Microsoft.KeyVault コンテナー 2015-06-01
Bicep リソース定義
コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
備考
セキュリティで保護された値にキー コンテナーを使用する方法については、「Bicepを使用してシークレットを管理する」を参照してください。
シークレットの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure Key Vault からシークレットを設定および取得する」を参照してください。
キーの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure キー コンテナーとキーを作成する」を参照してください。
リソースの形式
Microsoft.KeyVault/vaults リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.KeyVault/vaults@2015-06-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
}
tenantId: 'string'
}
]
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enableSoftDelete: bool
sku: {
family: 'A'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
}
プロパティ値
金庫
名前 | 形容 | 価値 |
---|---|---|
名前 | リソース名 | string (必須) 文字数制限: 3 から 24 有効な文字: 英数字とハイフン。 文字で始まります。 文字または数字で終わる。 連続するハイフンを含めることはできません。 リソース名は、Azure 全体で一意である必要があります。 |
場所 | キー コンテナーを作成する必要がある、サポートされている Azure の場所。 | string (必須) |
タグ | キー コンテナーに割り当てられるタグ。 | タグ名と値のディクショナリ。 テンプレート の |
プロパティ | コンテナーのプロパティ | VaultProperties (必須) |
VaultProperties
名前 | 形容 | 価値 |
---|---|---|
accessPolicies | キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 |
AccessPolicyEntry[] (必須) 制約: 最大長 = 16 |
enabledForDeployment | キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 | bool |
enabledForDiskEncryption | コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 | bool |
enabledForTemplateDeployment | Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 | bool |
enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 | bool |
sku | SKU の詳細 | SKU (必須) |
tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | 糸 |
AccessPolicyEntry
名前 | 形容 | 価値 |
---|---|---|
applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
権限 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
権限
名前 | 形容 | 価値 |
---|---|---|
証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'setissuers' 'update' |
キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
SKU
名前 | 形容 | 価値 |
---|---|---|
家族 | SKU ファミリ名 | 'A' (必須) |
名前 | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | 'premium' 'standard' (必須) |
クイック スタート テンプレート
次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。
テンプレート | 形容 |
---|---|
NAT ゲートウェイと Application Gateway を使用して AKS クラスターを Azure |
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用の Application Gateway を使用して AKS クラスターをデプロイする方法を示します。 |
パブリック DNS ゾーン を使用してプライベート AKS クラスターを作成する Azure |
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。 |
Azure アーキテクチャ に Sports Analytics をデプロイする Azure |
ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウントのリンクされたサービスを持つ Azure Data Factory インスタンス (デプロイされている場合は Azure SQL Database)、Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントのストレージ BLOB データ共同作成者ロールが付与されます。 Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミングユース ケース用) をデプロイするオプションもあります。 Azure Key Vault がデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に Key Vault シークレット ユーザー ロールが付与されます。 |
Azure Machine Learning ワークスペース の Azure |
このテンプレートでは、暗号化されたストレージ アカウント、KeyVault、Applications Insights のログと共に、新しい Azure Machine Learning ワークスペースが作成されます |
KeyVault を作成する Azure にデプロイする |
このモジュールでは、apiVersion 2019-09-01 を使用して KeyVault リソースを作成します。 |
KeyVault から SSL を使用して API Management サービスを作成する Azure にデプロイする |
このテンプレートは、ユーザー割り当て ID で構成された API Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。 |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します Azure にデプロイする |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。 |
Azure Stack HCI 23H2 クラスター を作成します Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
Azure Stack HCI 23H2 クラスター を作成します Azure にデプロイする |
このテンプレートは、カスタム ストレージ IP を使用して ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します |
スイッチレス デュアルリンク ネットワーク モードで Azure Stack HCI 23H2 クラスターを作成 Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
