Microsoft.KeyVault-kluizen 2022-11-01
Bicep-resourcedefinitie
Het resourcetype kluizen kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor de implementatie van resourcegroepen
Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.
Opmerkingen
Zie Geheimen beheren met Bicepvoor hulp bij het gebruik van sleutelkluizen voor veilige waarden.
Zie Quickstart: Een geheim instellen en ophalen uit Azure Key Vault met behulp van een ARM-sjabloonvoor een quickstart over het maken van een geheim.
Zie Quickstart: Een Azure-sleutelkluis en een sleutel maken met behulp van een ARM-sjabloonvoor een quickstart over het maken van een sleutel.
Resource-indeling
Als u een Resource voor Microsoft.KeyVault/kluizen wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.
resource symbolicname 'Microsoft.KeyVault/vaults@2022-11-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Eigenschapswaarden
Kluizen
Naam | Beschrijving | Waarde |
---|---|---|
naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 3-24 Geldige tekens: Alfanumerieke en afbreekstreepjes. Begin met brief. Eindig met letter of cijfer. Kan geen opeenvolgende afbreekstreepjes bevatten. De resourcenaam moet uniek zijn in Azure. |
plaats | De ondersteunde Azure-locatie waar de sleutelkluis moet worden gemaakt. | tekenreeks (vereist) |
Tags | De tags die worden toegewezen aan de sleutelkluis. | Woordenlijst met tagnamen en -waarden. Zie Tags in sjablonen |
Eigenschappen | Eigenschappen van de kluis | VaultProperties- (vereist) |
VaultProperties
Naam | Beschrijving | Waarde |
---|---|---|
accessPolicies | Een matrix van 0 tot 1024 identiteiten die toegang hebben tot de sleutelkluis. Alle identiteiten in de matrix moeten dezelfde tenant-id gebruiken als de tenant-id van de sleutelkluis. Wanneer createMode is ingesteld op recover , zijn toegangsbeleidsregels niet vereist. Anders zijn toegangsbeleidsregels vereist. |
AccessPolicyEntry[] |
createMode | De maakmodus van de kluis om aan te geven of de kluis moet worden hersteld of niet. | 'standaard' 'herstellen' |
enabledForDeployment | Eigenschap om op te geven of virtuele Azure-machines certificaten mogen ophalen die zijn opgeslagen als geheimen uit de sleutelkluis. | Bool |
enabledForDiskEncryption | Eigenschap om op te geven of Azure Disk Encryption geheimen mag ophalen uit de kluis en sleutels uitpakken. | Bool |
enabledForTemplateDeployment | Eigenschap om op te geven of Azure Resource Manager geheimen mag ophalen uit de sleutelkluis. | Bool |
enablePurgeProtection | Eigenschap die aangeeft of beveiliging tegen opschonen is ingeschakeld voor deze kluis. Als u deze eigenschap instelt op true, wordt de beveiliging tegen opschoning voor deze kluis en de inhoud ervan geactiveerd. Alleen de Key Vault-service kan een harde, onherstelbare verwijdering initiëren. De instelling is alleen van kracht als voorlopig verwijderen ook is ingeschakeld. Het inschakelen van deze functionaliteit kan niet ongedaan worden genomen. De eigenschap accepteert dus geen onwaar als waarde. | Bool |
enableRbacAuthorization | Eigenschap die bepaalt hoe gegevensacties worden geautoriseerd. Wanneer waar, gebruikt de sleutelkluis op rollen gebaseerd toegangsbeheer (RBAC) voor autorisatie van gegevensacties en worden de toegangsbeleidsregels die zijn opgegeven in kluiseigenschappen genegeerd. Als deze onwaar is, gebruikt de sleutelkluis het toegangsbeleid dat is opgegeven in kluiseigenschappen en worden alle beleidsregels die zijn opgeslagen in Azure Resource Manager genegeerd. Als null of niet is opgegeven, wordt de kluis gemaakt met de standaardwaarde false. Beheeracties worden altijd geautoriseerd met RBAC. | Bool |
enableSoftDelete | Eigenschap om op te geven of de functionaliteit voorlopig verwijderen is ingeschakeld voor deze sleutelkluis. Als deze niet is ingesteld op een waarde (waar of onwaar) bij het maken van een nieuwe sleutelkluis, wordt deze standaard ingesteld op true. Zodra deze is ingesteld op waar, kan deze niet meer worden teruggezet naar onwaar. | Bool |
networkAcls | Regels voor de toegankelijkheid van de sleutelkluis vanaf specifieke netwerklocaties. | NetworkRuleSet |
provisioningState | Inrichtingsstatus van de kluis. | 'RegisteringDns' 'Geslaagd' |
publicNetworkAccess | Eigenschap om op te geven of de kluis verkeer van openbaar internet accepteert. Als dit is ingesteld op 'uitgeschakeld' van al het verkeer, met uitzondering van privé-eindpuntverkeer en dat afkomstig is van vertrouwde services, wordt geblokkeerd. Hierdoor worden de ingestelde firewallregels overschreven, wat betekent dat zelfs als de firewallregels aanwezig zijn, we de regels niet zullen respecteren. | snaar |
Sku | SKU-details | SKU- (vereist) |
softDeleteRetentionInDays | softDelete-gegevensretentiedagen. Het accepteert >=7 en <=90. | Int |
tenantId | De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. | tekenreeks (vereist) Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | De URI van de kluis voor het uitvoeren van bewerkingen op sleutels en geheimen. | snaar |
AccessPolicyEntry
Naam | Beschrijving | Waarde |
---|---|---|
applicationId | Toepassings-id van de clientaanvraag namens een principal | snaar Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | De object-id van een gebruiker, service-principal of beveiligingsgroep in de Azure Active Directory-tenant voor de kluis. De object-id moet uniek zijn voor de lijst met toegangsbeleidsregels. | tekenreeks (vereist) |
Machtigingen | Machtigingen die de identiteit heeft voor sleutels, geheimen en certificaten. | machtigingen (vereist) |
tenantId | De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. | tekenreeks (vereist) Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Machtigingen
Naam | Beschrijving | Waarde |
---|---|---|
Certificaten | Machtigingen voor certificaten | Tekenreeksmatrix met een van de volgende waarden: 'all' 'back-up' 'maken' 'verwijderen' 'deleteissuers' 'get' 'getissuers' 'importeren' 'lijst' 'listissuers' 'managecontacts' 'manageissuers' 'leegmaken' 'herstellen' 'herstellen' 'setissuers' 'bijwerken' |
Sleutels | Machtigingen voor sleutels | Tekenreeksmatrix met een van de volgende waarden: 'all' 'back-up' 'maken' 'ontsleutelen' 'verwijderen' 'versleutelen' 'get' 'getrotationpolicy' 'importeren' 'lijst' 'leegmaken' 'herstellen' 'release' 'herstellen' 'draaien' "setrotationpolicy" 'teken' 'unwrapKey' 'bijwerken' 'verifiëren' 'wrapKey' |
