daya - Lihat perintah penyebaran grup sumber daya

Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.

Komentar

Untuk panduan tentang menggunakan brankas kunci untuk nilai aman, lihat Mengelola rahasia dengan menggunakan Bicep.

Untuk mulai cepat membuat rahasia, lihat mulai cepat : Mengatur dan mengambil rahasia dari Azure Key Vault menggunakan templat ARM.

Untuk mulai cepat membuat kunci, lihat mulai cepat : Membuat brankas kunci Azure dan kunci dengan menggunakan templat ARM.

Format sumber daya

Untuk membuat sumber daya Microsoft.KeyVault/vaults, tambahkan Bicep berikut ke templat Anda.

resource symbolicname 'Microsoft.KeyVault/vaults@2022-11-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    publicNetworkAccess: 'string'
    sku: {
      family: 'A'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
}

Nilai properti

Kubah

Nama Deskripsi Nilai
Nama Nama sumber daya string (diperlukan)

Batas karakter: 3-24

Karakter yang valid:
Alfanumerik dan tanda hubung.

Mulailah dengan huruf. Akhiri dengan huruf atau digit. Tidak dapat berisi tanda hubung berturut-turut.

Nama sumber daya harus unik di seluruh Azure.
tempat Lokasi Azure yang didukung tempat brankas kunci harus dibuat. string (diperlukan)
Tags Tag yang akan ditetapkan ke brankas kunci. Kamus nama dan nilai tag. Lihat Tag dalam templat
Properti Properti vault VaultProperties (wajib)

VaultProperties

Nama Deskripsi Nilai
accessPolicies Array identitas 0 hingga 1024 yang memiliki akses ke brankas kunci. Semua identitas dalam array harus menggunakan ID penyewa yang sama dengan ID penyewa brankas kunci. Ketika createMode diatur ke recover, kebijakan akses tidak diperlukan. Jika tidak, kebijakan akses diperlukan. AccessPolicyEntry[]
createMode Mode buat vault untuk menunjukkan apakah vault perlu dipulihkan atau tidak. 'default'
'pulihkan'
enabledForDeployment Properti untuk menentukan apakah Azure Virtual Machines diizinkan untuk mengambil sertifikat yang disimpan sebagai rahasia dari brankas kunci. bool
enabledForDiskEncryption Properti untuk menentukan apakah Azure Disk Encryption diizinkan untuk mengambil rahasia dari brankas dan membongkar kunci. bool
enabledForTemplateDeployment Properti untuk menentukan apakah Azure Resource Manager diizinkan untuk mengambil rahasia dari brankas kunci. bool
enablePurgeProtection Properti yang menentukan apakah perlindungan terhadap penghapusan menyeluruh diaktifkan untuk vault ini. Mengatur properti ini ke true mengaktifkan perlindungan terhadap penghapusan menyeluruh untuk brankas ini dan kontennya - hanya layanan Key Vault yang dapat memulai penghapusan yang sulit dan tidak dapat dipulihkan. Pengaturan ini hanya efektif jika penghapusan sementara juga diaktifkan. Mengaktifkan fungsionalitas ini tidak dapat diubah - artinya, properti tidak menerima false sebagai nilainya. bool
enableRbacAuthorization Properti yang mengontrol bagaimana tindakan data diotorisasi. Jika benar, brankas kunci akan menggunakan Kontrol Akses Berbasis Peran (RBAC) untuk otorisasi tindakan data, dan kebijakan akses yang ditentukan dalam properti vault akan diabaikan. Ketika false, brankas kunci akan menggunakan kebijakan akses yang ditentukan dalam properti vault, dan kebijakan apa pun yang disimpan di Azure Resource Manager akan diabaikan. Jika null atau tidak ditentukan, vault dibuat dengan nilai default false. Perhatikan bahwa tindakan manajemen selalu diotorisasi dengan RBAC. bool
enableSoftDelete Properti untuk menentukan apakah fungsionalitas 'penghapusan sementara' diaktifkan untuk brankas kunci ini. Jika tidak diatur ke nilai apa pun (benar atau salah) saat membuat brankas kunci baru, nilai tersebut akan diatur ke true secara default. Setelah diatur ke true, itu tidak dapat dikembalikan ke false. bool
networkAcls Aturan yang mengatur aksesibilitas brankas kunci dari lokasi jaringan tertentu. NetworkRuleSet
provisioningState Status provisi vault. 'RegisteringDns'
'Berhasil'
publicNetworkAccess Properti untuk menentukan apakah vault akan menerima lalu lintas dari internet publik. Jika diatur ke 'dinonaktifkan' semua lalu lintas kecuali lalu lintas titik akhir privat dan yang berasal dari layanan tepercaya akan diblokir. Ini akan mengesampingkan aturan firewall yang ditetapkan, yang berarti bahwa bahkan jika aturan firewall ada, kami tidak akan mematuhi aturan. tali
Sku Detail SKU Sku (diperlukan)
softDeleteRetentionInDays softDelete data retention days. Ini menerima >=7 dan <=90. Int
tenantId ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. string (diperlukan)

Kendala:
Panjang min = 36
Panjang maksimum = 36
Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri URI vault untuk melakukan operasi pada kunci dan rahasia. tali

AccessPolicyEntry

Nama Deskripsi Nilai
applicationId ID aplikasi klien yang membuat permintaan atas nama prinsipal tali

Kendala:
Panjang min = 36
Panjang maksimum = 36
Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID objek pengguna, perwakilan layanan, atau grup keamanan di penyewa Azure Active Directory untuk vault. ID objek harus unik untuk daftar kebijakan akses. string (diperlukan)
Izin Izin yang dimiliki identitas untuk kunci, rahasia, dan sertifikat. Izin (diperlukan)
tenantId ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. string (diperlukan)

Kendala:
Panjang min = 36
Panjang maksimum = 36
Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Izin

