Delen via


Microsoft.KeyVault-kluizen 2023-02-01

Bicep-resourcedefinitie

Het resourcetype kluizen kan worden geïmplementeerd met bewerkingen die zijn gericht op:

Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.

Opmerkingen

Zie Geheimen beheren met Bicepvoor hulp bij het gebruik van sleutelkluizen voor veilige waarden.

Zie Quickstart: Een geheim instellen en ophalen uit Azure Key Vault met behulp van een ARM-sjabloonvoor een quickstart over het maken van een geheim.

Zie Quickstart: Een Azure-sleutelkluis en een sleutel maken met behulp van een ARM-sjabloonvoor een quickstart over het maken van een sleutel.

Resource-indeling

Als u een Resource voor Microsoft.KeyVault/kluizen wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.

resource symbolicname 'Microsoft.KeyVault/vaults@2023-02-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    publicNetworkAccess: 'string'
    sku: {
      family: 'A'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
}

Eigenschapswaarden

Kluizen

Naam Beschrijving Waarde
naam De resourcenaam tekenreeks (vereist)

Tekenlimiet: 3-24

Geldige tekens:
Alfanumerieke en afbreekstreepjes.

Begin met brief. Eindig met letter of cijfer. Kan geen opeenvolgende afbreekstreepjes bevatten.

De resourcenaam moet uniek zijn in Azure.
plaats De ondersteunde Azure-locatie waar de sleutelkluis moet worden gemaakt. tekenreeks (vereist)
Tags De tags die worden toegewezen aan de sleutelkluis. Woordenlijst met tagnamen en -waarden. Zie Tags in sjablonen
Eigenschappen Eigenschappen van de kluis VaultProperties- (vereist)

VaultProperties

Naam Beschrijving Waarde
accessPolicies Een matrix van 0 tot 1024 identiteiten die toegang hebben tot de sleutelkluis. Alle identiteiten in de matrix moeten dezelfde tenant-id gebruiken als de tenant-id van de sleutelkluis. Wanneer createMode is ingesteld op recover, zijn toegangsbeleidsregels niet vereist. Anders zijn toegangsbeleidsregels vereist. AccessPolicyEntry[]
createMode De maakmodus van de kluis om aan te geven of de kluis moet worden hersteld of niet. 'standaard'
'herstellen'
enabledForDeployment Eigenschap om op te geven of virtuele Azure-machines certificaten mogen ophalen die zijn opgeslagen als geheimen uit de sleutelkluis. Bool
enabledForDiskEncryption Eigenschap om op te geven of Azure Disk Encryption geheimen mag ophalen uit de kluis en sleutels uitpakken. Bool
enabledForTemplateDeployment Eigenschap om op te geven of Azure Resource Manager geheimen mag ophalen uit de sleutelkluis. Bool
enablePurgeProtection Eigenschap die aangeeft of beveiliging tegen opschonen is ingeschakeld voor deze kluis. Als u deze eigenschap instelt op true, wordt de beveiliging tegen opschoning voor deze kluis en de inhoud ervan geactiveerd. Alleen de Key Vault-service kan een harde, onherstelbare verwijdering initiëren. De instelling is alleen van kracht als voorlopig verwijderen ook is ingeschakeld. Het inschakelen van deze functionaliteit kan niet ongedaan worden genomen. De eigenschap accepteert dus geen onwaar als waarde. Bool
enableRbacAuthorization Eigenschap die bepaalt hoe gegevensacties worden geautoriseerd. Wanneer waar, gebruikt de sleutelkluis op rollen gebaseerd toegangsbeheer (RBAC) voor autorisatie van gegevensacties en worden de toegangsbeleidsregels die zijn opgegeven in kluiseigenschappen genegeerd. Als deze onwaar is, gebruikt de sleutelkluis het toegangsbeleid dat is opgegeven in kluiseigenschappen en worden alle beleidsregels die zijn opgeslagen in Azure Resource Manager genegeerd. Als null of niet is opgegeven, wordt de kluis gemaakt met de standaardwaarde false. Beheeracties worden altijd geautoriseerd met RBAC. Bool
enableSoftDelete Eigenschap om op te geven of de functionaliteit voorlopig verwijderen is ingeschakeld voor deze sleutelkluis. Als deze niet is ingesteld op een waarde (waar of onwaar) bij het maken van een nieuwe sleutelkluis, wordt deze standaard ingesteld op true. Zodra deze is ingesteld op waar, kan deze niet meer worden teruggezet naar onwaar. Bool
networkAcls Regels voor de toegankelijkheid van de sleutelkluis vanaf specifieke netwerklocaties. NetworkRuleSet
provisioningState Inrichtingsstatus van de kluis. 'RegisteringDns'
'Geslaagd'
publicNetworkAccess Eigenschap om op te geven of de kluis verkeer van openbaar internet accepteert. Als dit is ingesteld op 'uitgeschakeld' van al het verkeer, met uitzondering van privé-eindpuntverkeer en dat afkomstig is van vertrouwde services, wordt geblokkeerd. Hierdoor worden de ingestelde firewallregels overschreven, wat betekent dat zelfs als de firewallregels aanwezig zijn, we de regels niet zullen respecteren. snaar
Sku SKU-details SKU- (vereist)
softDeleteRetentionInDays softDelete-gegevensretentiedagen. Het accepteert >=7 en <=90. Int
tenantId De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. tekenreeks (vereist)

Beperkingen:
Minimale lengte = 36
Maximale lengte = 36
Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri De URI van de kluis voor het uitvoeren van bewerkingen op sleutels en geheimen. snaar

AccessPolicyEntry

Naam Beschrijving Waarde
applicationId Toepassings-id van de clientaanvraag namens een principal snaar

Beperkingen:
Minimale lengte = 36
Maximale lengte = 36
Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId De object-id van een gebruiker, service-principal of beveiligingsgroep in de Azure Active Directory-tenant voor de kluis. De object-id moet uniek zijn voor de lijst met toegangsbeleidsregels. tekenreeks (vereist)
Machtigingen Machtigingen die de identiteit heeft voor sleutels, geheimen en certificaten. machtigingen (vereist)
tenantId De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. tekenreeks (vereist)

Beperkingen:
Minimale lengte = 36
Maximale lengte = 36
Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Machtigingen