Geheimen | Machtigingen voor geheimen | Tekenreeksmatrix met een van de volgende waarden: 'all' 'back-up' 'verwijderen' 'get' 'lijst' 'leegmaken' 'herstellen' 'herstellen' 'set' |
opslag | Machtigingen voor opslagaccounts | Tekenreeksmatrix met een van de volgende waarden: 'all' 'back-up' 'verwijderen' 'deletesas' 'get' 'getsas' 'lijst' 'listsas' 'leegmaken' 'herstellen' 'regeneratekey' 'herstellen' 'set' 'setsas' 'bijwerken' |
NetworkRuleSet
Naam | Beschrijving | Waarde |
---|---|---|
omzeilen | Hiermee wordt aangegeven welk verkeer netwerkregels kan omzeilen. Dit kan 'AzureServices' of 'Geen' zijn. Als de standaardwaarde niet is opgegeven, is 'AzureServices'. | 'AzureServices' 'Geen' |
defaultAction | De standaardactie wanneer geen regel van ipRules en van virtualNetworkRules overeenkomt. Dit wordt alleen gebruikt nadat de bypass-eigenschap is geëvalueerd. | 'Toestaan' 'Weigeren' |
ipRules | De lijst met IP-adresregels. | IPRule[] |
virtualNetworkRules | De lijst met regels voor virtuele netwerken. | VirtualNetworkRule[] |
IPRule
Naam | Beschrijving | Waarde |
---|---|---|
waarde | Een IPv4-adresbereik in CIDR-notatie, zoals '124.56.78.91' (eenvoudig IP-adres) of '124.56.78.0/24' (alle adressen die beginnen met 124.56.78). | tekenreeks (vereist) |
VirtualNetworkRule
Naam | Beschrijving | Waarde |
---|---|---|
legitimatiebewijs | Volledige resource-id van een vnet-subnet, zoals '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | tekenreeks (vereist) |
ignoreMissingVnetServiceEndpoint | Eigenschap om op te geven of NRP de controle negeert als bovenliggend subnet serviceEndpoints heeft geconfigureerd. | Bool |
Sku
Naam | Beschrijving | Waarde |
---|---|---|
Familie | Familienaam van SKU | A (vereist) |
naam | SKU-naam om op te geven of de sleutelkluis een standaardkluis of een Premium-kluis is. | 'premium' 'standaard' (vereist) |
Quickstart-sjablonen
Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.
Sjabloon | Beschrijving |
---|---|
AKS-cluster met een NAT-gateway en een Application Gateway- |
In dit voorbeeld ziet u hoe u een AKS-cluster implementeert met NAT Gateway voor uitgaande verbindingen en een Application Gateway voor binnenkomende verbindingen. |
een privé-AKS-cluster maken met een openbare DNS-zone |
In dit voorbeeld ziet u hoe u een privé-AKS-cluster implementeert met een openbare DNS-zone. |
Sports Analytics implementeren in Azure Architecture |
Hiermee maakt u een Azure-opslagaccount waarvoor ADLS Gen 2 is ingeschakeld, een Azure Data Factory-exemplaar met gekoppelde services voor het opslagaccount (een Azure SQL Database indien geïmplementeerd) en een Azure Databricks-exemplaar. De AAD-identiteit voor de gebruiker die de sjabloon implementeert en de beheerde identiteit voor het ADF-exemplaar krijgt de rol Inzender voor opslagblobgegevens in het opslagaccount. Er zijn ook opties voor het implementeren van een Azure Key Vault-exemplaar, een Azure SQL Database en een Azure Event Hub (voor gebruiksvoorbeelden voor streaming). Wanneer een Azure Key Vault wordt geïmplementeerd, krijgen de door data factory beheerde identiteit en de AAD-identiteit voor de gebruiker die de sjabloon implementeert, de rol Key Vault Secrets User toegewezen. |
Azure Machine Learning-werkruimte |
Met deze sjabloon maakt u een nieuwe Azure Machine Learning-werkruimte, samen met een versleuteld opslagaccount, KeyVault- en Applications Insights-logboekregistratie |
Een KeyVault- maken |
Met deze module maakt u een KeyVault-resource met apiVersion 2019-09-01. |
Een API Management-service maken met SSL vanuit KeyVault |
Met deze sjabloon wordt een API Management-service geïmplementeerd die is geconfigureerd met door de gebruiker toegewezen identiteit. Deze identiteit gebruikt om een SSL-certificaat op te halen uit KeyVault en wordt bijgewerkt door elke 4 uur te controleren. |
Maakt een Dapr pub-sub servicebus-app met behulp van Container Apps |
Maak een Dapr pub-sub servicebus-app met behulp van Container Apps. |
maakt een Azure Stack HCI 23H2-cluster |
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon. |
maakt een Azure Stack HCI 23H2-cluster |
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon, met behulp van een aangepast IP-adres voor opslag |
maakt een Azure Stack HCI 23H2-cluster in de switchloze Dual-link-netwerkmodus |
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon. |
maakt een Azure Stack HCI 23H2-cluster in Switchless-SingleLink netwerkmodus |
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon. |
Een nieuwe versleutelde windows-VM maken vanuit de galerie-installatiekopieën |
Met deze sjabloon maakt u een nieuwe versleutelde windows-VM met behulp van de installatiekopieën van de server 2k12-galerie. |
Nieuwe versleutelde beheerde schijven maken met win-vm uit de galerie-installatiekopieën |
Met deze sjabloon maakt u een nieuwe versleutelde beheerde schijven-VM met behulp van de server 2k12 gallery-installatiekopieën. |
Deze sjabloon versleutelt een actieve Windows VMSS- |
Met deze sjabloon wordt versleuteling ingeschakeld voor een actieve Windows-VM-schaalset |
Versleuteling inschakelen op een actieve Windows-VM- |
Met deze sjabloon kunt u versleuteling inschakelen op een actieve Windows-VM. |
een nieuwe Windows-VMSS maken en versleutelen met jumpbox- |
Met deze sjabloon kunt u een eenvoudige VM-schaalset van Windows-VM's implementeren met behulp van de laatst gepatchte versie van serverversies van Windows. Met deze sjabloon wordt ook een jumpbox met een openbaar IP-adres in hetzelfde virtuele netwerk geïmplementeerd. U kunt verbinding maken met de jumpbox via dit openbare IP-adres en vervolgens verbinding maken met VM's in de schaalset via privé-IP-adressen. Met deze sjabloon schakelt u versleuteling in op de VM-schaalset van Windows-VM's. |
Een Azure Key Vault en een geheim maken |
Met deze sjabloon maakt u een Azure Key Vault en een geheim. |
Een Azure Key Vault maken met RBAC en een geheim |
Met deze sjabloon maakt u een Azure Key Vault en een geheim. In plaats van te vertrouwen op toegangsbeleid, maakt het gebruik van Azure RBAC voor het beheren van autorisatie voor geheimen |
