Microsoft.KeyVault コンテナー/accessPolicies 2021-10-01
Bicep リソース定義
コンテナー/accessPolicies リソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaults/accessPolicies リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.KeyVault/vaults/accessPolicies@2021-10-01' = {
name: 'string'
parent: resourceSymbolicName
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
}
}
プロパティ値
vaults/accessPolicies
| 名前 | 形容 | 価値 |
|---|---|---|
| 名前 | リソース名 Bicepで子リソースの名前と種類 |
string (必須) |
| 親 | Bicep では、子リソースの親リソースを指定できます。 このプロパティを追加する必要があるのは、子リソースが親リソースの外部で宣言されている場合のみです。 詳細については、「親リソースの外部 |
種類のリソースのシンボリック名: コンテナー |
| プロパティ | アクセス ポリシーのプロパティ | VaultAccessPolicyProperties (必須) |
VaultAccessPolicyProperties
| 名前 | 形容 | 価値 |
|---|---|---|
| accessPolicies | キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 | AccessPolicyEntry[] (必須) |
AccessPolicyEntry
| 名前 | 形容 | 価値 |
|---|---|---|
| applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
| 権限 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
権限
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| 秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
| 貯蔵 | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
クイック スタート テンプレート
次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。
| テンプレート | 形容 |
|---|---|
|
データ暗号化保護機能を使用して Azure SQL Server を作成 Azure にデプロイする |
このテンプレートは、Azure SQL サーバーを作成し、特定の Key Vault に格納されている特定のキーを使用してデータ暗号化保護機能をアクティブ化します |
|
PE、CMK のすべてのフォームを使用して Azure Databricks ワークスペースをデプロイ Azure にデプロイする |
このテンプレートを使用すると、PrivateEndpoint とマネージド サービスを使用して Azure Databricks ワークスペースを作成し、DBFS 暗号化を使用して CMK を作成できます。 |
| 既定のストレージ ファイアウォール を使用した AzureDatabricks テンプレートの Azure |
このテンプレートを使用すると、Privateendpoint、3 つの形式の CMK、User-Assigned Access Connector を使用して、既定のストレージ ファイアウォールが有効な Azure Databricks ワークスペースを作成できます。 |
|
CMK のすべての 3 つの形式で Azure Databricks ワークスペースをデプロイする Azure にデプロイする |
このテンプレートを使用すると、マネージド サービスを使用して Azure Databricks ワークスペースを作成し、DBFS 暗号化を使用して CMK を作成できます。 |
|
DBFS 暗号化 用の CMK を使用して Azure Databricks WS をデプロイする Azure にデプロイする |
このテンプレートを使用すると、DBFS ルート暗号化用の CMK を使用して Azure Databricks ワークスペースを作成できます |
| Managed Disks CMK を使用して Azure Databricks ワークスペースをデプロイ Azure |
このテンプレートを使用すると、Managed Disks CMK を使用して Azure Databricks ワークスペースを作成できます。 |
| Managed Services CMK を使用して Azure Databricks ワークスペースをデプロイする Azure |
このテンプレートを使用すると、Managed Services CMK を使用して Azure Databricks ワークスペースを作成できます。 |
| 暗号化 (Key Vault) を使用して Data Lake Store アカウントをデプロイする Azure |
このテンプレートを使用すると、データ暗号化を有効にして Azure Data Lake Store アカウントをデプロイできます。 このアカウントでは、Azure Key Vault を使用して暗号化キーを管理します。 |
|
KeyVault アクセス ポリシー の追加 Azure にデプロイする |
既存のポリシーを削除せずに、既存の KeyVault にアクセス ポリシーを追加します。 |
|
ユーザー割り当て ID ロールの割り当てテンプレート Azure にデプロイする |
Azure Machine Learning ワークスペースが依存するリソースに対するユーザー割り当て ID のロールの割り当てを作成するテンプレート |
ARM テンプレート リソース定義
コンテナー/accessPolicies リソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaults/accessPolicies リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"apiVersion": "2021-10-01",
"name": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
]
}
}
プロパティ値
vaults/accessPolicies
| 名前 | 形容 | 価値 |
|---|---|---|
| 種類 | リソースの種類 | 'Microsoft.KeyVault/vaults/accessPolicies' |
| apiVersion | リソース API のバージョン | '2021-10-01' |
| 名前 | リソース名 JSON ARM テンプレートで子リソースの名前と型 |
string (必須) |
| プロパティ | アクセス ポリシーのプロパティ | VaultAccessPolicyProperties (必須) |
VaultAccessPolicyProperties
| 名前 | 形容 | 価値 |
|---|---|---|
| accessPolicies | キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 | AccessPolicyEntry[] (必須) |
AccessPolicyEntry
| 名前 | 形容 | 価値 |
|---|---|---|
| applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
| 権限 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
権限
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| 秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
| 貯蔵 | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
クイック スタート テンプレート
次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。
| テンプレート | 形容 |
|---|---|
|
データ暗号化保護機能を使用して Azure SQL Server を作成 Azure にデプロイする |
このテンプレートは、Azure SQL サーバーを作成し、特定の Key Vault に格納されている特定のキーを使用してデータ暗号化保護機能をアクティブ化します |
|
PE、CMK のすべてのフォームを使用して Azure Databricks ワークスペースをデプロイ Azure にデプロイする |
このテンプレートを使用すると、PrivateEndpoint とマネージド サービスを使用して Azure Databricks ワークスペースを作成し、DBFS 暗号化を使用して CMK を作成できます。 |
| 既定のストレージ ファイアウォール を使用した AzureDatabricks テンプレートの Azure |
このテンプレートを使用すると、Privateendpoint、3 つの形式の CMK、User-Assigned Access Connector を使用して、既定のストレージ ファイアウォールが有効な Azure Databricks ワークスペースを作成できます。 |
|
CMK のすべての 3 つの形式で Azure Databricks ワークスペースをデプロイする Azure にデプロイする |
このテンプレートを使用すると、マネージド サービスを使用して Azure Databricks ワークスペースを作成し、DBFS 暗号化を使用して CMK を作成できます。 |
|
DBFS 暗号化 用の CMK を使用して Azure Databricks WS をデプロイする Azure にデプロイする |
このテンプレートを使用すると、DBFS ルート暗号化用の CMK を使用して Azure Databricks ワークスペースを作成できます |
| Managed Disks CMK を使用して Azure Databricks ワークスペースをデプロイ Azure |
このテンプレートを使用すると、Managed Disks CMK を使用して Azure Databricks ワークスペースを作成できます。 |
| Managed Services CMK を使用して Azure Databricks ワークスペースをデプロイする Azure |
このテンプレートを使用すると、Managed Services CMK を使用して Azure Databricks ワークスペースを作成できます。 |
| 暗号化 (Key Vault) を使用して Data Lake Store アカウントをデプロイする Azure |
このテンプレートを使用すると、データ暗号化を有効にして Azure Data Lake Store アカウントをデプロイできます。 このアカウントでは、Azure Key Vault を使用して暗号化キーを管理します。 |
|
KeyVault アクセス ポリシー の追加 Azure にデプロイする |
既存のポリシーを削除せずに、既存の KeyVault にアクセス ポリシーを追加します。 |
|
ユーザー割り当て ID ロールの割り当てテンプレート Azure にデプロイする |
Azure Machine Learning ワークスペースが依存するリソースに対するユーザー割り当て ID のロールの割り当てを作成するテンプレート |
Terraform (AzAPI プロバイダー) リソース定義
コンテナー/accessPolicies リソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループの
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaults/accessPolicies リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/accessPolicies@2021-10-01"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
}
})
}
プロパティ値
vaults/accessPolicies
| 名前 | 形容 | 価値 |
|---|---|---|
| 種類 | リソースの種類 | "Microsoft.KeyVault/vaults/accessPolicies@2021-10-01" |
| 名前 | リソース名 | string (必須) |
| parent_id | このリソースの親であるリソースの ID。 | 種類のリソースの ID: コンテナー |
| プロパティ | アクセス ポリシーのプロパティ | VaultAccessPolicyProperties (必須) |
VaultAccessPolicyProperties
| 名前 | 形容 | 価値 |
|---|---|---|
| accessPolicies | キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 | AccessPolicyEntry[] (必須) |
AccessPolicyEntry
| 名前 | 形容 | 価値 |
|---|---|---|
| applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
| 権限 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
権限
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "create" "delete" "deleteissuers" "get" "getissuers" "import" "list" "listissuers" "managecontacts" "manageissuers" "purge" "recover" "restore" "setissuers" "update" |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "create" "decrypt" "delete" "encrypt" "get" "import" "list" "purge" "recover" "restore" "sign" "unwrapKey" "update" "verify" "wrapKey" |
| 秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "delete" "get" "list" "purge" "recover" "restore" "set" |
| 貯蔵 | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "delete" "deletesas" "get" "getsas" "list" "listsas" "purge" "recover" "regeneratekey" "restore" "set" "setsas" "update" |