Microsoft.Storage storageAccounts
Bicep-resourcedefinitie
Het resourcetype storageAccounts kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor resourcegroepimplementatie
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een resource Microsoft.Storage/storageAccounts wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.
resource symbolicname 'Microsoft.Storage/storageAccounts@2023-01-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
sku: {
name: 'string'
}
kind: 'string'
extendedLocation: {
name: 'string'
type: 'EdgeZone'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
accessTier: 'string'
allowBlobPublicAccess: bool
allowCrossTenantReplication: bool
allowedCopyScope: 'string'
allowSharedKeyAccess: bool
azureFilesIdentityBasedAuthentication: {
activeDirectoryProperties: {
accountType: 'string'
azureStorageSid: 'string'
domainGuid: 'string'
domainName: 'string'
domainSid: 'string'
forestName: 'string'
netBiosDomainName: 'string'
samAccountName: 'string'
}
defaultSharePermission: 'string'
directoryServiceOptions: 'string'
}
customDomain: {
name: 'string'
useSubDomainName: bool
}
defaultToOAuthAuthentication: bool
dnsEndpointType: 'string'
encryption: {
identity: {
federatedIdentityClientId: 'string'
userAssignedIdentity: 'string'
}
keySource: 'string'
keyvaultproperties: {
keyname: 'string'
keyvaulturi: 'string'
keyversion: 'string'
}
requireInfrastructureEncryption: bool
services: {
blob: {
enabled: bool
keyType: 'string'
}
file: {
enabled: bool
keyType: 'string'
}
queue: {
enabled: bool
keyType: 'string'
}
table: {
enabled: bool
keyType: 'string'
}
}
}
immutableStorageWithVersioning: {
enabled: bool
immutabilityPolicy: {
allowProtectedAppendWrites: bool
immutabilityPeriodSinceCreationInDays: int
state: 'string'
}
}
isHnsEnabled: bool
isLocalUserEnabled: bool
isNfsV3Enabled: bool
isSftpEnabled: bool
keyPolicy: {
keyExpirationPeriodInDays: int
}
largeFileSharesState: 'string'
minimumTlsVersion: 'string'
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
action: 'Allow'
value: 'string'
}
]
resourceAccessRules: [
{
resourceId: 'string'
tenantId: 'string'
}
]
virtualNetworkRules: [
{
action: 'Allow'
id: 'string'
state: 'string'
}
]
}
publicNetworkAccess: 'string'
routingPreference: {
publishInternetEndpoints: bool
publishMicrosoftEndpoints: bool
routingChoice: 'string'
}
sasPolicy: {
expirationAction: 'Log'
sasExpirationPeriod: 'string'
}
supportsHttpsTrafficOnly: bool
}
}
Eigenschapswaarden
storageAccounts
| Naam | Description | Waarde |
|---|---|---|
| naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 3-24 Geldige tekens: Kleine letters en cijfers. De resourcenaam moet uniek zijn in Azure. |
| location | Vereist. Hiermee wordt de locatie van de resource opgehaald of ingesteld. Dit is een van de ondersteunde en geregistreerde Azure Geo-regio's (bijvoorbeeld VS - west, VS - oost, Azië - zuidoost, enzovoort). De geografische regio van een resource kan niet worden gewijzigd nadat deze is gemaakt, maar als er bij de update een identieke geografische regio wordt opgegeven, slaagt de aanvraag. | tekenreeks (vereist) |
| tags | Hiermee wordt een lijst met sleutelwaardeparen opgehaald of ingesteld die de resource beschrijven. Deze tags kunnen worden gebruikt voor het weergeven en groeperen van deze resource (in resourcegroepen). Er kunnen maximaal 15 tags worden opgegeven voor een resource. Elke tag moet een sleutel hebben met een lengte van niet meer dan 128 tekens en een waarde met een lengte van niet meer dan 256 tekens. | Woordenlijst met tagnamen en -waarden. Tags in sjablonen bekijken |
| sku | Vereist. Hiermee wordt de SKU-naam opgehaald of ingesteld. | SKU (vereist) |
| Soort | Vereist. Geeft het type opslagaccount aan. | 'BlobStorage' 'BlockBlobStorage' 'FileStorage' 'Opslag' 'StorageV2' (vereist) |
| extendedLocation | Optioneel. Stel de uitgebreide locatie van de resource in. Als dit niet is ingesteld, wordt het opslagaccount gemaakt in de hoofdregio van Azure. Anders wordt deze gemaakt op de opgegeven uitgebreide locatie | ExtendedLocation |
| identity | De identiteit van de resource. | Identiteit |
| properties | De parameters die worden gebruikt om het opslagaccount te maken. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Naam | Description | Waarde |
|---|---|---|
| naam | De naam van de uitgebreide locatie. | tekenreeks |
| type | Het type van de uitgebreide locatie. | 'EdgeZone' |
Identiteit
| Naam | Description | Waarde |
|---|---|---|
| type | Het identiteitstype. | 'Geen' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (vereist) |
| userAssignedIdentities | Hiermee wordt een lijst met sleutelwaardeparen opgehaald of ingesteld die de set door de gebruiker toegewezen identiteiten beschrijven die met dit opslagaccount worden gebruikt. De sleutel is de ARM-resource-id van de identiteit. Hier is slechts 1 door de gebruiker toegewezen identiteit toegestaan. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| Naam | Description | Waarde |
|---|---|---|
| {aangepaste eigenschap} | UserAssignedIdentity |
UserAssignedIdentity
Dit object bevat geen eigenschappen die tijdens de implementatie moeten worden ingesteld. Alle eigenschappen zijn ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Naam | Description | Waarde |
|---|---|---|
| accessTier | Vereist voor opslagaccounts waarbij soort = BlobStorage. De toegangslaag wordt gebruikt voor facturering. De toegangslaag Premium is de standaardwaarde voor het opslagaccounttype Premium-blok-blobs en kan niet worden gewijzigd voor het opslagaccounttype Premium-blok-blobs. | 'Cool' 'Hot' Premium |
| allowBlobPublicAccess | Openbare toegang tot alle blobs of containers in het opslagaccount toestaan of weigeren. De standaardinterpretatie is false voor deze eigenschap. | booleaans |
| allowCrossTenantReplication | Replicatie van objecten tussen AAD-tenants toestaan of niet toestaan. Stel deze eigenschap alleen in op true voor nieuwe of bestaande accounts als het objectreplicatiebeleid betrekking heeft op opslagaccounts in verschillende AAD-tenants. De standaardinterpretatie is onwaar voor nieuwe accounts om standaard de aanbevolen beveiligingsprocedures te volgen. | booleaans |
| allowedCopyScope | Beperk het kopiëren van en naar opslagaccounts binnen een AAD-tenant of met privékoppelingen naar hetzelfde VNet. | 'AAD' 'PrivateLink' |
| allowSharedKeyAccess | Hiermee wordt aangegeven of het opslagaccount toestaat dat aanvragen worden geautoriseerd met de toegangssleutel van het account via gedeelde sleutel. Als dit onwaar is, moeten alle aanvragen, inclusief handtekeningen voor gedeelde toegang, worden geautoriseerd met Azure Active Directory (Azure AD). De standaardwaarde is null, wat gelijk is aan true. | booleaans |
| azureFilesIdentityBasedAuthentication | Biedt de verificatie-instellingen op basis van identiteit voor Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Gebruikersdomein dat is toegewezen aan het opslagaccount. Name is de CNAME-bron. Op dit moment wordt slechts één aangepast domein per opslagaccount ondersteund. Als u het bestaande aangepaste domein wilt wissen, gebruikt u een lege tekenreeks voor de eigenschap aangepaste domeinnaam. | CustomDomain |