ネットワーク モードで Azure Stack HCI 23H2 クラスター Switchless-SingleLink 作成 Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
ギャラリー イメージから新しい暗号化された Windows VM を作成 Azure にデプロイする |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化された Windows VM を作成します。 |
ギャラリー イメージから新しい暗号化されたマネージド ディスク win-vm を作成 Azure にデプロイする |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化されたマネージド ディスク Windows VM を作成します。 |
このテンプレートは、実行中の Windows VMSS を暗号化します Azure にデプロイする |
このテンプレートにより、実行中の Windows VM スケール セットでの暗号化が有効になります |
実行中の Windows VM で暗号化を有効にする Azure にデプロイする |
このテンプレートにより、実行中の Windows VM での暗号化が有効になります。 |
ジャンプボックス を使用して新しい Windows VMSS を作成して暗号化する Azure にデプロイする |
このテンプレートを使用すると、最新の修正プログラムが適用されたバージョンのサーバー Windows バージョンを使用して、Windows VM の単純な VM スケール セットをデプロイできます。 このテンプレートでは、パブリック IP アドレスを持つジャンプボックスも同じ仮想ネットワークにデプロイされます。 このパブリック IP アドレスを使用してジャンプボックスに接続し、そこからプライベート IP アドレスを介してスケール セット内の VM に接続できます。このテンプレートにより、Windows VM の VM スケール セットでの暗号化が有効になります。 |
Azure Key Vault とシークレット を作成する Azure にデプロイする |
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 |
RBAC とシークレット を使用して Azure Key Vault を作成する Azure にデプロイする |
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します |
キー コンテナー、マネージド ID、ロールの割り当て を作成する Azure にデプロイする |
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。 |
プライベート エンドポイントを使用して Key Vault に接続 Azure にデプロイする |
このサンプルでは、仮想ネットワークとプライベート DNS ゾーンを構成して、プライベート エンドポイント経由で Key Vault にアクセスする方法を示します。 |
Key Vault とシークレットの一覧を作成 Azure にデプロイする |
このテンプレートでは、パラメーターと共に渡された Key Vault とキー コンテナー内のシークレットの一覧が作成されます。 |
ログ記録を有効にした Key Vault の作成 Azure にデプロイする |
このテンプレートでは、ログ記録に使用される Azure Key Vault と Azure Storage アカウントが作成されます。 必要に応じて、Key Vault とストレージ リソースを保護するためのリソース ロックが作成されます。 |
Azure AI Studio の基本的なセットアップ を Azure |
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。 |
Azure AI Studio の基本的なセットアップ を Azure |
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。 |
Microsoft Entra ID 認証 を使用して Azure AI Studio を Azure |
この一連のテンプレートは、Azure AI サービスや Azure Storage などの依存リソースに対して Microsoft Entra ID 認証を使用して Azure AI Studio を設定する方法を示しています。 |
データストア & 複数のデータセットを含む AML ワークスペースを作成する Azure にデプロイする |
このテンプレートでは、データストア & 複数のデータセットを含む Azure Machine Learning ワークスペースが作成されます。 |
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ を Azure |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ (レガシ) を Azure |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
プライベート IP アドレスを使用して AKS コンピューティング ターゲットを作成 Azure にデプロイする |
このテンプレートでは、プライベート IP アドレスを使用して、特定の Azure Machine Learning サービス ワークスペースに AKS コンピューティング ターゲットを作成します。 |
Azure Machine Learning service ワークスペース を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、Azure Machine Learning の使用を開始するために必要な最小限のリソース セットについて説明します。 |
Azure Machine Learning Service ワークスペース (CMK) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この例では、カスタマー マネージド暗号化キーを使用した暗号化のために Azure Machine Learning を構成する方法を示します。 |
Azure Machine Learning Service ワークスペース (CMK) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、暗号化キーを使用してサービス側の暗号化を使用して Azure Machine Learning ワークスペースを作成する方法を指定します。 |
Azure Machine Learning service ワークスペース (vnet) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
Azure Machine Learning service ワークスペース (レガシ) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
Application Gateway イングレス コントローラー を使用して AKS クラスターを Azure |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vault を使用して AKS クラスターをデプロイする方法を示します |
Key Vault を使用して Application Gateway V2 を作成する Azure |
このテンプレートは、Application Gateway V2 を仮想ネットワークにデプロイし、ユーザー定義 ID、Key Vault、シークレット (証明書データ)、Key Vault と Application Gateway のアクセス ポリシーをデプロイします。 |
Azure Firewall Premium のテスト環境 Azure にデプロイする |
このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を備えた Azure Firewall Premium とファイアウォール ポリシーを作成します |
テナント間のプライベート エンドポイント リソース を作成します Azure にデプロイする |
このテンプレートを使用すると、同じまたはテナント間の環境内に Priavate エンドポイント リソースを作成し、DNS ゾーン構成を追加できます。 |
証明書 を使用して Application Gateway を作成する Azure |