Naam Beschrijving Waarde
Certificaten Machtigingen voor certificaten Tekenreeksmatrix met een van de volgende waarden:
'all'
'back-up'
'maken'
'verwijderen'
'deleteissuers'
'get'
'getissuers'
'importeren'
'lijst'
'listissuers'
'managecontacts'
'manageissuers'
'leegmaken'
'herstellen'
'herstellen'
'setissuers'
'bijwerken'
Sleutels Machtigingen voor sleutels Tekenreeksmatrix met een van de volgende waarden:
'all'
'back-up'
'maken'
'ontsleutelen'
'verwijderen'
'versleutelen'
'get'
'getrotationpolicy'
'importeren'
'lijst'
'leegmaken'
'herstellen'
'release'
'herstellen'
'draaien'
"setrotationpolicy"
'teken'
'unwrapKey'
'bijwerken'
'verifiëren'
'wrapKey'
Geheimen Machtigingen voor geheimen Tekenreeksmatrix met een van de volgende waarden:
'all'
'back-up'
'verwijderen'
'get'
'lijst'
'leegmaken'
'herstellen'
'herstellen'
'set'
opslag Machtigingen voor opslagaccounts Tekenreeksmatrix met een van de volgende waarden:
'all'
'back-up'
'verwijderen'
'deletesas'
'get'
'getsas'
'lijst'
'listsas'
'leegmaken'
'herstellen'
'regeneratekey'
'herstellen'
'set'
'setsas'
'bijwerken'

NetworkRuleSet

Naam Beschrijving Waarde
omzeilen Hiermee wordt aangegeven welk verkeer netwerkregels kan omzeilen. Dit kan 'AzureServices' of 'Geen' zijn. Als de standaardwaarde niet is opgegeven, is 'AzureServices'. 'AzureServices'
'Geen'
defaultAction De standaardactie wanneer geen regel van ipRules en van virtualNetworkRules overeenkomt. Dit wordt alleen gebruikt nadat de bypass-eigenschap is geëvalueerd. 'Toestaan'
'Weigeren'
ipRules De lijst met IP-adresregels. IPRule[]
virtualNetworkRules De lijst met regels voor virtuele netwerken. VirtualNetworkRule[]

IPRule

Naam Beschrijving Waarde
waarde Een IPv4-adresbereik in CIDR-notatie, zoals '124.56.78.91' (eenvoudig IP-adres) of '124.56.78.0/24' (alle adressen die beginnen met 124.56.78). tekenreeks (vereist)

VirtualNetworkRule

Naam Beschrijving Waarde
legitimatiebewijs Volledige resource-id van een vnet-subnet, zoals '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. tekenreeks (vereist)
ignoreMissingVnetServiceEndpoint Eigenschap om op te geven of NRP de controle negeert als bovenliggend subnet serviceEndpoints heeft geconfigureerd. Bool

Sku

Naam Beschrijving Waarde
Familie Familienaam van SKU A (vereist)
naam SKU-naam om op te geven of de sleutelkluis een standaardkluis of een Premium-kluis is. 'premium'
'standaard' (vereist)

Quickstart-sjablonen

Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.

Sjabloon Beschrijving
AKS-cluster met een NAT-gateway en een Application Gateway-

implementeren in Azure
In dit voorbeeld ziet u hoe u een AKS-cluster implementeert met NAT Gateway voor uitgaande verbindingen en een Application Gateway voor binnenkomende verbindingen.
een privé-AKS-cluster maken met een openbare DNS-zone

implementeren in Azure
In dit voorbeeld ziet u hoe u een privé-AKS-cluster implementeert met een openbare DNS-zone.
Sports Analytics implementeren in Azure Architecture

implementeren in Azure
Hiermee maakt u een Azure-opslagaccount waarvoor ADLS Gen 2 is ingeschakeld, een Azure Data Factory-exemplaar met gekoppelde services voor het opslagaccount (een Azure SQL Database indien geïmplementeerd) en een Azure Databricks-exemplaar. De AAD-identiteit voor de gebruiker die de sjabloon implementeert en de beheerde identiteit voor het ADF-exemplaar krijgt de rol Inzender voor opslagblobgegevens in het opslagaccount. Er zijn ook opties voor het implementeren van een Azure Key Vault-exemplaar, een Azure SQL Database en een Azure Event Hub (voor gebruiksvoorbeelden voor streaming). Wanneer een Azure Key Vault wordt geïmplementeerd, krijgen de door data factory beheerde identiteit en de AAD-identiteit voor de gebruiker die de sjabloon implementeert, de rol Key Vault Secrets User toegewezen.
Azure Machine Learning-werkruimte

implementeren in Azure
Met deze sjabloon maakt u een nieuwe Azure Machine Learning-werkruimte, samen met een versleuteld opslagaccount, KeyVault- en Applications Insights-logboekregistratie
Een KeyVault- maken

implementeren in Azure
Met deze module maakt u een KeyVault-resource met apiVersion 2019-09-01.
Een API Management-service maken met SSL vanuit KeyVault

implementeren in Azure
Met deze sjabloon wordt een API Management-service geïmplementeerd die is geconfigureerd met door de gebruiker toegewezen identiteit. Deze identiteit gebruikt om een SSL-certificaat op te halen uit KeyVault en wordt bijgewerkt door elke 4 uur te controleren.
Maakt een Dapr pub-sub servicebus-app met behulp van Container Apps

implementeren in Azure
Maak een Dapr pub-sub servicebus-app met behulp van Container Apps.
maakt een Azure Stack HCI 23H2-cluster

implementeren in Azure
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon.
maakt een Azure Stack HCI 23H2-cluster

implementeren in Azure
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon, met behulp van een aangepast IP-adres voor opslag
maakt een Azure Stack HCI 23H2-cluster in de switchloze Dual-link-netwerkmodus

implementeren in Azure
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon.
maakt een Azure Stack HCI 23H2-cluster in Switchless-SingleLink netwerkmodus

implementeren in Azure
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon.
Een nieuwe versleutelde windows-VM maken vanuit de galerie-installatiekopieën

implementeren in Azure
Met deze sjabloon maakt u een nieuwe versleutelde windows-VM met behulp van de installatiekopieën van de server 2k12-galerie.
Nieuwe versleutelde beheerde schijven maken met win-vm uit de galerie-installatiekopieën

implementeren in Azure
Met deze sjabloon maakt u een nieuwe versleutelde beheerde schijven-VM met behulp van de server 2k12 gallery-installatiekopieën.
Deze sjabloon versleutelt een actieve Windows VMSS-