Nama Deskripsi Nilai
Sertifikat Izin ke sertifikat Array string yang berisi salah satu dari:
'semua'
'cadangan'
'create'
'hapus'
'deleteissuers'
'get'
'getissuers'
'impor'
'daftar'
'listissuers'
'managecontacts'
'manageissuers'
'hapus menyeluruh'
'pulihkan'
'restore'
'setissuers'
'update'
Tombol Izin ke kunci Array string yang berisi salah satu dari:
'semua'
'cadangan'
'create'
'dekripsi'
'hapus'
'enkripsi'
'get'
'getrotationpolicy'
'impor'
'daftar'
'hapus menyeluruh'
'pulihkan'
'rilis'
'restore'
'putar'
'setrotationpolicy'
'tanda tangan'
'unwrapKey'
'update'
'verifikasi'
'wrapKey'
Rahasia Izin ke rahasia Array string yang berisi salah satu dari:
'semua'
'cadangan'
'hapus'
'get'
'daftar'
'hapus menyeluruh'
'pulihkan'
'restore'
'set'
penyimpanan Izin ke akun penyimpanan Array string yang berisi salah satu dari:
'semua'
'cadangan'
'hapus'
'deletesas'
'get'
'getsas'
'daftar'
'listsas'
'hapus menyeluruh'
'pulihkan'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

NetworkRuleSet

Nama Deskripsi Nilai
Bypass Memberi tahu lalu lintas apa yang dapat melewati aturan jaringan. Ini bisa menjadi 'AzureServices' atau 'None'. Jika tidak ditentukan, defaultnya adalah 'AzureServices'. 'AzureServices'
'Tidak Ada'
defaultAction Tindakan default ketika tidak ada aturan dari ipRules dan dari virtualNetworkRules yang cocok. Ini hanya digunakan setelah properti bypass dievaluasi. 'Izinkan'
'Tolak'
ipRules Daftar aturan alamat IP. IPRule []
virtualNetworkRules Daftar aturan jaringan virtual. VirtualNetworkRule[]

IPRule

Nama Deskripsi Nilai
nilai Rentang alamat IPv4 dalam notasi CIDR, seperti '124.56.78.91' (alamat IP sederhana) atau '124.56.78.0/24' (semua alamat yang dimulai dengan 124.56.78). string (diperlukan)

VirtualNetworkRule

Nama Deskripsi Nilai
Id Id sumber daya lengkap subnet vnet, seperti '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. string (diperlukan)
ignoreMissingVnetServiceEndpoint Properti untuk menentukan apakah NRP akan mengabaikan pemeriksaan apakah subnet induk memiliki serviceEndpoints yang dikonfigurasi. bool

Sku

Nama Deskripsi Nilai
keluarga Nama keluarga SKU 'A' (diperlukan)
Nama Nama SKU untuk menentukan apakah brankas kunci adalah vault standar atau brankas premium. 'premium'
'standar' (diperlukan)

Templat mulai cepat

Templat mulai cepat berikut menyebarkan jenis sumber daya ini.

Templat Deskripsi
Kluster AKS dengan NAT Gateway dan Application Gateway

Sebarkan ke Azure
Sampel ini menunjukkan cara menyebarkan kluster AKS dengan NAT Gateway untuk koneksi keluar dan Application Gateway untuk koneksi masuk.
Membuat Kluster AKS Privat dengan Zona DNS Publik

Sebarkan ke Azure
Sampel ini menunjukkan cara menyebarkan kluster AKS privat dengan Zona DNS Publik.
Menyebarkan Analitik Olahraga di Arsitektur Azure

Sebarkan ke Azure
Membuat akun penyimpanan Azure dengan ADLS Gen 2 diaktifkan, instans Azure Data Factory dengan layanan tertaut untuk akun penyimpanan (Azure SQL Database jika disebarkan), dan instans Azure Databricks. Identitas AAD untuk pengguna yang menyebarkan templat dan identitas terkelola untuk instans ADF akan diberikan peran Kontributor Data Blob Penyimpanan pada akun penyimpanan. Ada juga opsi untuk menyebarkan instans Azure Key Vault, Azure SQL Database, dan Azure Event Hub (untuk kasus penggunaan streaming). Saat Azure Key Vault disebarkan, identitas terkelola pabrik data dan identitas AAD untuk pengguna yang menyebarkan templat akan diberikan peran Pengguna Rahasia Key Vault.
Ruang Kerja Azure Machine Learning

Sebarkan ke Azure
Templat ini membuat Ruang Kerja Azure Machine Learning baru, bersama dengan Akun Penyimpanan terenkripsi, KeyVault, dan Pengelogan Application Insights
Membuat KeyVault

Sebarkan ke Azure
Modul ini membuat sumber daya KeyVault dengan apiVersion 2019-09-01.
Membuat layanan API Management dengan SSL dari KeyVault

Sebarkan ke Azure
Templat ini menyebarkan layanan API Management yang dikonfigurasi dengan Identitas yang Ditetapkan Pengguna. Ini menggunakan identitas ini untuk mengambil sertifikat SSL dari KeyVault dan terus memperbaruinya dengan memeriksa setiap 4 jam.
Membuat aplikasi servicebus pub-sub Dapr menggunakan Container Apps

Sebarkan ke Azure
Buat aplikasi dapr pub-sub servicebus menggunakan Container Apps.
membuat kluster Azure Stack HCI 23H2

Sebarkan ke Azure
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM.
membuat kluster Azure Stack HCI 23H2

Sebarkan ke Azure
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM, menggunakan IP penyimpanan kustom
membuat kluster Azure Stack HCI 23H2 dalam mode Jaringan Switchless-Dual-link

Sebarkan ke Azure
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM.
membuat kluster Azure Stack HCI 23H2 dalam mode jaringan Switchless-SingleLink