| defaultToOAuthAuthAuthentication | Een booleaanse vlag die aangeeft of de standaardverificatie OAuth is of niet. De standaardinterpretatie is false voor deze eigenschap. | booleaans |
| dnsEndpointType | Hiermee kunt u het type eindpunt opgeven. Stel dit in op AzureDNSZone om een groot aantal accounts in één abonnement te maken, waarmee accounts worden gemaakt in een Azure DNS-zone en de eindpunt-URL een alfanumerieke DNS-zone-id heeft. | 'AzureDnsZone' 'Standaard' |
| versleuteling | Versleutelingsinstellingen die moeten worden gebruikt voor versleuteling aan de serverzijde voor het opslagaccount. | Versleuteling |
| immutableStorageWithVersioning | De eigenschap is onveranderbaar en kan alleen worden ingesteld op true tijdens het maken van het account. Als deze optie is ingesteld op true, wordt de onveranderbaarheid op objectniveau standaard ingeschakeld voor alle nieuwe containers in het account. | OnveranderbaarStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace is ingeschakeld als deze is ingesteld op true. | booleaans |
| isLocalUserEnabled | Hiermee schakelt u de functie lokale gebruikers in, indien ingesteld op true | booleaans |
| isNfsV3Enabled | NFS 3.0-protocolondersteuning ingeschakeld als deze is ingesteld op true. | booleaans |
| isSftpEnabled | Hiermee schakelt u Secure File Transfer Protocol in, indien ingesteld op true | booleaans |
| keyPolicy | KeyPolicy toegewezen aan het opslagaccount. | KeyPolicy |
| largeFileSharesState | Grote bestandsshares toestaan als deze is ingesteld op Ingeschakeld. Het kan niet worden uitgeschakeld nadat deze is ingeschakeld. | 'Uitgeschakeld' Ingeschakeld |
| minimumTlsVersion | Stel de minimale TLS-versie in die moet worden toegestaan voor aanvragen voor opslag. De standaardinterpretatie is TLS 1.0 voor deze eigenschap. | 'TLS1_0' 'TLS1_1' 'TLS1_2' |
| networkAcls | Netwerkregelset | NetworkRuleSet |
| publicNetworkAccess | Openbare netwerktoegang tot opslagaccount toestaan of weigeren. De waarde is optioneel, maar als deze wordt doorgegeven, moet deze 'Ingeschakeld' of 'Uitgeschakeld' zijn. | 'Uitgeschakeld' Ingeschakeld |
| routingPreference | Houdt informatie bij over de keuze voor netwerkroutering die door de gebruiker is gekozen voor gegevensoverdracht | Routeringsvoorkeur |
| sasPolicy | SasPolicy toegewezen aan het opslagaccount. | SasPolicy |
| supportsHttpsTrafficOnly | Staat https-verkeer alleen toe naar de opslagservice als deze is ingesteld op true. De standaardwaarde is true sinds API-versie 2019-04-01. | booleaans |
AzureFilesIdentityBasedAuthentication
| Naam | Description | Waarde |
|---|---|---|
| activeDirectoryProperties | Vereist als directoryServiceOptions AD zijn, optioneel als ze AADKERB zijn. | ActiveDirectoryProperties |
| defaultSharePermission | Standaardsharemachtigingen voor gebruikers die Kerberos-verificatie gebruiken als de RBAC-rol niet is toegewezen. | 'Geen' 'StorageFileDataSmbShareContributor' 'StorageFileDataSmbShareElevatedContributor' 'StorageFileDataSmbShareReader' |
| directoryServiceOptions | Geeft de gebruikte adreslijstservice aan. Houd er rekening mee dat deze opsomming in de toekomst kan worden uitgebreid. | 'AADDS' 'AADKERB' 'AD' 'Geen' (vereist) |
ActiveDirectoryProperties
| Naam | Description | Waarde |
|---|---|---|
| accountType | Hiermee geeft u het Active Directory-accounttype voor Azure Storage op. | 'Computer' 'Gebruiker' |
| azureStorageSid | Hiermee geeft u de beveiligings-id (SID) voor Azure Storage. | tekenreeks |
| domainGuid | Hiermee geeft u de domein-GUID. | tekenreeks (vereist) |
| domainName | Hiermee geeft u het primaire domein waarvoor de AD DNS-server is gezaghebbend. | tekenreeks (vereist) |
| domainSid | Hiermee geeft u de beveiligings-id (SID). | tekenreeks |
| forestName | Hiermee geeft u het Active Directory-forest op te halen. | tekenreeks |
| netBiosDomainName | Hiermee geeft u de NetBIOS-domeinnaam. | tekenreeks |
| samAccountName | Hiermee geeft u de Active Directory SAMAccountName voor Azure Storage. | tekenreeks |
CustomDomain
| Naam | Description | Waarde |
|---|---|---|
| naam | Hiermee wordt de aangepaste domeinnaam opgehaald of ingesteld die is toegewezen aan het opslagaccount. Name is de CNAME-bron. | tekenreeks (vereist) |
| useSubDomainName | Hiermee wordt aangegeven of indirecte CName-validatie is ingeschakeld. De standaardwaarde is false. Dit moet alleen worden ingesteld voor updates. | booleaans |
Versleuteling
| Naam | Description | Waarde |
|---|---|---|
| identity | De identiteit die moet worden gebruikt met versleuteling aan de servicezijde at rest. | EncryptionIdentity |
| keySource | De versleutelingssleutelBron (provider). Mogelijke waarden (niet hoofdlettergevoelig): Microsoft.Storage, Microsoft.Keyvault | 'Microsoft.Keyvault' 'Microsoft.Storage' |
| keyvaultproperties | Eigenschappen die worden geleverd door de sleutelkluis. | KeyVaultEigenschappen |
| requireInfrastructureEncryption | Een Booleaanse waarde die aangeeft of de service een secundaire versleutelingslaag met door het platform beheerde sleutels toepast voor data-at-rest. | booleaans |
| services | Lijst met services die ondersteuning bieden voor versleuteling. | EncryptionServices |
EncryptionIdentity
| Naam | Description | Waarde |
|---|---|---|
| federatedIdentityClientId | ClientId van de toepassing met meerdere tenants die moet worden gebruikt in combinatie met de door de gebruiker toegewezen identiteit voor versleuteling van door de klant beheerde sleutels op de server in het opslagaccount. | tekenreeks |
| userAssignedIdentity | Resource-id van de UserAssigned-identiteit die moet worden gekoppeld aan versleuteling aan de serverzijde in het opslagaccount. | tekenreeks |
KeyVaultEigenschappen
| Naam | Description | Waarde |
|---|---|---|
| keyname | De naam van de KeyVault-sleutel. | tekenreeks |
| keyvaulturi | De URI van KeyVault. | tekenreeks |
| keyversion | De versie van KeyVault-sleutel. | tekenreeks |
EncryptionServices
| Naam | Description | Waarde |
|---|---|---|
| blob | De versleutelingsfunctie van de blob-opslagservice. | EncryptionService |
| file | De versleutelingsfunctie van de bestandsopslagservice. | EncryptionService |
| wachtrij | De versleutelingsfunctie van de queue storage-service. | EncryptionService |
| tabel | De versleutelingsfunctie van de table storage-service. | EncryptionService |
EncryptionService
| Naam | Description | Waarde |
|---|---|---|
| enabled | Een booleaanse waarde die aangeeft of de service de gegevens versleutelt terwijl deze worden opgeslagen. Versleuteling-at-rest is momenteel standaard ingeschakeld en kan niet worden uitgeschakeld. | booleaans |
| Keytype | Type versleutelingssleutel dat moet worden gebruikt voor de versleutelingsservice. Het sleuteltype Account houdt in dat een versleutelingssleutel met accountbereik wordt gebruikt. Het sleuteltype Service houdt in dat er een standaardservicesleutel wordt gebruikt. | 'Account' 'Service' |
OnveranderbaarStorageAccount
| Naam | Description | Waarde |
|---|---|---|
| enabled | Een booleaanse vlag die onveranderbaarheid op accountniveau mogelijk maakt. Voor alle containers onder een dergelijk account is onveranderbaarheid op objectniveau standaard ingeschakeld. | booleaans |