implementeren in Azure
Met deze sjabloon wordt versleuteling ingeschakeld voor een actieve Windows-VM-schaalset
Versleuteling inschakelen op een actieve Windows-VM-

implementeren in Azure
Met deze sjabloon kunt u versleuteling inschakelen op een actieve Windows-VM.
een nieuwe Windows-VMSS maken en versleutelen met jumpbox-

implementeren in Azure
Met deze sjabloon kunt u een eenvoudige VM-schaalset van Windows-VM's implementeren met behulp van de laatst gepatchte versie van serverversies van Windows. Met deze sjabloon wordt ook een jumpbox met een openbaar IP-adres in hetzelfde virtuele netwerk geïmplementeerd. U kunt verbinding maken met de jumpbox via dit openbare IP-adres en vervolgens verbinding maken met VM's in de schaalset via privé-IP-adressen. Met deze sjabloon schakelt u versleuteling in op de VM-schaalset van Windows-VM's.
Een Azure Key Vault en een geheim maken

implementeren in Azure
Met deze sjabloon maakt u een Azure Key Vault en een geheim.
Een Azure Key Vault maken met RBAC en een geheim

implementeren in Azure
Met deze sjabloon maakt u een Azure Key Vault en een geheim. In plaats van te vertrouwen op toegangsbeleid, maakt het gebruik van Azure RBAC voor het beheren van autorisatie voor geheimen
Sleutelkluis, beheerde identiteit en roltoewijzing maken

implementeren in Azure
Met deze sjabloon maakt u een sleutelkluis, beheerde identiteit en roltoewijzing.
verbinding maken met een sleutelkluis via een privé-eindpunt

implementeren in Azure
In dit voorbeeld ziet u hoe u een virtueel netwerk en een privé-DNS-zone kunt gebruiken voor toegang tot Key Vault via een privé-eindpunt.
Een sleutelkluis en een lijst met geheimen maken

implementeren in Azure
Met deze sjabloon maakt u een sleutelkluis en een lijst met geheimen in de sleutelkluis, die samen met de parameters worden doorgegeven
Key Vault maken waarvoor logboekregistratie is ingeschakeld

implementeren in Azure
Met deze sjabloon maakt u een Azure Key Vault en een Azure Storage-account dat wordt gebruikt voor logboekregistratie. Er worden eventueel resourcevergrendelingen gemaakt om uw Key Vault en opslagresources te beveiligen.
basisinstallatie van Azure AI Studio

implementeren in Azure
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met de basisinstallatie, wat betekent dat openbare internettoegang is ingeschakeld, door Microsoft beheerde sleutels voor versleuteling en door Microsoft beheerde identiteitconfiguratie voor de AI-resource.
basisinstallatie van Azure AI Studio

implementeren in Azure
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met de basisinstallatie, wat betekent dat openbare internettoegang is ingeschakeld, door Microsoft beheerde sleutels voor versleuteling en door Microsoft beheerde identiteitconfiguratie voor de AI-resource.
Azure AI Studio met Microsoft Entra ID Authentication

implementeren in Azure
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met Microsoft Entra ID-verificatie voor afhankelijke resources, zoals Azure AI Services en Azure Storage.
AML-werkruimte maken met meerdere gegevenssets & gegevensarchieven

implementeren in Azure
Met deze sjabloon maakt u een Azure Machine Learning-werkruimte met meerdere gegevenssets & gegevensarchieven.
end-to-end beveiligde installatie van Azure Machine Learning

implementeren in Azure
Deze set Bicep-sjablonen laat zien hoe u Azure Machine Learning end-to-end instelt in een veilige configuratie. Deze referentie-implementatie omvat de werkruimte, een rekencluster, een rekenproces en een gekoppeld privé-AKS-cluster.
end-to-end beveiligde installatie van Azure Machine Learning (verouderd)

implementeren in Azure
Deze set Bicep-sjablonen laat zien hoe u Azure Machine Learning end-to-end instelt in een veilige configuratie. Deze referentie-implementatie omvat de werkruimte, een rekencluster, een rekenproces en een gekoppeld privé-AKS-cluster.
Een AKS-rekendoel maken met een privé-IP-adres

implementeren in Azure
Met deze sjabloon maakt u een AKS-rekendoel in de azure Machine Learning Service-werkruimte met een privé-IP-adres.
Een Azure Machine Learning Service-werkruimte maken

implementeren in Azure
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. Deze configuratie beschrijft de minimale set resources die u nodig hebt om aan de slag te gaan met Azure Machine Learning.
een CMK- (Azure Machine Learning Service Workspace) maken

implementeren in Azure
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In het voorbeeld ziet u hoe u Azure Machine Learning configureert voor versleuteling met een door de klant beheerde versleutelingssleutel.
een CMK- (Azure Machine Learning Service Workspace) maken

implementeren in Azure
Deze implementatiesjabloon geeft aan hoe u een Azure Machine Learning-werkruimte maakt met versleuteling aan de servicezijde met behulp van uw versleutelingssleutels.
Een Azure Machine Learning Service-werkruimte (vnet) maken

implementeren in Azure
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In deze configuratie wordt de set resources beschreven die u nodig hebt om aan de slag te gaan met Azure Machine Learning in een geïsoleerde netwerkconfiguratie.
Een Azure Machine Learning Service-werkruimte (verouderd) maken

implementeren in Azure
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In deze configuratie wordt de set resources beschreven die u nodig hebt om aan de slag te gaan met Azure Machine Learning in een geïsoleerde netwerkconfiguratie.
AKS-cluster met de ingangscontroller van Application Gateway

implementeren in Azure
In dit voorbeeld ziet u hoe u een AKS-cluster implementeert met Application Gateway, Application Gateway-ingangscontroller, Azure Container Registry, Log Analytics en Key Vault
Een Application Gateway V2 maken met Key Vault-

implementeren in Azure
Met deze sjabloon wordt een Application Gateway V2 geïmplementeerd in een virtueel netwerk, een door de gebruiker gedefinieerde identiteit, Key Vault, een geheim (certificaatgegevens) en toegangsbeleid voor Key Vault en Application Gateway.
testomgeving voor Azure Firewall Premium-

implementeren in Azure
Met deze sjabloon maakt u een Azure Firewall Premium- en Firewall-beleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorie
maakt een privé-eindpuntresource voor meerdere tenants

