Magazyny Microsoft.KeyVault
Definicja zasobu Bicep
Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Uwagi
Aby uzyskać wskazówki dotyczące używania magazynów kluczy do zabezpieczania wartości, zobacz Manage secrets by using Bicep.
Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia wpisu tajnego, zobacz Szybki start: ustawianie i pobieranie wpisu tajnego z usługi Azure Key Vault przy użyciu szablonu usługi ARM.
Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia klucza, zobacz Szybki start: tworzenie magazynu kluczy platformy Azure i klucza przy użyciu szablonu usługi ARM.
Format zasobu
Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący kod Bicep do szablonu.
resource symbolicname 'Microsoft.KeyVault/vaults@2023-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Wartości właściwości
Sklepienia
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwa | Nazwa zasobu | ciąg (wymagany) Limit znaków: 3–24 Prawidłowe znaki: Alfanumeryczne i łączniki. Zacznij od litery. Koniec literą lub cyfrą. Nie można zawierać kolejnych łączników. Nazwa zasobu musi być unikatowa na platformie Azure. |
| lokalizacja | Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. | ciąg (wymagany) |
| Tagi | Tagi, które zostaną przypisane do magazynu kluczy. | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
| Właściwości | Właściwości magazynu | VaultWłaściwości (wymagane) |
Właściwości magazynu
| Nazwa | Opis | Wartość |
|---|---|---|
| accessPolicies | Tablica z 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Gdy createMode jest ustawiona na recover, zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. |
AccessPolicyEntry[] |
| createMode | Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. | "wartość domyślna" "Odzyskaj" |
| enabledForDeployment | Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. | Bool |
| enabledForDiskEncryption | Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. | Bool |
| enabledForTemplateDeployment | Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. | Bool |
| enablePurgeProtection | Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na true aktywuje ochronę przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. | Bool |
| enableRbacAuthorization | Właściwość, która kontroluje sposób autoryzacji akcji danych. W przypadku wartości true magazyn kluczy będzie używać kontroli dostępu opartej na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane. Jeśli wartość false, magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane za pomocą kontroli dostępu opartej na rolach. | Bool |
| enableSoftDelete | Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. | Bool |
| networkAcls | Reguły regulujące dostępność magazynu kluczy z określonych lokalizacji sieciowych. | NetworkRuleSet |
| provisioningState | Stan aprowizacji magazynu. | "RegisteringDns" "Powodzenie" |
| publicNetworkAccess | Właściwość określająca, czy magazyn będzie akceptował ruch z publicznego Internetu. W przypadku ustawienia opcji "disabled" cały ruch z wyjątkiem ruchu prywatnego punktu końcowego i pochodzącego z zaufanych usług zostanie zablokowany. Spowoduje to zastąpienie ustawionych reguł zapory, co oznacza, że nawet jeśli istnieją reguły zapory, nie będziemy przestrzegać reguł. | struna |
| Numer jednostki magazynowej | Szczegóły jednostki SKU | sku (wymagane) |
| softDeleteRetentionInDays | softDelete data retention days(Dni przechowywania danych softDelete). Akceptuje >=7 i <=90. | Int |
| tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. | struna |
AccessPolicyEntry
| Nazwa | Opis | Wartość |
|---|---|---|
| applicationId | Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń | struna Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. | ciąg (wymagany) |
| Uprawnienia | Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. | Uprawnienia (wymagane) |
| tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Uprawnienia
| Nazwa | Opis | Wartość |
|---|---|---|
| Certyfikaty | Uprawnienia do certyfikatów | Tablica ciągów zawierająca dowolną z: "wszystko" "kopia zapasowa" "create" "usuń" "deleteissuers" "get" "getissuers" "import" "list" "listissuers" "managecontacts" "manageissuers" "przeczyszczanie" "Odzyskaj" "Przywracanie" "setissuers" "update" |
| Klucze | Uprawnienia do kluczy | Tablica ciągów zawierająca dowolną z: "wszystko" "kopia zapasowa" "create" "Odszyfruj" "usuń" "szyfruj" "get" "getrotationpolicy" "import" "list" "przeczyszczanie" "Odzyskaj" "release" "Przywracanie" "obróć" "setrotationpolicy" "znak" "unwrapKey" "update" "Verify" "wrapKey" |