Sebarkan ke Azure
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM.
Membuat vm windows terenkripsi baru dari gambar galeri

Sebarkan ke Azure
Templat ini membuat vm windows terenkripsi baru menggunakan gambar galeri server 2k12.
Membuat disk terkelola baru yang dienkripsi win-vm dari gambar galeri

Sebarkan ke Azure
Templat ini membuat vm windows disk terkelola terenkripsi baru menggunakan gambar galeri server 2k12.
Templat ini mengenkripsi windows VMSS yang sedang berjalan

Sebarkan ke Azure
Templat ini memungkinkan enkripsi pada Windows VM Scale Set yang sedang berjalan
Mengaktifkan enkripsi pada windows VM yang sedang berjalan

Sebarkan ke Azure
Templat ini memungkinkan enkripsi pada vm windows yang sedang berjalan.
Membuat dan mengenkripsi VMSS Windows baru dengan jumpbox

Sebarkan ke Azure
Templat ini memungkinkan Anda untuk menyebarkan VM Scale Set sederhana VM Windows menggunakan versi Windows serveral yang di-patch terakhir. Templat ini juga menyebarkan jumpbox dengan alamat IP publik di jaringan virtual yang sama. Anda dapat terhubung ke jumpbox melalui alamat IP publik ini, lalu menyambungkan dari sana ke VM dalam set skala melalui alamat IP privat. Templat ini memungkinkan enkripsi pada VM Scale Set VM Windows VM.
Membuat Azure Key Vault dan rahasia

Sebarkan ke Azure
Templat ini membuat Azure Key Vault dan rahasia.
Membuat Azure Key Vault dengan RBAC dan rahasia

Sebarkan ke Azure
Templat ini membuat Azure Key Vault dan rahasia. Alih-alih mengandalkan kebijakan akses, ini memanfaatkan Azure RBAC untuk mengelola otorisasi pada rahasia
Membuat brankas kunci, identitas terkelola, dan penetapan peran

Sebarkan ke Azure
Templat ini membuat brankas kunci, identitas terkelola, dan penetapan peran.
Menyambungkan ke Key Vault melalui titik akhir privat

Sebarkan ke Azure
Sampel ini menunjukkan cara menggunakan konfigurasi jaringan virtual dan zona DNS privat untuk mengakses Key Vault melalui titik akhir privat.
Membuat Key Vault dan daftar rahasia

Sebarkan ke Azure
Templat ini membuat Key Vault dan daftar rahasia dalam brankas kunci seperti yang diteruskan bersama dengan parameter
Buat Key Vault dengan pengelogan diaktifkan

Sebarkan ke Azure
Templat ini membuat Azure Key Vault dan akun Azure Storage yang digunakan untuk pengelogan. Ini secara opsional membuat kunci sumber daya untuk melindungi Key Vault dan sumber daya penyimpanan Anda.
penyiapan dasar Azure AI Studio

Sebarkan ke Azure
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI.
penyiapan dasar Azure AI Studio

Sebarkan ke Azure
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI.
Azure AI Studio dengan Autentikasi ID Microsoft Entra

Sebarkan ke Azure
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan autentikasi ID Microsoft Entra untuk sumber daya dependen, seperti Azure AI Services dan Azure Storage.
Membuat ruang kerja AML dengan beberapa Himpunan Data & Datastore

Sebarkan ke Azure
Templat ini membuat ruang kerja Azure Machine Learning dengan beberapa himpunan data & datastore.
penyiapan aman end-to-end Azure Machine Learning

Sebarkan ke Azure
Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang.
penyiapan aman end-to-end (warisan) Azure Machine Learning

Sebarkan ke Azure
Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang.
Membuat target komputasi AKS dengan alamat IP Privat

Sebarkan ke Azure
Templat ini membuat target komputasi AKS di ruang kerja layanan Azure Machine Learning tertentu dengan alamat IP privat.
Membuat ruang kerja layanan Azure Machine Learning

Sebarkan ke Azure
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan kumpulan sumber daya minimal yang Anda butuhkan untuk mulai menggunakan Azure Machine Learning.
Membuat ruang kerja layanan Azure Machine Learning (CMK)

Sebarkan ke Azure
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Contoh menunjukkan cara mengonfigurasi Azure Machine Learning untuk enkripsi dengan kunci enkripsi yang dikelola pelanggan.
Membuat ruang kerja layanan Azure Machine Learning (CMK)

Sebarkan ke Azure
Templat penyebaran ini menentukan cara membuat ruang kerja Azure Machine Learning dengan enkripsi sisi layanan menggunakan kunci enkripsi Anda.
Membuat ruang kerja layanan Azure Machine Learning (vnet)

Sebarkan ke Azure
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan.
Membuat ruang kerja layanan Azure Machine Learning (warisan)

Sebarkan ke Azure
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan.
kluster AKS dengan Pengontrol Ingress Application Gateway

Sebarkan ke Azure
Sampel ini menunjukkan cara menyebarkan kluster AKS dengan Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics, dan Key Vault
Membuat Application Gateway V2 dengan Key Vault

Sebarkan ke Azure
Templat ini menyebarkan Application Gateway V2 di Virtual Network, identitas yang ditentukan pengguna, Key Vault, rahasia (data sertifikasi), dan kebijakan akses di Key Vault dan Application Gateway.
lingkungan Pengujian untuk Azure Firewall Premium

Sebarkan ke Azure
Templat ini membuat Azure Firewall Premium dan Firewall Policy dengan fitur premium seperti Intrusion Inspection Detection (IDPS), inspeksi TLS, dan pemfilteran Kategori Web
Membuat sumber daya Titik Akhir Privat Lintas Penyewa

Sebarkan ke Azure
Templat ini memungkinkan Anda membuat sumber daya Titik Akhir Priavate dalam lingkungan yang sama atau lintas penyewa dan menambahkan konfigurasi zona dns.
Membuat Application Gateway dengan Sertifikat

