Microsoft.KeyVault 자격 증명 모음
Bicep 리소스 정의
자격 증명 모음 리소스 유형은 다음을 대상으로 하는 작업으로 배포할 수 있습니다.
- 리소스 그룹 - 리소스 그룹 배포 명령 참조
각 API 버전에서 변경된 속성 목록은 변경 로그참조하세요.
발언
보안 값에 키 자격 증명 모음을 사용하는 방법에 대한 지침은 Bicep사용하여 비밀 관리를 참조하세요.
비밀 만들기에 대한 빠른 시작은 빠른 시작을 참조하세요. ARM 템플릿사용하여 Azure Key Vault에서 비밀을 설정하고 검색합니다.
키 만들기에 대한 빠른 시작은 빠른 시작을 참조하세요. ARM 템플릿사용하여 Azure Key Vault 및 키 만들기.
리소스 형식
Microsoft.KeyVault/vaults 리소스를 만들려면 템플릿에 다음 Bicep을 추가합니다.
resource symbolicname 'Microsoft.KeyVault/vaults@2023-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
속성 값
보관소
이름 | 묘사 | 값 |
---|---|---|
이름 | 리소스 이름 | string(필수) 문자 제한: 3-24 유효한 문자: 영숫자 및 하이픈 문자로 시작합니다. 문자 또는 숫자로 끝납니다. 연속 하이픈을 포함할 수 없습니다. 리소스 이름은 Azure에서 고유해야 합니다. |
위치 | 키 자격 증명 모음을 만들어야 하는 지원되는 Azure 위치입니다. | string(필수) |
태그 | 키 자격 증명 모음에 할당될 태그입니다. | 태그 이름 및 값의 사전입니다. 템플릿 |
속성 | 자격 증명 모음의 속성 | VaultProperties(필수) |
VaultProperties
이름 | 묘사 | 값 |
---|---|---|
accessPolicies | 키 자격 증명 모음에 액세스할 수 있는 0~1024개 ID의 배열입니다. 배열의 모든 ID는 키 자격 증명 모음의 테넌트 ID와 동일한 테넌트 ID를 사용해야 합니다.
createMode
recover 설정되면 액세스 정책이 필요하지 않습니다. 그렇지 않으면 액세스 정책이 필요합니다. |
AccessPolicyEntry[] |
createMode | 자격 증명 모음을 복구해야 하는지 여부를 나타내는 자격 증명 모음의 만들기 모드입니다. | 'default' 'recover' |
enabledForDeployment | Azure Virtual Machines가 키 자격 증명 모음에서 비밀로 저장된 인증서를 검색할 수 있는지 여부를 지정하는 속성입니다. | bool |
enabledForDiskEncryption | Azure Disk Encryption이 자격 증명 모음에서 비밀을 검색하고 키 래프 해제를 허용하는지 여부를 지정하는 속성입니다. | bool |
enabledForTemplateDeployment | Azure Resource Manager가 키 자격 증명 모음에서 비밀을 검색할 수 있는지 여부를 지정하는 속성입니다. | bool |
enablePurgeProtection | 이 자격 증명 모음에 대해 제거에 대한 보호를 사용할지 여부를 지정하는 속성입니다. 이 속성을 true로 설정하면 이 자격 증명 모음 및 해당 콘텐츠에 대한 제거 방지가 활성화됩니다. Key Vault 서비스만 복구할 수 없는 하드 삭제를 시작할 수 있습니다. 이 설정은 일시 삭제도 사용하도록 설정된 경우에만 적용됩니다. 이 기능을 사용하도록 설정하는 것은 되돌릴 수 없습니다. 즉, 속성이 false를 해당 값으로 허용하지 않습니다. | bool |
enableRbacAuthorization | 데이터 작업의 권한을 부여하는 방법을 제어하는 속성입니다. true이면 키 자격 증명 모음은 데이터 작업의 권한 부여에 RBAC(역할 기반 액세스 제어)를 사용하고 자격 증명 모음 속성에 지정된 액세스 정책은 무시됩니다. false이면 키 자격 증명 모음은 자격 증명 모음 속성에 지정된 액세스 정책을 사용하고 Azure Resource Manager에 저장된 모든 정책은 무시됩니다. null이거나 지정하지 않으면 자격 증명 모음이 기본값 false로 만들어집니다. 관리 작업은 항상 RBAC를 통해 권한이 부여됩니다. | bool |
enableSoftDelete | 이 키 자격 증명 모음에 대해 '일시 삭제' 기능을 사용할 수 있는지 여부를 지정하는 속성입니다. 새 키 자격 증명 모음을 만들 때 값(true 또는 false)으로 설정되지 않은 경우 기본적으로 true로 설정됩니다. true로 설정하면 false로 되돌릴 수 없습니다. | bool |
networkAcls | 특정 네트워크 위치에서 키 자격 증명 모음의 접근성을 제어하는 규칙입니다. | NetworkRuleSet |
provisioningState | 자격 증명 모음의 프로비전 상태입니다. | 'RegisteringDns' '성공' |
publicNetworkAccess | 자격 증명 모음이 공용 인터넷의 트래픽을 허용할지 여부를 지정하는 속성입니다. 프라이빗 엔드포인트 트래픽을 제외한 모든 트래픽을 '사용 안 함'으로 설정하면 신뢰할 수 있는 서비스에서 시작된 트래픽이 차단됩니다. 그러면 설정된 방화벽 규칙이 재정의됩니다. 즉, 방화벽 규칙이 있더라도 규칙을 적용하지 않습니다. | 문자열 |
sku | SKU 세부 정보 | Sku(필수) |
softDeleteRetentionInDays | softDelete 데이터 보존 일 수입니다. >=7 및 <=90을 허용합니다. | int |
tenantId | 키 자격 증명 모음에 대한 요청을 인증하는 데 사용해야 하는 Azure Active Directory 테넌트 ID입니다. | string(필수) 제약 조건: 최소 길이 = 36 최대 길이 = 36 패턴 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 키 및 비밀에 대한 작업을 수행하기 위한 자격 증명 모음의 URI입니다. | 문자열 |
AccessPolicyEntry
이름 | 묘사 | 값 |
---|---|---|
applicationId | 보안 주체를 대신하여 요청하는 클라이언트의 애플리케이션 ID | 문자열 제약 조건: 최소 길이 = 36 최대 길이 = 36 패턴 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 자격 증명 모음에 대한 Azure Active Directory 테넌트에 있는 사용자, 서비스 주체 또는 보안 그룹의 개체 ID입니다. 개체 ID는 액세스 정책 목록에 대해 고유해야 합니다. | string(필수) |
권한을 | 키, 비밀 및 인증서에 대해 ID에 있는 권한입니다. | 권한(필수) |
tenantId | 키 자격 증명 모음에 대한 요청을 인증하는 데 사용해야 하는 Azure Active Directory 테넌트 ID입니다. | string(필수) 제약 조건: 최소 길이 = 36 최대 길이 = 36 패턴 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