| onveranderbaarheidSbeleid | Hiermee geeft u het standaardbeleid voor onveranderbaarheid op accountniveau op dat wordt overgenomen en toegepast op objecten die geen expliciet onveranderbaarheidsbeleid op objectniveau hebben. Het beleid voor onveranderbaarheid op objectniveau heeft een hogere prioriteit dan het beleid voor onveranderbaarheid op containerniveau, dat een hogere prioriteit heeft dan het onveranderbaarheidsbeleid op accountniveau. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Naam | Description | Waarde |
|---|---|---|
| allowProtectedAppendWrites | Deze eigenschap kan alleen worden gewijzigd voor uitgeschakeld en ontgrendeld bewaarbeleid op basis van tijd. Wanneer deze optie is ingeschakeld, kunnen nieuwe blokken naar een toevoeg-blob worden geschreven met behoud van onveranderbaarheidsbeveiliging en naleving. Alleen nieuwe blokken kunnen worden toegevoegd en bestaande blokken kunnen niet worden gewijzigd of verwijderd. | booleaans |
| immutabilityPeriodSinceCreationInDays | De onveranderbaarheidsperiode voor de blobs in de container sinds het maken van het beleid, in dagen. | int Beperkingen: Minimumwaarde = 1 Maximumwaarde = 146000 |
| staat | De status ImmutabilityPolicy definieert de modus van het beleid. Status Uitgeschakeld schakelt het beleid uit, de status Ontgrendeld staat een toename en afname van de retentietijd voor onveranderbaarheid toe en staat ook toe dat de eigenschap allowProtectedAppendWrites wordt ingeschakeld, de vergrendelde status staat alleen de toename van de retentietijd voor onveranderbaarheid toe. Een beleid kan alleen worden gemaakt met de status Uitgeschakeld of Ontgrendeld en kan worden geschakeld tussen de twee statussen. Alleen een beleid met de status Ontgrendeld kan worden overgezet naar een vergrendelde status die niet kan worden teruggezet. | 'Uitgeschakeld' 'Vergrendeld' Ontgrendeld |
KeyPolicy
| Naam | Description | Waarde |
|---|---|---|
| keyExpirationPeriodInDays | De verloopperiode van de sleutel in dagen. | int (vereist) |
NetworkRuleSet
| Naam | Description | Waarde |
|---|---|---|
| Rondweg | Hiermee geeft u op of verkeer wordt omzeild voor logboekregistratie/metrische gegevens/AzureServices. Mogelijke waarden zijn een combinatie van logboekregistratie, metrische gegevens, AzureServices (bijvoorbeeld 'logboekregistratie, metrische gegevens'), of Geen om geen van deze verkeer te omzeilen. | 'AzureServices' Logboekregistratie Metrische gegevens 'Geen' |
| defaultAction | Hiermee geeft u de standaardactie toestaan of weigeren wanneer er geen andere regels overeenkomen. | 'Toestaan' Weigeren (vereist) |
| ipRules | Hiermee stelt u de IP-ACL-regels in | IPRule[] |
| resourceAccessRules | De toegangsregels voor resources instellen | ResourceAccessRule[] |
| virtualNetworkRules | Hiermee stelt u de regels voor het virtuele netwerk in | VirtualNetworkRule[] |
IP-adresregel
| Naam | Description | Waarde |
|---|---|---|
| action | De actie van de IP-ACL-regel. | 'Toestaan' |
| waarde | Hiermee geeft u het IP-adres of IP-bereik in CIDR-indeling. Alleen IPV4-adres is toegestaan. | tekenreeks (vereist) |
ResourceAccessRule
| Naam | Description | Waarde |
|---|---|---|
| resourceId | Resource-id | tekenreeks |
| tenantId | Tenant-id | tekenreeks |
VirtualNetworkRule
| Naam | Description | Waarde |
|---|---|---|
| action | De actie van de regel voor het virtuele netwerk. | 'Toestaan' |
| id | Resource-id van een subnet, bijvoorbeeld: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | tekenreeks (vereist) |
| staat | Hiermee haalt u de status van de regel voor het virtuele netwerk op. | 'Inrichting ongedaan maken' 'Mislukt' 'NetworkSourceDeleted' 'Inrichten' Geslaagd |
Routeringsvoorkeur
| Naam | Description | Waarde |
|---|---|---|
| publishInternetEndpoints | Een Booleaanse vlag die aangeeft of opslageindpunten voor internetroutering moeten worden gepubliceerd | booleaans |
| publishMicrosoftEndpoints | Een Booleaanse vlag die aangeeft of Microsoft Routing Storage-eindpunten moeten worden gepubliceerd | booleaans |
| routeringKeuze | Routeringskeuze definieert het type netwerkroutering dat door de gebruiker is gekozen. | 'InternetRouting' 'MicrosoftRouting' |
SasPolicy
| Naam | Description | Waarde |
|---|---|---|
| expirationAction | De SAS-verloopactie. Kan alleen Logboek zijn. | 'Logboek' (vereist) |
| sasExpirationPeriod | De SAS-verloopperiode, DD.HH:MM:SS. | tekenreeks (vereist) |
Sku
| Naam | Description | Waarde |
|---|---|---|
| naam | De SKU-naam. Vereist voor het maken van een account; optioneel voor bijwerken. Houd er rekening mee dat in oudere versies SKU-naam accountType werd genoemd. | 'Premium_LRS' 'Premium_ZRS' 'Standard_GRS' 'Standard_GZRS' 'Standard_LRS' 'Standard_RAGRS' 'Standard_RAGZRS' 'Standard_ZRS' (vereist) |
Snelstartsjablonen
Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.
| Template | Beschrijving |
|---|---|
Verbinding maken met een opslagaccount vanaf een VM via een privé-eindpunt |
In dit voorbeeld ziet u hoe u verbinding maken met een virtueel netwerk kunt gebruiken voor toegang tot een blob-opslagaccount via een privé-eindpunt. |
| Verbinding maken met een Azure-bestandsshare via een privé-eindpunt |
In dit voorbeeld ziet u hoe u een virtueel netwerk en een privé-DNS-zone configureert voor toegang tot een Azure-bestandsshare via een privé-eindpunt. |
| Een Standard Storage-account maken |
Met deze sjabloon maakt u een Standard Storage-account |
| Een opslagaccount maken met SSE |
Met deze sjabloon maakt u een opslagaccount met Opslagserviceversleuteling voor data-at-rest |
| Opslagaccount met Advanced Threat Protection |
Met deze sjabloon kunt u een Azure Storage-account implementeren waarvoor Advanced Threat Protection is ingeschakeld. |
| Een Azure Storage-account en blobcontainer maken in Azure |
Met deze sjabloon maakt u een Azure Storage-account en een blobcontainer. |
| Opslagaccount met bewaarbeleid voor SSE en blobverwijdering |
Met deze sjabloon maakt u een opslagaccount met Opslagserviceversleuteling en bewaarbeleid voor blobverwijdering |
| Azure Storage-accountversleuteling met door de klant beheerde sleutel |
Met deze sjabloon wordt een opslagaccount geïmplementeerd met een door de klant beheerde sleutel voor versleuteling die wordt gegenereerd en in een Key Vault wordt geplaatst. |
| Een opslagaccount maken met een bestandsshare |
Met deze sjabloon maakt u een Azure-opslagaccount en -bestandsshare. |
| Een opslagaccount met meerdere Blob-containers maken |
Hiermee maakt u een Azure-opslagaccount en meerdere blobcontainers. |
| Een opslagaccount met meerdere bestandsshares maken |
Hiermee maakt u een Azure-opslagaccount en meerdere bestandsshares. |
| Opslagaccount maken met SFTP ingeschakeld |
Hiermee maakt u een Azure Storage-account en een blobcontainer die toegankelijk zijn met behulp van het SFTP-protocol. Toegang kan op basis van een wachtwoord of een openbare sleutel zijn. |
| Implementeert een statische website |
Implementeert een statische website met een back-upopslagaccount |
Resourcedefinitie van ARM-sjabloon
Het resourcetype storageAccounts kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor resourcegroepimplementatie
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een resource Microsoft.Storage/storageAccounts wilt maken, voegt u de volgende JSON toe aan uw sjabloon.