Sleutelkluis, beheerde identiteit en roltoewijzing maken |
Met deze sjabloon maakt u een sleutelkluis, beheerde identiteit en roltoewijzing. |
verbinding maken met een sleutelkluis via een privé-eindpunt |
In dit voorbeeld ziet u hoe u een virtueel netwerk en een privé-DNS-zone kunt gebruiken voor toegang tot Key Vault via een privé-eindpunt. |
Een sleutelkluis en een lijst met geheimen maken |
Met deze sjabloon maakt u een sleutelkluis en een lijst met geheimen in de sleutelkluis, die samen met de parameters worden doorgegeven |
Key Vault maken waarvoor logboekregistratie is ingeschakeld |
Met deze sjabloon maakt u een Azure Key Vault en een Azure Storage-account dat wordt gebruikt voor logboekregistratie. Er worden eventueel resourcevergrendelingen gemaakt om uw Key Vault en opslagresources te beveiligen. |
basisinstallatie van Azure AI Studio |
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met de basisinstallatie, wat betekent dat openbare internettoegang is ingeschakeld, door Microsoft beheerde sleutels voor versleuteling en door Microsoft beheerde identiteitconfiguratie voor de AI-resource. |
basisinstallatie van Azure AI Studio |
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met de basisinstallatie, wat betekent dat openbare internettoegang is ingeschakeld, door Microsoft beheerde sleutels voor versleuteling en door Microsoft beheerde identiteitconfiguratie voor de AI-resource. |
Azure AI Studio met Microsoft Entra ID Authentication |
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met Microsoft Entra ID-verificatie voor afhankelijke resources, zoals Azure AI Services en Azure Storage. |
AML-werkruimte maken met meerdere gegevenssets & gegevensarchieven |
Met deze sjabloon maakt u een Azure Machine Learning-werkruimte met meerdere gegevenssets & gegevensarchieven. |
end-to-end beveiligde installatie van Azure Machine Learning |
Deze set Bicep-sjablonen laat zien hoe u Azure Machine Learning end-to-end instelt in een veilige configuratie. Deze referentie-implementatie omvat de werkruimte, een rekencluster, een rekenproces en een gekoppeld privé-AKS-cluster. |
end-to-end beveiligde installatie van Azure Machine Learning (verouderd) |
Deze set Bicep-sjablonen laat zien hoe u Azure Machine Learning end-to-end instelt in een veilige configuratie. Deze referentie-implementatie omvat de werkruimte, een rekencluster, een rekenproces en een gekoppeld privé-AKS-cluster. |
Een AKS-rekendoel maken met een privé-IP-adres |
Met deze sjabloon maakt u een AKS-rekendoel in de azure Machine Learning Service-werkruimte met een privé-IP-adres. |
Een Azure Machine Learning Service-werkruimte maken |
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. Deze configuratie beschrijft de minimale set resources die u nodig hebt om aan de slag te gaan met Azure Machine Learning. |
een CMK- (Azure Machine Learning Service Workspace) maken |
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In het voorbeeld ziet u hoe u Azure Machine Learning configureert voor versleuteling met een door de klant beheerde versleutelingssleutel. |
een CMK- (Azure Machine Learning Service Workspace) maken |
Deze implementatiesjabloon geeft aan hoe u een Azure Machine Learning-werkruimte maakt met versleuteling aan de servicezijde met behulp van uw versleutelingssleutels. |
Een Azure Machine Learning Service-werkruimte (vnet) maken |
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In deze configuratie wordt de set resources beschreven die u nodig hebt om aan de slag te gaan met Azure Machine Learning in een geïsoleerde netwerkconfiguratie. |
Een Azure Machine Learning Service-werkruimte (verouderd) maken |
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In deze configuratie wordt de set resources beschreven die u nodig hebt om aan de slag te gaan met Azure Machine Learning in een geïsoleerde netwerkconfiguratie. |
AKS-cluster met de ingangscontroller van Application Gateway |
In dit voorbeeld ziet u hoe u een AKS-cluster implementeert met Application Gateway, Application Gateway-ingangscontroller, Azure Container Registry, Log Analytics en Key Vault |
Een Application Gateway V2 maken met Key Vault- |
Met deze sjabloon wordt een Application Gateway V2 geïmplementeerd in een virtueel netwerk, een door de gebruiker gedefinieerde identiteit, Key Vault, een geheim (certificaatgegevens) en toegangsbeleid voor Key Vault en Application Gateway. |
testomgeving voor Azure Firewall Premium- |
Met deze sjabloon maakt u een Azure Firewall Premium- en Firewall-beleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorie |
maakt een privé-eindpuntresource voor meerdere tenants |
Met deze sjabloon kunt u een Priavate-eindpuntresource maken binnen dezelfde of meerdere tenantomgevingen en dns-zoneconfiguratie toevoegen. |
Application Gateway maken met certificaten |
In deze sjabloon ziet u hoe u zelfondertekende Key Vault-certificaten genereert en vervolgens verwijst vanuit Application Gateway. |
Azure Storage-accountversleuteling met door de klant beheerde sleutel |
Met deze sjabloon wordt een opslagaccount geïmplementeerd met een door de klant beheerde sleutel voor versleuteling die wordt gegenereerd en in een sleutelkluis wordt geplaatst. |
App Service Environment met Azure SQL-back-end |
Met deze sjabloon maakt u een App Service-omgeving met een Azure SQL-back-end, samen met privé-eindpunten, samen met de bijbehorende resources die doorgaans worden gebruikt in een privé-/geïsoleerde omgeving. |
Azure Function-app en een door HTTP geactiveerde functie |
In dit voorbeeld wordt een Azure Function-app en een inline http-geactiveerde functie in de sjabloon geïmplementeerd. Er wordt ook een sleutelkluis geïmplementeerd en een geheim gevuld met de hostsleutel van de functie-app. |
Application Gateway met interne API Management en Web App |
Application Gateway: internetverkeer routeren naar een API Management-exemplaar van een virtueel netwerk (interne modus) dat een web-API services die wordt gehost in een Azure-web-app. |
Resourcedefinitie van ARM-sjabloon
Het resourcetype kluizen kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor de implementatie van resourcegroepen
Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.