권한을
이름 | 묘사 | 값 |
---|---|---|
인증서 | 인증서에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' '제거' 'recover' 'restore' 'setissuers' 'update' |
키 | 키에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' '제거' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
비밀 | 비밀에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: 'all' 'backup' 'delete' 'get' 'list' '제거' 'recover' 'restore' 'set' |
보관 | 스토리지 계정에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' '제거' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
이름 | 묘사 | 값 |
---|---|---|
우회 | 네트워크 규칙을 무시할 수 있는 트래픽을 알려줍니다. 'AzureServices' 또는 'None'일 수 있습니다. 지정하지 않으면 기본값은 'AzureServices'입니다. | 'AzureServices' 'None' |
defaultAction | ipRules 및 virtualNetworkRules의 규칙이 일치하지 않는 경우의 기본 작업입니다. 바이패스 속성이 평가된 후에만 사용됩니다. | '허용' '거부' |
ipRules | IP 주소 규칙 목록입니다. | IPRule |
virtualNetworkRules | 가상 네트워크 규칙 목록입니다. | VirtualNetworkRule[] |
IPRule
이름 | 묘사 | 값 |
---|---|---|
값 | CIDR 표기법의 IPv4 주소 범위(예: '124.56.78.91'(단순 IP 주소) 또는 '124.56.78.0/24'(124.56.78로 시작하는 모든 주소). | string(필수) |
VirtualNetworkRule
이름 | 묘사 | 값 |
---|---|---|
아이디 | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'과 같은 vnet 서브넷의 전체 리소스 ID입니다. | string(필수) |
ignoreMissingVnetServiceEndpoint | 부모 서브넷에 serviceEndpoints가 구성되어 있는지 여부를 NRP에서 무시할지 여부를 지정하는 속성입니다. | bool |
Sku
이름 | 묘사 | 값 |
---|---|---|
가족 | SKU 패밀리 이름 | 'A'(필수) |
이름 | 키 자격 증명 모음이 표준 자격 증명 모음인지 프리미엄 자격 증명 모음인지 여부를 지정하는 SKU 이름입니다. | '프리미엄' 'standard'(필수) |
빠른 시작 템플릿
다음 빠른 시작 템플릿은 이 리소스 유형을 배포합니다.
템플렛 | 묘사 |
---|---|
NAT 게이트웨이 및 Application Gateway 사용하여 AKS 클러스터 Azure |
이 샘플에서는 아웃바운드 연결을 위한 NAT 게이트웨이와 인바운드 연결을 위한 Application Gateway를 사용하여 AKS 클러스터를 배포하는 방법을 보여 줍니다. |
공용 DNS 영역 사용하여 프라이빗 AKS 클러스터 만들기 Azure 배포 |
이 샘플에서는 공용 DNS 영역을 사용하여 프라이빗 AKS 클러스터를 배포하는 방법을 보여 줍니다. |
Azure 아키텍처 스포츠 분석 배포 Azure |
ADLS Gen 2를 사용하도록 설정된 Azure Storage 계정, 스토리지 계정에 연결된 서비스가 있는 Azure Data Factory 인스턴스(배포된 경우 Azure SQL Database) 및 Azure Databricks 인스턴스를 만듭니다. 템플릿을 배포하는 사용자의 AAD ID와 ADF 인스턴스의 관리 ID에는 스토리지 계정에 대한 Storage Blob 데이터 기여자 역할이 부여됩니다. Azure Key Vault 인스턴스, Azure SQL Database 및 Azure Event Hub(스트리밍 사용 사례용)를 배포하는 옵션도 있습니다. Azure Key Vault가 배포되면 템플릿을 배포하는 사용자의 데이터 팩터리 관리 ID 및 AAD ID에 Key Vault 비밀 사용자 역할이 부여됩니다. |
Azure Machine Learning 작업 영역 Azure |
이 템플릿은 암호화된 스토리지 계정, KeyVault 및 Applications Insights 로깅과 함께 새 Azure Machine Learning 작업 영역을 만듭니다. |
KeyVault 만들기 Azure 배포 |
이 모듈은 apiVersion 2019-09-01을 사용하여 KeyVault 리소스를 만듭니다. |
KeyVault SSL을 사용하여 API Management 서비스 만들기 Azure 배포 |
이 템플릿은 사용자 할당 ID로 구성된 API Management 서비스를 배포합니다. 이 ID를 사용하여 KeyVault에서 SSL 인증서를 가져오고 4시간마다 확인하여 업데이트를 유지합니다. |
Container Apps 사용하여 Dapr pub-sub servicebus 앱을 만듭니다. Azure 배포 |
Container Apps를 사용하여 Dapr pub-sub servicebus 앱을 만듭니다. |
Azure Stack HCI 23H2 클러스터 만듭니다. Azure 배포 |
이 템플릿은 ARM 템플릿을 사용하여 Azure Stack HCI 23H2 클러스터를 만듭니다. |
Azure Stack HCI 23H2 클러스터 만듭니다. Azure 배포 |
이 템플릿은 사용자 지정 스토리지 IP를 사용하여 ARM 템플릿을 사용하여 Azure Stack HCI 23H2 클러스터를 만듭니다. |
스위치리스 이중 링크 네트워킹 모드에서 Azure Stack HCI 23H2 클러스터를 만듭니다 Azure 배포 |
이 템플릿은 ARM 템플릿을 사용하여 Azure Stack HCI 23H2 클러스터를 만듭니다. |
Switchless-SingleLink 네트워킹 모드에서 Azure Stack HCI 23H2 클러스터를 만듭니다 Azure 배포 |
이 템플릿은 ARM 템플릿을 사용하여 Azure Stack HCI 23H2 클러스터를 만듭니다. |
갤러리 이미지 암호화된 새 Windows vm 만들기 Azure 배포 |
이 템플릿은 서버 2k12 갤러리 이미지를 사용하여 암호화된 새 Windows vm을 만듭니다. |
갤러리 이미지 새 암호화된 관리 디스크 win-vm 만들기 Azure 배포 |
이 템플릿은 서버 2k12 갤러리 이미지를 사용하여 암호화된 새 관리 디스크 창 vm을 만듭니다. |
이 템플릿은 실행 중인 Windows VMSS 암호화합니다. Azure 배포 |
이 템플릿은 실행 중인 Windows VM 확장 집합에서 암호화를 사용하도록 설정합니다. |