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-01-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"sku": {
"name": "string"
},
"kind": "string",
"extendedLocation": {
"name": "string",
"type": "EdgeZone"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"accessTier": "string",
"allowBlobPublicAccess": "bool",
"allowCrossTenantReplication": "bool",
"allowedCopyScope": "string",
"allowSharedKeyAccess": "bool",
"azureFilesIdentityBasedAuthentication": {
"activeDirectoryProperties": {
"accountType": "string",
"azureStorageSid": "string",
"domainGuid": "string",
"domainName": "string",
"domainSid": "string",
"forestName": "string",
"netBiosDomainName": "string",
"samAccountName": "string"
},
"defaultSharePermission": "string",
"directoryServiceOptions": "string"
},
"customDomain": {
"name": "string",
"useSubDomainName": "bool"
},
"defaultToOAuthAuthentication": "bool",
"dnsEndpointType": "string",
"encryption": {
"identity": {
"federatedIdentityClientId": "string",
"userAssignedIdentity": "string"
},
"keySource": "string",
"keyvaultproperties": {
"keyname": "string",
"keyvaulturi": "string",
"keyversion": "string"
},
"requireInfrastructureEncryption": "bool",
"services": {
"blob": {
"enabled": "bool",
"keyType": "string"
},
"file": {
"enabled": "bool",
"keyType": "string"
},
"queue": {
"enabled": "bool",
"keyType": "string"
},
"table": {
"enabled": "bool",
"keyType": "string"
}
}
},
"immutableStorageWithVersioning": {
"enabled": "bool",
"immutabilityPolicy": {
"allowProtectedAppendWrites": "bool",
"immutabilityPeriodSinceCreationInDays": "int",
"state": "string"
}
},
"isHnsEnabled": "bool",
"isLocalUserEnabled": "bool",
"isNfsV3Enabled": "bool",
"isSftpEnabled": "bool",
"keyPolicy": {
"keyExpirationPeriodInDays": "int"
},
"largeFileSharesState": "string",
"minimumTlsVersion": "string",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"action": "Allow",
"value": "string"
}
],
"resourceAccessRules": [
{
"resourceId": "string",
"tenantId": "string"
}
],
"virtualNetworkRules": [
{
"action": "Allow",
"id": "string",
"state": "string"
}
]
},
"publicNetworkAccess": "string",
"routingPreference": {
"publishInternetEndpoints": "bool",
"publishMicrosoftEndpoints": "bool",
"routingChoice": "string"
},
"sasPolicy": {
"expirationAction": "Log",
"sasExpirationPeriod": "string"
},
"supportsHttpsTrafficOnly": "bool"
}
}
Eigenschapswaarden
storageAccounts
| Naam | Description | Waarde |
|---|---|---|
| type | Het resourcetype | 'Microsoft.Storage/storageAccounts' |
| apiVersion | De resource-API-versie | '2023-01-01' |
| naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 3-24 Geldige tekens: Kleine letters en cijfers. De resourcenaam moet uniek zijn in Azure. |
| location | Vereist. Hiermee wordt de locatie van de resource opgehaald of ingesteld. Dit is een van de ondersteunde en geregistreerde Azure Geo-regio's (bijvoorbeeld VS - west, VS - oost, Azië - zuidoost, enzovoort). De geografische regio van een resource kan niet worden gewijzigd nadat deze is gemaakt, maar als er bij de update een identieke geografische regio wordt opgegeven, slaagt de aanvraag. | tekenreeks (vereist) |
| tags | Hiermee wordt een lijst met sleutelwaardeparen opgehaald of ingesteld die de resource beschrijven. Deze tags kunnen worden gebruikt voor het weergeven en groeperen van deze resource (in resourcegroepen). Er kunnen maximaal 15 tags worden opgegeven voor een resource. Elke tag moet een sleutel hebben met een lengte van niet meer dan 128 tekens en een waarde met een lengte van niet meer dan 256 tekens. | Woordenlijst met tagnamen en -waarden. Tags in sjablonen bekijken |
| sku | Vereist. Hiermee wordt de SKU-naam opgehaald of ingesteld. | SKU (vereist) |
| Soort | Vereist. Geeft het type opslagaccount aan. | 'BlobStorage' 'BlockBlobStorage' 'FileStorage' 'Opslag' 'StorageV2' (vereist) |
| extendedLocation | Optioneel. Stel de uitgebreide locatie van de resource in. Als dit niet is ingesteld, wordt het opslagaccount gemaakt in de hoofdregio van Azure. Anders wordt deze gemaakt op de opgegeven uitgebreide locatie | ExtendedLocation |
| identity | De identiteit van de resource. | Identiteit |
| properties | De parameters die worden gebruikt om het opslagaccount te maken. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Naam | Description | Waarde |
|---|---|---|
| naam | De naam van de uitgebreide locatie. | tekenreeks |
| type | Het type van de uitgebreide locatie. | 'EdgeZone' |
Identiteit
| Naam | Description | Waarde |
|---|---|---|
| type | Het identiteitstype. | 'Geen' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (vereist) |
| userAssignedIdentities | Hiermee wordt een lijst met sleutelwaardeparen opgehaald of ingesteld die de set door de gebruiker toegewezen identiteiten beschrijven die met dit opslagaccount worden gebruikt. De sleutel is de ARM-resource-id van de identiteit. Hier is slechts 1 door de gebruiker toegewezen identiteit toegestaan. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| Naam | Description | Waarde |
|---|---|---|
| {aangepaste eigenschap} | UserAssignedIdentity |
UserAssignedIdentity
Dit object bevat geen eigenschappen die tijdens de implementatie moeten worden ingesteld. Alle eigenschappen zijn ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Naam | Description | Waarde |
|---|---|---|
| accessTier | Vereist voor opslagaccounts waarbij soort = BlobStorage. De toegangslaag wordt gebruikt voor facturering. De toegangslaag Premium is de standaardwaarde voor het opslagaccounttype Premium-blok-blobs en kan niet worden gewijzigd voor het opslagaccounttype Premium-blok-blobs. | 'Cool' 'Hot' Premium |
| allowBlobPublicAccess | Openbare toegang tot alle blobs of containers in het opslagaccount toestaan of weigeren. De standaardinterpretatie is false voor deze eigenschap. | booleaans |
| allowCrossTenantReplication | Replicatie van objecten tussen AAD-tenants toestaan of niet toestaan. Stel deze eigenschap alleen in op true voor nieuwe of bestaande accounts als het objectreplicatiebeleid betrekking heeft op opslagaccounts in verschillende AAD-tenants. De standaardinterpretatie is onwaar voor nieuwe accounts om standaard de aanbevolen beveiligingsprocedures te volgen. | booleaans |
| allowedCopyScope | Beperk het kopiëren van en naar opslagaccounts binnen een AAD-tenant of met privékoppelingen naar hetzelfde VNet. | 'AAD' 'PrivateLink' |
| allowSharedKeyAccess | Hiermee wordt aangegeven of het opslagaccount toestaat dat aanvragen worden geautoriseerd met de toegangssleutel van het account via gedeelde sleutel. Als dit onwaar is, moeten alle aanvragen, inclusief handtekeningen voor gedeelde toegang, worden geautoriseerd met Azure Active Directory (Azure AD). De standaardwaarde is null, wat gelijk is aan true. | booleaans |
| azureFilesIdentityBasedAuthentication | Biedt de verificatie-instellingen op basis van identiteit voor Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Gebruikersdomein dat is toegewezen aan het opslagaccount. Name is de CNAME-bron. Op dit moment wordt slechts één aangepast domein per opslagaccount ondersteund. Als u het bestaande aangepaste domein wilt wissen, gebruikt u een lege tekenreeks voor de eigenschap aangepaste domeinnaam. | CustomDomain |
| defaultToOAuthAuthAuthentication | Een booleaanse vlag die aangeeft of de standaardverificatie OAuth is of niet. De standaardinterpretatie is false voor deze eigenschap. | booleaans |
| dnsEndpointType | Hiermee kunt u het type eindpunt opgeven. Stel dit in op AzureDNSZone om een groot aantal accounts in één abonnement te maken, waarmee accounts worden gemaakt in een Azure DNS-zone en de eindpunt-URL een alfanumerieke DNS-zone-id heeft. | 'AzureDnsZone' 'Standaard' |
| versleuteling | Versleutelingsinstellingen die moeten worden gebruikt voor versleuteling aan de serverzijde voor het opslagaccount. | Versleuteling |
| immutableStorageWithVersioning | De eigenschap is onveranderbaar en kan alleen worden ingesteld op true tijdens het maken van het account. Als deze optie is ingesteld op true, wordt de onveranderbaarheid op objectniveau standaard ingeschakeld voor alle nieuwe containers in het account. | OnveranderbaarStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace is ingeschakeld als deze is ingesteld op true. | booleaans |
| isLocalUserEnabled | Hiermee schakelt u de functie lokale gebruikers in, indien ingesteld op true | booleaans |
| isNfsV3Enabled | NFS 3.0-protocolondersteuning ingeschakeld als deze is ingesteld op true. | booleaans |
| isSftpEnabled | Hiermee schakelt u Secure File Transfer Protocol in, indien ingesteld op true | booleaans |
| keyPolicy | KeyPolicy toegewezen aan het opslagaccount. | KeyPolicy |
| largeFileSharesState | Grote bestandsshares toestaan als deze is ingesteld op Ingeschakeld. Het kan niet worden uitgeschakeld nadat deze is ingeschakeld. | 'Uitgeschakeld' Ingeschakeld |
| minimumTlsVersion | Stel de minimale TLS-versie in die moet worden toegestaan voor aanvragen voor opslag. De standaardinterpretatie is TLS 1.0 voor deze eigenschap. | 'TLS1_0' 'TLS1_1' 'TLS1_2' |
| networkAcls | Netwerkregelset | NetworkRuleSet |
| publicNetworkAccess | Openbare netwerktoegang tot opslagaccount toestaan of weigeren. De waarde is optioneel, maar als deze wordt doorgegeven, moet deze 'Ingeschakeld' of 'Uitgeschakeld' zijn. | 'Uitgeschakeld' Ingeschakeld |
| routingPreference | Houdt informatie bij over de keuze voor netwerkroutering die door de gebruiker is gekozen voor gegevensoverdracht | Routeringsvoorkeur |
| sasPolicy | SasPolicy toegewezen aan het opslagaccount. | SasPolicy |