| Tajemnice | Uprawnienia do wpisów tajnych | Tablica ciągów zawierająca dowolną z: "wszystko" "kopia zapasowa" "usuń" "get" "list" "przeczyszczanie" "Odzyskaj" "Przywracanie" "set" |
| składowanie | Uprawnienia do kont magazynu | Tablica ciągów zawierająca dowolną z: "wszystko" "kopia zapasowa" "usuń" "deletesas" "get" "getsas" "list" "listas" "przeczyszczanie" "Odzyskaj" "Regeneratekey" "Przywracanie" "set" "setsas" "update" |
NetworkRuleSet
Adres IPRule
| Nazwa | Opis | Wartość |
|---|---|---|
| wartość | Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). | ciąg (wymagany) |
VirtualNetworkRule
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | ciąg (wymagany) |
| ignoreMissingVnetServiceEndpoint | Właściwość określająca, czy nrP zignoruje sprawdzenie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. | Bool |
Numer jednostki magazynowej
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzina | Nazwa rodziny jednostek SKU | "A" (wymagane) |
| nazwa | Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. | "premium" "Standardowa" (wymagana) |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
| Szablon | Opis |
|---|---|
|
klastrze usługi AKS z bramą translatora adresów sieciowych i usługą Application Gateway wdrażanie  |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS z bramą translatora adresów sieciowych dla połączeń wychodzących i usługę Application Gateway dla połączeń przychodzących. |
|
tworzenie prywatnego klastra usługi AKS przy użyciu publicznej strefy DNS wdrażanie |
W tym przykładzie pokazano, jak wdrożyć prywatny klaster usługi AKS z publiczną strefą DNS. |
|
wdrażanie analizy sportowej na platformie Azure wdrażanie |
Tworzy konto magazynu platformy Azure z włączoną usługą ADLS Gen 2, wystąpieniem usługi Azure Data Factory z połączonymi usługami dla konta magazynu (jeśli została wdrożona usługa Azure SQL Database) i wystąpieniem usługi Azure Databricks. Tożsamość usługi AAD dla użytkownika wdrażającego szablon i tożsamość zarządzana dla wystąpienia usługi ADF otrzymają rolę Współautor danych obiektu blob usługi Storage na koncie magazynu. Dostępne są również opcje wdrażania wystąpienia usługi Azure Key Vault, usługi Azure SQL Database i usługi Azure Event Hub (w przypadku przypadków użycia przesyłania strumieniowego). Po wdrożeniu usługi Azure Key Vault tożsamość zarządzana fabryki danych i tożsamość usługi AAD dla użytkownika wdrażającego szablon otrzymają rolę Użytkownik wpisów tajnych usługi Key Vault. |
|
obszar roboczy usługi Azure Machine Learning wdrażanie |
Ten szablon tworzy nowy obszar roboczy usługi Azure Machine Learning wraz z zaszyfrowanym kontem magazynu, usługą KeyVault i rejestrowaniem usługi Applications Insights |
|
tworzenie KeyVault wdrażanie |
Ten moduł tworzy zasób usługi KeyVault za pomocą interfejsu APIVersion 2019-09-01. |
|
Tworzenie usługi API Management przy użyciu protokołu SSL z usługi KeyVault wdrażanie |
Ten szablon wdraża usługę API Management skonfigurowaną przy użyciu tożsamości przypisanej przez użytkownika. Używa tej tożsamości do pobierania certyfikatu SSL z usługi KeyVault i aktualizuje go co 4 godziny. |
|
Tworzy aplikację dapr pub-sub servicebus przy użyciu usługi Container Apps wdrażanie |
Utwórz aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps. |
|
tworzy klaster usługi Azure Stack HCI 23H2 wdrażanie |
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM. |
|
tworzy klaster usługi Azure Stack HCI 23H2 wdrażanie |
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM przy użyciu niestandardowego adresu IP magazynu |
|
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieciowym przełącznika bez przełącznika z dwoma łączami wdrażanie |
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM. |
|
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieci Switchless-SingleLink wdrażanie |
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM. |
|
Tworzenie nowej zaszyfrowanej maszyny wirtualnej z systemem Windows na podstawie obrazu galerii wdrażanie |
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows przy użyciu obrazu galerii serwera 2k12. |
|
Tworzenie nowych zaszyfrowanych dysków zarządzanych win-vm z obrazu galerii wdrażanie |
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows na dyskach zarządzanych przy użyciu obrazu galerii serwera 2k12. |
|
Ten szablon szyfruje uruchomioną usługę VMSS systemu Windows wdrażanie |
Ten szablon umożliwia szyfrowanie w uruchomionym zestawie skalowania maszyn wirtualnych z systemem Windows |
|
Włączanie szyfrowania na uruchomionej maszynie wirtualnej z systemem Windows wdrażanie |