Sebarkan ke Azure
Templat ini menunjukkan cara membuat sertifikat yang ditandatangani sendiri Key Vault, lalu referensi dari Application Gateway.
Enkripsi Akun Azure Storage dengan kunci yang dikelola pelanggan

Sebarkan ke Azure
Templat ini menyebarkan Akun Penyimpanan dengan kunci yang dikelola pelanggan untuk enkripsi yang dihasilkan dan ditempatkan di dalam Key Vault.
App Service Environment dengan backend Azure SQL

Sebarkan ke Azure
Templat ini membuat Lingkungan App Service dengan backend Azure SQL bersama dengan titik akhir privat bersama dengan sumber daya terkait yang biasanya digunakan di lingkungan privat/terisolasi.
aplikasi Azure Function dan fungsi yang dipicu HTTP

Sebarkan ke Azure
Contoh ini menyebarkan aplikasi Azure Function dan fungsi yang dipicu HTTP sebaris dalam templat. Ini juga menyebarkan Key Vault dan mengisi rahasia dengan kunci host aplikasi fungsi.
Application Gateway dengan API Management internal dan Aplikasi Web

Sebarkan ke Azure
Lalu lintas Internet perutean Application Gateway ke instans API Management jaringan virtual (mode internal) yang melayani API web yang dihosting di Azure Web App.

Definisi sumber daya templat ARM

Jenis sumber daya vault dapat disebarkan dengan operasi yang menargetkan:

  • Grup sumber daya - Lihat perintah penyebaran grup sumber daya

Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.

Komentar

Untuk panduan tentang menggunakan brankas kunci untuk nilai aman, lihat Mengelola rahasia dengan menggunakan Bicep.

Untuk mulai cepat membuat rahasia, lihat mulai cepat : Mengatur dan mengambil rahasia dari Azure Key Vault menggunakan templat ARM.

Untuk mulai cepat membuat kunci, lihat mulai cepat : Membuat brankas kunci Azure dan kunci dengan menggunakan templat ARM.

Format sumber daya

Untuk membuat sumber daya Microsoft.KeyVault/vaults, tambahkan JSON berikut ke templat Anda.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2022-11-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "publicNetworkAccess": "string",
    "sku": {
      "family": "A",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  }
}

Nilai properti

Kubah

Nama Deskripsi Nilai
jenis Jenis sumber daya 'Microsoft.KeyVault/vaults'
apiVersion Versi api sumber daya '2022-11-01'
Nama Nama sumber daya string (diperlukan)

Batas karakter: 3-24

Karakter yang valid:
Alfanumerik dan tanda hubung.

Mulailah dengan huruf. Akhiri dengan huruf atau digit. Tidak dapat berisi tanda hubung berturut-turut.

Nama sumber daya harus unik di seluruh Azure.
tempat Lokasi Azure yang didukung tempat brankas kunci harus dibuat. string (diperlukan)
Tags Tag yang akan ditetapkan ke brankas kunci. Kamus nama dan nilai tag. Lihat Tag dalam templat
Properti Properti vault VaultProperties (wajib)

VaultProperties

Nama Deskripsi Nilai
accessPolicies Array identitas 0 hingga 1024 yang memiliki akses ke brankas kunci. Semua identitas dalam array harus menggunakan ID penyewa yang sama dengan ID penyewa brankas kunci. Ketika createMode diatur ke recover, kebijakan akses tidak diperlukan. Jika tidak, kebijakan akses diperlukan. AccessPolicyEntry[]
createMode Mode buat vault untuk menunjukkan apakah vault perlu dipulihkan atau tidak. 'default'
'pulihkan'
enabledForDeployment Properti untuk menentukan apakah Azure Virtual Machines diizinkan untuk mengambil sertifikat yang disimpan sebagai rahasia dari brankas kunci. bool
enabledForDiskEncryption Properti untuk menentukan apakah Azure Disk Encryption diizinkan untuk mengambil rahasia dari brankas dan membongkar kunci. bool
enabledForTemplateDeployment Properti untuk menentukan apakah Azure Resource Manager diizinkan untuk mengambil rahasia dari brankas kunci. bool
enablePurgeProtection Properti yang menentukan apakah perlindungan terhadap penghapusan menyeluruh diaktifkan untuk vault ini. Mengatur properti ini ke true mengaktifkan perlindungan terhadap penghapusan menyeluruh untuk brankas ini dan kontennya - hanya layanan Key Vault yang dapat memulai penghapusan yang sulit dan tidak dapat dipulihkan. Pengaturan ini hanya efektif jika penghapusan sementara juga diaktifkan. Mengaktifkan fungsionalitas ini tidak dapat diubah - artinya, properti tidak menerima false sebagai nilainya. bool
enableRbacAuthorization Properti yang mengontrol bagaimana tindakan data diotorisasi. Jika benar, brankas kunci akan menggunakan Kontrol Akses Berbasis Peran (RBAC) untuk otorisasi tindakan data, dan kebijakan akses yang ditentukan dalam properti vault akan diabaikan. Ketika false, brankas kunci akan menggunakan kebijakan akses yang ditentukan dalam properti vault, dan kebijakan apa pun yang disimpan di Azure Resource Manager akan diabaikan. Jika null atau tidak ditentukan, vault dibuat dengan nilai default false. Perhatikan bahwa tindakan manajemen selalu diotorisasi dengan RBAC. bool
enableSoftDelete Properti untuk menentukan apakah fungsionalitas 'penghapusan sementara' diaktifkan untuk brankas kunci ini. Jika tidak diatur ke nilai apa pun (benar atau salah) saat membuat brankas kunci baru, nilai tersebut akan diatur ke true secara default. Setelah diatur ke true, itu tidak dapat dikembalikan ke false. bool
networkAcls Aturan yang mengatur aksesibilitas brankas kunci dari lokasi jaringan tertentu. NetworkRuleSet
provisioningState Status provisi vault. 'RegisteringDns'
'Berhasil'
publicNetworkAccess Properti untuk menentukan apakah vault akan menerima lalu lintas dari internet publik. Jika diatur ke 'dinonaktifkan' semua lalu lintas kecuali lalu lintas titik akhir privat dan yang berasal dari layanan tepercaya akan diblokir. Ini akan mengesampingkan aturan firewall yang ditetapkan, yang berarti bahwa bahkan jika aturan firewall ada, kami tidak akan mematuhi aturan. tali
Sku Detail SKU Sku (diperlukan)
softDeleteRetentionInDays softDelete data retention days. Ini menerima >=7 dan <=90. Int
tenantId ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. string (diperlukan)