실행 중인 Windows VM에서 암호화 사용 Azure 배포 |
이 템플릿은 실행 중인 Windows vm에서 암호화를 사용하도록 설정합니다. |
jumpbox 사용하여 새 Windows VMSS 만들기 및 암호화 Azure 배포 |
이 템플릿을 사용하면 가장 마지막으로 패치된 버전의 서버 Windows 버전을 사용하여 간단한 Windows VM 확장 집합을 배포할 수 있습니다. 또한 이 템플릿은 동일한 가상 네트워크에 공용 IP 주소가 있는 jumpbox를 배포합니다. 이 공용 IP 주소를 통해 jumpbox에 연결한 다음, 개인 IP 주소를 통해 확장 집합의 VM에 연결할 수 있습니다. 이 템플릿은 Windows VM의 VM 확장 집합에서 암호화를 사용하도록 설정합니다. |
Azure Key Vault 및 비밀 만들기 Azure 배포 |
이 템플릿은 Azure Key Vault 및 비밀을 만듭니다. |
RBAC 및 비밀 사용하여 Azure Key Vault 만들기 Azure 배포 |
이 템플릿은 Azure Key Vault 및 비밀을 만듭니다. 액세스 정책에 의존하는 대신 Azure RBAC를 활용하여 비밀에 대한 권한 부여를 관리합니다. |
키 자격 증명 모음, 관리 ID 및 역할 할당 만들기 Azure 배포 |
이 템플릿은 키 자격 증명 모음, 관리 ID 및 역할 할당을 만듭니다. |
프라이빗 엔드포인트 통해 Key Vault에 연결 Azure 배포 |
이 샘플에서는 가상 네트워크 및 프라이빗 DNS 영역을 구성하여 프라이빗 엔드포인트를 통해 Key Vault에 액세스하는 방법을 보여 줍니다. |
Key Vault 및 비밀 목록 만들기 Azure 배포 |
이 템플릿은 매개 변수와 함께 전달되는 Key Vault 및 키 자격 증명 모음 내의 비밀 목록을 만듭니다. |
로깅을 사용하도록 설정된 Key Vault 만들기 Azure 배포 |
이 템플릿은 로깅에 사용되는 Azure Key Vault 및 Azure Storage 계정을 만듭니다. 필요에 따라 Key Vault 및 스토리지 리소스를 보호하기 위해 리소스 잠금을 만듭니다. |
Azure AI Studio 기본 설정 Azure |
이 템플릿 집합은 기본 설정으로 Azure AI Studio를 설정하는 방법을 보여 줍니다. 즉, 공용 인터넷 액세스를 사용하도록 설정, 암호화를 위한 Microsoft 관리형 키 및 AI 리소스에 대한 Microsoft 관리 ID 구성을 의미합니다. |
Azure AI Studio 기본 설정 Azure |
이 템플릿 집합은 기본 설정으로 Azure AI Studio를 설정하는 방법을 보여 줍니다. 즉, 공용 인터넷 액세스를 사용하도록 설정, 암호화를 위한 Microsoft 관리형 키 및 AI 리소스에 대한 Microsoft 관리 ID 구성을 의미합니다. |
Microsoft Entra ID 인증 사용하여 Azure AI Studio Azure |
이 템플릿 집합은 Azure AI Services 및 Azure Storage와 같은 종속 리소스에 대해 Microsoft Entra ID 인증을 사용하여 Azure AI Studio를 설정하는 방법을 보여 줍니다. |
여러 데이터 세트 & Datastores 사용하여 AML 작업 영역 만들기 Azure |
이 템플릿은 여러 데이터 세트 & 데이터 저장소를 사용하여 Azure Machine Learning 작업 영역을 만듭니다. |
Azure Machine Learning 엔드 투 엔드 보안 설정 Azure |
이 Bicep 템플릿 집합은 보안 설정에서 Azure Machine Learning 엔드 투 엔드를 설정하는 방법을 보여 줍니다. 이 참조 구현에는 작업 영역, 컴퓨팅 클러스터, 컴퓨팅 인스턴스 및 연결된 프라이빗 AKS 클러스터가 포함됩니다. |
Azure Machine Learning 엔드 투 엔드 보안 설정(레거시) Azure |
이 Bicep 템플릿 집합은 보안 설정에서 Azure Machine Learning 엔드 투 엔드를 설정하는 방법을 보여 줍니다. 이 참조 구현에는 작업 영역, 컴퓨팅 클러스터, 컴퓨팅 인스턴스 및 연결된 프라이빗 AKS 클러스터가 포함됩니다. |
개인 IP 주소 사용하여 AKS 컴퓨팅 대상 만들기 Azure 배포 |
이 템플릿은 개인 IP 주소를 사용하여 지정된 Azure Machine Learning Service 작업 영역에서 AKS 컴퓨팅 대상을 만듭니다. |
Azure Machine Learning Service 작업 영역 만들기 Azure 배포 |
이 배포 템플릿은 Azure Machine Learning 작업 영역 및 Azure Key Vault, Azure Storage, Azure Application Insights 및 Azure Container Registry를 비롯한 관련 리소스를 지정합니다. 이 구성에서는 Azure Machine Learning을 시작하는 데 필요한 최소한의 리소스 집합을 설명합니다. |
Azure CMK(Machine Learning Service 작업 영역) 만들기 Azure 배포 |
이 배포 템플릿은 Azure Machine Learning 작업 영역 및 Azure Key Vault, Azure Storage, Azure Application Insights 및 Azure Container Registry를 비롯한 관련 리소스를 지정합니다. 이 예제에서는 고객 관리형 암호화 키를 사용하여 암호화를 위해 Azure Machine Learning을 구성하는 방법을 보여 줍니다. |
Azure CMK(Machine Learning Service 작업 영역) 만들기 Azure 배포 |
이 배포 템플릿은 암호화 키를 사용하여 서비스 쪽 암호화를 사용하여 Azure Machine Learning 작업 영역을 만드는 방법을 지정합니다. |
Azure Machine Learning 서비스 작업 영역(vnet) 만들기 Azure 배포 |
이 배포 템플릿은 Azure Machine Learning 작업 영역 및 Azure Key Vault, Azure Storage, Azure Application Insights 및 Azure Container Registry를 비롯한 관련 리소스를 지정합니다. 이 구성에서는 네트워크 격리 설정에서 Azure Machine Learning을 시작하는 데 필요한 리소스 집합을 설명합니다. |
Azure Machine Learning Service 작업 영역(레거시) 만들기 Azure 배포 |
이 배포 템플릿은 Azure Machine Learning 작업 영역 및 Azure Key Vault, Azure Storage, Azure Application Insights 및 Azure Container Registry를 비롯한 관련 리소스를 지정합니다. 이 구성에서는 네트워크 격리 설정에서 Azure Machine Learning을 시작하는 데 필요한 리소스 집합을 설명합니다. |
Application Gateway 수신 컨트롤러 사용하여 AKS 클러스터 Azure |
