次の方法で共有


Microsoft.KeyVault コンテナー 2016-10-01

Bicep リソース定義

コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。

  • リソース グループの - リソース グループのデプロイ コマンド 参照

各 API バージョンで変更されたプロパティの一覧については、変更ログの参照してください。

備考

セキュリティで保護された値にキー コンテナーを使用する方法については、「Bicepを使用してシークレットを管理する」を参照してください。

シークレットの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure Key Vault からシークレットを設定および取得する」を参照してください。

キーの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure キー コンテナーとキーを作成する」を参照してください。

リソースの形式

Microsoft.KeyVault/vaults リソースを作成するには、次の Bicep をテンプレートに追加します。

resource symbolicname 'Microsoft.KeyVault/vaults@2016-10-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableSoftDelete: bool
    sku: {
      family: 'A'
      name: 'string'
    }
    tenantId: 'string'
    vaultUri: 'string'
  }
}

プロパティ値

金庫

名前 形容 価値
名前 リソース名 string (必須)

文字数制限: 3 から 24

有効な文字:
英数字とハイフン。

文字で始まります。 文字または数字で終わる。 連続するハイフンを含めることはできません。

リソース名は、Azure 全体で一意である必要があります。
場所 キー コンテナーを作成する必要がある、サポートされている Azure の場所。 string (必須)
タグ キー コンテナーに割り当てられるタグ。 タグ名と値のディクショナリ。 テンプレート の タグを参照してください
プロパティ コンテナーのプロパティ VaultProperties (必須)

VaultProperties

名前 形容 価値
accessPolicies キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 createModerecoverに設定されている場合、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 AccessPolicyEntry[]
createMode コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 'default'
'recover'
enabledForDeployment キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 bool
enabledForDiskEncryption コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 bool
enabledForTemplateDeployment Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 bool
enablePurgeProtection このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護が有効になります。回復不可能なハード削除を開始できるのは、Key Vault サービスだけです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 bool
enableSoftDelete このキー コンテナーに対して回復可能な削除を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、論理的な削除機能がアクティブになり、削除後にコンテナーまたはコンテナー エンティティを復旧できます。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 bool
sku SKU の詳細 SKU (必須)
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 string (必須)

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri キーとシークレットに対する操作を実行するためのコンテナーの URI。

AccessPolicyEntry

名前 形容 価値
applicationId プリンシパルに代わって要求を行うクライアントのアプリケーション ID

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 string (必須)
権限 キー、シークレット、証明書に対して ID に付与されるアクセス許可。 アクセス許可の (必須)
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 string (必須)

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

権限

名前 形容 価値
証明 書 証明書へのアクセス許可 次のいずれかを含む文字列配列:
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'import'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'purge'
'recover'
'setissuers'
'update'
キー キーに対するアクセス許可 次のいずれかを含む文字列配列:
'backup'
'create'
'decrypt'
'delete'
'encrypt'
'get'
'import'
'list'
'purge'
'recover'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
秘密 シークレットへのアクセス許可 次のいずれかを含む文字列配列:
'backup'
'delete'
'get'
'list'
'purge'
'recover'
'restore'
'set'
貯蔵 ストレージ アカウントへのアクセス許可 次のいずれかを含む文字列配列:
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'purge'
'recover'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

SKU

名前 形容 価値
家族 SKU ファミリ名 'A' (必須)
名前 キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 'premium'
'standard' (必須)

クイック スタート テンプレート

次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。

テンプレート 形容
NAT ゲートウェイと Application Gateway を使用して AKS クラスターを する

Azure
にデプロイする
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用の Application Gateway を使用して AKS クラスターをデプロイする方法を示します。
パブリック DNS ゾーン を使用してプライベート AKS クラスターを作成する

Azure
にデプロイする
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。
Azure アーキテクチャ に Sports Analytics をデプロイする

Azure
にデプロイする
ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウントのリンクされたサービスを持つ Azure Data Factory インスタンス (デプロイされている場合は Azure SQL Database)、Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントのストレージ BLOB データ共同作成者ロールが付与されます。 Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミングユース ケース用) をデプロイするオプションもあります。 Azure Key Vault がデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に Key Vault シークレット ユーザー ロールが付与されます。
Azure Machine Learning ワークスペース の