Kendala:
Panjang min = 36
Panjang maksimum = 36
Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri URI vault untuk melakukan operasi pada kunci dan rahasia. tali

AccessPolicyEntry

Nama Deskripsi Nilai
applicationId ID aplikasi klien yang membuat permintaan atas nama prinsipal tali

Kendala:
Panjang min = 36
Panjang maksimum = 36
Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID objek pengguna, perwakilan layanan, atau grup keamanan di penyewa Azure Active Directory untuk vault. ID objek harus unik untuk daftar kebijakan akses. string (diperlukan)
Izin Izin yang dimiliki identitas untuk kunci, rahasia, dan sertifikat. Izin (diperlukan)
tenantId ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. string (diperlukan)

Kendala:
Panjang min = 36
Panjang maksimum = 36
Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Izin

Nama Deskripsi Nilai
Sertifikat Izin ke sertifikat Array string yang berisi salah satu dari:
'semua'
'cadangan'
'create'
'hapus'
'deleteissuers'
'get'
'getissuers'
'impor'
'daftar'
'listissuers'
'managecontacts'
'manageissuers'
'hapus menyeluruh'
'pulihkan'
'restore'
'setissuers'
'update'
Tombol Izin ke kunci Array string yang berisi salah satu dari:
'semua'
'cadangan'
'create'
'dekripsi'
'hapus'
'enkripsi'
'get'
'getrotationpolicy'
'impor'
'daftar'
'hapus menyeluruh'
'pulihkan'
'rilis'
'restore'
'putar'
'setrotationpolicy'
'tanda tangan'
'unwrapKey'
'update'
'verifikasi'
'wrapKey'
Rahasia Izin ke rahasia Array string yang berisi salah satu dari:
'semua'
'cadangan'
'hapus'
'get'
'daftar'
'hapus menyeluruh'
'pulihkan'
'restore'
'set'
penyimpanan Izin ke akun penyimpanan Array string yang berisi salah satu dari:
'semua'
'cadangan'
'hapus'
'deletesas'
'get'
'getsas'
'daftar'
'listsas'
'hapus menyeluruh'
'pulihkan'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

NetworkRuleSet

Nama Deskripsi Nilai
Bypass Memberi tahu lalu lintas apa yang dapat melewati aturan jaringan. Ini bisa menjadi 'AzureServices' atau 'None'. Jika tidak ditentukan, defaultnya adalah 'AzureServices'. 'AzureServices'
'Tidak Ada'
defaultAction Tindakan default ketika tidak ada aturan dari ipRules dan dari virtualNetworkRules yang cocok. Ini hanya digunakan setelah properti bypass dievaluasi. 'Izinkan'
'Tolak'
ipRules Daftar aturan alamat IP. IPRule []
virtualNetworkRules Daftar aturan jaringan virtual. VirtualNetworkRule[]

IPRule

Nama Deskripsi Nilai
nilai Rentang alamat IPv4 dalam notasi CIDR, seperti '124.56.78.91' (alamat IP sederhana) atau '124.56.78.0/24' (semua alamat yang dimulai dengan 124.56.78). string (diperlukan)

VirtualNetworkRule

Nama Deskripsi Nilai
Id Id sumber daya lengkap subnet vnet, seperti '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. string (diperlukan)
ignoreMissingVnetServiceEndpoint Properti untuk menentukan apakah NRP akan mengabaikan pemeriksaan apakah subnet induk memiliki serviceEndpoints yang dikonfigurasi. bool

Sku

Nama Deskripsi Nilai
keluarga Nama keluarga SKU 'A' (diperlukan)
Nama Nama SKU untuk menentukan apakah brankas kunci adalah vault standar atau brankas premium. 'premium'
'standar' (diperlukan)

Templat mulai cepat

Templat mulai cepat berikut menyebarkan jenis sumber daya ini.

Templat Deskripsi
Kluster AKS dengan NAT Gateway dan Application Gateway

Sebarkan ke Azure
Sampel ini menunjukkan cara menyebarkan kluster AKS dengan NAT Gateway untuk koneksi keluar dan Application Gateway untuk koneksi masuk.
Membuat Kluster AKS Privat dengan Zona DNS Publik

Sebarkan ke Azure
Sampel ini menunjukkan cara menyebarkan kluster AKS privat dengan Zona DNS Publik.
Menyebarkan Analitik Olahraga di Arsitektur Azure

Sebarkan ke Azure
Membuat akun penyimpanan Azure dengan ADLS Gen 2 diaktifkan, instans Azure Data Factory dengan layanan tertaut untuk akun penyimpanan (Azure SQL Database jika disebarkan), dan instans Azure Databricks. Identitas AAD untuk pengguna yang menyebarkan templat dan identitas terkelola untuk instans ADF akan diberikan peran Kontributor Data Blob Penyimpanan pada akun penyimpanan. Ada juga opsi untuk menyebarkan instans Azure Key Vault, Azure SQL Database, dan Azure Event Hub (untuk kasus penggunaan streaming). Saat Azure Key Vault disebarkan, identitas terkelola pabrik data dan identitas AAD untuk pengguna yang menyebarkan templat akan diberikan peran Pengguna Rahasia Key Vault.
Ruang Kerja Azure Machine Learning