implementeren in Azure
Met deze sjabloon kunt u een Priavate-eindpuntresource maken binnen dezelfde of meerdere tenantomgevingen en dns-zoneconfiguratie toevoegen.
Application Gateway maken met certificaten

implementeren in Azure
In deze sjabloon ziet u hoe u zelfondertekende Key Vault-certificaten genereert en vervolgens verwijst vanuit Application Gateway.
Azure Storage-accountversleuteling met door de klant beheerde sleutel

implementeren in Azure
Met deze sjabloon wordt een opslagaccount geïmplementeerd met een door de klant beheerde sleutel voor versleuteling die wordt gegenereerd en in een sleutelkluis wordt geplaatst.
App Service Environment met Azure SQL-back-end

implementeren in Azure
Met deze sjabloon maakt u een App Service-omgeving met een Azure SQL-back-end, samen met privé-eindpunten, samen met de bijbehorende resources die doorgaans worden gebruikt in een privé-/geïsoleerde omgeving.
Azure Function-app en een door HTTP geactiveerde functie

implementeren in Azure
In dit voorbeeld wordt een Azure Function-app en een inline http-geactiveerde functie in de sjabloon geïmplementeerd. Er wordt ook een sleutelkluis geïmplementeerd en een geheim gevuld met de hostsleutel van de functie-app.
Application Gateway met interne API Management en Web App

implementeren in Azure
Application Gateway: internetverkeer routeren naar een API Management-exemplaar van een virtueel netwerk (interne modus) dat een web-API services die wordt gehost in een Azure-web-app.

Resourcedefinitie van ARM-sjabloon

Het resourcetype kluizen kan worden geïmplementeerd met bewerkingen die zijn gericht op:

Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.

Opmerkingen

Zie Geheimen beheren met Bicepvoor hulp bij het gebruik van sleutelkluizen voor veilige waarden.

Zie Quickstart: Een geheim instellen en ophalen uit Azure Key Vault met behulp van een ARM-sjabloonvoor een quickstart over het maken van een geheim.

Zie Quickstart: Een Azure-sleutelkluis en een sleutel maken met behulp van een ARM-sjabloonvoor een quickstart over het maken van een sleutel.

Resource-indeling

Als u een Microsoft.KeyVault/vaults-resource wilt maken, voegt u de volgende JSON toe aan uw sjabloon.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2023-02-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "publicNetworkAccess": "string",
    "sku": {
      "family": "A",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  }
}

Eigenschapswaarden

Kluizen

Naam Beschrijving Waarde
type Het resourcetype 'Microsoft.KeyVault/vaults'
apiVersion De versie van de resource-API '2023-02-01'
naam De resourcenaam tekenreeks (vereist)

Tekenlimiet: 3-24

Geldige tekens:
Alfanumerieke en afbreekstreepjes.

Begin met brief. Eindig met letter of cijfer. Kan geen opeenvolgende afbreekstreepjes bevatten.

De resourcenaam moet uniek zijn in Azure.
plaats De ondersteunde Azure-locatie waar de sleutelkluis moet worden gemaakt. tekenreeks (vereist)
Tags De tags die worden toegewezen aan de sleutelkluis. Woordenlijst met tagnamen en -waarden. Zie Tags in sjablonen
Eigenschappen Eigenschappen van de kluis VaultProperties- (vereist)

VaultProperties

Naam Beschrijving Waarde
accessPolicies Een matrix van 0 tot 1024 identiteiten die toegang hebben tot de sleutelkluis. Alle identiteiten in de matrix moeten dezelfde tenant-id gebruiken als de tenant-id van de sleutelkluis. Wanneer createMode is ingesteld op recover, zijn toegangsbeleidsregels niet vereist. Anders zijn toegangsbeleidsregels vereist. AccessPolicyEntry[]
createMode De maakmodus van de kluis om aan te geven of de kluis moet worden hersteld of niet. 'standaard'
'herstellen'
enabledForDeployment Eigenschap om op te geven of virtuele Azure-machines certificaten mogen ophalen die zijn opgeslagen als geheimen uit de sleutelkluis. Bool
enabledForDiskEncryption Eigenschap om op te geven of Azure Disk Encryption geheimen mag ophalen uit de kluis en sleutels uitpakken. Bool
enabledForTemplateDeployment Eigenschap om op te geven of Azure Resource Manager geheimen mag ophalen uit de sleutelkluis. Bool
enablePurgeProtection Eigenschap die aangeeft of beveiliging tegen opschonen is ingeschakeld voor deze kluis. Als u deze eigenschap instelt op true, wordt de beveiliging tegen opschoning voor deze kluis en de inhoud ervan geactiveerd. Alleen de Key Vault-service kan een harde, onherstelbare verwijdering initiëren. De instelling is alleen van kracht als voorlopig verwijderen ook is ingeschakeld. Het inschakelen van deze functionaliteit kan niet ongedaan worden genomen. De eigenschap accepteert dus geen onwaar als waarde. Bool
enableRbacAuthorization Eigenschap die bepaalt hoe gegevensacties worden geautoriseerd. Wanneer waar, gebruikt de sleutelkluis op rollen gebaseerd toegangsbeheer (RBAC) voor autorisatie van gegevensacties en worden de toegangsbeleidsregels die zijn opgegeven in kluiseigenschappen genegeerd. Als deze onwaar is, gebruikt de sleutelkluis het toegangsbeleid dat is opgegeven in kluiseigenschappen en worden alle beleidsregels die zijn opgeslagen in Azure Resource Manager genegeerd. Als null of niet is opgegeven, wordt de kluis gemaakt met de standaardwaarde false. Beheeracties worden altijd geautoriseerd met RBAC. Bool
enableSoftDelete Eigenschap om op te geven of de functionaliteit voorlopig verwijderen is ingeschakeld voor deze sleutelkluis. Als deze niet is ingesteld op een waarde (waar of onwaar) bij het maken van een nieuwe sleutelkluis, wordt deze standaard ingesteld op true. Zodra deze is ingesteld op waar, kan deze niet meer worden teruggezet naar onwaar. Bool
networkAcls Regels voor de toegankelijkheid van de sleutelkluis vanaf specifieke netwerklocaties. NetworkRuleSet
provisioningState Inrichtingsstatus van de kluis. 'RegisteringDns'
'Geslaagd'
publicNetworkAccess Eigenschap om op te geven of de kluis verkeer van openbaar internet accepteert. Als dit is ingesteld op 'uitgeschakeld' van al het verkeer, met uitzondering van privé-eindpuntverkeer en dat afkomstig is van vertrouwde services, wordt geblokkeerd. Hierdoor worden de ingestelde firewallregels overschreven, wat betekent dat zelfs als de firewallregels aanwezig zijn, we de regels niet zullen respecteren. snaar
Sku SKU-details SKU- (vereist)
softDeleteRetentionInDays softDelete-gegevensretentiedagen. Het accepteert >=7 en <=90. Int
tenantId De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. tekenreeks (vereist)