| supportsHttpsTrafficOnly | Staat https-verkeer alleen toe naar de opslagservice als deze is ingesteld op true. De standaardwaarde is true sinds API-versie 2019-04-01. | booleaans |
AzureFilesIdentityBasedAuthentication
| Naam | Description | Waarde |
|---|---|---|
| activeDirectoryProperties | Vereist als directoryServiceOptions AD zijn, optioneel als ze AADKERB zijn. | ActiveDirectoryProperties |
| defaultSharePermission | Standaardsharemachtigingen voor gebruikers die Kerberos-verificatie gebruiken als de RBAC-rol niet is toegewezen. | 'Geen' 'StorageFileDataSmbShareContributor' 'StorageFileDataSmbShareElevatedContributor' 'StorageFileDataSmbShareReader' |
| directoryServiceOptions | Geeft de gebruikte adreslijstservice aan. Houd er rekening mee dat deze opsomming in de toekomst kan worden uitgebreid. | 'AADDS' 'AADKERB' 'AD' 'Geen' (vereist) |
ActiveDirectoryProperties
| Naam | Description | Waarde |
|---|---|---|
| accountType | Hiermee geeft u het Active Directory-accounttype voor Azure Storage op. | 'Computer' 'Gebruiker' |
| azureStorageSid | Hiermee geeft u de beveiligings-id (SID) voor Azure Storage. | tekenreeks |
| domainGuid | Hiermee geeft u de domein-GUID. | tekenreeks (vereist) |
| domainName | Hiermee geeft u het primaire domein waarvoor de AD DNS-server is gezaghebbend. | tekenreeks (vereist) |
| domainSid | Hiermee geeft u de beveiligings-id (SID). | tekenreeks |
| forestName | Hiermee geeft u het Active Directory-forest op te halen. | tekenreeks |
| netBiosDomainName | Hiermee geeft u de NetBIOS-domeinnaam. | tekenreeks |
| samAccountName | Hiermee geeft u de Active Directory SAMAccountName voor Azure Storage. | tekenreeks |
CustomDomain
| Naam | Description | Waarde |
|---|---|---|
| naam | Hiermee wordt de aangepaste domeinnaam opgehaald of ingesteld die is toegewezen aan het opslagaccount. Name is de CNAME-bron. | tekenreeks (vereist) |
| useSubDomainName | Hiermee wordt aangegeven of indirecte CName-validatie is ingeschakeld. De standaardwaarde is false. Dit moet alleen worden ingesteld voor updates. | booleaans |
Versleuteling
| Naam | Description | Waarde |
|---|---|---|
| identity | De identiteit die moet worden gebruikt met versleuteling aan de servicezijde at rest. | EncryptionIdentity |
| keySource | De versleutelingssleutelBron (provider). Mogelijke waarden (niet hoofdlettergevoelig): Microsoft.Storage, Microsoft.Keyvault | 'Microsoft.Keyvault' 'Microsoft.Storage' |
| keyvaultproperties | Eigenschappen die worden geleverd door de sleutelkluis. | KeyVaultEigenschappen |
| requireInfrastructureEncryption | Een Booleaanse waarde die aangeeft of de service een secundaire versleutelingslaag met door het platform beheerde sleutels toepast voor data-at-rest. | booleaans |
| services | Lijst met services die versleuteling ondersteunen. | EncryptionServices |
EncryptionIdentity
| Naam | Description | Waarde |
|---|---|---|
| federatedIdentityClientId | ClientId van de toepassing met meerdere tenants die moet worden gebruikt in combinatie met de door de gebruiker toegewezen identiteit voor door de klant beheerde sleutels op de server in het opslagaccount. | tekenreeks |
| userAssignedIdentity | Resource-id van de UserAssigned-identiteit die moet worden gekoppeld aan versleuteling aan de serverzijde van het opslagaccount. | tekenreeks |
KeyVaultEigenschappen
| Naam | Description | Waarde |
|---|---|---|
| keyname | De naam van de KeyVault-sleutel. | tekenreeks |
| keyvaulturi | De URI van KeyVault. | tekenreeks |
| keyversion | De versie van KeyVault-sleutel. | tekenreeks |
EncryptionServices
| Naam | Description | Waarde |
|---|---|---|
| blob | De versleutelingsfunctie van de blob storage-service. | EncryptionService |
| file | De versleutelingsfunctie van de bestandsopslagservice. | EncryptionService |
| wachtrij | De versleutelingsfunctie van de queue storage-service. | EncryptionService |
| tabel | De versleutelingsfunctie van de table storage-service. | EncryptionService |
EncryptionService
| Naam | Description | Waarde |
|---|---|---|
| enabled | Een booleaanse waarde die aangeeft of de service de gegevens versleutelt terwijl deze worden opgeslagen. Versleuteling-at-rest is momenteel standaard ingeschakeld en kan niet worden uitgeschakeld. | booleaans |
| Keytype | Type versleutelingssleutel dat moet worden gebruikt voor de versleutelingsservice. Het sleuteltype Account houdt in dat er een versleutelingssleutel met accountbereik wordt gebruikt. Het sleuteltype Service houdt in dat er een standaardservicesleutel wordt gebruikt. | 'Account' 'Service' |
OnveranderbaarStorageAccount
| Naam | Description | Waarde |
|---|---|---|
| enabled | Een booleaanse vlag die onveranderbaarheid op accountniveau mogelijk maakt. Voor alle containers onder een dergelijk account is onveranderbaarheid op objectniveau standaard ingeschakeld. | booleaans |
| immutabilityPolicy | Hiermee geeft u het standaardbeleid voor onveranderbaarheid op accountniveau op dat wordt overgenomen en toegepast op objecten die geen expliciet onveranderbaarheidsbeleid op objectniveau hebben. Het beleid voor onveranderbaarheid op objectniveau heeft een hogere prioriteit dan het beleid voor onveranderbaarheid op containerniveau, dat een hogere prioriteit heeft dan het onveranderbaarheidsbeleid op accountniveau. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Naam | Description | Waarde |
|---|---|---|
| allowProtectedAppendWrites | Deze eigenschap kan alleen worden gewijzigd voor uitgeschakeld en ontgrendeld bewaarbeleid op basis van tijd. Wanneer deze optie is ingeschakeld, kunnen nieuwe blokken naar een toevoeg-blob worden geschreven met behoud van onveranderbaarheidsbeveiliging en naleving. Alleen nieuwe blokken kunnen worden toegevoegd en bestaande blokken kunnen niet worden gewijzigd of verwijderd. | booleaans |
| immutabilityPeriodSinceCreationInDays | De onveranderbaarheidsperiode voor de blobs in de container sinds het maken van het beleid, in dagen. | int Beperkingen: Minimumwaarde = 1 Maximale waarde = 146000 |
| staat | De status ImmutabilityPolicy definieert de modus van het beleid. Status Uitgeschakeld schakelt het beleid uit, ontgrendelde status staat toename en afname van de retentietijd voor onveranderbaarheid toe en staat ook het in-/uitschakelen van de eigenschap allowProtectedAppendWrites toe, vergrendelde status staat alleen de toename van de retentietijd voor onveranderbaarheid toe. Een beleid kan alleen worden gemaakt met de status Uitgeschakeld of Ontgrendeld en kan tussen de twee statussen worden geschakeld. Alleen een beleid met de status Ontgrendeld kan worden overgezet naar een vergrendelde status die niet kan worden teruggezet. | 'Uitgeschakeld' 'Vergrendeld' Ontgrendeld |
KeyPolicy
| Naam | Description | Waarde |
|---|---|---|
| keyExpirationPeriodInDays | De verloopperiode van de sleutel in dagen. | int (vereist) |
NetworkRuleSet
| Naam | Description | Waarde |
|---|---|---|
| Rondweg | Hiermee geeft u op of verkeer wordt omzeild voor logboekregistratie/metrische gegevens/AzureServices. Mogelijke waarden zijn een combinatie van logboekregistratie, metrische gegevens, AzureServices (bijvoorbeeld 'logboekregistratie, metrische gegevens'), of Geen om geen van deze verkeer te omzeilen. | 'AzureServices' Logboekregistratie Metrische gegevens 'Geen' |
| defaultAction | Hiermee geeft u de standaardactie toestaan of weigeren wanneer er geen andere regels overeenkomen. | 'Toestaan' Weigeren (vereist) |
| ipRules | Hiermee stelt u de IP-ACL-regels in | IPRule[] |
| resourceAccessRules | De toegangsregels voor resources instellen | ResourceAccessRule[] |
| virtualNetworkRules | Hiermee stelt u de regels voor het virtuele netwerk in | VirtualNetworkRule[] |
IP-adresregel
| Naam | Description | Waarde |
|---|---|---|
| action | De actie van de IP-ACL-regel. | 'Toestaan' |
| waarde | Hiermee geeft u het IP-adres of IP-bereik in CIDR-indeling. Alleen IPV4-adres is toegestaan. | tekenreeks (vereist) |
ResourceAccessRule
| Naam | Description | Waarde |
|---|---|---|
| resourceId | Resource-id | tekenreeks |
| tenantId | Tenant-id | tekenreeks |
VirtualNetworkRule
| Naam | Description | Waarde |
|---|---|---|
| action | De actie van de regel voor het virtuele netwerk. | 'Toestaan' |
| id | Resource-id van een subnet, bijvoorbeeld: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | tekenreeks (vereist) |
| staat | Hiermee haalt u de status van de regel voor het virtuele netwerk op. | 'Inrichting ongedaan maken' 'Mislukt' 'NetworkSourceDeleted' 'Inrichten' Geslaagd |
Routeringsvoorkeur
| Naam | Description | Waarde |
|---|---|---|
| publishInternetEndpoints | Een Booleaanse vlag die aangeeft of opslageindpunten voor internetroutering moeten worden gepubliceerd | booleaans |
| publishMicrosoftEndpoints | Een Booleaanse vlag die aangeeft of Microsoft Routing Storage-eindpunten moeten worden gepubliceerd | booleaans |
| routeringKeuze | Routeringskeuze definieert het type netwerkroutering dat door de gebruiker is gekozen. | 'InternetRouting' 'MicrosoftRouting' |
SasPolicy
| Naam | Description | Waarde |
|---|---|---|
| expirationAction | De SAS-verloopactie. Kan alleen Logboek zijn. | 'Logboek' (vereist) |
| sasExpirationPeriod | De SAS-verloopperiode, DD.HH:MM:SS. | tekenreeks (vereist) |
Sku
| Naam | Description | Waarde |
|---|---|---|
| naam | De SKU-naam. Vereist voor het maken van een account; optioneel voor bijwerken. Houd er rekening mee dat in oudere versies SKU-naam accountType werd genoemd. | 'Premium_LRS' 'Premium_ZRS' 'Standard_GRS' 'Standard_GZRS' 'Standard_LRS' 'Standard_RAGRS' 'Standard_RAGZRS' 'Standard_ZRS' (vereist) |
Snelstartsjablonen
Met de volgende snelstartsjablonen wordt dit resourcetype geïmplementeerd.