이 샘플에서는 Application Gateway, Application Gateway 수신 컨트롤러, Azure Container Registry, Log Analytics 및 Key Vault를 사용하여 AKS 클러스터를 배포하는 방법을 보여 줍니다. |
Key Vault 사용하여 Application Gateway V2 만들기 Azure 배포 |
이 템플릿은 Virtual Network에 Application Gateway V2, 사용자 정의 ID, Key Vault, 비밀(인증서 데이터) 및 Key Vault 및 Application Gateway에 대한 액세스 정책을 배포합니다. |
Azure Firewall Premium 대한 Azure |
이 템플릿은 IDPS(침입 검사 검색), TLS 검사 및 웹 범주 필터링과 같은 프리미엄 기능을 사용하여 Azure Firewall 프리미엄 및 방화벽 정책을 만듭니다. |
테넌트 간 프라이빗 엔드포인트 리소스 만듭니다. Azure 배포 |
이 템플릿을 사용하면 동일한 또는 교차 테넌트 환경 내에서 Priavate 엔드포인트 리소스를 만들고 dns 영역 구성을 추가할 수 있습니다. |
인증서 사용하여 Application Gateway 만들기 Azure |
이 템플릿은 Key Vault 자체 서명된 인증서를 생성한 다음 Application Gateway에서 참조하는 방법을 보여 줍니다. |
고객 관리형 키 사용하여 Azure Storage 계정 암호화 Azure |
이 템플릿은 Key Vault 내에 생성되고 배치되는 암호화를 위해 고객 관리형 키를 사용하여 스토리지 계정을 배포합니다. |
Azure SQL 백 엔드 사용하여 App Service Environment Azure |
이 템플릿은 프라이빗/격리된 환경에서 일반적으로 사용되는 연결된 리소스와 함께 프라이빗 엔드포인트와 함께 Azure SQL 백 엔드를 사용하여 App Service Environment를 만듭니다. |
Azure Function 앱 및 HTTP 트리거 함수 Azure |
이 예제에서는 템플릿에 Azure Function 앱 및 HTTP 트리거 함수 인라인을 배포합니다. 또한 Key Vault를 배포하고 함수 앱의 호스트 키로 비밀을 채웁니다. |
내부 API Management 및 Web App 사용하여 Application Gateway Azure |
Azure Web App에서 호스트되는 웹 API를 서비스하는 가상 네트워크(내부 모드) API Management 인스턴스로 인터넷 트래픽을 라우팅하는 Application Gateway입니다. |
ARM 템플릿 리소스 정의
자격 증명 모음 리소스 유형은 다음을 대상으로 하는 작업으로 배포할 수 있습니다.
- 리소스 그룹 - 리소스 그룹 배포 명령 참조
각 API 버전에서 변경된 속성 목록은 변경 로그참조하세요.
발언
보안 값에 키 자격 증명 모음을 사용하는 방법에 대한 지침은 Bicep사용하여 비밀 관리를 참조하세요.
비밀 만들기에 대한 빠른 시작은 빠른 시작을 참조하세요. ARM 템플릿사용하여 Azure Key Vault에서 비밀을 설정하고 검색합니다.
키 만들기에 대한 빠른 시작은 빠른 시작을 참조하세요. ARM 템플릿사용하여 Azure Key Vault 및 키 만들기.
리소스 형식
Microsoft.KeyVault/vaults 리소스를 만들려면 템플릿에 다음 JSON을 추가합니다.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
속성 값
보관소
이름 | 묘사 | 값 |
---|---|---|
형 | 리소스 종류 | 'Microsoft.KeyVault/vaults' |
apiVersion | 리소스 api 버전 | '2023-07-01' |
이름 | 리소스 이름 | string(필수) 문자 제한: 3-24 유효한 문자: 영숫자 및 하이픈 문자로 시작합니다. 문자 또는 숫자로 끝납니다. 연속 하이픈을 포함할 수 없습니다. 리소스 이름은 Azure에서 고유해야 합니다. |
위치 | 키 자격 증명 모음을 만들어야 하는 지원되는 Azure 위치입니다. | string(필수) |
태그 | 키 자격 증명 모음에 할당될 태그입니다. | 태그 이름 및 값의 사전입니다. 템플릿 |
속성 | 자격 증명 모음의 속성 | VaultProperties(필수) |
VaultProperties
이름 | 묘사 | 값 |
---|---|---|
accessPolicies | 키 자격 증명 모음에 액세스할 수 있는 0~1024개 ID의 배열입니다. 배열의 모든 ID는 키 자격 증명 모음의 테넌트 ID와 동일한 테넌트 ID를 사용해야 합니다.
createMode
recover 설정되면 액세스 정책이 필요하지 않습니다. 그렇지 않으면 액세스 정책이 필요합니다. |
AccessPolicyEntry[] |
createMode | 자격 증명 모음을 복구해야 하는지 여부를 나타내는 자격 증명 모음의 만들기 모드입니다. | 'default' 'recover' |
enabledForDeployment | Azure Virtual Machines가 키 자격 증명 모음에서 비밀로 저장된 인증서를 검색할 수 있는지 여부를 지정하는 속성입니다. | bool |
enabledForDiskEncryption | Azure Disk Encryption이 자격 증명 모음에서 비밀을 검색하고 키 래프 해제를 허용하는지 여부를 지정하는 속성입니다. | bool |
enabledForTemplateDeployment | Azure Resource Manager가 키 자격 증명 모음에서 비밀을 검색할 수 있는지 여부를 지정하는 속성입니다. | bool |
enablePurgeProtection | 이 자격 증명 모음에 대해 제거에 대한 보호를 사용할지 여부를 지정하는 속성입니다. 이 속성을 true로 설정하면 이 자격 증명 모음 및 해당 콘텐츠에 대한 제거 방지가 활성화됩니다. Key Vault 서비스만 복구할 수 없는 하드 삭제를 시작할 수 있습니다. 이 설정은 일시 삭제도 사용하도록 설정된 경우에만 적용됩니다. 이 기능을 사용하도록 설정하는 것은 되돌릴 수 없습니다. 즉, 속성이 false를 해당 값으로 허용하지 않습니다. | bool |
enableRbacAuthorization | 데이터 작업의 권한을 부여하는 방법을 제어하는 속성입니다. true이면 키 자격 증명 모음은 데이터 작업의 권한 부여에 RBAC(역할 기반 액세스 제어)를 사용하고 자격 증명 모음 속성에 지정된 액세스 정책은 무시됩니다. false이면 키 자격 증명 모음은 자격 증명 모음 속성에 지정된 액세스 정책을 사용하고 Azure Resource Manager에 저장된 모든 정책은 무시됩니다. null이거나 지정하지 않으면 자격 증명 모음이 기본값 false로 만들어집니다. 관리 작업은 항상 RBAC를 통해 권한이 부여됩니다. | bool |