Azure
にデプロイする
このテンプレートでは、暗号化されたストレージ アカウント、KeyVault、Applications Insights のログと共に、新しい Azure Machine Learning ワークスペースが作成されます
KeyVault を作成する

Azure にデプロイする
このモジュールでは、apiVersion 2019-09-01 を使用して KeyVault リソースを作成します。
KeyVault から SSL を使用して API Management サービスを作成する

Azure にデプロイする
このテンプレートは、ユーザー割り当て ID で構成された API Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します

Azure にデプロイする
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。
Azure Stack HCI 23H2 クラスター を作成します

Azure にデプロイする
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。
Azure Stack HCI 23H2 クラスター を作成します

Azure にデプロイする
このテンプレートは、カスタム ストレージ IP を使用して ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します
スイッチレス デュアルリンク ネットワーク モードで Azure Stack HCI 23H2 クラスターを作成

Azure にデプロイする
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。
ネットワーク モードで Azure Stack HCI 23H2 クラスター Switchless-SingleLink 作成

Azure にデプロイする
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。
ギャラリー イメージから新しい暗号化された Windows VM を作成

Azure にデプロイする
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化された Windows VM を作成します。
ギャラリー イメージから新しい暗号化されたマネージド ディスク win-vm を作成

Azure にデプロイする
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化されたマネージド ディスク Windows VM を作成します。
このテンプレートは、実行中の Windows VMSS を暗号化します

Azure にデプロイする
このテンプレートにより、実行中の Windows VM スケール セットでの暗号化が有効になります
実行中の Windows VM で暗号化を有効にする

Azure にデプロイする
このテンプレートにより、実行中の Windows VM での暗号化が有効になります。
ジャンプボックス を使用して新しい Windows VMSS を作成して暗号化する

Azure にデプロイする
このテンプレートを使用すると、最新の修正プログラムが適用されたバージョンのサーバー Windows バージョンを使用して、Windows VM の単純な VM スケール セットをデプロイできます。 このテンプレートでは、パブリック IP アドレスを持つジャンプボックスも同じ仮想ネットワークにデプロイされます。 このパブリック IP アドレスを使用してジャンプボックスに接続し、そこからプライベート IP アドレスを介してスケール セット内の VM に接続できます。このテンプレートにより、Windows VM の VM スケール セットでの暗号化が有効になります。
Azure Key Vault とシークレット を作成する

Azure にデプロイする
このテンプレートでは、Azure Key Vault とシークレットが作成されます。
RBAC とシークレット を使用して Azure Key Vault を作成する

Azure にデプロイする
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します
キー コンテナー、マネージド ID、ロールの割り当て を作成する

Azure にデプロイする
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。
プライベート エンドポイントを使用して Key Vault に接続

Azure にデプロイする
このサンプルでは、仮想ネットワークとプライベート DNS ゾーンを構成して、プライベート エンドポイント経由で Key Vault にアクセスする方法を示します。
Key Vault とシークレットの一覧を作成

Azure にデプロイする
このテンプレートでは、パラメーターと共に渡された Key Vault とキー コンテナー内のシークレットの一覧が作成されます。
ログ記録を有効にした Key Vault の作成

Azure にデプロイする
このテンプレートでは、ログ記録に使用される Azure Key Vault と Azure Storage アカウントが作成されます。 必要に応じて、Key Vault とストレージ リソースを保護するためのリソース ロックが作成されます。
Azure AI Studio の基本的なセットアップ を する

Azure
にデプロイする
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。
Azure AI Studio の基本的なセットアップ を する

Azure
にデプロイする
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。
Microsoft Entra ID 認証 を使用して Azure AI Studio を する

Azure
にデプロイする
この一連のテンプレートは、Azure AI サービスや Azure Storage などの依存リソースに対して Microsoft Entra ID 認証を使用して Azure AI Studio を設定する方法を示しています。
データストア & 複数のデータセットを含む AML ワークスペースを作成する

Azure にデプロイする
このテンプレートでは、データストア & 複数のデータセットを含む Azure Machine Learning ワークスペースが作成されます。
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ を する

Azure
にデプロイする
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ (レガシ) を する

Azure
にデプロイする
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。
プライベート IP アドレスを使用して AKS コンピューティング ターゲットを作成