| Template | Beschrijving |
|---|---|
| Verbinding maken met een opslagaccount vanaf een VM via een privé-eindpunt |
In dit voorbeeld ziet u hoe u verbinding maken met een virtueel netwerk kunt gebruiken om toegang te krijgen tot een blob-opslagaccount via een privé-eindpunt. |
| Verbinding maken met een Azure-bestandsshare via een privé-eindpunt |
In dit voorbeeld ziet u hoe u een virtueel netwerk en een privé-DNS-zone configureert voor toegang tot een Azure-bestandsshare via een privé-eindpunt. |
| Een Standard-opslagaccount maken |
Met deze sjabloon maakt u een Standard-opslagaccount |
| Een opslagaccount maken met SSE |
Met deze sjabloon maakt u een opslagaccount met Opslagserviceversleuteling voor data-at-rest |
| Opslagaccount met Advanced Threat Protection |
Met deze sjabloon kunt u een Azure Storage-account implementeren waarvoor Advanced Threat Protection is ingeschakeld. |
| Een Azure Storage-account en blobcontainer maken in Azure |
Met deze sjabloon maakt u een Azure Storage-account en een blobcontainer. |
| Opslagaccount met bewaarbeleid voor SSE en blobverwijdering |
Met deze sjabloon maakt u een opslagaccount met Opslagserviceversleuteling en een bewaarbeleid voor blobverwijdering |
| Azure Storage-accountversleuteling met door de klant beheerde sleutel |
Met deze sjabloon wordt een opslagaccount geïmplementeerd met een door de klant beheerde sleutel voor versleuteling die wordt gegenereerd en in een Key Vault wordt geplaatst. |
| Een opslagaccount maken met een bestandsshare |
Met deze sjabloon maakt u een Azure-opslagaccount en -bestandsshare. |
| Een opslagaccount maken met meerdere blobcontainers |
Hiermee maakt u een Azure-opslagaccount en meerdere blobcontainers. |
| Een opslagaccount met meerdere bestandsshares maken |
Hiermee maakt u een Azure-opslagaccount en meerdere bestandsshares. |
| Opslagaccount maken met SFTP ingeschakeld |
Hiermee maakt u een Azure Storage-account en een blobcontainer die toegankelijk is met behulp van het SFTP-protocol. Toegang kan op basis van een wachtwoord of een openbare sleutel zijn. |
| Een statische website implementeren |
Hiermee wordt een statische website met een back-upopslagaccount geïmplementeerd |
Terraform-resourcedefinitie (AzAPI-provider)
Het resourcetype storageAccounts kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Storage/storageAccounts-resource wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Storage/storageAccounts@2023-01-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
accessTier = "string"
allowBlobPublicAccess = bool
allowCrossTenantReplication = bool
allowedCopyScope = "string"
allowSharedKeyAccess = bool
azureFilesIdentityBasedAuthentication = {
activeDirectoryProperties = {
accountType = "string"
azureStorageSid = "string"
domainGuid = "string"
domainName = "string"
domainSid = "string"
forestName = "string"
netBiosDomainName = "string"
samAccountName = "string"
}
defaultSharePermission = "string"
directoryServiceOptions = "string"
}
customDomain = {
name = "string"
useSubDomainName = bool
}
defaultToOAuthAuthentication = bool
dnsEndpointType = "string"
encryption = {
identity = {
federatedIdentityClientId = "string"
userAssignedIdentity = "string"
}
keySource = "string"
keyvaultproperties = {
keyname = "string"
keyvaulturi = "string"
keyversion = "string"
}
requireInfrastructureEncryption = bool
services = {
blob = {
enabled = bool
keyType = "string"
}
file = {
enabled = bool
keyType = "string"
}
queue = {
enabled = bool
keyType = "string"
}
table = {
enabled = bool
keyType = "string"
}
}
}
immutableStorageWithVersioning = {
enabled = bool
immutabilityPolicy = {
allowProtectedAppendWrites = bool
immutabilityPeriodSinceCreationInDays = int
state = "string"
}
}
isHnsEnabled = bool
isLocalUserEnabled = bool
isNfsV3Enabled = bool
isSftpEnabled = bool
keyPolicy = {
keyExpirationPeriodInDays = int
}
largeFileSharesState = "string"
minimumTlsVersion = "string"
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
action = "Allow"
value = "string"
}
]
resourceAccessRules = [
{
resourceId = "string"
tenantId = "string"
}
]
virtualNetworkRules = [
{
action = "Allow"
id = "string"
state = "string"
}
]
}
publicNetworkAccess = "string"
routingPreference = {
publishInternetEndpoints = bool
publishMicrosoftEndpoints = bool
routingChoice = "string"
}
sasPolicy = {
expirationAction = "Log"
sasExpirationPeriod = "string"
}
supportsHttpsTrafficOnly = bool
}
sku = {
name = "string"
}
kind = "string"
extendedLocation = {
name = "string"
type = "EdgeZone"
}
})
}
Eigenschapswaarden
storageAccounts
| Naam | Description | Waarde |
|---|---|---|
| type | Het resourcetype | "Microsoft.Storage/storageAccounts@2023-01-01" |
| naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 3-24 Geldige tekens: Kleine letters en cijfers. De resourcenaam moet uniek zijn in Azure. |
| location | Vereist. Hiermee wordt de locatie van de resource opgehaald of ingesteld. Dit is een van de ondersteunde en geregistreerde Azure Geo-regio's (bijvoorbeeld VS - west, VS - oost, Azië - zuidoost, enzovoort). De geografische regio van een resource kan niet worden gewijzigd nadat deze is gemaakt, maar als bij de update een identieke geografische regio wordt opgegeven, slaagt de aanvraag. | tekenreeks (vereist) |
| parent_id | Als u wilt implementeren in een resourcegroep, gebruikt u de id van die resourcegroep. | tekenreeks (vereist) |
| tags | Hiermee wordt een lijst met sleutelwaardeparen opgehaald of ingesteld waarmee de resource wordt beschreven. Deze tags kunnen worden gebruikt voor het weergeven en groeperen van deze resource (tussen resourcegroepen). Er kunnen maximaal 15 tags worden opgegeven voor een resource. Elke tag moet een sleutel hebben met een lengte van niet meer dan 128 tekens en een waarde met een lengte van niet meer dan 256 tekens. | Woordenlijst met tagnamen en -waarden. |
| sku | Vereist. Hiermee wordt de SKU-naam opgehaald of ingesteld. | SKU (vereist) |
| Soort | Vereist. Geeft het type opslagaccount aan. | "BlobStorage" "BlockBlobStorage" "FileStorage" "Opslag" 'StorageV2' (vereist) |
| extendedLocation | Optioneel. Stel de uitgebreide locatie van de resource in. Als dit niet is ingesteld, wordt het opslagaccount gemaakt in de hoofdregio van Azure. Anders wordt deze gemaakt op de opgegeven uitgebreide locatie | ExtendedLocation |
| identity | De identiteit van de resource. | Identiteit |
| properties | De parameters die worden gebruikt om het opslagaccount te maken. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| Naam | Description | Waarde |
|---|---|---|
| naam | De naam van de uitgebreide locatie. | tekenreeks |
| type | Het type van de uitgebreide locatie. | "EdgeZone" |
Identiteit
| Naam | Description | Waarde |
|---|---|---|
| type | Het identiteitstype. | "SystemAssigned" "SystemAssigned,UserAssigned" 'UserAssigned' (vereist) |
| identity_ids | Hiermee wordt een lijst met sleutelwaardeparen opgehaald of ingesteld die de set door de gebruiker toegewezen identiteiten beschrijven die met dit opslagaccount worden gebruikt. De sleutel is de ARM-resource-id van de identiteit. Hier is slechts 1 door de gebruiker toegewezen identiteit toegestaan. | Matrix met gebruikersidentiteits-id's. |
