Microsoft.KeyVault コンテナー 2018-02-14-preview
Bicep リソース定義
コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
備考
セキュリティで保護された値にキー コンテナーを使用する方法については、「Bicepを使用してシークレットを管理する」を参照してください。
シークレットの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure Key Vault からシークレットを設定および取得する」を参照してください。
キーの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure キー コンテナーとキーを作成する」を参照してください。
リソースの形式
Microsoft.KeyVault/vaults リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.KeyVault/vaults@2018-02-14-preview' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
}
]
}
sku: {
family: 'A'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
}
プロパティ値
金庫
| 名前 | 形容 | 価値 |
|---|---|---|
| 名前 | リソース名 | string (必須) 文字数制限: 3 から 24 有効な文字: 英数字とハイフン。 文字で始まります。 文字または数字で終わる。 連続するハイフンを含めることはできません。 リソース名は、Azure 全体で一意である必要があります。 |
| 場所 | キー コンテナーを作成する必要がある、サポートされている Azure の場所。 | string (必須) |
| タグ | キー コンテナーに割り当てられるタグ。 | タグ名と値のディクショナリ。 テンプレート の |
| プロパティ | コンテナーのプロパティ | VaultProperties (必須) |
VaultProperties
| 名前 | 形容 | 価値 |
|---|---|---|
| accessPolicies | キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 | AccessPolicyEntry[] |
| createMode | コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 | 'default' 'recover' |
| enabledForDeployment | キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 | bool |
| enabledForDiskEncryption | コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 | bool |
| enabledForTemplateDeployment | Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 | bool |
| enablePurgeProtection | このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護が有効になります。回復不可能なハード削除を開始できるのは、Key Vault サービスだけです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 | bool |
| enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 false 値は受け入れません。 | bool |
| networkAcls | 特定のネットワークの場所からのコンテナーのアクセシビリティを制御する規則のコレクション。 | NetworkRuleSet |
| sku | SKU の詳細 | SKU (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | 糸 |
AccessPolicyEntry
| 名前 | 形容 | 価値 |
|---|---|---|
| applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
| 権限 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
権限
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| 秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
| 貯蔵 | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
| 名前 | 形容 | 価値 |
|---|---|---|
| バイパス | ネットワーク ルールをバイパスできるトラフィックを指定します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 | 'AzureServices' 'None' |
| defaultAction | ipRules および virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 | 'Allow' 'Deny' |
| ipRules | IP アドレス規則の一覧。 | IPRule[] |
| virtualNetworkRules | 仮想ネットワーク規則の一覧。 | VirtualNetworkRule[] |
IPRule
| 名前 | 形容 | 価値 |
|---|---|---|
| 価値 | CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 | string (必須) |
VirtualNetworkRule
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 | string (必須) |
SKU
| 名前 | 形容 | 価値 |
|---|---|---|
| 家族 | SKU ファミリ名 | 'A' (必須) |
| 名前 | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | 'premium' 'standard' (必須) |
クイック スタート テンプレート
次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。
| テンプレート | 形容 |
|---|---|
| NAT ゲートウェイと Application Gateway を使用して AKS クラスターを Azure |
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用の Application Gateway を使用して AKS クラスターをデプロイする方法を示します。 |
| パブリック DNS ゾーン を使用してプライベート AKS クラスターを作成する Azure |
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。 |
| Azure アーキテクチャ に Sports Analytics をデプロイする Azure |
ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウントのリンクされたサービスを持つ Azure Data Factory インスタンス (デプロイされている場合は Azure SQL Database)、Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントのストレージ BLOB データ共同作成者ロールが付与されます。 Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミングユース ケース用) をデプロイするオプションもあります。 Azure Key Vault がデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に Key Vault シークレット ユーザー ロールが付与されます。 |