Azure にデプロイする
このテンプレートでは、プライベート IP アドレスを使用して、特定の Azure Machine Learning サービス ワークスペースに AKS コンピューティング ターゲットを作成します。
Azure Machine Learning service ワークスペース を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、Azure Machine Learning の使用を開始するために必要な最小限のリソース セットについて説明します。
Azure Machine Learning Service ワークスペース (CMK) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この例では、カスタマー マネージド暗号化キーを使用した暗号化のために Azure Machine Learning を構成する方法を示します。
Azure Machine Learning Service ワークスペース (CMK) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、暗号化キーを使用してサービス側の暗号化を使用して Azure Machine Learning ワークスペースを作成する方法を指定します。
Azure Machine Learning service ワークスペース (vnet) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。
Azure Machine Learning service ワークスペース (レガシ) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。
Application Gateway イングレス コントローラー を使用して AKS クラスターを する

Azure
にデプロイする
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vault を使用して AKS クラスターをデプロイする方法を示します
Key Vault を使用して Application Gateway V2 を作成する

Azure
にデプロイする
このテンプレートは、Application Gateway V2 を仮想ネットワークにデプロイし、ユーザー定義 ID、Key Vault、シークレット (証明書データ)、Key Vault と Application Gateway のアクセス ポリシーをデプロイします。
Azure Firewall Premium のテスト環境

Azure にデプロイする
このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を備えた Azure Firewall Premium とファイアウォール ポリシーを作成します
テナント間のプライベート エンドポイント リソース を作成します

Azure にデプロイする
このテンプレートを使用すると、同じまたはテナント間の環境内に Priavate エンドポイント リソースを作成し、DNS ゾーン構成を追加できます。
証明書 を使用して Application Gateway を作成する

Azure
にデプロイする
このテンプレートでは、Key Vault の自己署名証明書を生成し、Application Gateway から参照する方法を示します。
カスタマー マネージド キー を使用して Azure Storage アカウント暗号化を する

Azure
にデプロイする
このテンプレートは、Key Vault 内で生成および配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。
Azure SQL バックエンド を使用した App Service Environment の

Azure
にデプロイする
このテンプレートは、プライベート/分離環境で通常使用される関連リソースと共に、Azure SQL バックエンドとプライベート エンドポイントを含む App Service Environment を作成します。
Azure 関数アプリと HTTP によってトリガーされる関数 を する

Azure
にデプロイする
この例では、Azure 関数アプリと HTTP によってトリガーされる関数をテンプレートにインラインでデプロイします。 また、Key Vault をデプロイし、シークレットに関数アプリのホスト キーを設定します。
内部 API Management と Web App を使用した Application Gateway の

Azure
にデプロイする
Azure Web アプリでホストされている Web API にサービスを提供する仮想ネットワーク (内部モード) API Management インスタンスにインターネット トラフィックをルーティングする Application Gateway。

ARM テンプレート リソース定義

コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。

  • リソース グループの - リソース グループのデプロイ コマンド 参照

各 API バージョンで変更されたプロパティの一覧については、変更ログの参照してください。

備考

セキュリティで保護された値にキー コンテナーを使用する方法については、「Bicepを使用してシークレットを管理する」を参照してください。

シークレットの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure Key Vault からシークレットを設定および取得する」を参照してください。

キーの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure キー コンテナーとキーを作成する」を参照してください。

リソースの形式

Microsoft.KeyVault/vaults リソースを作成するには、次の JSON をテンプレートに追加します。

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2016-10-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableSoftDelete": "bool",
    "sku": {
      "family": "A",
      "name": "string"
    },
    "tenantId": "string",
    "vaultUri": "string"
  }
}

プロパティ値

金庫

名前 形容 価値
種類 リソースの種類 'Microsoft.KeyVault/vaults'
apiVersion リソース API のバージョン '2016-10-01'
名前 リソース名 string (必須)

文字数制限: 3 から 24

有効な文字:
英数字とハイフン。

文字で始まります。 文字または数字で終わる。 連続するハイフンを含めることはできません。

リソース名は、Azure 全体で一意である必要があります。
場所 キー コンテナーを作成する必要がある、サポートされている Azure の場所。 string (必須)
タグ キー コンテナーに割り当てられるタグ。 タグ名と値のディクショナリ。 テンプレート の タグを参照してください
プロパティ コンテナーのプロパティ VaultProperties (必須)