Beperkingen:
Minimale lengte = 36
Maximale lengte = 36
Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri De URI van de kluis voor het uitvoeren van bewerkingen op sleutels en geheimen. snaar

AccessPolicyEntry

Naam Beschrijving Waarde
applicationId Toepassings-id van de clientaanvraag namens een principal snaar

Beperkingen:
Minimale lengte = 36
Maximale lengte = 36
Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId De object-id van een gebruiker, service-principal of beveiligingsgroep in de Azure Active Directory-tenant voor de kluis. De object-id moet uniek zijn voor de lijst met toegangsbeleidsregels. tekenreeks (vereist)
Machtigingen Machtigingen die de identiteit heeft voor sleutels, geheimen en certificaten. machtigingen (vereist)
tenantId De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. tekenreeks (vereist)

Beperkingen:
Minimale lengte = 36
Maximale lengte = 36
Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Machtigingen

Naam Beschrijving Waarde
Certificaten Machtigingen voor certificaten Tekenreeksmatrix met een van de volgende waarden:
'all'
'back-up'
'maken'
'verwijderen'
'deleteissuers'
'get'
'getissuers'
'importeren'
'lijst'
'listissuers'
'managecontacts'
'manageissuers'
'leegmaken'
'herstellen'
'herstellen'
'setissuers'
'bijwerken'
Sleutels Machtigingen voor sleutels Tekenreeksmatrix met een van de volgende waarden:
'all'
'back-up'
'maken'
'ontsleutelen'
'verwijderen'
'versleutelen'
'get'
'getrotationpolicy'
'importeren'
'lijst'
'leegmaken'
'herstellen'
'release'
'herstellen'
'draaien'
"setrotationpolicy"
'teken'
'unwrapKey'
'bijwerken'
'verifiëren'
'wrapKey'
Geheimen Machtigingen voor geheimen Tekenreeksmatrix met een van de volgende waarden:
'all'
'back-up'
'verwijderen'
'get'
'lijst'
'leegmaken'
'herstellen'
'herstellen'
'set'
opslag Machtigingen voor opslagaccounts Tekenreeksmatrix met een van de volgende waarden:
'all'
'back-up'
'verwijderen'
'deletesas'
'get'
'getsas'
'lijst'
'listsas'
'leegmaken'
'herstellen'
'regeneratekey'
'herstellen'
'set'
'setsas'
'bijwerken'

NetworkRuleSet

Naam Beschrijving Waarde
omzeilen Hiermee wordt aangegeven welk verkeer netwerkregels kan omzeilen. Dit kan 'AzureServices' of 'Geen' zijn. Als de standaardwaarde niet is opgegeven, is 'AzureServices'. 'AzureServices'
'Geen'
defaultAction De standaardactie wanneer geen regel van ipRules en van virtualNetworkRules overeenkomt. Dit wordt alleen gebruikt nadat de bypass-eigenschap is geëvalueerd. 'Toestaan'
'Weigeren'
ipRules De lijst met IP-adresregels. IPRule[]
virtualNetworkRules De lijst met regels voor virtuele netwerken. VirtualNetworkRule[]

IPRule

Naam Beschrijving Waarde
waarde Een IPv4-adresbereik in CIDR-notatie, zoals '124.56.78.91' (eenvoudig IP-adres) of '124.56.78.0/24' (alle adressen die beginnen met 124.56.78). tekenreeks (vereist)

VirtualNetworkRule

Naam Beschrijving Waarde
legitimatiebewijs Volledige resource-id van een vnet-subnet, zoals '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. tekenreeks (vereist)
ignoreMissingVnetServiceEndpoint Eigenschap om op te geven of NRP de controle negeert als bovenliggend subnet serviceEndpoints heeft geconfigureerd. Bool

Sku

Naam Beschrijving Waarde
Familie Familienaam van SKU A (vereist)
naam SKU-naam om op te geven of de sleutelkluis een standaardkluis of een Premium-kluis is. 'premium'
'standaard' (vereist)

Quickstart-sjablonen

Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.

Sjabloon Beschrijving
AKS-cluster met een NAT-gateway en een Application Gateway-

implementeren in Azure
In dit voorbeeld ziet u hoe u een AKS-cluster implementeert met NAT Gateway voor uitgaande verbindingen en een Application Gateway voor binnenkomende verbindingen.
een privé-AKS-cluster maken met een openbare DNS-zone

implementeren in Azure
In dit voorbeeld ziet u hoe u een privé-AKS-cluster implementeert met een openbare DNS-zone.
Sports Analytics implementeren in Azure Architecture

implementeren in Azure
Hiermee maakt u een Azure-opslagaccount waarvoor ADLS Gen 2 is ingeschakeld, een Azure Data Factory-exemplaar met gekoppelde services voor het opslagaccount (een Azure SQL Database indien geïmplementeerd) en een Azure Databricks-exemplaar. De AAD-identiteit voor de gebruiker die de sjabloon implementeert en de beheerde identiteit voor het ADF-exemplaar krijgt de rol Inzender voor opslagblobgegevens in het opslagaccount. Er zijn ook opties voor het implementeren van een Azure Key Vault-exemplaar, een Azure SQL Database en een Azure Event Hub (voor gebruiksvoorbeelden voor streaming). Wanneer een Azure Key Vault wordt geïmplementeerd, krijgen de door data factory beheerde identiteit en de AAD-identiteit voor de gebruiker die de sjabloon implementeert, de rol Key Vault Secrets User toegewezen.
Azure Machine Learning-werkruimte

implementeren in Azure
Met deze sjabloon maakt u een nieuwe Azure Machine Learning-werkruimte, samen met een versleuteld opslagaccount, KeyVault- en Applications Insights-logboekregistratie
Een KeyVault- maken