enableSoftDelete | 이 키 자격 증명 모음에 대해 '일시 삭제' 기능을 사용할 수 있는지 여부를 지정하는 속성입니다. 새 키 자격 증명 모음을 만들 때 값(true 또는 false)으로 설정되지 않은 경우 기본적으로 true로 설정됩니다. true로 설정하면 false로 되돌릴 수 없습니다. | bool |
networkAcls | 특정 네트워크 위치에서 키 자격 증명 모음의 접근성을 제어하는 규칙입니다. | NetworkRuleSet |
provisioningState | 자격 증명 모음의 프로비전 상태입니다. | 'RegisteringDns' '성공' |
publicNetworkAccess | 자격 증명 모음이 공용 인터넷의 트래픽을 허용할지 여부를 지정하는 속성입니다. 프라이빗 엔드포인트 트래픽을 제외한 모든 트래픽을 '사용 안 함'으로 설정하면 신뢰할 수 있는 서비스에서 시작된 트래픽이 차단됩니다. 그러면 설정된 방화벽 규칙이 재정의됩니다. 즉, 방화벽 규칙이 있더라도 규칙을 적용하지 않습니다. | 문자열 |
sku | SKU 세부 정보 | Sku(필수) |
softDeleteRetentionInDays | softDelete 데이터 보존 일 수입니다. >=7 및 <=90을 허용합니다. | int |
tenantId | 키 자격 증명 모음에 대한 요청을 인증하는 데 사용해야 하는 Azure Active Directory 테넌트 ID입니다. | string(필수) 제약 조건: 최소 길이 = 36 최대 길이 = 36 패턴 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 키 및 비밀에 대한 작업을 수행하기 위한 자격 증명 모음의 URI입니다. | 문자열 |
AccessPolicyEntry
이름 | 묘사 | 값 |
---|---|---|
applicationId | 보안 주체를 대신하여 요청하는 클라이언트의 애플리케이션 ID | 문자열 제약 조건: 최소 길이 = 36 최대 길이 = 36 패턴 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 자격 증명 모음에 대한 Azure Active Directory 테넌트에 있는 사용자, 서비스 주체 또는 보안 그룹의 개체 ID입니다. 개체 ID는 액세스 정책 목록에 대해 고유해야 합니다. | string(필수) |
권한을 | 키, 비밀 및 인증서에 대해 ID에 있는 권한입니다. | 권한(필수) |
tenantId | 키 자격 증명 모음에 대한 요청을 인증하는 데 사용해야 하는 Azure Active Directory 테넌트 ID입니다. | string(필수) 제약 조건: 최소 길이 = 36 최대 길이 = 36 패턴 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
권한을
이름 | 묘사 | 값 |
---|---|---|
인증서 | 인증서에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' '제거' 'recover' 'restore' 'setissuers' 'update' |
키 | 키에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' '제거' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
비밀 | 비밀에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: 'all' 'backup' 'delete' 'get' 'list' '제거' 'recover' 'restore' 'set' |
보관 | 스토리지 계정에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' '제거' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
이름 | 묘사 | 값 |
---|---|---|
우회 | 네트워크 규칙을 무시할 수 있는 트래픽을 알려줍니다. 'AzureServices' 또는 'None'일 수 있습니다. 지정하지 않으면 기본값은 'AzureServices'입니다. | 'AzureServices' 'None' |
defaultAction | ipRules 및 virtualNetworkRules의 규칙이 일치하지 않는 경우의 기본 작업입니다. 바이패스 속성이 평가된 후에만 사용됩니다. | '허용' '거부' |
ipRules | IP 주소 규칙 목록입니다. | IPRule |
virtualNetworkRules | 가상 네트워크 규칙 목록입니다. | VirtualNetworkRule[] |
IPRule
이름 | 묘사 | 값 |
---|---|---|
값 | CIDR 표기법의 IPv4 주소 범위(예: '124.56.78.91'(단순 IP 주소) 또는 '124.56.78.0/24'(124.56.78로 시작하는 모든 주소). | string(필수) |
VirtualNetworkRule
이름 | 묘사 | 값 |
---|---|---|
아이디 | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'과 같은 vnet 서브넷의 전체 리소스 ID입니다. | string(필수) |
ignoreMissingVnetServiceEndpoint | 부모 서브넷에 serviceEndpoints가 구성되어 있는지 여부를 NRP에서 무시할지 여부를 지정하는 속성입니다. | bool |
Sku
이름 | 묘사 | 값 |
---|---|---|
가족 | SKU 패밀리 이름 | 'A'(필수) |
이름 | 키 자격 증명 모음이 표준 자격 증명 모음인지 프리미엄 자격 증명 모음인지 여부를 지정하는 SKU 이름입니다. | '프리미엄' 'standard'(필수) |
빠른 시작 템플릿
다음 빠른 시작 템플릿은 이 리소스 유형을 배포합니다.
템플렛 | 묘사 |
---|---|
NAT 게이트웨이 및 Application Gateway 사용하여 AKS 클러스터 Azure |
이 샘플에서는 아웃바운드 연결을 위한 NAT 게이트웨이와 인바운드 연결을 위한 Application Gateway를 사용하여 AKS 클러스터를 배포하는 방법을 보여 줍니다. |
공용 DNS 영역 사용하여 프라이빗 AKS 클러스터 만들기 Azure 배포 |
이 샘플에서는 공용 DNS 영역을 사용하여 프라이빗 AKS 클러스터를 배포하는 방법을 보여 줍니다. |
Azure 아키텍처 스포츠 분석 배포 Azure |
ADLS Gen 2를 사용하도록 설정된 Azure Storage 계정, 스토리지 계정에 연결된 서비스가 있는 Azure Data Factory 인스턴스(배포된 경우 Azure SQL Database) 및 Azure Databricks 인스턴스를 만듭니다. 템플릿을 배포하는 사용자의 AAD ID와 ADF 인스턴스의 관리 ID에는 스토리지 계정에 대한 Storage Blob 데이터 기여자 역할이 부여됩니다. Azure Key Vault 인스턴스, Azure SQL Database 및 Azure Event Hub(스트리밍 사용 사례용)를 배포하는 옵션도 있습니다. Azure Key Vault가 배포되면 템플릿을 배포하는 사용자의 데이터 팩터리 관리 ID 및 AAD ID에 Key Vault 비밀 사용자 역할이 부여됩니다. |