VaultProperties

名前 形容 価値
accessPolicies キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 createModerecoverに設定されている場合、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 AccessPolicyEntry[]
createMode コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 'default'
'recover'
enabledForDeployment キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 bool
enabledForDiskEncryption コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 bool
enabledForTemplateDeployment Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 bool
enablePurgeProtection このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護が有効になります。回復不可能なハード削除を開始できるのは、Key Vault サービスだけです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 bool
enableSoftDelete このキー コンテナーに対して回復可能な削除を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、論理的な削除機能がアクティブになり、削除後にコンテナーまたはコンテナー エンティティを復旧できます。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 bool
sku SKU の詳細 SKU (必須)
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 string (必須)

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri キーとシークレットに対する操作を実行するためのコンテナーの URI。

AccessPolicyEntry

名前 形容 価値
applicationId プリンシパルに代わって要求を行うクライアントのアプリケーション ID

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 string (必須)
権限 キー、シークレット、証明書に対して ID に付与されるアクセス許可。 アクセス許可の (必須)
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 string (必須)

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

権限

名前 形容 価値
証明 書 証明書へのアクセス許可 次のいずれかを含む文字列配列:
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'import'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'purge'
'recover'
'setissuers'
'update'
キー キーに対するアクセス許可 次のいずれかを含む文字列配列:
'backup'
'create'
'decrypt'
'delete'
'encrypt'
'get'
'import'
'list'
'purge'
'recover'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
秘密 シークレットへのアクセス許可 次のいずれかを含む文字列配列:
'backup'
'delete'
'get'
'list'
'purge'
'recover'
'restore'
'set'
貯蔵 ストレージ アカウントへのアクセス許可 次のいずれかを含む文字列配列:
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'purge'
'recover'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

SKU

名前 形容 価値
家族 SKU ファミリ名 'A' (必須)
名前 キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 'premium'
'standard' (必須)

クイック スタート テンプレート

次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。

テンプレート 形容
NAT ゲートウェイと Application Gateway を使用して AKS クラスターを する

Azure
にデプロイする
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用の Application Gateway を使用して AKS クラスターをデプロイする方法を示します。
パブリック DNS ゾーン を使用してプライベート AKS クラスターを作成する

Azure
にデプロイする
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。
Azure アーキテクチャ に Sports Analytics をデプロイする

Azure
にデプロイする
ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウントのリンクされたサービスを持つ Azure Data Factory インスタンス (デプロイされている場合は Azure SQL Database)、Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントのストレージ BLOB データ共同作成者ロールが付与されます。 Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミングユース ケース用) をデプロイするオプションもあります。 Azure Key Vault がデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に Key Vault シークレット ユーザー ロールが付与されます。
Azure Machine Learning ワークスペース の

Azure
にデプロイする
このテンプレートでは、暗号化されたストレージ アカウント、KeyVault、Applications Insights のログと共に、新しい Azure Machine Learning ワークスペースが作成されます
KeyVault を作成する

Azure にデプロイする
このモジュールでは、apiVersion 2019-09-01 を使用して KeyVault リソースを作成します。
KeyVault から SSL を使用して API Management サービスを作成する

Azure にデプロイする
このテンプレートは、ユーザー割り当て ID で構成された API Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します

Azure にデプロイする
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。
Azure Stack HCI 23H2 クラスター を作成します

Azure にデプロイする
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。
Azure Stack HCI 23H2 クラスター を作成します

Azure にデプロイする
このテンプレートは、カスタム ストレージ IP を使用して ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します
スイッチレス デュアルリンク ネットワーク モードで Azure Stack HCI 23H2 クラスターを作成

Azure にデプロイする
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。
ネットワーク モードで Azure Stack HCI 23H2 クラスター Switchless-SingleLink 作成

Azure にデプロイする
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。
ギャラリー イメージから新しい暗号化された Windows VM を作成

Azure にデプロイする
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化された Windows VM を作成します。
ギャラリー イメージから新しい暗号化されたマネージド ディスク win-vm を作成

Azure にデプロイする
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化されたマネージド ディスク Windows VM を作成します。
このテンプレートは、実行中の Windows VMSS を暗号化します

Azure にデプロイする
このテンプレートにより、実行中の Windows VM スケール セットでの暗号化が有効になります
実行中の Windows VM で暗号化を有効にする

Azure にデプロイする
このテンプレートにより、実行中の Windows VM での暗号化が有効になります。
ジャンプボックス を使用して新しい Windows VMSS を作成して暗号化する