implementeren in Azure
Met deze module maakt u een KeyVault-resource met apiVersion 2019-09-01.
Een API Management-service maken met SSL vanuit KeyVault

implementeren in Azure
Met deze sjabloon wordt een API Management-service geïmplementeerd die is geconfigureerd met door de gebruiker toegewezen identiteit. Deze identiteit gebruikt om een SSL-certificaat op te halen uit KeyVault en wordt bijgewerkt door elke 4 uur te controleren.
Maakt een Dapr pub-sub servicebus-app met behulp van Container Apps

implementeren in Azure
Maak een Dapr pub-sub servicebus-app met behulp van Container Apps.
maakt een Azure Stack HCI 23H2-cluster

implementeren in Azure
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon.
maakt een Azure Stack HCI 23H2-cluster

implementeren in Azure
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon, met behulp van een aangepast IP-adres voor opslag
maakt een Azure Stack HCI 23H2-cluster in de switchloze Dual-link-netwerkmodus

implementeren in Azure
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon.
maakt een Azure Stack HCI 23H2-cluster in Switchless-SingleLink netwerkmodus

implementeren in Azure
Met deze sjabloon maakt u een Azure Stack HCI 23H2-cluster met behulp van een ARM-sjabloon.
Een nieuwe versleutelde windows-VM maken vanuit de galerie-installatiekopieën

implementeren in Azure
Met deze sjabloon maakt u een nieuwe versleutelde windows-VM met behulp van de installatiekopieën van de server 2k12-galerie.
Nieuwe versleutelde beheerde schijven maken met win-vm uit de galerie-installatiekopieën

implementeren in Azure
Met deze sjabloon maakt u een nieuwe versleutelde beheerde schijven-VM met behulp van de server 2k12 gallery-installatiekopieën.
Deze sjabloon versleutelt een actieve Windows VMSS-

implementeren in Azure
Met deze sjabloon wordt versleuteling ingeschakeld voor een actieve Windows-VM-schaalset
Versleuteling inschakelen op een actieve Windows-VM-

implementeren in Azure
Met deze sjabloon kunt u versleuteling inschakelen op een actieve Windows-VM.
een nieuwe Windows-VMSS maken en versleutelen met jumpbox-

implementeren in Azure
Met deze sjabloon kunt u een eenvoudige VM-schaalset van Windows-VM's implementeren met behulp van de laatst gepatchte versie van serverversies van Windows. Met deze sjabloon wordt ook een jumpbox met een openbaar IP-adres in hetzelfde virtuele netwerk geïmplementeerd. U kunt verbinding maken met de jumpbox via dit openbare IP-adres en vervolgens verbinding maken met VM's in de schaalset via privé-IP-adressen. Met deze sjabloon schakelt u versleuteling in op de VM-schaalset van Windows-VM's.
Een Azure Key Vault en een geheim maken

implementeren in Azure
Met deze sjabloon maakt u een Azure Key Vault en een geheim.
Een Azure Key Vault maken met RBAC en een geheim

implementeren in Azure
Met deze sjabloon maakt u een Azure Key Vault en een geheim. In plaats van te vertrouwen op toegangsbeleid, maakt het gebruik van Azure RBAC voor het beheren van autorisatie voor geheimen
Sleutelkluis, beheerde identiteit en roltoewijzing maken

implementeren in Azure
Met deze sjabloon maakt u een sleutelkluis, beheerde identiteit en roltoewijzing.
verbinding maken met een sleutelkluis via een privé-eindpunt

implementeren in Azure
In dit voorbeeld ziet u hoe u een virtueel netwerk en een privé-DNS-zone kunt gebruiken voor toegang tot Key Vault via een privé-eindpunt.
Een sleutelkluis en een lijst met geheimen maken

implementeren in Azure
Met deze sjabloon maakt u een sleutelkluis en een lijst met geheimen in de sleutelkluis, die samen met de parameters worden doorgegeven
Key Vault maken waarvoor logboekregistratie is ingeschakeld

implementeren in Azure
Met deze sjabloon maakt u een Azure Key Vault en een Azure Storage-account dat wordt gebruikt voor logboekregistratie. Er worden eventueel resourcevergrendelingen gemaakt om uw Key Vault en opslagresources te beveiligen.
basisinstallatie van Azure AI Studio

implementeren in Azure
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met de basisinstallatie, wat betekent dat openbare internettoegang is ingeschakeld, door Microsoft beheerde sleutels voor versleuteling en door Microsoft beheerde identiteitconfiguratie voor de AI-resource.
basisinstallatie van Azure AI Studio

implementeren in Azure
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met de basisinstallatie, wat betekent dat openbare internettoegang is ingeschakeld, door Microsoft beheerde sleutels voor versleuteling en door Microsoft beheerde identiteitconfiguratie voor de AI-resource.
Azure AI Studio met Microsoft Entra ID Authentication

implementeren in Azure
Deze set sjablonen laat zien hoe u Azure AI Studio instelt met Microsoft Entra ID-verificatie voor afhankelijke resources, zoals Azure AI Services en Azure Storage.
AML-werkruimte maken met meerdere gegevenssets & gegevensarchieven

implementeren in Azure
Met deze sjabloon maakt u een Azure Machine Learning-werkruimte met meerdere gegevenssets & gegevensarchieven.
end-to-end beveiligde installatie van Azure Machine Learning

implementeren in Azure
Deze set Bicep-sjablonen laat zien hoe u Azure Machine Learning end-to-end instelt in een veilige configuratie. Deze referentie-implementatie omvat de werkruimte, een rekencluster, een rekenproces en een gekoppeld privé-AKS-cluster.
end-to-end beveiligde installatie van Azure Machine Learning (verouderd)

implementeren in Azure
Deze set Bicep-sjablonen laat zien hoe u Azure Machine Learning end-to-end instelt in een veilige configuratie. Deze referentie-implementatie omvat de werkruimte, een rekencluster, een rekenproces en een gekoppeld privé-AKS-cluster.
Een AKS-rekendoel maken met een privé-IP-adres

implementeren in Azure
Met deze sjabloon maakt u een AKS-rekendoel in de azure Machine Learning Service-werkruimte met een privé-IP-adres.
Een Azure Machine Learning Service-werkruimte maken