Azure Machine Learning 작업 영역 Azure |
이 템플릿은 암호화된 스토리지 계정, KeyVault 및 Applications Insights 로깅과 함께 새 Azure Machine Learning 작업 영역을 만듭니다. |
KeyVault 만들기 Azure 배포 |
이 모듈은 apiVersion 2019-09-01을 사용하여 KeyVault 리소스를 만듭니다. |
KeyVault SSL을 사용하여 API Management 서비스 만들기 Azure 배포 |
이 템플릿은 사용자 할당 ID로 구성된 API Management 서비스를 배포합니다. 이 ID를 사용하여 KeyVault에서 SSL 인증서를 가져오고 4시간마다 확인하여 업데이트를 유지합니다. |
Container Apps 사용하여 Dapr pub-sub servicebus 앱을 만듭니다. Azure 배포 |
Container Apps를 사용하여 Dapr pub-sub servicebus 앱을 만듭니다. |
Azure Stack HCI 23H2 클러스터 만듭니다. Azure 배포 |
이 템플릿은 ARM 템플릿을 사용하여 Azure Stack HCI 23H2 클러스터를 만듭니다. |
Azure Stack HCI 23H2 클러스터 만듭니다. Azure 배포 |
이 템플릿은 사용자 지정 스토리지 IP를 사용하여 ARM 템플릿을 사용하여 Azure Stack HCI 23H2 클러스터를 만듭니다. |
스위치리스 이중 링크 네트워킹 모드에서 Azure Stack HCI 23H2 클러스터를 만듭니다 Azure 배포 |
이 템플릿은 ARM 템플릿을 사용하여 Azure Stack HCI 23H2 클러스터를 만듭니다. |
Switchless-SingleLink 네트워킹 모드에서 Azure Stack HCI 23H2 클러스터를 만듭니다 Azure 배포 |
이 템플릿은 ARM 템플릿을 사용하여 Azure Stack HCI 23H2 클러스터를 만듭니다. |
갤러리 이미지 암호화된 새 Windows vm 만들기 Azure 배포 |
이 템플릿은 서버 2k12 갤러리 이미지를 사용하여 암호화된 새 Windows vm을 만듭니다. |
갤러리 이미지 새 암호화된 관리 디스크 win-vm 만들기 Azure 배포 |
이 템플릿은 서버 2k12 갤러리 이미지를 사용하여 암호화된 새 관리 디스크 창 vm을 만듭니다. |
이 템플릿은 실행 중인 Windows VMSS 암호화합니다. Azure 배포 |
이 템플릿은 실행 중인 Windows VM 확장 집합에서 암호화를 사용하도록 설정합니다. |
실행 중인 Windows VM에서 암호화 사용 Azure 배포 |
이 템플릿은 실행 중인 Windows vm에서 암호화를 사용하도록 설정합니다. |
jumpbox 사용하여 새 Windows VMSS 만들기 및 암호화 Azure 배포 |
이 템플릿을 사용하면 가장 마지막으로 패치된 버전의 서버 Windows 버전을 사용하여 간단한 Windows VM 확장 집합을 배포할 수 있습니다. 또한 이 템플릿은 동일한 가상 네트워크에 공용 IP 주소가 있는 jumpbox를 배포합니다. 이 공용 IP 주소를 통해 jumpbox에 연결한 다음, 개인 IP 주소를 통해 확장 집합의 VM에 연결할 수 있습니다. 이 템플릿은 Windows VM의 VM 확장 집합에서 암호화를 사용하도록 설정합니다. |
Azure Key Vault 및 비밀 만들기 Azure 배포 |
이 템플릿은 Azure Key Vault 및 비밀을 만듭니다. |
RBAC 및 비밀 사용하여 Azure Key Vault 만들기 Azure 배포 |
이 템플릿은 Azure Key Vault 및 비밀을 만듭니다. 액세스 정책에 의존하는 대신 Azure RBAC를 활용하여 비밀에 대한 권한 부여를 관리합니다. |
키 자격 증명 모음, 관리 ID 및 역할 할당 만들기 Azure 배포 |
이 템플릿은 키 자격 증명 모음, 관리 ID 및 역할 할당을 만듭니다. |
프라이빗 엔드포인트 통해 Key Vault에 연결 Azure 배포 |
이 샘플에서는 가상 네트워크 및 프라이빗 DNS 영역을 구성하여 프라이빗 엔드포인트를 통해 Key Vault에 액세스하는 방법을 보여 줍니다. |
Key Vault 및 비밀 목록 만들기 Azure 배포 |
이 템플릿은 매개 변수와 함께 전달되는 Key Vault 및 키 자격 증명 모음 내의 비밀 목록을 만듭니다. |
로깅을 사용하도록 설정된 Key Vault 만들기 Azure 배포 |
이 템플릿은 로깅에 사용되는 Azure Key Vault 및 Azure Storage 계정을 만듭니다. 필요에 따라 Key Vault 및 스토리지 리소스를 보호하기 위해 리소스 잠금을 만듭니다. |
Azure AI Studio 기본 설정 Azure |
이 템플릿 집합은 기본 설정으로 Azure AI Studio를 설정하는 방법을 보여 줍니다. 즉, 공용 인터넷 액세스를 사용하도록 설정, 암호화를 위한 Microsoft 관리형 키 및 AI 리소스에 대한 Microsoft 관리 ID 구성을 의미합니다. |
Azure AI Studio 기본 설정 Azure |
이 템플릿 집합은 기본 설정으로 Azure AI Studio를 설정하는 방법을 보여 줍니다. 즉, 공용 인터넷 액세스를 사용하도록 설정, 암호화를 위한 Microsoft 관리형 키 및 AI 리소스에 대한 Microsoft 관리 ID 구성을 의미합니다. |
Microsoft Entra ID 인증 사용하여 Azure AI Studio Azure |
이 템플릿 집합은 Azure AI Services 및 Azure Storage와 같은 종속 리소스에 대해 Microsoft Entra ID 인증을 사용하여 Azure AI Studio를 설정하는 방법을 보여 줍니다. |
여러 데이터 세트 & Datastores 사용하여 AML 작업 영역 만들기 Azure |
이 템플릿은 여러 데이터 세트 & 데이터 저장소를 사용하여 Azure Machine Learning 작업 영역을 만듭니다. |
Azure Machine Learning 엔드 투 엔드 보안 설정 Azure |
이 Bicep 템플릿 집합은 보안 설정에서 Azure Machine Learning 엔드 투 엔드를 설정하는 방법을 보여 줍니다. 이 참조 구현에는 작업 영역, 컴퓨팅 클러스터, 컴퓨팅 인스턴스 및 연결된 프라이빗 AKS 클러스터가 포함됩니다. |
Azure Machine Learning 엔드 투 엔드 보안 설정(레거시) Azure |
이 Bicep 템플릿 집합은 보안 설정에서 Azure Machine Learning 엔드 투 엔드를 설정하는 방법을 보여 줍니다. 이 참조 구현에는 작업 영역, 컴퓨팅 클러스터, 컴퓨팅 인스턴스 및 연결된 프라이빗 AKS 클러스터가 포함됩니다. |
개인 IP 주소 사용하여 AKS 컴퓨팅 대상 만들기 Azure 배포 |
이 템플릿은 개인 IP 주소를 사용하여 지정된 Azure Machine Learning Service 작업 영역에서 AKS 컴퓨팅 대상을 만듭니다. |