Azure にデプロイする
このテンプレートを使用すると、最新の修正プログラムが適用されたバージョンのサーバー Windows バージョンを使用して、Windows VM の単純な VM スケール セットをデプロイできます。 このテンプレートでは、パブリック IP アドレスを持つジャンプボックスも同じ仮想ネットワークにデプロイされます。 このパブリック IP アドレスを使用してジャンプボックスに接続し、そこからプライベート IP アドレスを介してスケール セット内の VM に接続できます。このテンプレートにより、Windows VM の VM スケール セットでの暗号化が有効になります。
Azure Key Vault とシークレット を作成する

Azure にデプロイする
このテンプレートでは、Azure Key Vault とシークレットが作成されます。
RBAC とシークレット を使用して Azure Key Vault を作成する

Azure にデプロイする
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します
キー コンテナー、マネージド ID、ロールの割り当て を作成する

Azure にデプロイする
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。
プライベート エンドポイントを使用して Key Vault に接続

Azure にデプロイする
このサンプルでは、仮想ネットワークとプライベート DNS ゾーンを構成して、プライベート エンドポイント経由で Key Vault にアクセスする方法を示します。
Key Vault とシークレットの一覧を作成

Azure にデプロイする
このテンプレートでは、パラメーターと共に渡された Key Vault とキー コンテナー内のシークレットの一覧が作成されます。
ログ記録を有効にした Key Vault の作成

Azure にデプロイする
このテンプレートでは、ログ記録に使用される Azure Key Vault と Azure Storage アカウントが作成されます。 必要に応じて、Key Vault とストレージ リソースを保護するためのリソース ロックが作成されます。
Azure AI Studio の基本的なセットアップ を する

Azure
にデプロイする
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。
Azure AI Studio の基本的なセットアップ を する

Azure
にデプロイする
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。
Microsoft Entra ID 認証 を使用して Azure AI Studio を する

Azure
にデプロイする
この一連のテンプレートは、Azure AI サービスや Azure Storage などの依存リソースに対して Microsoft Entra ID 認証を使用して Azure AI Studio を設定する方法を示しています。
データストア & 複数のデータセットを含む AML ワークスペースを作成する

Azure にデプロイする
このテンプレートでは、データストア & 複数のデータセットを含む Azure Machine Learning ワークスペースが作成されます。
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ を する

Azure
にデプロイする
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ (レガシ) を する

Azure
にデプロイする
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。
プライベート IP アドレスを使用して AKS コンピューティング ターゲットを作成

Azure にデプロイする
このテンプレートでは、プライベート IP アドレスを使用して、特定の Azure Machine Learning サービス ワークスペースに AKS コンピューティング ターゲットを作成します。
Azure Machine Learning service ワークスペース を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、Azure Machine Learning の使用を開始するために必要な最小限のリソース セットについて説明します。
Azure Machine Learning Service ワークスペース (CMK) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この例では、カスタマー マネージド暗号化キーを使用した暗号化のために Azure Machine Learning を構成する方法を示します。
Azure Machine Learning Service ワークスペース (CMK) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、暗号化キーを使用してサービス側の暗号化を使用して Azure Machine Learning ワークスペースを作成する方法を指定します。
Azure Machine Learning service ワークスペース (vnet) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。
Azure Machine Learning service ワークスペース (レガシ) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。
Application Gateway イングレス コントローラー を使用して AKS クラスターを する

Azure
にデプロイする
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vault を使用して AKS クラスターをデプロイする方法を示します
Key Vault を使用して Application Gateway V2 を作成する

Azure
にデプロイする
このテンプレートは、Application Gateway V2 を仮想ネットワークにデプロイし、ユーザー定義 ID、Key Vault、シークレット (証明書データ)、Key Vault と Application Gateway のアクセス ポリシーをデプロイします。
Azure Firewall Premium のテスト環境

Azure にデプロイする
このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を備えた Azure Firewall Premium とファイアウォール ポリシーを作成します
テナント間のプライベート エンドポイント リソース を作成します

Azure にデプロイする
このテンプレートを使用すると、同じまたはテナント間の環境内に Priavate エンドポイント リソースを作成し、DNS ゾーン構成を追加できます。
証明書 を使用して Application Gateway を作成する