Opmerkingen
Zie Geheimen beheren met Bicepvoor hulp bij het gebruik van sleutelkluizen voor veilige waarden.
Zie Quickstart: Een geheim instellen en ophalen uit Azure Key Vault met behulp van een ARM-sjabloonvoor een quickstart over het maken van een geheim.
Zie Quickstart: Een Azure-sleutelkluis en een sleutel maken met behulp van een ARM-sjabloonvoor een quickstart over het maken van een sleutel.
Resource-indeling
Als u een Microsoft.KeyVault/vaults-resource wilt maken, voegt u de volgende JSON toe aan uw sjabloon.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2022-11-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Eigenschapswaarden
Kluizen
Naam | Beschrijving | Waarde |
---|---|---|
type | Het resourcetype | 'Microsoft.KeyVault/vaults' |
apiVersion | De versie van de resource-API | '2022-11-01' |
naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 3-24 Geldige tekens: Alfanumerieke en afbreekstreepjes. Begin met brief. Eindig met letter of cijfer. Kan geen opeenvolgende afbreekstreepjes bevatten. De resourcenaam moet uniek zijn in Azure. |
plaats | De ondersteunde Azure-locatie waar de sleutelkluis moet worden gemaakt. | tekenreeks (vereist) |
Tags | De tags die worden toegewezen aan de sleutelkluis. | Woordenlijst met tagnamen en -waarden. Zie Tags in sjablonen |
Eigenschappen | Eigenschappen van de kluis | VaultProperties- (vereist) |
VaultProperties
Naam | Beschrijving | Waarde |
---|---|---|
accessPolicies | Een matrix van 0 tot 1024 identiteiten die toegang hebben tot de sleutelkluis. Alle identiteiten in de matrix moeten dezelfde tenant-id gebruiken als de tenant-id van de sleutelkluis. Wanneer createMode is ingesteld op recover , zijn toegangsbeleidsregels niet vereist. Anders zijn toegangsbeleidsregels vereist. |
AccessPolicyEntry[] |
createMode | De maakmodus van de kluis om aan te geven of de kluis moet worden hersteld of niet. | 'standaard' 'herstellen' |
enabledForDeployment | Eigenschap om op te geven of virtuele Azure-machines certificaten mogen ophalen die zijn opgeslagen als geheimen uit de sleutelkluis. | Bool |
enabledForDiskEncryption | Eigenschap om op te geven of Azure Disk Encryption geheimen mag ophalen uit de kluis en sleutels uitpakken. | Bool |
enabledForTemplateDeployment | Eigenschap om op te geven of Azure Resource Manager geheimen mag ophalen uit de sleutelkluis. | Bool |
enablePurgeProtection | Eigenschap die aangeeft of beveiliging tegen opschonen is ingeschakeld voor deze kluis. Als u deze eigenschap instelt op true, wordt de beveiliging tegen opschoning voor deze kluis en de inhoud ervan geactiveerd. Alleen de Key Vault-service kan een harde, onherstelbare verwijdering initiëren. De instelling is alleen van kracht als voorlopig verwijderen ook is ingeschakeld. Het inschakelen van deze functionaliteit kan niet ongedaan worden genomen. De eigenschap accepteert dus geen onwaar als waarde. | Bool |
enableRbacAuthorization | Eigenschap die bepaalt hoe gegevensacties worden geautoriseerd. Wanneer waar, gebruikt de sleutelkluis op rollen gebaseerd toegangsbeheer (RBAC) voor autorisatie van gegevensacties en worden de toegangsbeleidsregels die zijn opgegeven in kluiseigenschappen genegeerd. Als deze onwaar is, gebruikt de sleutelkluis het toegangsbeleid dat is opgegeven in kluiseigenschappen en worden alle beleidsregels die zijn opgeslagen in Azure Resource Manager genegeerd. Als null of niet is opgegeven, wordt de kluis gemaakt met de standaardwaarde false. Beheeracties worden altijd geautoriseerd met RBAC. | Bool |
enableSoftDelete | Eigenschap om op te geven of de functionaliteit voorlopig verwijderen is ingeschakeld voor deze sleutelkluis. Als deze niet is ingesteld op een waarde (waar of onwaar) bij het maken van een nieuwe sleutelkluis, wordt deze standaard ingesteld op true. Zodra deze is ingesteld op waar, kan deze niet meer worden teruggezet naar onwaar. | Bool |
networkAcls | Regels voor de toegankelijkheid van de sleutelkluis vanaf specifieke netwerklocaties. | NetworkRuleSet |
provisioningState | Inrichtingsstatus van de kluis. | 'RegisteringDns' 'Geslaagd' |