このテンプレートでは、Key Vault の自己署名証明書を生成し、Application Gateway から参照する方法を示します。 |
カスタマー マネージド キー を使用して Azure Storage アカウント暗号化を Azure |
このテンプレートは、Key Vault 内で生成および配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。 |
Azure SQL バックエンド を使用した App Service Environment の Azure |
このテンプレートは、プライベート/分離環境で通常使用される関連リソースと共に、Azure SQL バックエンドとプライベート エンドポイントを含む App Service Environment を作成します。 |
Azure 関数アプリと HTTP によってトリガーされる関数 を Azure |
この例では、Azure 関数アプリと HTTP によってトリガーされる関数をテンプレートにインラインでデプロイします。 また、Key Vault をデプロイし、シークレットに関数アプリのホスト キーを設定します。 |
内部 API Management と Web App を使用した Application Gateway の Azure |
Azure Web アプリでホストされている Web API にサービスを提供する仮想ネットワーク (内部モード) API Management インスタンスにインターネット トラフィックをルーティングする Application Gateway。 |
ARM テンプレート リソース定義
コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
備考
セキュリティで保護された値にキー コンテナーを使用する方法については、「Bicepを使用してシークレットを管理する」を参照してください。
シークレットの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure Key Vault からシークレットを設定および取得する」を参照してください。
キーの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure キー コンテナーとキーを作成する」を参照してください。
リソースの形式
Microsoft.KeyVault/vaults リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2015-06-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ]
},
"tenantId": "string"
}
],
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enableSoftDelete": "bool",
"sku": {
"family": "A",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
}
}
プロパティ値
金庫
名前 | 形容 | 価値 |
---|---|---|
種類 | リソースの種類 | 'Microsoft.KeyVault/vaults' |
apiVersion | リソース API のバージョン | '2015-06-01' |
名前 | リソース名 | string (必須) 文字数制限: 3 から 24 有効な文字: 英数字とハイフン。 文字で始まります。 文字または数字で終わる。 連続するハイフンを含めることはできません。 リソース名は、Azure 全体で一意である必要があります。 |
場所 | キー コンテナーを作成する必要がある、サポートされている Azure の場所。 | string (必須) |
タグ | キー コンテナーに割り当てられるタグ。 | タグ名と値のディクショナリ。 テンプレート の |
プロパティ | コンテナーのプロパティ | VaultProperties (必須) |
VaultProperties
名前 | 形容 | 価値 |
---|---|---|
accessPolicies | キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 |
AccessPolicyEntry[] (必須) 制約: 最大長 = 16 |
enabledForDeployment | キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 | bool |
enabledForDiskEncryption | コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 | bool |
enabledForTemplateDeployment | Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 | bool |
enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 | bool |
sku | SKU の詳細 | SKU (必須) |
tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | 糸 |
AccessPolicyEntry
名前 | 形容 | 価値 |
---|---|---|
applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
権限 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
権限
名前 | 形容 | 価値 |
---|---|---|
証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'setissuers' 'update' |
キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
SKU
名前 | 形容 | 価値 |
---|---|---|
家族 | SKU ファミリ名 | 'A' (必須) |
名前 | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | 'premium' 'standard' (必須) |
クイック スタート テンプレート
次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。
テンプレート | 形容 |
---|---|
NAT ゲートウェイと Application Gateway を使用して AKS クラスターを Azure |
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用の Application Gateway を使用して AKS クラスターをデプロイする方法を示します。 |
パブリック DNS ゾーン を使用してプライベート AKS クラスターを作成する Azure |
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。 |
Azure アーキテクチャ に Sports Analytics をデプロイする Azure |
ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウントのリンクされたサービスを持つ Azure Data Factory インスタンス (デプロイされている場合は Azure SQL Database)、Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントのストレージ BLOB データ共同作成者ロールが付与されます。 Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミングユース ケース用) をデプロイするオプションもあります。 Azure Key Vault がデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に Key Vault シークレット ユーザー ロールが付与されます。 |
Azure Machine Learning ワークスペース の Azure |