| Azure Machine Learning ワークスペース の Azure |
このテンプレートでは、暗号化されたストレージ アカウント、KeyVault、Applications Insights のログと共に、新しい Azure Machine Learning ワークスペースが作成されます |
|
KeyVault を作成する Azure にデプロイする |
このモジュールでは、apiVersion 2019-09-01 を使用して KeyVault リソースを作成します。 |
|
KeyVault から SSL を使用して API Management サービスを作成する Azure にデプロイする |
このテンプレートは、ユーザー割り当て ID で構成された API Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。 |
|
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します Azure にデプロイする |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。 |
|
Azure Stack HCI 23H2 クラスター を作成します Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
|
Azure Stack HCI 23H2 クラスター を作成します Azure にデプロイする |
このテンプレートは、カスタム ストレージ IP を使用して ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します |
|
スイッチレス デュアルリンク ネットワーク モードで Azure Stack HCI 23H2 クラスターを作成 Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
|
ネットワーク モードで Azure Stack HCI 23H2 クラスター Switchless-SingleLink 作成 Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
|
ギャラリー イメージから新しい暗号化された Windows VM を作成 Azure にデプロイする |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化された Windows VM を作成します。 |
|
ギャラリー イメージから新しい暗号化されたマネージド ディスク win-vm を作成 Azure にデプロイする |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化されたマネージド ディスク Windows VM を作成します。 |
|
このテンプレートは、実行中の Windows VMSS を暗号化します Azure にデプロイする |
このテンプレートにより、実行中の Windows VM スケール セットでの暗号化が有効になります |
|
実行中の Windows VM で暗号化を有効にする Azure にデプロイする |
このテンプレートにより、実行中の Windows VM での暗号化が有効になります。 |
|
ジャンプボックス を使用して新しい Windows VMSS を作成して暗号化する Azure にデプロイする |
このテンプレートを使用すると、最新の修正プログラムが適用されたバージョンのサーバー Windows バージョンを使用して、Windows VM の単純な VM スケール セットをデプロイできます。 このテンプレートでは、パブリック IP アドレスを持つジャンプボックスも同じ仮想ネットワークにデプロイされます。 このパブリック IP アドレスを使用してジャンプボックスに接続し、そこからプライベート IP アドレスを介してスケール セット内の VM に接続できます。このテンプレートにより、Windows VM の VM スケール セットでの暗号化が有効になります。 |
|
Azure Key Vault とシークレット を作成する Azure にデプロイする |
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 |
|
RBAC とシークレット を使用して Azure Key Vault を作成する Azure にデプロイする |
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します |
|
キー コンテナー、マネージド ID、ロールの割り当て を作成する Azure にデプロイする |
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。 |
|
プライベート エンドポイントを使用して Key Vault に接続 Azure にデプロイする |
このサンプルでは、仮想ネットワークとプライベート DNS ゾーンを構成して、プライベート エンドポイント経由で Key Vault にアクセスする方法を示します。 |
|
Key Vault とシークレットの一覧を作成 Azure にデプロイする |
このテンプレートでは、パラメーターと共に渡された Key Vault とキー コンテナー内のシークレットの一覧が作成されます。 |
|
ログ記録を有効にした Key Vault の作成 Azure にデプロイする |
このテンプレートでは、ログ記録に使用される Azure Key Vault と Azure Storage アカウントが作成されます。 必要に応じて、Key Vault とストレージ リソースを保護するためのリソース ロックが作成されます。 |
| Azure AI Studio の基本的なセットアップ を Azure |
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。 |
| Azure AI Studio の基本的なセットアップ を Azure |
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。 |
| Microsoft Entra ID 認証 を使用して Azure AI Studio を Azure |
この一連のテンプレートは、Azure AI サービスや Azure Storage などの依存リソースに対して Microsoft Entra ID 認証を使用して Azure AI Studio を設定する方法を示しています。 |
|
データストア & 複数のデータセットを含む AML ワークスペースを作成する Azure にデプロイする |
このテンプレートでは、データストア & 複数のデータセットを含む Azure Machine Learning ワークスペースが作成されます。 |
| Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ を Azure |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
| Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ (レガシ) を Azure |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
|
プライベート IP アドレスを使用して AKS コンピューティング ターゲットを作成 Azure にデプロイする |
このテンプレートでは、プライベート IP アドレスを使用して、特定の Azure Machine Learning サービス ワークスペースに AKS コンピューティング ターゲットを作成します。 |
|
Azure Machine Learning service ワークスペース を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、Azure Machine Learning の使用を開始するために必要な最小限のリソース セットについて説明します。 |