publicNetworkAccess | Eigenschap om op te geven of de kluis verkeer van openbaar internet accepteert. Als dit is ingesteld op 'uitgeschakeld' van al het verkeer, met uitzondering van privé-eindpuntverkeer en dat afkomstig is van vertrouwde services, wordt geblokkeerd. Hierdoor worden de ingestelde firewallregels overschreven, wat betekent dat zelfs als de firewallregels aanwezig zijn, we de regels niet zullen respecteren. | snaar |
Sku | SKU-details | SKU- (vereist) |
softDeleteRetentionInDays | softDelete-gegevensretentiedagen. Het accepteert >=7 en <=90. | Int |
tenantId | De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. | tekenreeks (vereist) Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | De URI van de kluis voor het uitvoeren van bewerkingen op sleutels en geheimen. | snaar |
AccessPolicyEntry
Naam | Beschrijving | Waarde |
---|---|---|
applicationId | Toepassings-id van de clientaanvraag namens een principal | snaar Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | De object-id van een gebruiker, service-principal of beveiligingsgroep in de Azure Active Directory-tenant voor de kluis. De object-id moet uniek zijn voor de lijst met toegangsbeleidsregels. | tekenreeks (vereist) |
Machtigingen | Machtigingen die de identiteit heeft voor sleutels, geheimen en certificaten. | machtigingen (vereist) |
tenantId | De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. | tekenreeks (vereist) Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Machtigingen
Naam | Beschrijving | Waarde |
---|---|---|
Certificaten | Machtigingen voor certificaten | Tekenreeksmatrix met een van de volgende waarden: 'all' 'back-up' 'maken' 'verwijderen' 'deleteissuers' 'get' 'getissuers' 'importeren' 'lijst' 'listissuers' 'managecontacts' 'manageissuers' 'leegmaken' 'herstellen' 'herstellen' 'setissuers' 'bijwerken' |
Sleutels | Machtigingen voor sleutels | Tekenreeksmatrix met een van de volgende waarden: 'all' 'back-up' 'maken' 'ontsleutelen' 'verwijderen' 'versleutelen' 'get' 'getrotationpolicy' 'importeren' 'lijst' 'leegmaken' 'herstellen' 'release' 'herstellen' 'draaien' "setrotationpolicy" 'teken' 'unwrapKey' 'bijwerken' 'verifiëren' 'wrapKey' |
Geheimen | Machtigingen voor geheimen | Tekenreeksmatrix met een van de volgende waarden: 'all' 'back-up' 'verwijderen' 'get' 'lijst' 'leegmaken' 'herstellen' 'herstellen' 'set' |
opslag | Machtigingen voor opslagaccounts | Tekenreeksmatrix met een van de volgende waarden: 'all' 'back-up' 'verwijderen' 'deletesas' 'get' 'getsas' 'lijst' 'listsas' 'leegmaken' 'herstellen' 'regeneratekey' 'herstellen' 'set' 'setsas' 'bijwerken' |
NetworkRuleSet
Naam | Beschrijving | Waarde |
---|---|---|
omzeilen | Hiermee wordt aangegeven welk verkeer netwerkregels kan omzeilen. Dit kan 'AzureServices' of 'Geen' zijn. Als de standaardwaarde niet is opgegeven, is 'AzureServices'. | 'AzureServices' 'Geen' |
defaultAction | De standaardactie wanneer geen regel van ipRules en van virtualNetworkRules overeenkomt. Dit wordt alleen gebruikt nadat de bypass-eigenschap is geëvalueerd. | 'Toestaan' 'Weigeren' |
ipRules | De lijst met IP-adresregels. | IPRule[] |
virtualNetworkRules | De lijst met regels voor virtuele netwerken. | VirtualNetworkRule[] |
IPRule
Naam | Beschrijving | Waarde |
---|---|---|
waarde | Een IPv4-adresbereik in CIDR-notatie, zoals '124.56.78.91' (eenvoudig IP-adres) of '124.56.78.0/24' (alle adressen die beginnen met 124.56.78). | tekenreeks (vereist) |
VirtualNetworkRule
Naam | Beschrijving | Waarde |
---|---|---|
legitimatiebewijs | Volledige resource-id van een vnet-subnet, zoals '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | tekenreeks (vereist) |
ignoreMissingVnetServiceEndpoint | Eigenschap om op te geven of NRP de controle negeert als bovenliggend subnet serviceEndpoints heeft geconfigureerd. | Bool |
Sku
Naam | Beschrijving | Waarde |
---|---|---|
Familie | Familienaam van SKU | A (vereist) |
naam | SKU-naam om op te geven of de sleutelkluis een standaardkluis of een Premium-kluis is. | 'premium' 'standaard' (vereist) |
Quickstart-sjablonen
Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.