Sebarkan ke Azure
Templat ini membuat Ruang Kerja Azure Machine Learning baru, bersama dengan Akun Penyimpanan terenkripsi, KeyVault, dan Pengelogan Application Insights
Membuat KeyVault

Sebarkan ke Azure
Modul ini membuat sumber daya KeyVault dengan apiVersion 2019-09-01.
Membuat layanan API Management dengan SSL dari KeyVault

Sebarkan ke Azure
Templat ini menyebarkan layanan API Management yang dikonfigurasi dengan Identitas yang Ditetapkan Pengguna. Ini menggunakan identitas ini untuk mengambil sertifikat SSL dari KeyVault dan terus memperbaruinya dengan memeriksa setiap 4 jam.
Membuat aplikasi servicebus pub-sub Dapr menggunakan Container Apps

Sebarkan ke Azure
Buat aplikasi dapr pub-sub servicebus menggunakan Container Apps.
membuat kluster Azure Stack HCI 23H2

Sebarkan ke Azure
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM.
membuat kluster Azure Stack HCI 23H2

Sebarkan ke Azure
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM, menggunakan IP penyimpanan kustom
membuat kluster Azure Stack HCI 23H2 dalam mode Jaringan Switchless-Dual-link

Sebarkan ke Azure
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM.
membuat kluster Azure Stack HCI 23H2 dalam mode jaringan Switchless-SingleLink

Sebarkan ke Azure
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM.
Membuat vm windows terenkripsi baru dari gambar galeri

Sebarkan ke Azure
Templat ini membuat vm windows terenkripsi baru menggunakan gambar galeri server 2k12.
Membuat disk terkelola baru yang dienkripsi win-vm dari gambar galeri

Sebarkan ke Azure
Templat ini membuat vm windows disk terkelola terenkripsi baru menggunakan gambar galeri server 2k12.
Templat ini mengenkripsi windows VMSS yang sedang berjalan

Sebarkan ke Azure
Templat ini memungkinkan enkripsi pada Windows VM Scale Set yang sedang berjalan
Mengaktifkan enkripsi pada windows VM yang sedang berjalan

Sebarkan ke Azure
Templat ini memungkinkan enkripsi pada vm windows yang sedang berjalan.
Membuat dan mengenkripsi VMSS Windows baru dengan jumpbox

Sebarkan ke Azure
Templat ini memungkinkan Anda untuk menyebarkan VM Scale Set sederhana VM Windows menggunakan versi Windows serveral yang di-patch terakhir. Templat ini juga menyebarkan jumpbox dengan alamat IP publik di jaringan virtual yang sama. Anda dapat terhubung ke jumpbox melalui alamat IP publik ini, lalu menyambungkan dari sana ke VM dalam set skala melalui alamat IP privat. Templat ini memungkinkan enkripsi pada VM Scale Set VM Windows VM.
Membuat Azure Key Vault dan rahasia

Sebarkan ke Azure
Templat ini membuat Azure Key Vault dan rahasia.
Membuat Azure Key Vault dengan RBAC dan rahasia

Sebarkan ke Azure
Templat ini membuat Azure Key Vault dan rahasia. Alih-alih mengandalkan kebijakan akses, ini memanfaatkan Azure RBAC untuk mengelola otorisasi pada rahasia
Membuat brankas kunci, identitas terkelola, dan penetapan peran

Sebarkan ke Azure
Templat ini membuat brankas kunci, identitas terkelola, dan penetapan peran.
Menyambungkan ke Key Vault melalui titik akhir privat

Sebarkan ke Azure
Sampel ini menunjukkan cara menggunakan konfigurasi jaringan virtual dan zona DNS privat untuk mengakses Key Vault melalui titik akhir privat.
Membuat Key Vault dan daftar rahasia

Sebarkan ke Azure
Templat ini membuat Key Vault dan daftar rahasia dalam brankas kunci seperti yang diteruskan bersama dengan parameter
Buat Key Vault dengan pengelogan diaktifkan

Sebarkan ke Azure
Templat ini membuat Azure Key Vault dan akun Azure Storage yang digunakan untuk pengelogan. Ini secara opsional membuat kunci sumber daya untuk melindungi Key Vault dan sumber daya penyimpanan Anda.
penyiapan dasar Azure AI Studio

Sebarkan ke Azure
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI.
penyiapan dasar Azure AI Studio

Sebarkan ke Azure
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI.
Azure AI Studio dengan Autentikasi ID Microsoft Entra

Sebarkan ke Azure
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan autentikasi ID Microsoft Entra untuk sumber daya dependen, seperti Azure AI Services dan Azure Storage.
Membuat ruang kerja AML dengan beberapa Himpunan Data & Datastore

Sebarkan ke Azure
Templat ini membuat ruang kerja Azure Machine Learning dengan beberapa himpunan data & datastore.
penyiapan aman end-to-end Azure Machine Learning

Sebarkan ke Azure
Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang.
penyiapan aman end-to-end (warisan) Azure Machine Learning

Sebarkan ke Azure
Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang.
Membuat target komputasi AKS dengan alamat IP Privat

Sebarkan ke Azure
Templat ini membuat target komputasi AKS di ruang kerja layanan Azure Machine Learning tertentu dengan alamat IP privat.
Membuat ruang kerja layanan Azure Machine Learning

Sebarkan ke Azure
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan kumpulan sumber daya minimal yang Anda butuhkan untuk mulai menggunakan Azure Machine Learning.
Membuat ruang kerja layanan Azure Machine Learning (CMK)