Azure Machine Learning Service 작업 영역 만들기 Azure 배포 |
이 배포 템플릿은 Azure Machine Learning 작업 영역 및 Azure Key Vault, Azure Storage, Azure Application Insights 및 Azure Container Registry를 비롯한 관련 리소스를 지정합니다. 이 구성에서는 Azure Machine Learning을 시작하는 데 필요한 최소한의 리소스 집합을 설명합니다. |
Azure CMK(Machine Learning Service 작업 영역) 만들기 Azure 배포 |
이 배포 템플릿은 Azure Machine Learning 작업 영역 및 Azure Key Vault, Azure Storage, Azure Application Insights 및 Azure Container Registry를 비롯한 관련 리소스를 지정합니다. 이 예제에서는 고객 관리형 암호화 키를 사용하여 암호화를 위해 Azure Machine Learning을 구성하는 방법을 보여 줍니다. |
Azure CMK(Machine Learning Service 작업 영역) 만들기 Azure 배포 |
이 배포 템플릿은 암호화 키를 사용하여 서비스 쪽 암호화를 사용하여 Azure Machine Learning 작업 영역을 만드는 방법을 지정합니다. |
Azure Machine Learning 서비스 작업 영역(vnet) 만들기 Azure 배포 |
이 배포 템플릿은 Azure Machine Learning 작업 영역 및 Azure Key Vault, Azure Storage, Azure Application Insights 및 Azure Container Registry를 비롯한 관련 리소스를 지정합니다. 이 구성에서는 네트워크 격리 설정에서 Azure Machine Learning을 시작하는 데 필요한 리소스 집합을 설명합니다. |
Azure Machine Learning Service 작업 영역(레거시) 만들기 Azure 배포 |
이 배포 템플릿은 Azure Machine Learning 작업 영역 및 Azure Key Vault, Azure Storage, Azure Application Insights 및 Azure Container Registry를 비롯한 관련 리소스를 지정합니다. 이 구성에서는 네트워크 격리 설정에서 Azure Machine Learning을 시작하는 데 필요한 리소스 집합을 설명합니다. |
Application Gateway 수신 컨트롤러 사용하여 AKS 클러스터 Azure |
이 샘플에서는 Application Gateway, Application Gateway 수신 컨트롤러, Azure Container Registry, Log Analytics 및 Key Vault를 사용하여 AKS 클러스터를 배포하는 방법을 보여 줍니다. |
Key Vault 사용하여 Application Gateway V2 만들기 Azure 배포 |
이 템플릿은 Virtual Network에 Application Gateway V2, 사용자 정의 ID, Key Vault, 비밀(인증서 데이터) 및 Key Vault 및 Application Gateway에 대한 액세스 정책을 배포합니다. |
Azure Firewall Premium 대한 Azure |
이 템플릿은 IDPS(침입 검사 검색), TLS 검사 및 웹 범주 필터링과 같은 프리미엄 기능을 사용하여 Azure Firewall 프리미엄 및 방화벽 정책을 만듭니다. |
테넌트 간 프라이빗 엔드포인트 리소스 만듭니다. Azure 배포 |
이 템플릿을 사용하면 동일한 또는 교차 테넌트 환경 내에서 Priavate 엔드포인트 리소스를 만들고 dns 영역 구성을 추가할 수 있습니다. |
인증서 사용하여 Application Gateway 만들기 Azure |
이 템플릿은 Key Vault 자체 서명된 인증서를 생성한 다음 Application Gateway에서 참조하는 방법을 보여 줍니다. |
고객 관리형 키 사용하여 Azure Storage 계정 암호화 Azure |
이 템플릿은 Key Vault 내에 생성되고 배치되는 암호화를 위해 고객 관리형 키를 사용하여 스토리지 계정을 배포합니다. |
Azure SQL 백 엔드 사용하여 App Service Environment Azure |
이 템플릿은 프라이빗/격리된 환경에서 일반적으로 사용되는 연결된 리소스와 함께 프라이빗 엔드포인트와 함께 Azure SQL 백 엔드를 사용하여 App Service Environment를 만듭니다. |
Azure Function 앱 및 HTTP 트리거 함수 Azure |
이 예제에서는 템플릿에 Azure Function 앱 및 HTTP 트리거 함수 인라인을 배포합니다. 또한 Key Vault를 배포하고 함수 앱의 호스트 키로 비밀을 채웁니다. |
내부 API Management 및 Web App 사용하여 Application Gateway Azure |
Azure Web App에서 호스트되는 웹 API를 서비스하는 가상 네트워크(내부 모드) API Management 인스턴스로 인터넷 트래픽을 라우팅하는 Application Gateway입니다. |
Terraform(AzAPI 공급자) 리소스 정의
자격 증명 모음 리소스 유형은 다음을 대상으로 하는 작업으로 배포할 수 있습니다.
- 리소스 그룹
각 API 버전에서 변경된 속성 목록은 변경 로그참조하세요.
리소스 형식
Microsoft.KeyVault/vaults 리소스를 만들려면 템플릿에 다음 Terraform을 추가합니다.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2023-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
속성 값
보관소
이름 | 묘사 | 값 |
---|---|---|
형 | 리소스 종류 | "Microsoft.KeyVault/vaults@2023-07-01" |
이름 | 리소스 이름 | string(필수) 문자 제한: 3-24 유효한 문자: 영숫자 및 하이픈 문자로 시작합니다. 문자 또는 숫자로 끝납니다. 연속 하이픈을 포함할 수 없습니다. 리소스 이름은 Azure에서 고유해야 합니다. |
위치 | 키 자격 증명 모음을 만들어야 하는 지원되는 Azure 위치입니다. | string(필수) |
parent_id | 리소스 그룹에 배포하려면 해당 리소스 그룹의 ID를 사용합니다. | string(필수) |
태그 | 키 자격 증명 모음에 할당될 태그입니다. | 태그 이름 및 값의 사전입니다. |
속성 | 자격 증명 모음의 속성 | VaultProperties(필수) |
VaultProperties
이름 | 묘사 | 값 |
---|---|---|
accessPolicies | 키 자격 증명 모음에 액세스할 수 있는 0~1024개 ID의 배열입니다. 배열의 모든 ID는 키 자격 증명 모음의 테넌트 ID와 동일한 테넌트 ID를 사용해야 합니다.
