備考
セキュリティで保護された値にキー コンテナーを使用する方法については、「Bicepを使用してシークレットを管理する」を参照してください。
シークレットの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure Key Vault からシークレットを設定および取得する」を参照してください。
キーの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure キー コンテナーとキーを作成する」を参照してください。
Bicep リソース定義
コンテナー/キー リソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaults/keys リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.KeyVault/vaults/keys@2022-02-01-preview' = {
parent: resourceSymbolicName
name: 'string'
properties: {
attributes: {
enabled: bool
exp: int
exportable: bool
nbf: int
}
curveName: 'string'
keyOps: [
'string'
]
keySize: int
kty: 'string'
release_policy: {
contentType: 'string'
data: 'string'
}
rotationPolicy: {
attributes: {
expiryTime: 'string'
}
lifetimeActions: [
{
action: {
type: 'string'
}
trigger: {
timeAfterCreate: 'string'
timeBeforeExpiry: 'string'
}
}
]
}
}
tags: {
{customized property}: 'string'
}
}
プロパティ値
Microsoft.KeyVault/ボールト/キー
| 名前 | 形容 | 価値 |
|---|---|---|
| 名前 | リソース名 | 糸 制約: パターン = ^[a-zA-Z0-9-]{1,127}$ (必須) |
| 親 | Bicep では、子リソースの親リソースを指定できます。 このプロパティを追加する必要があるのは、子リソースが親リソースの外部で宣言されている場合のみです。 詳細については、「親リソースの外部 |
種類のリソースのシンボリック名: コンテナー |
| プロパティ | 作成するキーのプロパティ。 | KeyProperties (必須) |
| タグ | リソース タグ | タグ名と値のディクショナリ。 テンプレート の |
アクション
| 名前 | 形容 | 価値 |
|---|---|---|
| 種類 | アクションの種類。 値は大文字と小文字を区別せずに比較する必要があります。 | 「通知」 「回転」 |
キー属性
| 名前 | 形容 | 価値 |
|---|---|---|
| 有効 | オブジェクトが有効かどうかを判断します。 | ブール (bool) |
| 経験値 | 1970-01-01T00:00:00Z 以降の有効期限 (秒)。 | 整数 (int) |
| エクスポート | 秘密キーをエクスポートできるかどうかを示します。 | ブール (bool) |
| NBFの | 1970-01-01T00:00:00Z 以降の日付 (秒)。 | 整数 (int) |
キー作成パラメータタグ
| 名前 | 形容 | 価値 |
|---|
キープロパティーズ
| 名前 | 形容 | 価値 |
|---|---|---|
| 属性 | キーの属性。 | キー属性 |
| カーブ名 | 楕円曲線の名前。 有効な値については、JsonWebKeyCurveName を参照してください。 | 「P-256」 「P-256K」 「P-384」 「P-521」 |
| キーオプス | 次のいずれかを含む文字列配列: 「復号化」 「暗号化」 'インポート' 'リリース' 'sign' 'アンラップキー' 「確認」 'wrapKey' |
|
| キーサイズ | キー サイズ (ビット単位)。 たとえば、RSA の場合は 2048、3072、4096 などです。 | 整数 (int) |
| ktyの | キーの型。 有効な値については、JsonWebKeyType を参照してください。 | 「EC」 「EC-HSM」 「RSA」 「RSA-HSM」 |
| release_policy | 応答のキー リリース ポリシー。 出力と入力の両方に使用されます。 空の場合は省略 | キーリリースポリシー |
| rotationポリシー | 応答中のキー ローテーション ポリシー。 出力と入力の両方に使用されます。 空の場合は省略 | ローテーションポリシー |
キーリリースポリシー
| 名前 | 形容 | 価値 |
|---|---|---|
| コンテンツタイプ | キー リリース ポリシーのコンテンツ タイプとバージョン | 糸 |