Ten szablon umożliwia szyfrowanie na uruchomionej maszynie wirtualnej z systemem Windows. |
|
Tworzenie i szyfrowanie nowego zestawu skalowania maszyn wirtualnych z systemem Windows za pomocą serwera przesiadkowego wdrażanie |
Ten szablon umożliwia wdrożenie prostego zestawu skalowania maszyn wirtualnych z systemem Windows przy użyciu najnowszej poprawkowej wersji serwera systemu Windows. Ten szablon wdraża również serwer przesiadkowy z publicznym adresem IP w tej samej sieci wirtualnej. Połączenie z serwerem przesiadkowym można nawiązać za pośrednictwem tego publicznego adresu IP, a następnie nawiązać połączenie z maszynami wirtualnymi w zestawie skalowania za pośrednictwem prywatnych adresów IP. Ten szablon umożliwia szyfrowanie w zestawie skalowania maszyn wirtualnych z systemem Windows. |
|
Tworzenie usługi Azure Key Vault i wpisu tajnego wdrażanie |
Ten szablon tworzy usługę Azure Key Vault i wpis tajny. |
|
Tworzenie usługi Azure Key Vault przy użyciu kontroli dostępu opartej na rolach i klucza tajnego wdrażanie |
Ten szablon tworzy usługę Azure Key Vault i wpis tajny. Zamiast polegać na zasadach dostępu, korzysta ona z kontroli dostępu opartej na rolach platformy Azure w celu zarządzania autoryzacją wpisów tajnych |
|
tworzenie magazynu kluczy, tożsamości zarządzanej i przypisywania ról wdrażanie |
Ten szablon tworzy magazyn kluczy, tożsamość zarządzaną i przypisanie roli. |
|
Nawiązywanie połączenia z usługą Key Vault za pośrednictwem prywatnego punktu końcowego wdrażanie |
W tym przykładzie pokazano, jak skonfigurować sieć wirtualną i prywatną strefę DNS w celu uzyskania dostępu do usługi Key Vault za pośrednictwem prywatnego punktu końcowego. |
|
Tworzenie usługi Key Vault i lista wpisów tajnych wdrażanie |
Ten szablon tworzy usługę Key Vault i listę wpisów tajnych w magazynie kluczy, które są przekazywane wraz z parametrami |
|
tworzenie usługi Key Vault z włączonym rejestrowaniem wdrażanie |
Ten szablon tworzy usługę Azure Key Vault i konto usługi Azure Storage używane do rejestrowania. Opcjonalnie tworzy blokady zasobów w celu ochrony usługi Key Vault i zasobów magazynu. |
| podstawowa konfiguracja programu Azure AI Studio wdrażanie |
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji. |
| podstawowa konfiguracja programu Azure AI Studio wdrażanie |
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji. |
|
azure AI Studio z uwierzytelniania identyfikatora entra firmy Microsoft wdrażanie |
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft dla zasobów zależnych, takich jak usługi Azure AI Services i Azure Storage. |
|
Tworzenie obszaru roboczego AML z wieloma zestawami danych & Magazyny danych wdrażanie |
Ten szablon tworzy obszar roboczy usługi Azure Machine Learning z wieloma zestawami danych & magazynami danych. |
|
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning wdrażanie |
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS. |
|
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning (starsza wersja) wdrażanie |
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS. |
|
Utwórz docelowy obiekt obliczeniowy usługi AKS z prywatnym adresem IP wdrażanie |
Ten szablon tworzy docelowy obiekt obliczeniowy usługi AKS w danym obszarze roboczym usługi Azure Machine Learning Service z prywatnym adresem IP. |
|
Tworzenie obszaru roboczego usługi Azure Machine Learning Service wdrażanie |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje minimalny zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning. |
|
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK) wdrażanie |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. W przykładzie pokazano, jak skonfigurować usługę Azure Machine Learning na potrzeby szyfrowania przy użyciu klucza szyfrowania zarządzanego przez klienta. |
|
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK) wdrażanie |
Ten szablon wdrażania określa sposób tworzenia obszaru roboczego usługi Azure Machine Learning z szyfrowaniem po stronie usługi przy użyciu kluczy szyfrowania. |
|
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (sieć wirtualna) wdrażanie |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci. |
|
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (starsza wersja) wdrażanie |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci. |
|
klastrze usługi AKS z kontrolerem ruchu przychodzącego usługi Application Gateway wdrażanie |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS za pomocą usługi Application Gateway, kontrolera ruchu przychodzącego usługi Application Gateway, usługi Azure Container Registry, usługi Log Analytics i usługi Key Vault |