Sebarkan ke Azure
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Contoh menunjukkan cara mengonfigurasi Azure Machine Learning untuk enkripsi dengan kunci enkripsi yang dikelola pelanggan.
Membuat ruang kerja layanan Azure Machine Learning (CMK)

Sebarkan ke Azure
Templat penyebaran ini menentukan cara membuat ruang kerja Azure Machine Learning dengan enkripsi sisi layanan menggunakan kunci enkripsi Anda.
Membuat ruang kerja layanan Azure Machine Learning (vnet)

Sebarkan ke Azure
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan.
Membuat ruang kerja layanan Azure Machine Learning (warisan)

Sebarkan ke Azure
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan.
kluster AKS dengan Pengontrol Ingress Application Gateway

Sebarkan ke Azure
Sampel ini menunjukkan cara menyebarkan kluster AKS dengan Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics, dan Key Vault
Membuat Application Gateway V2 dengan Key Vault

Sebarkan ke Azure
Templat ini menyebarkan Application Gateway V2 di Virtual Network, identitas yang ditentukan pengguna, Key Vault, rahasia (data sertifikasi), dan kebijakan akses di Key Vault dan Application Gateway.
lingkungan Pengujian untuk Azure Firewall Premium

Sebarkan ke Azure
Templat ini membuat Azure Firewall Premium dan Firewall Policy dengan fitur premium seperti Intrusion Inspection Detection (IDPS), inspeksi TLS, dan pemfilteran Kategori Web
Membuat sumber daya Titik Akhir Privat Lintas Penyewa

Sebarkan ke Azure
Templat ini memungkinkan Anda membuat sumber daya Titik Akhir Priavate dalam lingkungan yang sama atau lintas penyewa dan menambahkan konfigurasi zona dns.
Membuat Application Gateway dengan Sertifikat

Sebarkan ke Azure
Templat ini menunjukkan cara membuat sertifikat yang ditandatangani sendiri Key Vault, lalu referensi dari Application Gateway.
Enkripsi Akun Azure Storage dengan kunci yang dikelola pelanggan

Sebarkan ke Azure
Templat ini menyebarkan Akun Penyimpanan dengan kunci yang dikelola pelanggan untuk enkripsi yang dihasilkan dan ditempatkan di dalam Key Vault.
App Service Environment dengan backend Azure SQL

Sebarkan ke Azure
Templat ini membuat Lingkungan App Service dengan backend Azure SQL bersama dengan titik akhir privat bersama dengan sumber daya terkait yang biasanya digunakan di lingkungan privat/terisolasi.
aplikasi Azure Function dan fungsi yang dipicu HTTP

Sebarkan ke Azure
Contoh ini menyebarkan aplikasi Azure Function dan fungsi yang dipicu HTTP sebaris dalam templat. Ini juga menyebarkan Key Vault dan mengisi rahasia dengan kunci host aplikasi fungsi.
Application Gateway dengan API Management internal dan Aplikasi Web

Sebarkan ke Azure
Lalu lintas Internet perutean Application Gateway ke instans API Management jaringan virtual (mode internal) yang melayani API web yang dihosting di Azure Web App.

Definisi sumber daya Terraform (penyedia AzAPI)

Jenis sumber daya vault dapat disebarkan dengan operasi yang menargetkan:

  • grup Sumber Daya

Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.

Format sumber daya

Untuk membuat sumber daya Microsoft.KeyVault/vaults, tambahkan Terraform berikut ke templat Anda.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2022-11-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      publicNetworkAccess = "string"
      sku = {
        family = "A"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Nilai properti

Kubah

Nama Deskripsi Nilai
jenis Jenis sumber daya "Microsoft.KeyVault/vaults@2022-11-01"
Nama Nama sumber daya string (diperlukan)

Batas karakter: 3-24

Karakter yang valid:
Alfanumerik dan tanda hubung.

Mulailah dengan huruf. Akhiri dengan huruf atau digit. Tidak dapat berisi tanda hubung berturut-turut.

Nama sumber daya harus unik di seluruh Azure.
tempat Lokasi Azure yang didukung tempat brankas kunci harus dibuat. string (diperlukan)
parent_id Untuk menyebarkan ke grup sumber daya, gunakan ID grup sumber daya tersebut. string (diperlukan)
Tags Tag yang akan ditetapkan ke brankas kunci. Kamus nama dan nilai tag.
Properti Properti vault VaultProperties (wajib)