| データ | キーを解放できるポリシー ルールをエンコードする BLOB。 | 糸 |
キーローテーションポリシー属性
| 名前 | 形容 | 価値 |
|---|---|---|
| 有効期限 | 新しいキー バージョンの有効期限。 ISO8601形式である必要があります。 例: 'P90D'、'P1Y'。 | 糸 |
ライフタイムアクション
| 名前 | 形容 | 価値 |
|---|---|---|
| アクション | キー ローテーション ポリシーの lifetimeAction のアクション。 | アクションの |
| トリガー | キー ローテーション ポリシーの lifetimeAction のトリガー。 | トリガーの |
ローテーションポリシー
| 名前 | 形容 | 価値 |
|---|---|---|
| 属性 | キー ローテーション ポリシーの属性。 | キーローテーションポリシー属性 |
| ライフタイムアクション | キー ローテーション アクションの lifetimeActions。 | ライフタイムアクション[] |
トリガー
| 名前 | 形容 | 価値 |
|---|---|---|
| タイムアフタークリエイト | キーを回転させるキーの作成後の期間。 回転にのみ適用されます。 ISO 8601 期間形式になります。 例: 'P90D'、'P1Y'。 | 糸 |
| timeBeforeExpiry (有効期限前) | ローテーションまたは通知するキーの有効期限が切れるまでの期間。 ISO 8601 期間形式になります。 例: 'P90D'、'P1Y'。 | 糸 |
使用例
Azure クイック スタートのサンプル
次 Azure クイック スタート テンプレート、このリソースの種類をデプロイするための Bicep サンプルが含まれています。
| Bicep ファイル | 形容 |
|---|---|
| カスタマー マネージド キー を使用して Azure Storage アカウント暗号化を |
このテンプレートは、Key Vault 内で生成および配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。 |
ARM テンプレート リソース定義
コンテナー/キー リソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaults/keys リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2022-02-01-preview",
"name": "string",
"properties": {
"attributes": {
"enabled": "bool",
"exp": "int",
"exportable": "bool",
"nbf": "int"
},
"curveName": "string",
"keyOps": [ "string" ],
"keySize": "int",
"kty": "string",
"release_policy": {
"contentType": "string",
"data": "string"
},
"rotationPolicy": {
"attributes": {
"expiryTime": "string"
},
"lifetimeActions": [
{
"action": {
"type": "string"
},
"trigger": {
"timeAfterCreate": "string",
"timeBeforeExpiry": "string"
}
}
]
}
},
"tags": {
"{customized property}": "string"
}
}
プロパティ値
Microsoft.KeyVault/ボールト/キー
| 名前 | 形容 | 価値 |
|---|---|---|
| apiVersion (英語) | API のバージョン | 「2022-02-01-プレビュー」 |
| 名前 | リソース名 | 糸 制約: パターン = ^[a-zA-Z0-9-]{1,127}$ (必須) |
| プロパティ | 作成するキーのプロパティ。 | KeyProperties (必須) |
| タグ | リソース タグ | タグ名と値のディクショナリ。 テンプレート の |
| 種類 | リソースの種類 | 'Microsoft.KeyVault / vaults / keys' |
アクション
| 名前 | 形容 | 価値 |
|---|---|---|
| 種類 | アクションの種類。 値は大文字と小文字を区別せずに比較する必要があります。 | 「通知」 「回転」 |
キー属性
| 名前 | 形容 | 価値 |
|---|---|---|
| 有効 | オブジェクトが有効かどうかを判断します。 | ブール (bool) |
| 経験値 | 1970-01-01T00:00:00Z 以降の有効期限 (秒)。 | 整数 (int) |
| エクスポート | 秘密キーをエクスポートできるかどうかを示します。 | ブール (bool) |