implementeren in Azure
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. Deze configuratie beschrijft de minimale set resources die u nodig hebt om aan de slag te gaan met Azure Machine Learning.
een CMK- (Azure Machine Learning Service Workspace) maken

implementeren in Azure
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In het voorbeeld ziet u hoe u Azure Machine Learning configureert voor versleuteling met een door de klant beheerde versleutelingssleutel.
een CMK- (Azure Machine Learning Service Workspace) maken

implementeren in Azure
Deze implementatiesjabloon geeft aan hoe u een Azure Machine Learning-werkruimte maakt met versleuteling aan de servicezijde met behulp van uw versleutelingssleutels.
Een Azure Machine Learning Service-werkruimte (vnet) maken

implementeren in Azure
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In deze configuratie wordt de set resources beschreven die u nodig hebt om aan de slag te gaan met Azure Machine Learning in een geïsoleerde netwerkconfiguratie.
Een Azure Machine Learning Service-werkruimte (verouderd) maken

implementeren in Azure
Met deze implementatiesjabloon geeft u een Azure Machine Learning-werkruimte en de bijbehorende resources op, waaronder Azure Key Vault, Azure Storage, Azure Application Insights en Azure Container Registry. In deze configuratie wordt de set resources beschreven die u nodig hebt om aan de slag te gaan met Azure Machine Learning in een geïsoleerde netwerkconfiguratie.
AKS-cluster met de ingangscontroller van Application Gateway

implementeren in Azure
In dit voorbeeld ziet u hoe u een AKS-cluster implementeert met Application Gateway, Application Gateway-ingangscontroller, Azure Container Registry, Log Analytics en Key Vault
Een Application Gateway V2 maken met Key Vault-

implementeren in Azure
Met deze sjabloon wordt een Application Gateway V2 geïmplementeerd in een virtueel netwerk, een door de gebruiker gedefinieerde identiteit, Key Vault, een geheim (certificaatgegevens) en toegangsbeleid voor Key Vault en Application Gateway.
testomgeving voor Azure Firewall Premium-

implementeren in Azure
Met deze sjabloon maakt u een Azure Firewall Premium- en Firewall-beleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorie
maakt een privé-eindpuntresource voor meerdere tenants

implementeren in Azure
Met deze sjabloon kunt u een Priavate-eindpuntresource maken binnen dezelfde of meerdere tenantomgevingen en dns-zoneconfiguratie toevoegen.
Application Gateway maken met certificaten

implementeren in Azure
In deze sjabloon ziet u hoe u zelfondertekende Key Vault-certificaten genereert en vervolgens verwijst vanuit Application Gateway.
Azure Storage-accountversleuteling met door de klant beheerde sleutel

implementeren in Azure
Met deze sjabloon wordt een opslagaccount geïmplementeerd met een door de klant beheerde sleutel voor versleuteling die wordt gegenereerd en in een sleutelkluis wordt geplaatst.
App Service Environment met Azure SQL-back-end

implementeren in Azure
Met deze sjabloon maakt u een App Service-omgeving met een Azure SQL-back-end, samen met privé-eindpunten, samen met de bijbehorende resources die doorgaans worden gebruikt in een privé-/geïsoleerde omgeving.
Azure Function-app en een door HTTP geactiveerde functie

implementeren in Azure
In dit voorbeeld wordt een Azure Function-app en een inline http-geactiveerde functie in de sjabloon geïmplementeerd. Er wordt ook een sleutelkluis geïmplementeerd en een geheim gevuld met de hostsleutel van de functie-app.
Application Gateway met interne API Management en Web App

implementeren in Azure
Application Gateway: internetverkeer routeren naar een API Management-exemplaar van een virtueel netwerk (interne modus) dat een web-API services die wordt gehost in een Azure-web-app.

Resourcedefinitie van Terraform (AzAPI-provider)

Het resourcetype kluizen kan worden geïmplementeerd met bewerkingen die zijn gericht op:

  • resourcegroepen

Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.

Resource-indeling

Als u een Microsoft.KeyVault/vaults-resource wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2023-02-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      publicNetworkAccess = "string"
      sku = {
        family = "A"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Eigenschapswaarden

Kluizen

Naam Beschrijving Waarde
type Het resourcetype "Microsoft.KeyVault/vaults@2023-02-01"
naam De resourcenaam tekenreeks (vereist)

Tekenlimiet: 3-24

Geldige tekens:
Alfanumerieke en afbreekstreepjes.

Begin met brief. Eindig met letter of cijfer. Kan geen opeenvolgende afbreekstreepjes bevatten.

De resourcenaam moet uniek zijn in Azure.
plaats De ondersteunde Azure-locatie waar de sleutelkluis moet worden gemaakt. tekenreeks (vereist)
parent_id Als u wilt implementeren in een resourcegroep, gebruikt u de id van die resourcegroep. tekenreeks (vereist)
Tags De tags die worden toegewezen aan de sleutelkluis. Woordenlijst met tagnamen en -waarden.
Eigenschappen Eigenschappen van de kluis VaultProperties- (vereist)