createMode
recover 설정되면 액세스 정책이 필요하지 않습니다. 그렇지 않으면 액세스 정책이 필요합니다. |
AccessPolicyEntry[] |
createMode | 자격 증명 모음을 복구해야 하는지 여부를 나타내는 자격 증명 모음의 만들기 모드입니다. | "default" "recover" |
enabledForDeployment | Azure Virtual Machines가 키 자격 증명 모음에서 비밀로 저장된 인증서를 검색할 수 있는지 여부를 지정하는 속성입니다. | bool |
enabledForDiskEncryption | Azure Disk Encryption이 자격 증명 모음에서 비밀을 검색하고 키 래프 해제를 허용하는지 여부를 지정하는 속성입니다. | bool |
enabledForTemplateDeployment | Azure Resource Manager가 키 자격 증명 모음에서 비밀을 검색할 수 있는지 여부를 지정하는 속성입니다. | bool |
enablePurgeProtection | 이 자격 증명 모음에 대해 제거에 대한 보호를 사용할지 여부를 지정하는 속성입니다. 이 속성을 true로 설정하면 이 자격 증명 모음 및 해당 콘텐츠에 대한 제거 방지가 활성화됩니다. Key Vault 서비스만 복구할 수 없는 하드 삭제를 시작할 수 있습니다. 이 설정은 일시 삭제도 사용하도록 설정된 경우에만 적용됩니다. 이 기능을 사용하도록 설정하는 것은 되돌릴 수 없습니다. 즉, 속성이 false를 해당 값으로 허용하지 않습니다. | bool |
enableRbacAuthorization | 데이터 작업의 권한을 부여하는 방법을 제어하는 속성입니다. true이면 키 자격 증명 모음은 데이터 작업의 권한 부여에 RBAC(역할 기반 액세스 제어)를 사용하고 자격 증명 모음 속성에 지정된 액세스 정책은 무시됩니다. false이면 키 자격 증명 모음은 자격 증명 모음 속성에 지정된 액세스 정책을 사용하고 Azure Resource Manager에 저장된 모든 정책은 무시됩니다. null이거나 지정하지 않으면 자격 증명 모음이 기본값 false로 만들어집니다. 관리 작업은 항상 RBAC를 통해 권한이 부여됩니다. | bool |
enableSoftDelete | 이 키 자격 증명 모음에 대해 '일시 삭제' 기능을 사용할 수 있는지 여부를 지정하는 속성입니다. 새 키 자격 증명 모음을 만들 때 값(true 또는 false)으로 설정되지 않은 경우 기본적으로 true로 설정됩니다. true로 설정하면 false로 되돌릴 수 없습니다. | bool |
networkAcls | 특정 네트워크 위치에서 키 자격 증명 모음의 접근성을 제어하는 규칙입니다. | NetworkRuleSet |
provisioningState | 자격 증명 모음의 프로비전 상태입니다. | "RegisteringDns" "성공" |
publicNetworkAccess | 자격 증명 모음이 공용 인터넷의 트래픽을 허용할지 여부를 지정하는 속성입니다. 프라이빗 엔드포인트 트래픽을 제외한 모든 트래픽을 '사용 안 함'으로 설정하면 신뢰할 수 있는 서비스에서 시작된 트래픽이 차단됩니다. 그러면 설정된 방화벽 규칙이 재정의됩니다. 즉, 방화벽 규칙이 있더라도 규칙을 적용하지 않습니다. | 문자열 |
sku | SKU 세부 정보 | Sku(필수) |
softDeleteRetentionInDays | softDelete 데이터 보존 일 수입니다. >=7 및 <=90을 허용합니다. | int |
tenantId | 키 자격 증명 모음에 대한 요청을 인증하는 데 사용해야 하는 Azure Active Directory 테넌트 ID입니다. | string(필수) 제약 조건: 최소 길이 = 36 최대 길이 = 36 패턴 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 키 및 비밀에 대한 작업을 수행하기 위한 자격 증명 모음의 URI입니다. | 문자열 |
AccessPolicyEntry
이름 | 묘사 | 값 |
---|---|---|
applicationId | 보안 주체를 대신하여 요청하는 클라이언트의 애플리케이션 ID | 문자열 제약 조건: 최소 길이 = 36 최대 길이 = 36 패턴 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 자격 증명 모음에 대한 Azure Active Directory 테넌트에 있는 사용자, 서비스 주체 또는 보안 그룹의 개체 ID입니다. 개체 ID는 액세스 정책 목록에 대해 고유해야 합니다. | string(필수) |
권한을 | 키, 비밀 및 인증서에 대해 ID에 있는 권한입니다. | 권한(필수) |
tenantId | 키 자격 증명 모음에 대한 요청을 인증하는 데 사용해야 하는 Azure Active Directory 테넌트 ID입니다. | string(필수) 제약 조건: 최소 길이 = 36 최대 길이 = 36 패턴 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
권한을
이름 | 묘사 | 값 |
---|---|---|
인증서 | 인증서에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: "all" "backup" "create" "delete" "deleteissuers" "get" "getissuers" "import" "list" "listissuers" "managecontacts" "manageissuers" "제거" "recover" "restore" "setissuers" "update" |
키 | 키에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: "all" "backup" "create" "암호 해독" "delete" "encrypt" "get" "getrotationpolicy" "import" "list" "제거" "recover" "release" "restore" "회전" "setrotationpolicy" "sign" "unwrapKey" "update" "verify" "wrapKey" |
비밀 | 비밀에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: "all" "backup" "delete" "get" "list" "제거" "recover" "restore" "set" |
보관 | 스토리지 계정에 대한 권한 | 다음 중 어느 것을 포함하는 문자열 배열: "all" "backup" "delete" "deletesas" "get" "getsas" "list" "listsas" "제거" "recover" "regeneratekey" "restore" "set" "setsas" "update" |
NetworkRuleSet
이름 | 묘사 | 값 |
---|---|---|
우회 | 네트워크 규칙을 무시할 수 있는 트래픽을 알려줍니다. 'AzureServices' 또는 'None'일 수 있습니다. 지정하지 않으면 기본값은 'AzureServices'입니다. | "AzureServices" "없음" |
defaultAction | ipRules 및 virtualNetworkRules의 규칙이 일치하지 않는 경우의 기본 작업입니다. 바이패스 속성이 평가된 후에만 사용됩니다. | "허용" "거부" |
ipRules | IP 주소 규칙 목록입니다. | IPRule |
virtualNetworkRules | 가상 네트워크 규칙 목록입니다. | VirtualNetworkRule[] |
IPRule
이름 | 묘사 | 값 |
---|---|---|
값 | CIDR 표기법의 IPv4 주소 범위(예: '124.56.78.91'(단순 IP 주소) 또는 '124.56.78.0/24'(124.56.78로 시작하는 모든 주소). | string(필수) |
VirtualNetworkRule
이름 | 묘사 | 값 |
---|---|---|
아이디 | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'과 같은 vnet 서브넷의 전체 리소스 ID입니다. | string(필수) |
ignoreMissingVnetServiceEndpoint | 부모 서브넷에 serviceEndpoints가 구성되어 있는지 여부를 NRP에서 무시할지 여부를 지정하는 속성입니다. | bool |
Sku
이름 | 묘사 | 값 |
---|---|---|
가족 | SKU 패밀리 이름 | "A"(필수) |
이름 | 키 자격 증명 모음이 표준 자격 증명 모음인지 프리미엄 자격 증명 모음인지 여부를 지정하는 SKU 이름입니다. | "프리미엄" "standard"(필수) |