| NBFの | 1970-01-01T00:00:00Z 以降の日付 (秒)。 | 整数 (int) |
キー作成パラメータタグ
| 名前 | 形容 | 価値 |
|---|
キープロパティーズ
| 名前 | 形容 | 価値 |
|---|---|---|
| 属性 | キーの属性。 | キー属性 |
| カーブ名 | 楕円曲線の名前。 有効な値については、JsonWebKeyCurveName を参照してください。 | 「P-256」 「P-256K」 「P-384」 「P-521」 |
| キーオプス | 次のいずれかを含む文字列配列: 「復号化」 「暗号化」 'インポート' 'リリース' 'sign' 'アンラップキー' 「確認」 'wrapKey' |
|
| キーサイズ | キー サイズ (ビット単位)。 たとえば、RSA の場合は 2048、3072、4096 などです。 | 整数 (int) |
| ktyの | キーの型。 有効な値については、JsonWebKeyType を参照してください。 | 「EC」 「EC-HSM」 「RSA」 「RSA-HSM」 |
| release_policy | 応答のキー リリース ポリシー。 出力と入力の両方に使用されます。 空の場合は省略 | キーリリースポリシー |
| rotationポリシー | 応答中のキー ローテーション ポリシー。 出力と入力の両方に使用されます。 空の場合は省略 | ローテーションポリシー |
キーリリースポリシー
| 名前 | 形容 | 価値 |
|---|---|---|
| コンテンツタイプ | キー リリース ポリシーのコンテンツ タイプとバージョン | 糸 |
| データ | キーを解放できるポリシー ルールをエンコードする BLOB。 | 糸 |
キーローテーションポリシー属性
| 名前 | 形容 | 価値 |
|---|---|---|
| 有効期限 | 新しいキー バージョンの有効期限。 ISO8601形式である必要があります。 例: 'P90D'、'P1Y'。 | 糸 |
ライフタイムアクション
| 名前 | 形容 | 価値 |
|---|---|---|
| アクション | キー ローテーション ポリシーの lifetimeAction のアクション。 | アクションの |
| トリガー | キー ローテーション ポリシーの lifetimeAction のトリガー。 | トリガーの |
ローテーションポリシー
| 名前 | 形容 | 価値 |
|---|---|---|
| 属性 | キー ローテーション ポリシーの属性。 | キーローテーションポリシー属性 |
| ライフタイムアクション | キー ローテーション アクションの lifetimeActions。 | ライフタイムアクション[] |
トリガー
| 名前 | 形容 | 価値 |
|---|---|---|
| タイムアフタークリエイト | キーを回転させるキーの作成後の期間。 回転にのみ適用されます。 ISO 8601 期間形式になります。 例: 'P90D'、'P1Y'。 | 糸 |
| timeBeforeExpiry (有効期限前) | ローテーションまたは通知するキーの有効期限が切れるまでの期間。 ISO 8601 期間形式になります。 例: 'P90D'、'P1Y'。 | 糸 |
使用例
Azure のクイック スタート テンプレート
このリソースの種類 デプロイする Azure クイック スタート テンプレート 次に示します。
| テンプレート | 形容 |
|---|---|
| カスタマー マネージド キー を使用して Azure Storage アカウント暗号化を Azure |
このテンプレートは、Key Vault 内で生成および配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。 |
|
Azure KeyVault でキーを作成する Azure にデプロイする |
このモジュールでは、既存の KeyVault にキーを作成できます。 |
Terraform (AzAPI プロバイダー) リソース定義
コンテナー/キー リソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaults/keys リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/keys@2022-02-01-preview"
name = "string"
parent_id = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
attributes = {
enabled = bool
exp = int
exportable = bool
nbf = int
}
curveName = "string"
keyOps = [
"string"
]
keySize = int
kty = "string"
release_policy = {
contentType = "string"
data = "string"
}
rotationPolicy = {
attributes = {