Sjabloon | Beschrijving |
---|---|
AKS-cluster met een NAT-gateway en een Application Gateway- |
In dit voorbeeld ziet u hoe u een AKS-cluster implementeert met NAT Gateway voor uitgaande verbindingen en een Application Gateway voor binnenkomende verbindingen. |
een privé-AKS-cluster maken met een openbare DNS-zone |
In dit voorbeeld ziet u hoe u een privé-AKS-cluster implementeert met een openbare DNS-zone. |
Sports Analytics implementeren in Azure Architecture |
Hiermee maakt u een Azure-opslagaccount waarvoor ADLS Gen 2 is ingeschakeld, een Azure Data Factory-exemplaar met gekoppelde services voor het opslagaccount (een Azure SQL Database indien geïmplementeerd) en een Azure Databricks-exemplaar. De AAD-identiteit voor de gebruiker die de sjabloon implementeert en de beheerde identiteit voor het ADF-exemplaar krijgt de rol Inzender voor opslagblobgegevens in het opslagaccount. Er zijn ook opties voor het implementeren van een Azure Key Vault-exemplaar, een Azure SQL Database en een Azure Event Hub (voor gebruiksvoorbeelden voor streaming). Wanneer een Azure Key Vault wordt geïmplementeerd, krijgen de door data factory beheerde identiteit en de AAD-identiteit voor de gebruiker die de sjabloon implementeert, de rol Key Vault Secrets User toegewezen. |
Azure Machine Learning-werkruimte |
Met deze sjabloon maakt u een nieuwe Azure Machine Learning-werkruimte, samen met een versleuteld opslagaccount, KeyVault- en Applications Insights-logboekregistratie |
Een KeyVault- maken |
Met deze module maakt u een KeyVault-resource met apiVersion 2019-09-01. |
Een API Management-service maken met SSL vanuit KeyVault |
Met deze sjabloon wordt een API Management-service geïmplementeerd die is geconfigureerd met door de gebruiker toegewezen identiteit. Deze identiteit gebruikt om een SSL-certificaat op te halen uit KeyVault en wordt bijgewerkt door elke 4 uur te controleren. |
Maakt een Dapr pub-sub servicebus-app met behulp van Container Apps |
Maak een Dapr pub-sub servicebus-app met behulp van Container Apps. |
maakt een Azure Stack HCI 23H2-cluster |
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon. |
maakt een Azure Stack HCI 23H2-cluster |
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon, met behulp van een aangepast IP-adres voor opslag |
maakt een Azure Stack HCI 23H2-cluster in de switchloze Dual-link-netwerkmodus |
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon. |
maakt een Azure Stack HCI 23H2-cluster in Switchless-SingleLink netwerkmodus |
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon. |
Een nieuwe versleutelde windows-VM maken vanuit de galerie-installatiekopieën |
Met deze sjabloon maakt u een nieuwe versleutelde windows-VM met behulp van de installatiekopieën van de server 2k12-galerie. |
Nieuwe versleutelde beheerde schijven maken met win-vm uit de galerie-installatiekopieën |
Met deze sjabloon maakt u een nieuwe versleutelde beheerde schijven-VM met behulp van de server 2k12 gallery-installatiekopieën. |
Deze sjabloon versleutelt een actieve Windows VMSS- |
Met deze sjabloon wordt versleuteling ingeschakeld voor een actieve Windows-VM-schaalset |
Versleuteling inschakelen op een actieve Windows-VM- |
Met deze sjabloon kunt u versleuteling inschakelen op een actieve Windows-VM. |
een nieuwe Windows-VMSS maken en versleutelen met jumpbox- |
Met deze sjabloon kunt u een eenvoudige VM-schaalset van Windows-VM's implementeren met behulp van de laatst gepatchte versie van serverversies van Windows. Met deze sjabloon wordt ook een jumpbox met een openbaar IP-adres in hetzelfde virtuele netwerk geïmplementeerd. U kunt verbinding maken met de jumpbox via dit openbare IP-adres en vervolgens verbinding maken met VM's in de schaalset via privé-IP-adressen. Met deze sjabloon schakelt u versleuteling in op de VM-schaalset van Windows-VM's. |
Een Azure Key Vault en een geheim maken |
Met deze sjabloon maakt u een Azure Key Vault en een geheim. |
Een Azure Key Vault maken met RBAC en een geheim |
Met deze sjabloon maakt u een Azure Key Vault en een geheim. In plaats van te vertrouwen op toegangsbeleid, maakt het gebruik van Azure RBAC voor het beheren van autorisatie voor geheimen |
Sleutelkluis, beheerde identiteit en roltoewijzing maken |
Met deze sjabloon maakt u een sleutelkluis, beheerde identiteit en roltoewijzing. |
verbinding maken met een sleutelkluis via een privé-eindpunt |
In dit voorbeeld ziet u hoe u een virtueel netwerk en een privé-DNS-zone kunt gebruiken voor toegang tot Key Vault via een privé-eindpunt. |
Een sleutelkluis en een lijst met geheimen maken |
Met deze sjabloon maakt u een sleutelkluis en een lijst met geheimen in de sleutelkluis, die samen met de parameters worden doorgegeven |
Key Vault maken waarvoor logboekregistratie is ingeschakeld |
Met deze sjabloon maakt u een Azure Key Vault en een Azure Storage-account dat wordt gebruikt voor logboekregistratie. Er worden eventueel resourcevergrendelingen gemaakt om uw Key Vault en opslagresources te beveiligen. |
basisinstallatie van Azure AI Studio |
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met de basisinstallatie, wat betekent dat openbare internettoegang is ingeschakeld, door Microsoft beheerde sleutels voor versleuteling en door Microsoft beheerde identiteitconfiguratie voor de AI-resource. |
basisinstallatie van Azure AI Studio |
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met de basisinstallatie, wat betekent dat openbare internettoegang is ingeschakeld, door Microsoft beheerde sleutels voor versleuteling en door Microsoft beheerde identiteitconfiguratie voor de AI-resource. |
Azure AI Studio met Microsoft Entra ID Authentication |
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met Microsoft Entra ID-verificatie voor afhankelijke resources, zoals Azure AI Services en Azure Storage. |
AML-werkruimte maken met meerdere gegevenssets & gegevensarchieven |
Met deze sjabloon maakt u een Azure Machine Learning-werkruimte met meerdere gegevenssets & gegevensarchieven. |