このテンプレートでは、暗号化されたストレージ アカウント、KeyVault、Applications Insights のログと共に、新しい Azure Machine Learning ワークスペースが作成されます |
KeyVault を作成する Azure にデプロイする |
このモジュールでは、apiVersion 2019-09-01 を使用して KeyVault リソースを作成します。 |
KeyVault から SSL を使用して API Management サービスを作成する Azure にデプロイする |
このテンプレートは、ユーザー割り当て ID で構成された API Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。 |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します Azure にデプロイする |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。 |
Azure Stack HCI 23H2 クラスター を作成します Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
Azure Stack HCI 23H2 クラスター を作成します Azure にデプロイする |
このテンプレートは、カスタム ストレージ IP を使用して ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します |
スイッチレス デュアルリンク ネットワーク モードで Azure Stack HCI 23H2 クラスターを作成 Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
ネットワーク モードで Azure Stack HCI 23H2 クラスター Switchless-SingleLink 作成 Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
ギャラリー イメージから新しい暗号化された Windows VM を作成 Azure にデプロイする |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化された Windows VM を作成します。 |
ギャラリー イメージから新しい暗号化されたマネージド ディスク win-vm を作成 Azure にデプロイする |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化されたマネージド ディスク Windows VM を作成します。 |
このテンプレートは、実行中の Windows VMSS を暗号化します Azure にデプロイする |
このテンプレートにより、実行中の Windows VM スケール セットでの暗号化が有効になります |
実行中の Windows VM で暗号化を有効にする Azure にデプロイする |
このテンプレートにより、実行中の Windows VM での暗号化が有効になります。 |
ジャンプボックス を使用して新しい Windows VMSS を作成して暗号化する Azure にデプロイする |
このテンプレートを使用すると、最新の修正プログラムが適用されたバージョンのサーバー Windows バージョンを使用して、Windows VM の単純な VM スケール セットをデプロイできます。 このテンプレートでは、パブリック IP アドレスを持つジャンプボックスも同じ仮想ネットワークにデプロイされます。 このパブリック IP アドレスを使用してジャンプボックスに接続し、そこからプライベート IP アドレスを介してスケール セット内の VM に接続できます。このテンプレートにより、Windows VM の VM スケール セットでの暗号化が有効になります。 |
Azure Key Vault とシークレット を作成する Azure にデプロイする |
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 |
RBAC とシークレット を使用して Azure Key Vault を作成する Azure にデプロイする |
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します |
キー コンテナー、マネージド ID、ロールの割り当て を作成する Azure にデプロイする |
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。 |
プライベート エンドポイントを使用して Key Vault に接続 Azure にデプロイする |
このサンプルでは、仮想ネットワークとプライベート DNS ゾーンを構成して、プライベート エンドポイント経由で Key Vault にアクセスする方法を示します。 |
Key Vault とシークレットの一覧を作成 Azure にデプロイする |
このテンプレートでは、パラメーターと共に渡された Key Vault とキー コンテナー内のシークレットの一覧が作成されます。 |
ログ記録を有効にした Key Vault の作成 Azure にデプロイする |
このテンプレートでは、ログ記録に使用される Azure Key Vault と Azure Storage アカウントが作成されます。 必要に応じて、Key Vault とストレージ リソースを保護するためのリソース ロックが作成されます。 |
Azure AI Studio の基本的なセットアップ を Azure |
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。 |
Azure AI Studio の基本的なセットアップ を Azure |
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。 |
Microsoft Entra ID 認証 を使用して Azure AI Studio を Azure |
この一連のテンプレートは、Azure AI サービスや Azure Storage などの依存リソースに対して Microsoft Entra ID 認証を使用して Azure AI Studio を設定する方法を示しています。 |
データストア & 複数のデータセットを含む AML ワークスペースを作成する Azure にデプロイする |
このテンプレートでは、データストア & 複数のデータセットを含む Azure Machine Learning ワークスペースが作成されます。 |
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ を Azure |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ (レガシ) を Azure |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
プライベート IP アドレスを使用して AKS コンピューティング ターゲットを作成 Azure にデプロイする |
このテンプレートでは、プライベート IP アドレスを使用して、特定の Azure Machine Learning サービス ワークスペースに AKS コンピューティング ターゲットを作成します。 |
Azure Machine Learning service ワークスペース を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、Azure Machine Learning の使用を開始するために必要な最小限のリソース セットについて説明します。 |
Azure Machine Learning Service ワークスペース (CMK) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この例では、カスタマー マネージド暗号化キーを使用した暗号化のために Azure Machine Learning を構成する方法を示します。 |
Azure Machine Learning Service ワークスペース (CMK) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、暗号化キーを使用してサービス側の暗号化を使用して Azure Machine Learning ワークスペースを作成する方法を指定します。 |