expiryTime = "string"
}
lifetimeActions = [
{
action = {
type = "string"
}
trigger = {
timeAfterCreate = "string"
timeBeforeExpiry = "string"
}
}
]
}
}
}
}
プロパティ値
Microsoft.KeyVault/ボールト/キー
| 名前 | 形容 | 価値 |
|---|---|---|
| 名前 | リソース名 | 糸 制約: パターン = ^[a-zA-Z0-9-]{1,127}$ (必須) |
| parent_id | このリソースの親であるリソースの ID。 | 種類のリソースの ID: コンテナー |
| プロパティ | 作成するキーのプロパティ。 | KeyProperties (必須) |
| タグ | リソース タグ | タグ名と値のディクショナリ。 |
| 種類 | リソースの種類 | "Microsoft.KeyVault/vaults/keys@2022-02-01-preview" (マイクロソフト キーボールト/ボールト/ボールト/-02-01-プレビュー) |
アクション
| 名前 | 形容 | 価値 |
|---|---|---|
| 種類 | アクションの種類。 値は大文字と小文字を区別せずに比較する必要があります。 | 「通知」 「回転」 |
キー属性
| 名前 | 形容 | 価値 |
|---|---|---|
| 有効 | オブジェクトが有効かどうかを判断します。 | ブール (bool) |
| 経験値 | 1970-01-01T00:00:00Z 以降の有効期限 (秒)。 | 整数 (int) |
| エクスポート | 秘密キーをエクスポートできるかどうかを示します。 | ブール (bool) |
| NBFの | 1970-01-01T00:00:00Z 以降の日付 (秒)。 | 整数 (int) |
キー作成パラメータタグ
| 名前 | 形容 | 価値 |
|---|
キープロパティーズ
| 名前 | 形容 | 価値 |
|---|---|---|
| 属性 | キーの属性。 | キー属性 |
| カーブ名 | 楕円曲線の名前。 有効な値については、JsonWebKeyCurveName を参照してください。 | 「P-256」 「P-256K」 「P-384」 「P-521」 |
| キーオプス | 次のいずれかを含む文字列配列: 「復号化」 「暗号化」 'インポート' 'リリース' 'sign' 'アンラップキー' 「確認」 'wrapKey' |
|
| キーサイズ | キー サイズ (ビット単位)。 たとえば、RSA の場合は 2048、3072、4096 などです。 | 整数 (int) |
| ktyの | キーの型。 有効な値については、JsonWebKeyType を参照してください。 | 「EC」 「EC-HSM」 「RSA」 「RSA-HSM」 |
| release_policy | 応答のキー リリース ポリシー。 出力と入力の両方に使用されます。 空の場合は省略 | キーリリースポリシー |
| rotationポリシー | 応答中のキー ローテーション ポリシー。 出力と入力の両方に使用されます。 空の場合は省略 | ローテーションポリシー |
キーリリースポリシー
| 名前 | 形容 | 価値 |
|---|---|---|
| コンテンツタイプ | キー リリース ポリシーのコンテンツ タイプとバージョン | 糸 |
| データ | キーを解放できるポリシー ルールをエンコードする BLOB。 | 糸 |
キーローテーションポリシー属性
| 名前 | 形容 | 価値 |
|---|---|---|
| 有効期限 | 新しいキー バージョンの有効期限。 ISO8601形式である必要があります。 例: 'P90D'、'P1Y'。 | 糸 |
ライフタイムアクション
| 名前 | 形容 | 価値 |
|---|---|---|
| アクション | キー ローテーション ポリシーの lifetimeAction のアクション。 | アクションの |
| トリガー | キー ローテーション ポリシーの lifetimeAction のトリガー。 | トリガーの |
ローテーションポリシー
| 名前 | 形容 | 価値 |
|---|---|---|
| 属性 | キー ローテーション ポリシーの属性。 | キーローテーションポリシー属性 |
| ライフタイムアクション | キー ローテーション アクションの lifetimeActions。 | ライフタイムアクション[] |
トリガー
| 名前 | 形容 | 価値 |
|---|---|---|
| タイムアフタークリエイト | キーを回転させるキーの作成後の期間。 回転にのみ適用されます。 ISO 8601 期間形式になります。 例: 'P90D'、'P1Y'。 | 糸 |
| timeBeforeExpiry (有効期限前) | ローテーションまたは通知するキーの有効期限が切れるまでの期間。 ISO 8601 期間形式になります。 例: 'P90D'、'P1Y'。 | 糸 |