end-to-end beveiligde installatie van Azure Machine Learning |
Deze set Bicep-sjablonen laat zien hoe u Azure Machine Learning end-to-end instelt in een veilige configuratie. Deze referentie-implementatie omvat de werkruimte, een rekencluster, een rekenproces en een gekoppeld privé-AKS-cluster. |
end-to-end beveiligde installatie van Azure Machine Learning (verouderd) |
Deze set Bicep-sjablonen laat zien hoe u Azure Machine Learning end-to-end instelt in een veilige configuratie. Deze referentie-implementatie omvat de werkruimte, een rekencluster, een rekenproces en een gekoppeld privé-AKS-cluster. |
Een AKS-rekendoel maken met een privé-IP-adres |
Met deze sjabloon maakt u een AKS-rekendoel in de azure Machine Learning Service-werkruimte met een privé-IP-adres. |
Een Azure Machine Learning Service-werkruimte maken |
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. Deze configuratie beschrijft de minimale set resources die u nodig hebt om aan de slag te gaan met Azure Machine Learning. |
een CMK- (Azure Machine Learning Service Workspace) maken |
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In het voorbeeld ziet u hoe u Azure Machine Learning configureert voor versleuteling met een door de klant beheerde versleutelingssleutel. |
een CMK- (Azure Machine Learning Service Workspace) maken |
Deze implementatiesjabloon geeft aan hoe u een Azure Machine Learning-werkruimte maakt met versleuteling aan de servicezijde met behulp van uw versleutelingssleutels. |
Een Azure Machine Learning Service-werkruimte (vnet) maken |
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In deze configuratie wordt de set resources beschreven die u nodig hebt om aan de slag te gaan met Azure Machine Learning in een geïsoleerde netwerkconfiguratie. |
Een Azure Machine Learning Service-werkruimte (verouderd) maken |
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In deze configuratie wordt de set resources beschreven die u nodig hebt om aan de slag te gaan met Azure Machine Learning in een geïsoleerde netwerkconfiguratie. |
AKS-cluster met de ingangscontroller van Application Gateway |
In dit voorbeeld ziet u hoe u een AKS-cluster implementeert met Application Gateway, Application Gateway-ingangscontroller, Azure Container Registry, Log Analytics en Key Vault |
Een Application Gateway V2 maken met Key Vault- |
Met deze sjabloon wordt een Application Gateway V2 geïmplementeerd in een virtueel netwerk, een door de gebruiker gedefinieerde identiteit, Key Vault, een geheim (certificaatgegevens) en toegangsbeleid voor Key Vault en Application Gateway. |
testomgeving voor Azure Firewall Premium- |
Met deze sjabloon maakt u een Azure Firewall Premium- en Firewall-beleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorie |
maakt een privé-eindpuntresource voor meerdere tenants |
Met deze sjabloon kunt u een Priavate-eindpuntresource maken binnen dezelfde of meerdere tenantomgevingen en dns-zoneconfiguratie toevoegen. |
Application Gateway maken met certificaten |
In deze sjabloon ziet u hoe u zelfondertekende Key Vault-certificaten genereert en vervolgens verwijst vanuit Application Gateway. |
Azure Storage-accountversleuteling met door de klant beheerde sleutel |
Met deze sjabloon wordt een opslagaccount geïmplementeerd met een door de klant beheerde sleutel voor versleuteling die wordt gegenereerd en in een sleutelkluis wordt geplaatst. |
App Service Environment met Azure SQL-back-end |
Met deze sjabloon maakt u een App Service-omgeving met een Azure SQL-back-end, samen met privé-eindpunten, samen met de bijbehorende resources die doorgaans worden gebruikt in een privé-/geïsoleerde omgeving. |
Azure Function-app en een door HTTP geactiveerde functie |
In dit voorbeeld wordt een Azure Function-app en een inline http-geactiveerde functie in de sjabloon geïmplementeerd. Er wordt ook een sleutelkluis geïmplementeerd en een geheim gevuld met de hostsleutel van de functie-app. |
Application Gateway met interne API Management en Web App |
Application Gateway: internetverkeer routeren naar een API Management-exemplaar van een virtueel netwerk (interne modus) dat een web-API services die wordt gehost in een Azure-web-app. |
Resourcedefinitie van Terraform (AzAPI-provider)
Het resourcetype kluizen kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- resourcegroepen
Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.KeyVault/vaults-resource wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2022-11-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Eigenschapswaarden
Kluizen
Naam | Beschrijving | Waarde |
---|---|---|
type | Het resourcetype | "Microsoft.KeyVault/vaults@2022-11-01" |
naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 3-24 Geldige tekens: Alfanumerieke en afbreekstreepjes. Begin met brief. Eindig met letter of cijfer. Kan geen opeenvolgende afbreekstreepjes bevatten. De resourcenaam moet uniek zijn in Azure. |
plaats | De ondersteunde Azure-locatie waar de sleutelkluis moet worden gemaakt. | tekenreeks (vereist) |
parent_id | Als u wilt implementeren in een resourcegroep, gebruikt u de id van die resourcegroep. | tekenreeks (vereist) |
Tags | De tags die worden toegewezen aan de sleutelkluis. | Woordenlijst met tagnamen en -waarden. |
Eigenschappen | Eigenschappen van de kluis | VaultProperties- (vereist) |
VaultProperties
Naam | Beschrijving | Waarde |
---|---|---|
accessPolicies | Een matrix van 0 tot 1024 identiteiten die toegang hebben tot de sleutelkluis. Alle identiteiten in de matrix moeten dezelfde tenant-id gebruiken als de tenant-id van de sleutelkluis. Wanneer createMode is ingesteld op recover , zijn toegangsbeleidsregels niet vereist. Anders zijn toegangsbeleidsregels vereist. |
AccessPolicyEntry[] |
createMode | De maakmodus van de kluis om aan te geven of de kluis moet worden hersteld of niet. | "standaard" "herstellen" |
enabledForDeployment | Eigenschap om op te geven of virtuele Azure-machines certificaten mogen ophalen die zijn opgeslagen als geheimen uit de sleutelkluis. | Bool |