|
tworzenie usługi Application Gateway w wersji 2 przy użyciu usługi Key Vault wdrażanie |
Ten szablon wdraża usługę Application Gateway w wersji 2 w sieci wirtualnej, tożsamość zdefiniowaną przez użytkownika, usługę Key Vault, wpis tajny (dane certyfikatu) i zasady dostępu w usłudze Key Vault i usłudze Application Gateway. |
| środowisko testowe dla usługi Azure Firewall — wersja Premium wdrażanie |
Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej |
|
Tworzy zasób prywatnego punktu końcowego między dzierżawami wdrażanie |
Ten szablon umożliwia utworzenie zasobu punktu końcowego Priavate w tym samym środowisku lub między dzierżawami i dodanie konfiguracji strefy DNS. |
|
tworzenie usługi Application Gateway przy użyciu certyfikatów wdrażanie |
Ten szablon przedstawia sposób generowania certyfikatów z podpisem własnym usługi Key Vault, a następnie odwołania z usługi Application Gateway. |
|
szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta wdrażanie |
Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w usłudze Key Vault. |
|
App Service Environment z zapleczem usługi Azure SQL wdrażanie |
Ten szablon tworzy środowisko App Service Environment z zapleczem usługi Azure SQL wraz z prywatnymi punktami końcowymi wraz ze skojarzonymi zasobami zwykle używanymi w środowisku prywatnym/izolowanym. |
|
aplikacji funkcji platformy Azure i funkcji wyzwalanej przez protokół HTTP wdrażanie |
W tym przykładzie wdrożono aplikację funkcji platformy Azure i funkcję wyzwalaną przez protokół HTTP w tekście w szablonie. Wdraża również usługę Key Vault i wypełnia wpis tajny kluczem hosta aplikacji funkcji. |
|
Application Gateway z wewnętrznymi usługami API Management i Web App wdrażanie |
Usługa Application Gateway routingu ruchu internetowego do wystąpienia usługi API Management sieci wirtualnej (w trybie wewnętrznym), które obsługuje internetowy interfejs API hostowany w aplikacji internetowej platformy Azure. |
Definicja zasobu szablonu usługi ARM
Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Uwagi
Aby uzyskać wskazówki dotyczące używania magazynów kluczy do zabezpieczania wartości, zobacz Manage secrets by using Bicep.
Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia wpisu tajnego, zobacz Szybki start: ustawianie i pobieranie wpisu tajnego z usługi Azure Key Vault przy użyciu szablonu usługi ARM.
Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia klucza, zobacz Szybki start: tworzenie magazynu kluczy platformy Azure i klucza przy użyciu szablonu usługi ARM.
Format zasobu
Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Wartości właściwości
Sklepienia
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ zasobu | "Microsoft.KeyVault/vaults" |
| apiVersion | Wersja interfejsu API zasobów | '2023-07-01' |
| nazwa | Nazwa zasobu | ciąg (wymagany) Limit znaków: 3–24 Prawidłowe znaki: Alfanumeryczne i łączniki. Zacznij od litery. Koniec literą lub cyfrą. Nie można zawierać kolejnych łączników. Nazwa zasobu musi być unikatowa na platformie Azure. |
| lokalizacja | Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. | ciąg (wymagany) |
| Tagi | Tagi, które zostaną przypisane do magazynu kluczy. | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
| Właściwości | Właściwości magazynu | VaultWłaściwości (wymagane) |
Właściwości magazynu
| Nazwa | Opis | Wartość |
|---|---|---|
| accessPolicies | Tablica z 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Gdy createMode jest ustawiona na recover, zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. |
AccessPolicyEntry[] |
| createMode | Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. | "wartość domyślna" "Odzyskaj" |
| enabledForDeployment | Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. | Bool |
| enabledForDiskEncryption | Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. | Bool |
| enabledForTemplateDeployment | Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. | Bool |
| enablePurgeProtection | Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na true aktywuje ochronę przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. | Bool |
| enableRbacAuthorization | Właściwość, która kontroluje sposób autoryzacji akcji danych. W przypadku wartości true magazyn kluczy będzie używać kontroli dostępu opartej na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane. Jeśli wartość false, magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane za pomocą kontroli dostępu opartej na rolach. | Bool |