VaultProperties

Naam Beschrijving Waarde
accessPolicies Een matrix van 0 tot 1024 identiteiten die toegang hebben tot de sleutelkluis. Alle identiteiten in de matrix moeten dezelfde tenant-id gebruiken als de tenant-id van de sleutelkluis. Wanneer createMode is ingesteld op recover, zijn toegangsbeleidsregels niet vereist. Anders zijn toegangsbeleidsregels vereist. AccessPolicyEntry[]
createMode De maakmodus van de kluis om aan te geven of de kluis moet worden hersteld of niet. "standaard"
"herstellen"
enabledForDeployment Eigenschap om op te geven of virtuele Azure-machines certificaten mogen ophalen die zijn opgeslagen als geheimen uit de sleutelkluis. Bool
enabledForDiskEncryption Eigenschap om op te geven of Azure Disk Encryption geheimen mag ophalen uit de kluis en sleutels uitpakken. Bool
enabledForTemplateDeployment Eigenschap om op te geven of Azure Resource Manager geheimen mag ophalen uit de sleutelkluis. Bool
enablePurgeProtection Eigenschap die aangeeft of beveiliging tegen opschonen is ingeschakeld voor deze kluis. Als u deze eigenschap instelt op true, wordt de beveiliging tegen opschoning voor deze kluis en de inhoud ervan geactiveerd. Alleen de Key Vault-service kan een harde, onherstelbare verwijdering initiëren. De instelling is alleen van kracht als voorlopig verwijderen ook is ingeschakeld. Het inschakelen van deze functionaliteit kan niet ongedaan worden genomen. De eigenschap accepteert dus geen onwaar als waarde. Bool
enableRbacAuthorization Eigenschap die bepaalt hoe gegevensacties worden geautoriseerd. Wanneer waar, gebruikt de sleutelkluis op rollen gebaseerd toegangsbeheer (RBAC) voor autorisatie van gegevensacties en worden de toegangsbeleidsregels die zijn opgegeven in kluiseigenschappen genegeerd. Als deze onwaar is, gebruikt de sleutelkluis het toegangsbeleid dat is opgegeven in kluiseigenschappen en worden alle beleidsregels die zijn opgeslagen in Azure Resource Manager genegeerd. Als null of niet is opgegeven, wordt de kluis gemaakt met de standaardwaarde false. Beheeracties worden altijd geautoriseerd met RBAC. Bool
enableSoftDelete Eigenschap om op te geven of de functionaliteit voorlopig verwijderen is ingeschakeld voor deze sleutelkluis. Als deze niet is ingesteld op een waarde (waar of onwaar) bij het maken van een nieuwe sleutelkluis, wordt deze standaard ingesteld op true. Zodra deze is ingesteld op waar, kan deze niet meer worden teruggezet naar onwaar. Bool
networkAcls Regels voor de toegankelijkheid van de sleutelkluis vanaf specifieke netwerklocaties. NetworkRuleSet
provisioningState Inrichtingsstatus van de kluis. "RegisteringDns"
"Geslaagd"
publicNetworkAccess Eigenschap om op te geven of de kluis verkeer van openbaar internet accepteert. Als dit is ingesteld op 'uitgeschakeld' van al het verkeer, met uitzondering van privé-eindpuntverkeer en dat afkomstig is van vertrouwde services, wordt geblokkeerd. Hierdoor worden de ingestelde firewallregels overschreven, wat betekent dat zelfs als de firewallregels aanwezig zijn, we de regels niet zullen respecteren. snaar
Sku SKU-details SKU- (vereist)
softDeleteRetentionInDays softDelete-gegevensretentiedagen. Het accepteert >=7 en <=90. Int
tenantId De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. tekenreeks (vereist)

Beperkingen:
Minimale lengte = 36
Maximale lengte = 36
Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri De URI van de kluis voor het uitvoeren van bewerkingen op sleutels en geheimen. snaar

AccessPolicyEntry

Naam Beschrijving Waarde
applicationId Toepassings-id van de clientaanvraag namens een principal snaar

Beperkingen:
Minimale lengte = 36
Maximale lengte = 36
Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId De object-id van een gebruiker, service-principal of beveiligingsgroep in de Azure Active Directory-tenant voor de kluis. De object-id moet uniek zijn voor de lijst met toegangsbeleidsregels. tekenreeks (vereist)
Machtigingen Machtigingen die de identiteit heeft voor sleutels, geheimen en certificaten. machtigingen (vereist)
tenantId De tenant-id van Azure Active Directory die moet worden gebruikt voor het verifiëren van aanvragen bij de sleutelkluis. tekenreeks (vereist)

Beperkingen:
Minimale lengte = 36
Maximale lengte = 36
Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Machtigingen

Naam Beschrijving Waarde
Certificaten Machtigingen voor certificaten Tekenreeksmatrix met een van de volgende waarden:
"all"
"back-up"
"maken"
"verwijderen"
"deleteissuers"
"get"
"getissuers"
"importeren"
"lijst"
"listissuers"
"managecontacts"
"manageissuers"
"leegmaken"
"herstellen"
"herstellen"
"setissuers"
"bijwerken"
Sleutels Machtigingen voor sleutels Tekenreeksmatrix met een van de volgende waarden:
"all"
"back-up"
"maken"
"ontsleutelen"
"verwijderen"
"versleutelen"
"get"
"getrotationpolicy"
"importeren"
"lijst"
"leegmaken"
"herstellen"
"release"
"herstellen"
"draaien"
"setrotationpolicy"
"teken"
"unwrapKey"
"bijwerken"
"verifiëren"
"wrapKey"
Geheimen Machtigingen voor geheimen Tekenreeksmatrix met een van de volgende waarden:
"all"
"back-up"
"verwijderen"
"get"
"lijst"
"leegmaken"
"herstellen"
"herstellen"
"set"
opslag Machtigingen voor opslagaccounts Tekenreeksmatrix met een van de volgende waarden:
"all"
"back-up"
"verwijderen"
"deletesas"
"get"
"getsas"
"lijst"
"listsas"
"leegmaken"
"herstellen"
"regeneratekey"
"herstellen"
"set"
"setsas"
"bijwerken"

NetworkRuleSet

Naam Beschrijving Waarde
omzeilen Hiermee wordt aangegeven welk verkeer netwerkregels kan omzeilen. Dit kan 'AzureServices' of 'Geen' zijn. Als de standaardwaarde niet is opgegeven, is 'AzureServices'. "AzureServices"
"Geen"
defaultAction De standaardactie wanneer geen regel van ipRules en van virtualNetworkRules overeenkomt. Dit wordt alleen gebruikt nadat de bypass-eigenschap is geëvalueerd. "Toestaan"
"Weigeren"
ipRules De lijst met IP-adresregels. IPRule[]
virtualNetworkRules De lijst met regels voor virtuele netwerken. VirtualNetworkRule[]

IPRule

Naam Beschrijving Waarde
waarde Een IPv4-adresbereik in CIDR-notatie, zoals '124.56.78.91' (eenvoudig IP-adres) of '124.56.78.0/24' (alle adressen die beginnen met 124.56.78). tekenreeks (vereist)

VirtualNetworkRule

Naam Beschrijving Waarde
legitimatiebewijs Volledige resource-id van een vnet-subnet, zoals '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. tekenreeks (vereist)
ignoreMissingVnetServiceEndpoint Eigenschap om op te geven of NRP de controle negeert als bovenliggend subnet serviceEndpoints heeft geconfigureerd. Bool

Sku

Naam Beschrijving Waarde
Familie Familienaam van SKU "A" (vereist)
naam SKU-naam om op te geven of de sleutelkluis een standaardkluis of een Premium-kluis is. "premium"
"standaard" (vereist)