IdentityUserAssignedIdentities
| Naam | Description | Waarde |
|---|---|---|
| {aangepaste eigenschap} | UserAssignedIdentity |
UserAssignedIdentity
Dit object bevat geen eigenschappen die tijdens de implementatie moeten worden ingesteld. Alle eigenschappen zijn ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
| Naam | Description | Waarde |
|---|---|---|
| accessTier | Vereist voor opslagaccounts waarbij soort = BlobStorage. De toegangslaag wordt gebruikt voor facturering. De toegangslaag Premium is de standaardwaarde voor het opslagaccounttype Premium-blok-blobs en kan niet worden gewijzigd voor het opslagaccounttype Premium-blok-blobs. | "Cool" "Heet" "Premium" |
| allowBlobPublicAccess | Openbare toegang tot alle blobs of containers in het opslagaccount toestaan of weigeren. De standaardinterpretatie is false voor deze eigenschap. | booleaans |
| allowCrossTenantReplication | Replicatie van objecten tussen AAD-tenants toestaan of niet toestaan. Stel deze eigenschap alleen in op true voor nieuwe of bestaande accounts als het objectreplicatiebeleid betrekking heeft op opslagaccounts in verschillende AAD-tenants. De standaardinterpretatie is onwaar voor nieuwe accounts om standaard de aanbevolen beveiligingsprocedures te volgen. | booleaans |
| allowedCopyScope | Beperk het kopiëren van en naar opslagaccounts binnen een AAD-tenant of met privékoppelingen naar hetzelfde VNet. | "AAD" "PrivateLink" |
| allowSharedKeyAccess | Hiermee wordt aangegeven of het opslagaccount toestaat dat aanvragen worden geautoriseerd met de toegangssleutel van het account via gedeelde sleutel. Als dit onwaar is, moeten alle aanvragen, inclusief handtekeningen voor gedeelde toegang, worden geautoriseerd met Azure Active Directory (Azure AD). De standaardwaarde is null, wat gelijk is aan true. | booleaans |
| azureFilesIdentityBasedAuthentication | Biedt de verificatie-instellingen op basis van identiteit voor Azure Files. | AzureFilesIdentityBasedAuthentication |
| customDomain | Gebruikersdomein dat is toegewezen aan het opslagaccount. Name is de CNAME-bron. Op dit moment wordt slechts één aangepast domein per opslagaccount ondersteund. Als u het bestaande aangepaste domein wilt wissen, gebruikt u een lege tekenreeks voor de eigenschap aangepaste domeinnaam. | CustomDomain |
| defaultToOAuthAuthAuthentication | Een booleaanse vlag die aangeeft of de standaardverificatie OAuth is of niet. De standaardinterpretatie is false voor deze eigenschap. | booleaans |
| dnsEndpointType | Hiermee kunt u het type eindpunt opgeven. Stel dit in op AzureDNSZone om een groot aantal accounts in één abonnement te maken, waarmee accounts worden gemaakt in een Azure DNS-zone en de eindpunt-URL een alfanumerieke DNS-zone-id heeft. | "AzureDnsZone" "Standaard" |
| versleuteling | Versleutelingsinstellingen die moeten worden gebruikt voor versleuteling aan de serverzijde voor het opslagaccount. | Versleuteling |
| immutableStorageWithVersioning | De eigenschap is onveranderbaar en kan alleen worden ingesteld op true tijdens het maken van het account. Als deze optie is ingesteld op true, wordt de onveranderbaarheid op objectniveau standaard ingeschakeld voor alle nieuwe containers in het account. | OnveranderbaarStorageAccount |
| isHnsEnabled | Account HierarchicalNamespace is ingeschakeld als deze is ingesteld op true. | booleaans |
| isLocalUserEnabled | Hiermee schakelt u de functie lokale gebruikers in, indien ingesteld op true | booleaans |
| isNfsV3Enabled | NFS 3.0-protocolondersteuning ingeschakeld als deze is ingesteld op true. | booleaans |
| isSftpEnabled | Hiermee schakelt u Secure File Transfer Protocol in, indien ingesteld op true | booleaans |
| keyPolicy | KeyPolicy toegewezen aan het opslagaccount. | KeyPolicy |
| largeFileSharesState | Grote bestandsshares toestaan als is ingesteld op Ingeschakeld. Het kan niet worden uitgeschakeld nadat deze is ingeschakeld. | "Uitgeschakeld" "Ingeschakeld" |
| minimumTlsVersion | Stel de minimale TLS-versie in die is toegestaan voor aanvragen voor opslag. De standaardinterpretatie is TLS 1.0 voor deze eigenschap. | "TLS1_0" "TLS1_1" "TLS1_2" |
| networkAcls | Netwerkregelset | NetworkRuleSet |
| publicNetworkAccess | Openbare netwerktoegang tot opslagaccount toestaan of weigeren. De waarde is optioneel, maar als deze is doorgegeven, moet 'Ingeschakeld' of 'Uitgeschakeld' zijn. | "Uitgeschakeld" "Ingeschakeld" |
| routingPreference | Houdt informatie bij over de keuze voor netwerkroutering die door de gebruiker is gekozen voor gegevensoverdracht | Routeringsvoorkeur |
| sasPolicy | SasPolicy toegewezen aan het opslagaccount. | SasPolicy |
| supportsHttpsTrafficOnly | Staat alleen https-verkeer naar de opslagservice toe als deze is ingesteld op waar. De standaardwaarde is true sinds API-versie 2019-04-01. | booleaans |
AzureFilesIdentityBasedAuthentication
| Naam | Description | Waarde |
|---|---|---|
| activeDirectoryProperties | Vereist als directoryServiceOptions AD zijn, optioneel als ze AADKERB zijn. | ActiveDirectoryProperties |
| defaultSharePermission | Standaardmachtiging voor delen voor gebruikers die Kerberos-verificatie gebruiken als de RBAC-rol niet is toegewezen. | "Geen" "StorageFileDataSmbShareContributor" "StorageFileDataSmbShareElevatedContributor" "StorageFileDataSmbShareReader" |
| directoryServiceOptions | Geeft de gebruikte adreslijstservice aan. Houd er rekening mee dat deze opsomming in de toekomst kan worden uitgebreid. | "AADDS" "AADKERB" "AD" "Geen" (vereist) |
ActiveDirectoryProperties
| Naam | Description | Waarde |
|---|---|---|
| accountType | Hiermee geeft u het Active Directory-accounttype voor Azure Storage op. | "Computer" "Gebruiker" |
| azureStorageSid | Hiermee geeft u de beveiligings-id (SID) voor Azure Storage op. | tekenreeks |
| domainGuid | Hiermee geeft u de domein-GUID. | tekenreeks (vereist) |
| domainName | Hiermee geeft u het primaire domein waarvoor de AD DNS-server is gezaghebbend. | tekenreeks (vereist) |
| domainSid | Hiermee geeft u de beveiligings-id (SID) op. | tekenreeks |
| forestName | Hiermee geeft u het Active Directory-forest op dat moet worden opgeslagen. | tekenreeks |
| netBiosDomainName | Hiermee geeft u de NetBIOS-domeinnaam op. | tekenreeks |
| samAccountName | Hiermee geeft u de Active Directory SAMAccountName voor Azure Storage. | tekenreeks |
CustomDomain
| Naam | Description | Waarde |
|---|---|---|
| naam | Hiermee wordt de aangepaste domeinnaam opgehaald of ingesteld die is toegewezen aan het opslagaccount. Naam is de CNAME-bron. | tekenreeks (vereist) |
| useSubDomainName | Hiermee wordt aangegeven of indirecte CName-validatie is ingeschakeld. De standaardwaarde is false. Dit moet alleen worden ingesteld voor updates. | booleaans |
Versleuteling
| Naam | Description | Waarde |
|---|---|---|
| identity | De identiteit die moet worden gebruikt met versleuteling aan de servicezijde at rest. | EncryptionIdentity |
| keySource | De versleutelingssleutelBron (provider). Mogelijke waarden (niet hoofdlettergevoelig): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