|
Azure Machine Learning Service ワークスペース (CMK) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この例では、カスタマー マネージド暗号化キーを使用した暗号化のために Azure Machine Learning を構成する方法を示します。 |
|
Azure Machine Learning Service ワークスペース (CMK) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、暗号化キーを使用してサービス側の暗号化を使用して Azure Machine Learning ワークスペースを作成する方法を指定します。 |
|
Azure Machine Learning service ワークスペース (vnet) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
|
Azure Machine Learning service ワークスペース (レガシ) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
| Application Gateway イングレス コントローラー を使用して AKS クラスターを Azure |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vault を使用して AKS クラスターをデプロイする方法を示します |
| Key Vault を使用して Application Gateway V2 を作成する Azure |
このテンプレートは、Application Gateway V2 を仮想ネットワークにデプロイし、ユーザー定義 ID、Key Vault、シークレット (証明書データ)、Key Vault と Application Gateway のアクセス ポリシーをデプロイします。 |
|
Azure Firewall Premium のテスト環境 Azure にデプロイする |
このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を備えた Azure Firewall Premium とファイアウォール ポリシーを作成します |
|
テナント間のプライベート エンドポイント リソース を作成します Azure にデプロイする |
このテンプレートを使用すると、同じまたはテナント間の環境内に Priavate エンドポイント リソースを作成し、DNS ゾーン構成を追加できます。 |
| 証明書 を使用して Application Gateway を作成する Azure |
このテンプレートでは、Key Vault の自己署名証明書を生成し、Application Gateway から参照する方法を示します。 |
| カスタマー マネージド キー を使用して Azure Storage アカウント暗号化を Azure |
このテンプレートは、Key Vault 内で生成および配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。 |
| Azure SQL バックエンド を使用した App Service Environment の Azure |
このテンプレートは、プライベート/分離環境で通常使用される関連リソースと共に、Azure SQL バックエンドとプライベート エンドポイントを含む App Service Environment を作成します。 |
| Azure 関数アプリと HTTP によってトリガーされる関数 を Azure |
この例では、Azure 関数アプリと HTTP によってトリガーされる関数をテンプレートにインラインでデプロイします。 また、Key Vault をデプロイし、シークレットに関数アプリのホスト キーを設定します。 |
| 内部 API Management と Web App を使用した Application Gateway の Azure |
Azure Web アプリでホストされている Web API にサービスを提供する仮想ネットワーク (内部モード) API Management インスタンスにインターネット トラフィックをルーティングする Application Gateway。 |
ARM テンプレート リソース定義
コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
備考
セキュリティで保護された値にキー コンテナーを使用する方法については、「Bicepを使用してシークレットを管理する」を参照してください。
シークレットの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure Key Vault からシークレットを設定および取得する」を参照してください。
キーの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure キー コンテナーとキーを作成する」を参照してください。
リソースの形式
Microsoft.KeyVault/vaults リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2018-02-14-preview",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string"
}
]
},
"sku": {
"family": "A",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
}
}
プロパティ値
金庫
| 名前 | 形容 | 価値 |
|---|---|---|
| 種類 | リソースの種類 | 'Microsoft.KeyVault/vaults' |
| apiVersion | リソース API のバージョン | '2018-02-14-preview' |
| 名前 | リソース名 | string (必須) 文字数制限: 3 から 24 有効な文字: 英数字とハイフン。 文字で始まります。 文字または数字で終わる。 連続するハイフンを含めることはできません。 リソース名は、Azure 全体で一意である必要があります。 |
| 場所 | キー コンテナーを作成する必要がある、サポートされている Azure の場所。 | string (必須) |
| タグ | キー コンテナーに割り当てられるタグ。 | タグ名と値のディクショナリ。 テンプレート の |
| プロパティ | コンテナーのプロパティ | VaultProperties (必須) |
VaultProperties
| 名前 | 形容 | 価値 |
|---|---|---|
| accessPolicies | キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 | AccessPolicyEntry[] |
| createMode | コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 | 'default' 'recover' |
| enabledForDeployment | キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 | bool |
| enabledForDiskEncryption | コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 | bool |
| enabledForTemplateDeployment | Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 | bool |
| enablePurgeProtection | このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護が有効になります。回復不可能なハード削除を開始できるのは、Key Vault サービスだけです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 | bool |
| enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 false 値は受け入れません。 | bool |
| networkAcls | 特定のネットワークの場所からのコンテナーのアクセシビリティを制御する規則のコレクション。 | NetworkRuleSet |
| sku | SKU の詳細 | SKU (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | 糸 |
AccessPolicyEntry
| 名前 | 形容 | 価値 |
|---|---|---|
| applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
| 権限 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
権限
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| 秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
| 貯蔵 | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
| 名前 | 形容 | 価値 |
|---|---|---|
| バイパス | ネットワーク ルールをバイパスできるトラフィックを指定します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 | 'AzureServices' 'None' |
| defaultAction | ipRules および virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 | 'Allow' 'Deny' |
| ipRules | IP アドレス規則の一覧。 | IPRule[] |
| virtualNetworkRules | 仮想ネットワーク規則の一覧。 | VirtualNetworkRule[] |
IPRule
| 名前 | 形容 | 価値 |
|---|---|---|
| 価値 | CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 | string (必須) |
VirtualNetworkRule
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 | string (必須) |
SKU
| 名前 | 形容 | 価値 |
|---|---|---|
| 家族 | SKU ファミリ名 | 'A' (必須) |
| 名前 | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | 'premium' 'standard' (必須) |
クイック スタート テンプレート
次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。
| テンプレート | 形容 |
|---|---|
| NAT ゲートウェイと Application Gateway を使用して AKS クラスターを Azure |
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用の Application Gateway を使用して AKS クラスターをデプロイする方法を示します。 |
| パブリック DNS ゾーン を使用してプライベート AKS クラスターを作成する Azure |
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。 |
| Azure アーキテクチャ に Sports Analytics をデプロイする Azure |
ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウントのリンクされたサービスを持つ Azure Data Factory インスタンス (デプロイされている場合は Azure SQL Database)、Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントのストレージ BLOB データ共同作成者ロールが付与されます。 Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミングユース ケース用) をデプロイするオプションもあります。 Azure Key Vault がデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に Key Vault シークレット ユーザー ロールが付与されます。 |
| Azure Machine Learning ワークスペース の Azure |
このテンプレートでは、暗号化されたストレージ アカウント、KeyVault、Applications Insights のログと共に、新しい Azure Machine Learning ワークスペースが作成されます |
|
KeyVault を作成する Azure にデプロイする |
このモジュールでは、apiVersion 2019-09-01 を使用して KeyVault リソースを作成します。 |
|
KeyVault から SSL を使用して API Management サービスを作成する Azure にデプロイする |
このテンプレートは、ユーザー割り当て ID で構成された API Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。 |
|
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します Azure にデプロイする |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。 |
|
Azure Stack HCI 23H2 クラスター を作成します Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
|
Azure Stack HCI 23H2 クラスター を作成します Azure にデプロイする |
このテンプレートは、カスタム ストレージ IP を使用して ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します |
|
スイッチレス デュアルリンク ネットワーク モードで Azure Stack HCI 23H2 クラスターを作成 Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
|
ネットワーク モードで Azure Stack HCI 23H2 クラスター Switchless-SingleLink 作成 Azure にデプロイする |
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
|
ギャラリー イメージから新しい暗号化された Windows VM を作成 Azure にデプロイする |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化された Windows VM を作成します。 |
|
ギャラリー イメージから新しい暗号化されたマネージド ディスク win-vm を作成 Azure にデプロイする |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化されたマネージド ディスク Windows VM を作成します。 |
|
このテンプレートは、実行中の Windows VMSS を暗号化します Azure にデプロイする |
このテンプレートにより、実行中の Windows VM スケール セットでの暗号化が有効になります |
|
実行中の Windows VM で暗号化を有効にする Azure にデプロイする |
このテンプレートにより、実行中の Windows VM での暗号化が有効になります。 |
|
ジャンプボックス を使用して新しい Windows VMSS を作成して暗号化する Azure にデプロイする |