| enableSoftDelete | Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. | Bool |
| networkAcls | Reguły regulujące dostępność magazynu kluczy z określonych lokalizacji sieciowych. | NetworkRuleSet |
| provisioningState | Stan aprowizacji magazynu. | "RegisteringDns" "Powodzenie" |
| publicNetworkAccess | Właściwość określająca, czy magazyn będzie akceptował ruch z publicznego Internetu. W przypadku ustawienia opcji "disabled" cały ruch z wyjątkiem ruchu prywatnego punktu końcowego i pochodzącego z zaufanych usług zostanie zablokowany. Spowoduje to zastąpienie ustawionych reguł zapory, co oznacza, że nawet jeśli istnieją reguły zapory, nie będziemy przestrzegać reguł. | struna |
| Numer jednostki magazynowej | Szczegóły jednostki SKU | sku (wymagane) |
| softDeleteRetentionInDays | softDelete data retention days(Dni przechowywania danych softDelete). Akceptuje >=7 i <=90. | Int |
| tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. | struna |
AccessPolicyEntry
| Nazwa | Opis | Wartość |
|---|---|---|
| applicationId | Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń | struna Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. | ciąg (wymagany) |
| Uprawnienia | Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. | Uprawnienia (wymagane) |
| tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Uprawnienia
| Nazwa | Opis | Wartość |
|---|---|---|
| Certyfikaty | Uprawnienia do certyfikatów | Tablica ciągów zawierająca dowolną z: "wszystko" "kopia zapasowa" "create" "usuń" "deleteissuers" "get" "getissuers" "import" "list" "listissuers" "managecontacts" "manageissuers" "przeczyszczanie" "Odzyskaj" "Przywracanie" "setissuers" "update" |
| Klucze | Uprawnienia do kluczy | Tablica ciągów zawierająca dowolną z: "wszystko" "kopia zapasowa" "create" "Odszyfruj" "usuń" "szyfruj" "get" "getrotationpolicy" "import" "list" "przeczyszczanie" "Odzyskaj" "release" "Przywracanie" "obróć" "setrotationpolicy" "znak" "unwrapKey" "update" "Verify" "wrapKey" |
| Tajemnice | Uprawnienia do wpisów tajnych | Tablica ciągów zawierająca dowolną z: "wszystko" "kopia zapasowa" "usuń" "get" "list" "przeczyszczanie" "Odzyskaj" "Przywracanie" "set" |
| składowanie | Uprawnienia do kont magazynu | Tablica ciągów zawierająca dowolną z: "wszystko" "kopia zapasowa" "usuń" "deletesas" "get" "getsas" "list" "listas" "przeczyszczanie" "Odzyskaj" "Regeneratekey" "Przywracanie" "set" "setsas" "update" |
NetworkRuleSet
Adres IPRule
| Nazwa | Opis | Wartość |
|---|---|---|
| wartość | Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). | ciąg (wymagany) |
VirtualNetworkRule
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | ciąg (wymagany) |
| ignoreMissingVnetServiceEndpoint | Właściwość określająca, czy nrP zignoruje sprawdzenie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. | Bool |
Numer jednostki magazynowej
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzina | Nazwa rodziny jednostek SKU | "A" (wymagane) |
| nazwa | Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. | "premium" "Standardowa" (wymagana) |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
| Szablon | Opis |
|---|---|
|
klastrze usługi AKS z bramą translatora adresów sieciowych i usługą Application Gateway wdrażanie |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS z bramą translatora adresów sieciowych dla połączeń wychodzących i usługę Application Gateway dla połączeń przychodzących. |
|
tworzenie prywatnego klastra usługi AKS przy użyciu publicznej strefy DNS wdrażanie |
W tym przykładzie pokazano, jak wdrożyć prywatny klaster usługi AKS z publiczną strefą DNS. |
|
wdrażanie analizy sportowej na platformie Azure wdrażanie |
Tworzy konto magazynu platformy Azure z włączoną usługą ADLS Gen 2, wystąpieniem usługi Azure Data Factory z połączonymi usługami dla konta magazynu (jeśli została wdrożona usługa Azure SQL Database) i wystąpieniem usługi Azure Databricks. Tożsamość usługi AAD dla użytkownika wdrażającego szablon i tożsamość zarządzana dla wystąpienia usługi ADF otrzymają rolę Współautor danych obiektu blob usługi Storage na koncie magazynu. Dostępne są również opcje wdrażania wystąpienia usługi Azure Key Vault, usługi Azure SQL Database i usługi Azure Event Hub (w przypadku przypadków użycia przesyłania strumieniowego). Po wdrożeniu usługi Azure Key Vault tożsamość zarządzana fabryki danych i tożsamość usługi AAD dla użytkownika wdrażającego szablon otrzymają rolę Użytkownik wpisów tajnych usługi Key Vault. |
|
obszar roboczy usługi Azure Machine Learning wdrażanie |