| keyvaulteigenschappen | Eigenschappen die worden geleverd door de sleutelkluis. | KeyVaultEigenschappen |
| requireInfrastructureEncryption | Een booleaanse waarde die aangeeft of de service een secundaire versleutelingslaag met door het platform beheerde sleutels toepast voor data-at-rest. | booleaans |
| services | Lijst met services die versleuteling ondersteunen. | EncryptionServices |
EncryptionIdentity
| Naam | Description | Waarde |
|---|---|---|
| federatedIdentityClientId | ClientId van de toepassing met meerdere tenants die moet worden gebruikt in combinatie met de door de gebruiker toegewezen identiteit voor door de klant beheerde sleutels op de server in het opslagaccount. | tekenreeks |
| userAssignedIdentity | Resource-id van de UserAssigned-identiteit die moet worden gekoppeld aan versleuteling aan de serverzijde van het opslagaccount. | tekenreeks |
KeyVaultEigenschappen
| Naam | Description | Waarde |
|---|---|---|
| keyname | De naam van de KeyVault-sleutel. | tekenreeks |
| keyvaulturi | De URI van KeyVault. | tekenreeks |
| keyversion | De versie van KeyVault-sleutel. | tekenreeks |
EncryptionServices
| Naam | Description | Waarde |
|---|---|---|
| blob | De versleutelingsfunctie van de blob storage-service. | EncryptionService |
| file | De versleutelingsfunctie van de bestandsopslagservice. | EncryptionService |
| wachtrij | De versleutelingsfunctie van de queue storage-service. | EncryptionService |
| tabel | De versleutelingsfunctie van de table storage-service. | EncryptionService |
EncryptionService
| Naam | Description | Waarde |
|---|---|---|
| enabled | Een booleaanse waarde die aangeeft of de service de gegevens versleutelt terwijl deze worden opgeslagen. Versleuteling-at-rest is momenteel standaard ingeschakeld en kan niet worden uitgeschakeld. | booleaans |
| Keytype | Type versleutelingssleutel dat moet worden gebruikt voor de versleutelingsservice. Het sleuteltype Account houdt in dat er een versleutelingssleutel met accountbereik wordt gebruikt. Het sleuteltype Service houdt in dat er een standaardservicesleutel wordt gebruikt. | "Account" "Service" |
OnveranderbaarStorageAccount
| Naam | Description | Waarde |
|---|---|---|
| enabled | Een booleaanse vlag die onveranderbaarheid op accountniveau mogelijk maakt. Voor alle containers onder een dergelijk account is onveranderbaarheid op objectniveau standaard ingeschakeld. | booleaans |
| immutabilityPolicy | Hiermee geeft u het standaardbeleid voor onveranderbaarheid op accountniveau op dat wordt overgenomen en toegepast op objecten die geen expliciet onveranderbaarheidsbeleid op objectniveau hebben. Het beleid voor onveranderbaarheid op objectniveau heeft een hogere prioriteit dan het beleid voor onveranderbaarheid op containerniveau, dat een hogere prioriteit heeft dan het onveranderbaarheidsbeleid op accountniveau. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| Naam | Description | Waarde |
|---|---|---|
| allowProtectedAppendWrites | Deze eigenschap kan alleen worden gewijzigd voor uitgeschakeld en ontgrendeld bewaarbeleid op basis van tijd. Wanneer deze optie is ingeschakeld, kunnen nieuwe blokken naar een toevoeg-blob worden geschreven met behoud van onveranderbaarheidsbeveiliging en naleving. Alleen nieuwe blokken kunnen worden toegevoegd en bestaande blokken kunnen niet worden gewijzigd of verwijderd. | booleaans |
| immutabilityPeriodSinceCreationInDays | De onveranderbaarheidsperiode voor de blobs in de container sinds het maken van het beleid, in dagen. | int Beperkingen: Minimumwaarde = 1 Maximale waarde = 146000 |
| staat | De status ImmutabilityPolicy definieert de modus van het beleid. Status Uitgeschakeld schakelt het beleid uit, ontgrendelde status staat toename en afname van de retentietijd voor onveranderbaarheid toe en staat ook het in-/uitschakelen van de eigenschap allowProtectedAppendWrites toe, vergrendelde status staat alleen de toename van de retentietijd voor onveranderbaarheid toe. Een beleid kan alleen worden gemaakt met de status Uitgeschakeld of Ontgrendeld en kan tussen de twee statussen worden geschakeld. Alleen een beleid met de status Ontgrendeld kan worden overgezet naar een vergrendelde status die niet kan worden teruggezet. | "Uitgeschakeld" "Vergrendeld" "Ontgrendeld" |
KeyPolicy
| Naam | Description | Waarde |
|---|---|---|
| keyExpirationPeriodInDays | De verloopperiode van de sleutel in dagen. | int (vereist) |
NetworkRuleSet
| Naam | Description | Waarde |
|---|---|---|
| Rondweg | Hiermee geeft u op of verkeer wordt omzeild voor logboekregistratie/metrische gegevens/AzureServices. Mogelijke waarden zijn een combinatie van logboekregistratie, metrische gegevens, AzureServices (bijvoorbeeld 'logboekregistratie, metrische gegevens'), of Geen om geen van deze verkeer te omzeilen. | "AzureServices" "Logboekregistratie" "Metrische gegevens" "Geen" |
| defaultAction | Hiermee geeft u de standaardactie toestaan of weigeren wanneer er geen andere regels overeenkomen. | "Toestaan" Weigeren (vereist) |
| ipRules | Hiermee stelt u de IP-ACL-regels in | IPRule[] |
| resourceAccessRules | De toegangsregels voor resources instellen | ResourceAccessRule[] |
| virtualNetworkRules | Hiermee stelt u de regels voor het virtuele netwerk in | VirtualNetworkRule[] |
IP-adresregel
| Naam | Description | Waarde |
|---|---|---|
| action | De actie van de IP-ACL-regel. | "Toestaan" |
| waarde | Hiermee geeft u het IP-adres of IP-bereik in CIDR-indeling. Alleen IPV4-adres is toegestaan. | tekenreeks (vereist) |
ResourceAccessRule
| Naam | Description | Waarde |
|---|---|---|
| resourceId | Resource-id | tekenreeks |
| tenantId | Tenant-id | tekenreeks |
VirtualNetworkRule
| Naam | Description | Waarde |
|---|---|---|
| action | De actie van de regel voor het virtuele netwerk. | "Toestaan" |
| id | Resource-id van een subnet, bijvoorbeeld: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | tekenreeks (vereist) |
| staat | Hiermee haalt u de status van de regel voor het virtuele netwerk op. | "Inrichting ongedaan maken" "Mislukt" "NetworkSourceDeleted" "Inrichten" "Geslaagd" |
Routeringsvoorkeur
| Naam | Description | Waarde |
|---|---|---|
| publishInternetEndpoints | Een Booleaanse vlag die aangeeft of opslageindpunten voor internetroutering moeten worden gepubliceerd | booleaans |
| publishMicrosoftEndpoints | Een booleaanse vlag die aangeeft of Microsoft Routing Storage-eindpunten moeten worden gepubliceerd | booleaans |
| routeringKeuze | Routeringskeuze definieert het type netwerkroutering dat door de gebruiker is gekozen. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
| Naam | Description | Waarde |
|---|---|---|
| expirationAction | De sas-vervaldatumactie. Kan alleen Logboek zijn. | 'Logboek' (vereist) |
| sasExpirationPeriod | De SAS-verloopperiode, DD.HH:MM:SS. | tekenreeks (vereist) |
Sku
| Naam | Description | Waarde |
|---|---|---|
| naam | De SKU-naam. Vereist voor het maken van een account; optioneel voor bijwerken. Houd er rekening mee dat in oudere versies SKU-naam accountType werd genoemd. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" 'Standard_ZRS' (vereist) |