VaultProperties

Nama Deskripsi Nilai
accessPolicies Array identitas 0 hingga 1024 yang memiliki akses ke brankas kunci. Semua identitas dalam array harus menggunakan ID penyewa yang sama dengan ID penyewa brankas kunci. Ketika createMode diatur ke recover, kebijakan akses tidak diperlukan. Jika tidak, kebijakan akses diperlukan. AccessPolicyEntry[]
createMode Mode buat vault untuk menunjukkan apakah vault perlu dipulihkan atau tidak. "default"
"pulihkan"
enabledForDeployment Properti untuk menentukan apakah Azure Virtual Machines diizinkan untuk mengambil sertifikat yang disimpan sebagai rahasia dari brankas kunci. bool
enabledForDiskEncryption Properti untuk menentukan apakah Azure Disk Encryption diizinkan untuk mengambil rahasia dari brankas dan membongkar kunci. bool
enabledForTemplateDeployment Properti untuk menentukan apakah Azure Resource Manager diizinkan untuk mengambil rahasia dari brankas kunci. bool
enablePurgeProtection Properti yang menentukan apakah perlindungan terhadap penghapusan menyeluruh diaktifkan untuk vault ini. Mengatur properti ini ke true mengaktifkan perlindungan terhadap penghapusan menyeluruh untuk brankas ini dan kontennya - hanya layanan Key Vault yang dapat memulai penghapusan yang sulit dan tidak dapat dipulihkan. Pengaturan ini hanya efektif jika penghapusan sementara juga diaktifkan. Mengaktifkan fungsionalitas ini tidak dapat diubah - artinya, properti tidak menerima false sebagai nilainya. bool
enableRbacAuthorization Properti yang mengontrol bagaimana tindakan data diotorisasi. Jika benar, brankas kunci akan menggunakan Kontrol Akses Berbasis Peran (RBAC) untuk otorisasi tindakan data, dan kebijakan akses yang ditentukan dalam properti vault akan diabaikan. Ketika false, brankas kunci akan menggunakan kebijakan akses yang ditentukan dalam properti vault, dan kebijakan apa pun yang disimpan di Azure Resource Manager akan diabaikan. Jika null atau tidak ditentukan, vault dibuat dengan nilai default false. Perhatikan bahwa tindakan manajemen selalu diotorisasi dengan RBAC. bool
enableSoftDelete Properti untuk menentukan apakah fungsionalitas 'penghapusan sementara' diaktifkan untuk brankas kunci ini. Jika tidak diatur ke nilai apa pun (benar atau salah) saat membuat brankas kunci baru, nilai tersebut akan diatur ke true secara default. Setelah diatur ke true, itu tidak dapat dikembalikan ke false. bool
networkAcls Aturan yang mengatur aksesibilitas brankas kunci dari lokasi jaringan tertentu. NetworkRuleSet
provisioningState Status provisi vault. "RegisteringDns"
"Berhasil"
publicNetworkAccess Properti untuk menentukan apakah vault akan menerima lalu lintas dari internet publik. Jika diatur ke 'dinonaktifkan' semua lalu lintas kecuali lalu lintas titik akhir privat dan yang berasal dari layanan tepercaya akan diblokir. Ini akan mengesampingkan aturan firewall yang ditetapkan, yang berarti bahwa bahkan jika aturan firewall ada, kami tidak akan mematuhi aturan. tali
Sku Detail SKU Sku (diperlukan)
softDeleteRetentionInDays softDelete data retention days. Ini menerima >=7 dan <=90. Int
tenantId ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. string (diperlukan)

Kendala:
Panjang min = 36
Panjang maksimum = 36
Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri URI vault untuk melakukan operasi pada kunci dan rahasia. tali

AccessPolicyEntry

Nama Deskripsi Nilai
applicationId ID aplikasi klien yang membuat permintaan atas nama prinsipal tali

Kendala:
Panjang min = 36
Panjang maksimum = 36
Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID objek pengguna, perwakilan layanan, atau grup keamanan di penyewa Azure Active Directory untuk vault. ID objek harus unik untuk daftar kebijakan akses. string (diperlukan)
Izin Izin yang dimiliki identitas untuk kunci, rahasia, dan sertifikat. Izin (diperlukan)
tenantId ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. string (diperlukan)

Kendala:
Panjang min = 36
Panjang maksimum = 36
Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Izin

Nama Deskripsi Nilai
Sertifikat Izin ke sertifikat Array string yang berisi salah satu dari:
"semua"
"cadangan"
"buat"
"hapus"
"deleteissuers"
"dapatkan"
"getissuers"
"impor"
"daftar"
"listissuers"
"managecontacts"
"manageissuers"
"hapus menyeluruh"
"pulihkan"
"pulihkan"
"setissuers"
"perbarui"
Tombol Izin ke kunci Array string yang berisi salah satu dari:
"semua"
"cadangan"
"buat"
"dekripsi"
"hapus"
"enkripsi"
"dapatkan"
"getrotationpolicy"
"impor"
"daftar"
"hapus menyeluruh"
"pulihkan"
"rilis"
"pulihkan"
"putar"
"setrotationpolicy"
"tanda"
"unwrapKey"
"perbarui"
"verifikasi"
"wrapKey"
Rahasia Izin ke rahasia Array string yang berisi salah satu dari:
"semua"
"cadangan"
"hapus"
"dapatkan"
"daftar"
"hapus menyeluruh"
"pulihkan"
"pulihkan"
"set"
penyimpanan Izin ke akun penyimpanan Array string yang berisi salah satu dari:
"semua"
"cadangan"
"hapus"
"deletesas"
"dapatkan"
"getsas"
"daftar"
"listsas"
"hapus menyeluruh"
"pulihkan"
"regeneratekey"
"pulihkan"
"set"
"setsas"
"perbarui"

NetworkRuleSet

Nama Deskripsi Nilai
Bypass Memberi tahu lalu lintas apa yang dapat melewati aturan jaringan. Ini bisa menjadi 'AzureServices' atau 'None'. Jika tidak ditentukan, defaultnya adalah 'AzureServices'. "AzureServices"
"Tidak Ada"
defaultAction Tindakan default ketika tidak ada aturan dari ipRules dan dari virtualNetworkRules yang cocok. Ini hanya digunakan setelah properti bypass dievaluasi. "Izinkan"
"Tolak"
ipRules Daftar aturan alamat IP. IPRule []
virtualNetworkRules Daftar aturan jaringan virtual. VirtualNetworkRule[]

IPRule

Nama Deskripsi Nilai
nilai Rentang alamat IPv4 dalam notasi CIDR, seperti '124.56.78.91' (alamat IP sederhana) atau '124.56.78.0/24' (semua alamat yang dimulai dengan 124.56.78). string (diperlukan)

VirtualNetworkRule

Nama Deskripsi Nilai
Id Id sumber daya lengkap subnet vnet, seperti '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. string (diperlukan)
ignoreMissingVnetServiceEndpoint Properti untuk menentukan apakah NRP akan mengabaikan pemeriksaan apakah subnet induk memiliki serviceEndpoints yang dikonfigurasi. bool

Sku

Nama Deskripsi Nilai
keluarga Nama keluarga SKU "A" (diperlukan)
Nama Nama SKU untuk menentukan apakah brankas kunci adalah vault standar atau brankas premium. "premium"
"standar" (diperlukan)