Ten szablon tworzy nowy obszar roboczy usługi Azure Machine Learning wraz z zaszyfrowanym kontem magazynu, usługą KeyVault i rejestrowaniem usługi Applications Insights |
|
tworzenie KeyVault wdrażanie |
Ten moduł tworzy zasób usługi KeyVault za pomocą interfejsu APIVersion 2019-09-01. |
|
Tworzenie usługi API Management przy użyciu protokołu SSL z usługi KeyVault wdrażanie |
Ten szablon wdraża usługę API Management skonfigurowaną przy użyciu tożsamości przypisanej przez użytkownika. Używa tej tożsamości do pobierania certyfikatu SSL z usługi KeyVault i aktualizuje go co 4 godziny. |
|
Tworzy aplikację dapr pub-sub servicebus przy użyciu usługi Container Apps wdrażanie |
Utwórz aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps. |
|
tworzy klaster usługi Azure Stack HCI 23H2 wdrażanie |
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM. |
|
tworzy klaster usługi Azure Stack HCI 23H2 wdrażanie |
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM przy użyciu niestandardowego adresu IP magazynu |
|
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieciowym przełącznika bez przełącznika z dwoma łączami wdrażanie |
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM. |
|
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieci Switchless-SingleLink wdrażanie |
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM. |
|
Tworzenie nowej zaszyfrowanej maszyny wirtualnej z systemem Windows na podstawie obrazu galerii wdrażanie |
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows przy użyciu obrazu galerii serwera 2k12. |
|
Tworzenie nowych zaszyfrowanych dysków zarządzanych win-vm z obrazu galerii wdrażanie |
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows na dyskach zarządzanych przy użyciu obrazu galerii serwera 2k12. |
|
Ten szablon szyfruje uruchomioną usługę VMSS systemu Windows wdrażanie |
Ten szablon umożliwia szyfrowanie w uruchomionym zestawie skalowania maszyn wirtualnych z systemem Windows |
|
Włączanie szyfrowania na uruchomionej maszynie wirtualnej z systemem Windows wdrażanie |
Ten szablon umożliwia szyfrowanie na uruchomionej maszynie wirtualnej z systemem Windows. |
|
Tworzenie i szyfrowanie nowego zestawu skalowania maszyn wirtualnych z systemem Windows za pomocą serwera przesiadkowego wdrażanie |
Ten szablon umożliwia wdrożenie prostego zestawu skalowania maszyn wirtualnych z systemem Windows przy użyciu najnowszej poprawkowej wersji serwera systemu Windows. Ten szablon wdraża również serwer przesiadkowy z publicznym adresem IP w tej samej sieci wirtualnej. Połączenie z serwerem przesiadkowym można nawiązać za pośrednictwem tego publicznego adresu IP, a następnie nawiązać połączenie z maszynami wirtualnymi w zestawie skalowania za pośrednictwem prywatnych adresów IP. Ten szablon umożliwia szyfrowanie w zestawie skalowania maszyn wirtualnych z systemem Windows. |
|
Tworzenie usługi Azure Key Vault i wpisu tajnego wdrażanie |
Ten szablon tworzy usługę Azure Key Vault i wpis tajny. |
|
Tworzenie usługi Azure Key Vault przy użyciu kontroli dostępu opartej na rolach i klucza tajnego wdrażanie |
Ten szablon tworzy usługę Azure Key Vault i wpis tajny. Zamiast polegać na zasadach dostępu, korzysta ona z kontroli dostępu opartej na rolach platformy Azure w celu zarządzania autoryzacją wpisów tajnych |
|
tworzenie magazynu kluczy, tożsamości zarządzanej i przypisywania ról wdrażanie |
Ten szablon tworzy magazyn kluczy, tożsamość zarządzaną i przypisanie roli. |
|
Nawiązywanie połączenia z usługą Key Vault za pośrednictwem prywatnego punktu końcowego wdrażanie |
W tym przykładzie pokazano, jak skonfigurować sieć wirtualną i prywatną strefę DNS w celu uzyskania dostępu do usługi Key Vault za pośrednictwem prywatnego punktu końcowego. |
|
Tworzenie usługi Key Vault i lista wpisów tajnych wdrażanie |
Ten szablon tworzy usługę Key Vault i listę wpisów tajnych w magazynie kluczy, które są przekazywane wraz z parametrami |
|
tworzenie usługi Key Vault z włączonym rejestrowaniem wdrażanie |
Ten szablon tworzy usługę Azure Key Vault i konto usługi Azure Storage używane do rejestrowania. Opcjonalnie tworzy blokady zasobów w celu ochrony usługi Key Vault i zasobów magazynu. |
| podstawowa konfiguracja programu Azure AI Studio wdrażanie |
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji. |
| podstawowa konfiguracja programu Azure AI Studio wdrażanie |
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji. |
|
azure AI Studio z uwierzytelniania identyfikatora entra firmy Microsoft wdrażanie |
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft dla zasobów zależnych, takich jak usługi Azure AI Services i Azure Storage. |