enabledForDiskEncryption | Eigenschap om op te geven of Azure Disk Encryption geheimen mag ophalen uit de kluis en sleutels uitpakken. | Bool |
enabledForTemplateDeployment | Eigenschap om op te geven of Azure Resource Manager geheimen mag ophalen uit de sleutelkluis. | Bool |
enablePurgeProtection | Eigenschap die aangeeft of beveiliging tegen opschonen is ingeschakeld voor deze kluis. Als u deze eigenschap instelt op true, wordt de beveiliging tegen opschoning voor deze kluis en de inhoud ervan geactiveerd. Alleen de Key Vault-service kan een harde, onherstelbare verwijdering initiëren. De instelling is alleen van kracht als voorlopig verwijderen ook is ingeschakeld. Het inschakelen van deze functionaliteit kan niet ongedaan worden genomen. De eigenschap accepteert dus geen onwaar als waarde. | Bool |
enableRbacAuthorization | Eigenschap die bepaalt hoe gegevensacties worden geautoriseerd. Wanneer waar, gebruikt de sleutelkluis op rollen gebaseerd toegangsbeheer (RBAC) voor autorisatie van gegevensacties en worden de toegangsbeleidsregels die zijn opgegeven in kluiseigenschappen genegeerd. Als deze onwaar is, gebruikt de sleutelkluis het toegangsbeleid dat is opgegeven in kluiseigenschappen en worden alle beleidsregels die zijn opgeslagen in Azure Resource Manager genegeerd. Als null of niet is opgegeven, wordt de kluis gemaakt met de standaardwaarde false. Beheeracties worden altijd geautoriseerd met RBAC. | Bool |
enableSoftDelete | Eigenschap om op te geven of de functionaliteit voorlopig verwijderen is ingeschakeld voor deze sleutelkluis. Als deze niet is ingesteld op een waarde (waar of onwaar) bij het maken van een nieuwe sleutelkluis, wordt deze standaard ingesteld op true. Zodra deze is ingesteld op waar, kan deze niet meer worden teruggezet naar onwaar. | Bool |
networkAcls | Regels voor de toegankelijkheid van de sleutelkluis vanaf specifieke netwerklocaties. | NetworkRuleSet |
provisioningState | Inrichtingsstatus van de kluis. | "RegisteringDns" "Geslaagd" |
publicNetworkAccess | Eigenschap om op te geven of de kluis verkeer van openbaar internet accepteert. Als dit is ingesteld op 'uitgeschakeld' van al het verkeer, met uitzondering van privé-eindpuntverkeer en dat afkomstig is van vertrouwde services, wordt geblokkeerd. Hierdoor worden de ingestelde firewallregels overschreven, wat betekent dat zelfs als de firewallregels aanwezig zijn, we de regels niet zullen respecteren. | snaar |
Sku | SKU-details | SKU- (vereist) |
softDeleteRetentionInDays | softDelete-gegevensretentiedagen. Het accepteert >=7 en <=90. | Int |
tenantId | De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. | tekenreeks (vereist) Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | De URI van de kluis voor het uitvoeren van bewerkingen op sleutels en geheimen. | snaar |
AccessPolicyEntry
Naam | Beschrijving | Waarde |
---|---|---|
applicationId | Toepassings-id van de clientaanvraag namens een principal | snaar Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | De object-id van een gebruiker, service-principal of beveiligingsgroep in de Azure Active Directory-tenant voor de kluis. De object-id moet uniek zijn voor de lijst met toegangsbeleidsregels. | tekenreeks (vereist) |
Machtigingen | Machtigingen die de identiteit heeft voor sleutels, geheimen en certificaten. | machtigingen (vereist) |
tenantId | De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. | tekenreeks (vereist) Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Machtigingen
Naam | Beschrijving | Waarde |
---|---|---|
Certificaten | Machtigingen voor certificaten | Tekenreeksmatrix met een van de volgende waarden: "all" "back-up" "maken" "verwijderen" "deleteissuers" "get" "getissuers" "importeren" "lijst" "listissuers" "managecontacts" "manageissuers" "leegmaken" "herstellen" "herstellen" "setissuers" "bijwerken" |
Sleutels | Machtigingen voor sleutels | Tekenreeksmatrix met een van de volgende waarden: "all" "back-up" "maken" "ontsleutelen" "verwijderen" "versleutelen" "get" "getrotationpolicy" "importeren" "lijst" "leegmaken" "herstellen" "release" "herstellen" "draaien" "setrotationpolicy" "teken" "unwrapKey" "bijwerken" "verifiëren" "wrapKey" |
Geheimen | Machtigingen voor geheimen | Tekenreeksmatrix met een van de volgende waarden: "all" "back-up" "verwijderen" "get" "lijst" "leegmaken" "herstellen" "herstellen" "set" |
opslag | Machtigingen voor opslagaccounts | Tekenreeksmatrix met een van de volgende waarden: "all" "back-up" "verwijderen" "deletesas" "get" "getsas" "lijst" "listsas" "leegmaken" "herstellen" "regeneratekey" "herstellen" "set" "setsas" "bijwerken" |
NetworkRuleSet
Naam | Beschrijving | Waarde |
---|---|---|
omzeilen | Hiermee wordt aangegeven welk verkeer netwerkregels kan omzeilen. Dit kan 'AzureServices' of 'Geen' zijn. Als de standaardwaarde niet is opgegeven, is 'AzureServices'. | "AzureServices" "Geen" |
defaultAction | De standaardactie wanneer geen regel van ipRules en van virtualNetworkRules overeenkomt. Dit wordt alleen gebruikt nadat de bypass-eigenschap is geëvalueerd. | "Toestaan" "Weigeren" |
ipRules | De lijst met IP-adresregels. | IPRule[] |
virtualNetworkRules | De lijst met regels voor virtuele netwerken. | VirtualNetworkRule[] |
IPRule
Naam | Beschrijving | Waarde |
---|---|---|
waarde | Een IPv4-adresbereik in CIDR-notatie, zoals '124.56.78.91' (eenvoudig IP-adres) of '124.56.78.0/24' (alle adressen die beginnen met 124.56.78). | tekenreeks (vereist) |
VirtualNetworkRule
Naam | Beschrijving | Waarde |
---|---|---|
legitimatiebewijs | Volledige resource-id van een vnet-subnet, zoals '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | tekenreeks (vereist) |
ignoreMissingVnetServiceEndpoint | Eigenschap om op te geven of NRP de controle negeert als bovenliggend subnet serviceEndpoints heeft geconfigureerd. | Bool |
Sku
Naam | Beschrijving | Waarde |
---|---|---|
Familie | Familienaam van SKU | "A" (vereist) |
naam | SKU-naam om op te geven of de sleutelkluis een standaardkluis of een Premium-kluis is. | "premium" "standaard" (vereist) |