Azure
にデプロイする
このテンプレートでは、Key Vault の自己署名証明書を生成し、Application Gateway から参照する方法を示します。
カスタマー マネージド キー を使用して Azure Storage アカウント暗号化を する

Azure
にデプロイする
このテンプレートは、Key Vault 内で生成および配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。
Azure SQL バックエンド を使用した App Service Environment の

Azure
にデプロイする
このテンプレートは、プライベート/分離環境で通常使用される関連リソースと共に、Azure SQL バックエンドとプライベート エンドポイントを含む App Service Environment を作成します。
Azure 関数アプリと HTTP によってトリガーされる関数 を する

Azure
にデプロイする
この例では、Azure 関数アプリと HTTP によってトリガーされる関数をテンプレートにインラインでデプロイします。 また、Key Vault をデプロイし、シークレットに関数アプリのホスト キーを設定します。
内部 API Management と Web App を使用した Application Gateway の

Azure
にデプロイする
Azure Web アプリでホストされている Web API にサービスを提供する仮想ネットワーク (内部モード) API Management インスタンスにインターネット トラフィックをルーティングする Application Gateway。

Terraform (AzAPI プロバイダー) リソース定義

コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。

  • リソース グループの

各 API バージョンで変更されたプロパティの一覧については、変更ログの参照してください。

リソースの形式

Microsoft.KeyVault/vaults リソースを作成するには、次の Terraform をテンプレートに追加します。

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2016-10-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableSoftDelete = bool
      sku = {
        family = "A"
        name = "string"
      }
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

プロパティ値

金庫

名前 形容 価値
種類 リソースの種類 "Microsoft.KeyVault/vaults@2016-10-01"
名前 リソース名 string (必須)

文字数制限: 3 から 24

有効な文字:
英数字とハイフン。

文字で始まります。 文字または数字で終わる。 連続するハイフンを含めることはできません。

リソース名は、Azure 全体で一意である必要があります。
場所 キー コンテナーを作成する必要がある、サポートされている Azure の場所。 string (必須)
parent_id リソース グループにデプロイするには、そのリソース グループの ID を使用します。 string (必須)
タグ キー コンテナーに割り当てられるタグ。 タグ名と値のディクショナリ。
プロパティ コンテナーのプロパティ VaultProperties (必須)

VaultProperties

名前 形容 価値
accessPolicies キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 createModerecoverに設定されている場合、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 AccessPolicyEntry[]
createMode コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 "default"
"recover"
enabledForDeployment キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 bool
enabledForDiskEncryption コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 bool
enabledForTemplateDeployment Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 bool
enablePurgeProtection このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護が有効になります。回復不可能なハード削除を開始できるのは、Key Vault サービスだけです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 bool
enableSoftDelete このキー コンテナーに対して回復可能な削除を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、論理的な削除機能がアクティブになり、削除後にコンテナーまたはコンテナー エンティティを復旧できます。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 bool
sku SKU の詳細 SKU (必須)
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 string (必須)

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri キーとシークレットに対する操作を実行するためのコンテナーの URI。

AccessPolicyEntry

名前 形容 価値
applicationId プリンシパルに代わって要求を行うクライアントのアプリケーション ID

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 string (必須)
権限 キー、シークレット、証明書に対して ID に付与されるアクセス許可。 アクセス許可の (必須)
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 string (必須)

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

権限

名前 形容 価値
証明 書 証明書へのアクセス許可 次のいずれかを含む文字列配列:
"create"
"delete"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"purge"
"recover"
"setissuers"
"update"
キー キーに対するアクセス許可 次のいずれかを含む文字列配列:
"backup"
"create"
"decrypt"
"delete"
"encrypt"
"get"
"import"
"list"
"purge"
"recover"
"restore"
"sign"
"unwrapKey"
"update"
"verify"
"wrapKey"
秘密 シークレットへのアクセス許可 次のいずれかを含む文字列配列:
"backup"
"delete"
"get"
"list"
"purge"
"recover"
"restore"
"set"
貯蔵 ストレージ アカウントへのアクセス許可 次のいずれかを含む文字列配列:
"backup"
"delete"
"deletesas"
"get"
"getsas"
"list"
"listsas"
"purge"
"recover"
"regeneratekey"
"restore"
"set"
"setsas"
"update"

SKU

名前 形容 価値
家族 SKU ファミリ名 "A" (必須)
名前 キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 "Premium"
"standard" (必須)