このテンプレートを使用すると、最新の修正プログラムが適用されたバージョンのサーバー Windows バージョンを使用して、Windows VM の単純な VM スケール セットをデプロイできます。 このテンプレートでは、パブリック IP アドレスを持つジャンプボックスも同じ仮想ネットワークにデプロイされます。 このパブリック IP アドレスを使用してジャンプボックスに接続し、そこからプライベート IP アドレスを介してスケール セット内の VM に接続できます。このテンプレートにより、Windows VM の VM スケール セットでの暗号化が有効になります。 |
|
Azure Key Vault とシークレット を作成する Azure にデプロイする |
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 |
|
RBAC とシークレット を使用して Azure Key Vault を作成する Azure にデプロイする |
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します |
|
キー コンテナー、マネージド ID、ロールの割り当て を作成する Azure にデプロイする |
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。 |
|
プライベート エンドポイントを使用して Key Vault に接続 Azure にデプロイする |
このサンプルでは、仮想ネットワークとプライベート DNS ゾーンを構成して、プライベート エンドポイント経由で Key Vault にアクセスする方法を示します。 |
|
Key Vault とシークレットの一覧を作成 Azure にデプロイする |
このテンプレートでは、パラメーターと共に渡された Key Vault とキー コンテナー内のシークレットの一覧が作成されます。 |
|
ログ記録を有効にした Key Vault の作成 Azure にデプロイする |
このテンプレートでは、ログ記録に使用される Azure Key Vault と Azure Storage アカウントが作成されます。 必要に応じて、Key Vault とストレージ リソースを保護するためのリソース ロックが作成されます。 |
| Azure AI Studio の基本的なセットアップ を Azure |
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。 |
| Azure AI Studio の基本的なセットアップ を Azure |
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。 |
| Microsoft Entra ID 認証 を使用して Azure AI Studio を Azure |
この一連のテンプレートは、Azure AI サービスや Azure Storage などの依存リソースに対して Microsoft Entra ID 認証を使用して Azure AI Studio を設定する方法を示しています。 |
|
データストア & 複数のデータセットを含む AML ワークスペースを作成する Azure にデプロイする |
このテンプレートでは、データストア & 複数のデータセットを含む Azure Machine Learning ワークスペースが作成されます。 |
| Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ を Azure |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
| Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ (レガシ) を Azure |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
|
プライベート IP アドレスを使用して AKS コンピューティング ターゲットを作成 Azure にデプロイする |
このテンプレートでは、プライベート IP アドレスを使用して、特定の Azure Machine Learning サービス ワークスペースに AKS コンピューティング ターゲットを作成します。 |
|
Azure Machine Learning service ワークスペース を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、Azure Machine Learning の使用を開始するために必要な最小限のリソース セットについて説明します。 |
|
Azure Machine Learning Service ワークスペース (CMK) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この例では、カスタマー マネージド暗号化キーを使用した暗号化のために Azure Machine Learning を構成する方法を示します。 |
|
Azure Machine Learning Service ワークスペース (CMK) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、暗号化キーを使用してサービス側の暗号化を使用して Azure Machine Learning ワークスペースを作成する方法を指定します。 |
|
Azure Machine Learning service ワークスペース (vnet) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
|
Azure Machine Learning service ワークスペース (レガシ) を作成する Azure にデプロイする |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
| Application Gateway イングレス コントローラー を使用して AKS クラスターを Azure |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vault を使用して AKS クラスターをデプロイする方法を示します |
| Key Vault を使用して Application Gateway V2 を作成する Azure |
このテンプレートは、Application Gateway V2 を仮想ネットワークにデプロイし、ユーザー定義 ID、Key Vault、シークレット (証明書データ)、Key Vault と Application Gateway のアクセス ポリシーをデプロイします。 |
|
Azure Firewall Premium のテスト環境 Azure にデプロイする |
このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を備えた Azure Firewall Premium とファイアウォール ポリシーを作成します |
|
テナント間のプライベート エンドポイント リソース を作成します Azure にデプロイする |
このテンプレートを使用すると、同じまたはテナント間の環境内に Priavate エンドポイント リソースを作成し、DNS ゾーン構成を追加できます。 |
| 証明書 を使用して Application Gateway を作成する Azure |
このテンプレートでは、Key Vault の自己署名証明書を生成し、Application Gateway から参照する方法を示します。 |
| カスタマー マネージド キー を使用して Azure Storage アカウント暗号化を Azure |
このテンプレートは、Key Vault 内で生成および配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。 |
| Azure SQL バックエンド を使用した App Service Environment の Azure |
このテンプレートは、プライベート/分離環境で通常使用される関連リソースと共に、Azure SQL バックエンドとプライベート エンドポイントを含む App Service Environment を作成します。 |