|
Tworzenie obszaru roboczego AML z wieloma zestawami danych & Magazyny danych wdrażanie |
Ten szablon tworzy obszar roboczy usługi Azure Machine Learning z wieloma zestawami danych & magazynami danych. |
|
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning wdrażanie |
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS. |
|
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning (starsza wersja) wdrażanie |
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS. |
|
Utwórz docelowy obiekt obliczeniowy usługi AKS z prywatnym adresem IP wdrażanie |
Ten szablon tworzy docelowy obiekt obliczeniowy usługi AKS w danym obszarze roboczym usługi Azure Machine Learning Service z prywatnym adresem IP. |
|
Tworzenie obszaru roboczego usługi Azure Machine Learning Service wdrażanie |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje minimalny zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning. |
|
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK) wdrażanie |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. W przykładzie pokazano, jak skonfigurować usługę Azure Machine Learning na potrzeby szyfrowania przy użyciu klucza szyfrowania zarządzanego przez klienta. |
|
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK) wdrażanie |
Ten szablon wdrażania określa sposób tworzenia obszaru roboczego usługi Azure Machine Learning z szyfrowaniem po stronie usługi przy użyciu kluczy szyfrowania. |
|
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (sieć wirtualna) wdrażanie |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci. |
|
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (starsza wersja) wdrażanie |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci. |
|
klastrze usługi AKS z kontrolerem ruchu przychodzącego usługi Application Gateway wdrażanie |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS za pomocą usługi Application Gateway, kontrolera ruchu przychodzącego usługi Application Gateway, usługi Azure Container Registry, usługi Log Analytics i usługi Key Vault |
|
tworzenie usługi Application Gateway w wersji 2 przy użyciu usługi Key Vault wdrażanie |
Ten szablon wdraża usługę Application Gateway w wersji 2 w sieci wirtualnej, tożsamość zdefiniowaną przez użytkownika, usługę Key Vault, wpis tajny (dane certyfikatu) i zasady dostępu w usłudze Key Vault i usłudze Application Gateway. |
| środowisko testowe dla usługi Azure Firewall — wersja Premium wdrażanie |
Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej |
|
Tworzy zasób prywatnego punktu końcowego między dzierżawami wdrażanie |
Ten szablon umożliwia utworzenie zasobu punktu końcowego Priavate w tym samym środowisku lub między dzierżawami i dodanie konfiguracji strefy DNS. |
|
tworzenie usługi Application Gateway przy użyciu certyfikatów wdrażanie |
Ten szablon przedstawia sposób generowania certyfikatów z podpisem własnym usługi Key Vault, a następnie odwołania z usługi Application Gateway. |
|
szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta wdrażanie |
Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w usłudze Key Vault. |
|
App Service Environment z zapleczem usługi Azure SQL wdrażanie |
Ten szablon tworzy środowisko App Service Environment z zapleczem usługi Azure SQL wraz z prywatnymi punktami końcowymi wraz ze skojarzonymi zasobami zwykle używanymi w środowisku prywatnym/izolowanym. |
|
aplikacji funkcji platformy Azure i funkcji wyzwalanej przez protokół HTTP wdrażanie |
W tym przykładzie wdrożono aplikację funkcji platformy Azure i funkcję wyzwalaną przez protokół HTTP w tekście w szablonie. Wdraża również usługę Key Vault i wypełnia wpis tajny kluczem hosta aplikacji funkcji. |
|
Application Gateway z wewnętrznymi usługami API Management i Web App wdrażanie |
Usługa Application Gateway routingu ruchu internetowego do wystąpienia usługi API Management sieci wirtualnej (w trybie wewnętrznym), które obsługuje internetowy interfejs API hostowany w aplikacji internetowej platformy Azure. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2023-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Wartości właściwości
Sklepienia
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ zasobu | "Microsoft.KeyVault/vaults@2023-07-01" |
| nazwa | Nazwa zasobu | ciąg (wymagany) Limit znaków: 3–24 Prawidłowe znaki: Alfanumeryczne i łączniki. Zacznij od litery. Koniec literą lub cyfrą. Nie można zawierać kolejnych łączników. Nazwa zasobu musi być unikatowa na platformie Azure. |