Azure Machine Learning service ワークスペース (vnet) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
Azure Machine Learning service ワークスペース (レガシ) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
Application Gateway イングレス コントローラー を使用して AKS クラスターを Azure |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vault を使用して AKS クラスターをデプロイする方法を示します |
Key Vault を使用して Application Gateway V2 を作成する Azure |
このテンプレートは、Application Gateway V2 を仮想ネットワークにデプロイし、ユーザー定義 ID、Key Vault、シークレット (証明書データ)、Key Vault と Application Gateway のアクセス ポリシーをデプロイします。 |
Azure Firewall Premium のテスト環境 Azure にデプロイする |
このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を備えた Azure Firewall Premium とファイアウォール ポリシーを作成します |
テナント間のプライベート エンドポイント リソース を作成します Azure にデプロイする |
このテンプレートを使用すると、同じまたはテナント間の環境内に Priavate エンドポイント リソースを作成し、DNS ゾーン構成を追加できます。 |
証明書 を使用して Application Gateway を作成する Azure |
このテンプレートでは、Key Vault の自己署名証明書を生成し、Application Gateway から参照する方法を示します。 |
カスタマー マネージド キー を使用して Azure Storage アカウント暗号化を Azure |
このテンプレートは、Key Vault 内で生成および配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。 |
Azure SQL バックエンド を使用した App Service Environment の Azure |
このテンプレートは、プライベート/分離環境で通常使用される関連リソースと共に、Azure SQL バックエンドとプライベート エンドポイントを含む App Service Environment を作成します。 |
Azure 関数アプリと HTTP によってトリガーされる関数 を Azure |
この例では、Azure 関数アプリと HTTP によってトリガーされる関数をテンプレートにインラインでデプロイします。 また、Key Vault をデプロイし、シークレットに関数アプリのホスト キーを設定します。 |
内部 API Management と Web App を使用した Application Gateway の Azure |
Azure Web アプリでホストされている Web API にサービスを提供する仮想ネットワーク (内部モード) API Management インスタンスにインターネット トラフィックをルーティングする Application Gateway。 |
Terraform (AzAPI プロバイダー) リソース定義
コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaults リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2015-06-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
}
tenantId = "string"
}
]
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enableSoftDelete = bool
sku = {
family = "A"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
})
}
プロパティ値
金庫
名前 | 形容 | 価値 |
---|---|---|
種類 | リソースの種類 | "Microsoft.KeyVault/vaults@2015-06-01" |
名前 | リソース名 | string (必須) 文字数制限: 3 から 24 有効な文字: 英数字とハイフン。 文字で始まります。 文字または数字で終わる。 連続するハイフンを含めることはできません。 リソース名は、Azure 全体で一意である必要があります。 |
場所 | キー コンテナーを作成する必要がある、サポートされている Azure の場所。 | string (必須) |
parent_id | リソース グループにデプロイするには、そのリソース グループの ID を使用します。 | string (必須) |
タグ | キー コンテナーに割り当てられるタグ。 | タグ名と値のディクショナリ。 |
プロパティ | コンテナーのプロパティ | VaultProperties (必須) |
VaultProperties
名前 | 形容 | 価値 |
---|---|---|
accessPolicies | キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 |
AccessPolicyEntry[] (必須) 制約: 最大長 = 16 |
enabledForDeployment | キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 | bool |
enabledForDiskEncryption | コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 | bool |
enabledForTemplateDeployment | Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 | bool |
enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 | bool |
sku | SKU の詳細 | SKU (必須) |
tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | 糸 |
AccessPolicyEntry
名前 | 形容 | 価値 |
---|---|---|
applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
権限 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
権限
名前 | 形容 | 価値 |
---|---|---|
証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: "all" "create" "delete" "deleteissuers" "get" "getissuers" "import" "list" "listissuers" "managecontacts" "manageissuers" "purge" "recover" "setissuers" "update" |
キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "create" "decrypt" "delete" "encrypt" "get" "import" "list" "purge" "recover" "restore" "sign" "unwrapKey" "update" "verify" "wrapKey" |
秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "delete" "get" "list" "purge" "recover" "restore" "set" |
SKU
名前 | 形容 | 価値 |
---|---|---|
家族 | SKU ファミリ名 | "A" (必須) |
名前 | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | "Premium" "standard" (必須) |