| Azure 関数アプリと HTTP によってトリガーされる関数 を Azure |
この例では、Azure 関数アプリと HTTP によってトリガーされる関数をテンプレートにインラインでデプロイします。 また、Key Vault をデプロイし、シークレットに関数アプリのホスト キーを設定します。 |
| 内部 API Management と Web App を使用した Application Gateway の Azure |
Azure Web アプリでホストされている Web API にサービスを提供する仮想ネットワーク (内部モード) API Management インスタンスにインターネット トラフィックをルーティングする Application Gateway。 |
Terraform (AzAPI プロバイダー) リソース定義
コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaults リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2018-02-14-preview"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
}
]
}
sku = {
family = "A"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
})
}
プロパティ値
金庫
| 名前 | 形容 | 価値 |
|---|---|---|
| 種類 | リソースの種類 | "Microsoft.KeyVault/vaults@2018-02-14-preview" |
| 名前 | リソース名 | string (必須) 文字数制限: 3 から 24 有効な文字: 英数字とハイフン。 文字で始まります。 文字または数字で終わる。 連続するハイフンを含めることはできません。 リソース名は、Azure 全体で一意である必要があります。 |
| 場所 | キー コンテナーを作成する必要がある、サポートされている Azure の場所。 | string (必須) |
| parent_id | リソース グループにデプロイするには、そのリソース グループの ID を使用します。 | string (必須) |
| タグ | キー コンテナーに割り当てられるタグ。 | タグ名と値のディクショナリ。 |
| プロパティ | コンテナーのプロパティ | VaultProperties (必須) |
VaultProperties
| 名前 | 形容 | 価値 |
|---|---|---|
| accessPolicies | キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 | AccessPolicyEntry[] |
| createMode | コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 | "default" "recover" |
| enabledForDeployment | キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 | bool |
| enabledForDiskEncryption | コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 | bool |
| enabledForTemplateDeployment | Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 | bool |
| enablePurgeProtection | このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護が有効になります。回復不可能なハード削除を開始できるのは、Key Vault サービスだけです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 | bool |
| enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 false 値は受け入れません。 | bool |
| networkAcls | 特定のネットワークの場所からのコンテナーのアクセシビリティを制御する規則のコレクション。 | NetworkRuleSet |
| sku | SKU の詳細 | SKU (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | 糸 |
AccessPolicyEntry
| 名前 | 形容 | 価値 |
|---|---|---|
| applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
| 権限 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
権限
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: "backup" "create" "delete" "deleteissuers" "get" "getissuers" "import" "list" "listissuers" "managecontacts" "manageissuers" "purge" "recover" "restore" "setissuers" "update" |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: "backup" "create" "decrypt" "delete" "encrypt" "get" "import" "list" "purge" "recover" "restore" "sign" "unwrapKey" "update" "verify" "wrapKey" |
| 秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: "backup" "delete" "get" "list" "purge" "recover" "restore" "set" |
| 貯蔵 | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: "backup" "delete" "deletesas" "get" "getsas" "list" "listsas" "purge" "recover" "regeneratekey" "restore" "set" "setsas" "update" |
NetworkRuleSet
| 名前 | 形容 | 価値 |
|---|---|---|
| バイパス | ネットワーク ルールをバイパスできるトラフィックを指定します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 | "AzureServices" "なし" |
| defaultAction | ipRules および virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 | "許可" "拒否" |
| ipRules | IP アドレス規則の一覧。 | IPRule[] |
| virtualNetworkRules | 仮想ネットワーク規則の一覧。 | VirtualNetworkRule[] |
IPRule
| 名前 | 形容 | 価値 |
|---|---|---|
| 価値 | CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 | string (必須) |
VirtualNetworkRule
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 | string (必須) |
SKU
| 名前 | 形容 | 価値 |
|---|---|---|
| 家族 | SKU ファミリ名 | "A" (必須) |
| 名前 | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | "Premium" "standard" (必須) |