| lokalizacja | Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. | ciąg (wymagany) |
| parent_id | Aby wdrożyć w grupie zasobów, użyj identyfikatora tej grupy zasobów. | ciąg (wymagany) |
| Tagi | Tagi, które zostaną przypisane do magazynu kluczy. | Słownik nazw tagów i wartości. |
| Właściwości | Właściwości magazynu | VaultWłaściwości (wymagane) |
Właściwości magazynu
| Nazwa | Opis | Wartość |
|---|---|---|
| accessPolicies | Tablica z 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Gdy createMode jest ustawiona na recover, zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. |
AccessPolicyEntry[] |
| createMode | Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. | "wartość domyślna" "Odzyskaj" |
| enabledForDeployment | Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. | Bool |
| enabledForDiskEncryption | Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. | Bool |
| enabledForTemplateDeployment | Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. | Bool |
| enablePurgeProtection | Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na true aktywuje ochronę przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. | Bool |
| enableRbacAuthorization | Właściwość, która kontroluje sposób autoryzacji akcji danych. W przypadku wartości true magazyn kluczy będzie używać kontroli dostępu opartej na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane. Jeśli wartość false, magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane za pomocą kontroli dostępu opartej na rolach. | Bool |
| enableSoftDelete | Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. | Bool |
| networkAcls | Reguły regulujące dostępność magazynu kluczy z określonych lokalizacji sieciowych. | NetworkRuleSet |
| provisioningState | Stan aprowizacji magazynu. | "RegisteringDns" "Powodzenie" |
| publicNetworkAccess | Właściwość określająca, czy magazyn będzie akceptował ruch z publicznego Internetu. W przypadku ustawienia opcji "disabled" cały ruch z wyjątkiem ruchu prywatnego punktu końcowego i pochodzącego z zaufanych usług zostanie zablokowany. Spowoduje to zastąpienie ustawionych reguł zapory, co oznacza, że nawet jeśli istnieją reguły zapory, nie będziemy przestrzegać reguł. | struna |
| Numer jednostki magazynowej | Szczegóły jednostki SKU | sku (wymagane) |
| softDeleteRetentionInDays | softDelete data retention days(Dni przechowywania danych softDelete). Akceptuje >=7 i <=90. | Int |
| tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. | struna |
AccessPolicyEntry
| Nazwa | Opis | Wartość |
|---|---|---|
| applicationId | Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń | struna Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. | ciąg (wymagany) |
| Uprawnienia | Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. | Uprawnienia (wymagane) |
| tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Uprawnienia
| Nazwa | Opis | Wartość |
|---|---|---|
| Certyfikaty | Uprawnienia do certyfikatów | Tablica ciągów zawierająca dowolną z: "wszystko" "Kopia zapasowa" "utwórz" "usuń" "deleteissuers" "get" "getissuers" "import" "lista" "listissuers" "managecontacts" "manageissuers" "przeczyszczanie" "Odzyskaj" "Przywracanie" "setissuers" "update" |
| Klucze | Uprawnienia do kluczy | Tablica ciągów zawierająca dowolną z: "wszystko" "Kopia zapasowa" "utwórz" "Odszyfruj" "usuń" "Szyfruj" "get" "getrotationpolicy" "import" "lista" "przeczyszczanie" "Odzyskaj" "release" "Przywracanie" "obróć" "setrotationpolicy" "znak" "unwrapKey" "update" "Verify" "wrapKey" |
| Tajemnice | Uprawnienia do wpisów tajnych | Tablica ciągów zawierająca dowolną z: "wszystko" "Kopia zapasowa" "usuń" "get" "lista" "przeczyszczanie" "Odzyskaj" "Przywracanie" "set" |
| składowanie | Uprawnienia do kont magazynu | Tablica ciągów zawierająca dowolną z: "wszystko" "Kopia zapasowa" "usuń" "deletesas" "get" "getsas" "lista" "listas" "przeczyszczanie" "Odzyskaj" "Regeneratekey" "Przywracanie" "set" "setsas" "update" |
NetworkRuleSet
Adres IPRule
| Nazwa | Opis | Wartość |
|---|---|---|
| wartość | Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). | ciąg (wymagany) |
VirtualNetworkRule
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | ciąg (wymagany) |
| ignoreMissingVnetServiceEndpoint | Właściwość określająca, czy nrP zignoruje sprawdzenie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. | Bool |
Numer jednostki magazynowej
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzina | Nazwa rodziny jednostek SKU | "A" (wymagane) |
| nazwa | Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. | "Premium" "Standardowa" (wymagana) |