Magazyny Microsoft.KeyVault 2021-04-01-preview
Definicja zasobu Bicep
Typ zasobu magazynu można wdrożyć przy użyciu operacji docelowych:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Uwagi
Aby uzyskać wskazówki dotyczące używania magazynów kluczy do bezpiecznych wartości, zobacz Zarządzanie wpisami tajnymi przy użyciu Bicep.
Aby uzyskać przewodnik Szybki start dotyczący tworzenia wpisu tajnego, zobacz Szybki start: ustawianie i pobieranie wpisu tajnego z platformy Azure Key Vault przy użyciu szablonu usługi ARM.
Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia klucza, zobacz Szybki start: tworzenie magazynu kluczy platformy Azure i klucza przy użyciu szablonu usługi ARM.
Format zasobu
Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący kod Bicep do szablonu.
resource symbolicname 'Microsoft.KeyVault/vaults@2021-04-01-preview' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Wartości właściwości
Sklepienia
Nazwa | Opis | Wartość |
---|---|---|
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 3–24 Prawidłowe znaki: Alfanumeryczne i łączniki. Zacznij od litery. Koniec z literą lub cyfrą. Nie można zawierać kolejnych łączników. Nazwa zasobu musi być unikatowa na platformie Azure. |
location | Obsługiwana lokalizacja platformy Azure, w której należy utworzyć magazyn kluczy. | ciąg (wymagany) |
tags | Tagi, które zostaną przypisane do magazynu kluczy. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
properties | Właściwości magazynu | VaultProperties (wymagane) |
VaultProperties
Nazwa | Opis | Wartość |
---|---|---|
accessPolicies | Tablica z 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Jeśli createMode jest ustawiona na recover wartość , zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. |
AccessPolicyEntry[] |
createMode | Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. | "default" "odzyskaj" |
enabledForDeployment | Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. | bool |
enabledForDiskEncryption | Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. | bool |
enabledForTemplateDeployment | Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. | bool |
enablePurgeProtection | Właściwość określająca, czy ochrona przed przeczyszczeniem jest włączona dla tego magazynu. Ustawienie tej właściwości na wartość true aktywuje ochronę przed przeczyszczeniem dla tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. Ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — oznacza to, że właściwość nie akceptuje wartości false jako jej wartości. | bool |
enableRbacAuthorization | Właściwość, która kontroluje sposób autoryzacji akcji danych. W przypadku wartości true magazyn kluczy będzie używać Access Control opartej na rolach (RBAC) na potrzeby autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane. Jeśli wartość false, magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane przy użyciu kontroli dostępu opartej na rolach. | bool |
enableSoftDelete | Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), domyślnie zostanie ustawiona wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. | bool |
networkAcls | Reguły dotyczące ułatwień dostępu magazynu kluczy z określonych lokalizacji sieciowych. | NetworkRuleSet |
provisioningState | Stan aprowizacji magazynu. | "RegisteringDns" "Powodzenie" |
sku | Szczegóły jednostki SKU | Jednostka SKU (wymagana) |
softDeleteRetentionInDays | softDelete data retention days (dni przechowywania danych softDelete). Akceptuje >=7 i <=90. | int |
tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. | ciąg |
AccessPolicyEntry
Nazwa | Opis | Wartość |
---|---|---|
applicationId | Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń | ciąg Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. | ciąg (wymagany) |
uprawnienia | Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. | Uprawnienia (wymagane) |
tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Uprawnienia
Nazwa | Opis | Wartość |
---|---|---|
certyfikaty | Uprawnienia do certyfikatów | Tablica ciągów zawierająca dowolną z: "kopia zapasowa" "create" "usuń" "deleteissuers" "get" "getissuers" "import" "lista" "listissuers" "managecontacts" "manageissuers" "przeczyszczanie" "odzyskiwanie" "Przywracanie" "setissuers" "update" |
keys | Uprawnienia do kluczy | Tablica ciągów zawierająca dowolną z: "kopia zapasowa" "create" "Odszyfruj" "usuń" "Szyfruj" "get" "import" "lista" "przeczyszczanie" "odzyskiwanie" "release" "Przywracanie" "podpis" "unwrapKey" "update" "Verify" "wrapKey" |
wpisy tajne | Uprawnienia do wpisów tajnych | Tablica ciągów zawierająca dowolną z: "kopia zapasowa" "usuń" "get" "lista" "przeczyszczanie" "odzyskiwanie" "Przywracanie" "set" |
magazyn | Uprawnienia do kont magazynu | Tablica ciągów zawierająca dowolną z: "Kopia zapasowa" "usuń" "deletesas" "get" "getsas" "lista" "listas" "przeczyszczanie" "odzyskaj" "Regeneratekey" "przywróć" "set" "setsas" "update" |
NetworkRuleSet
Nazwa | Opis | Wartość |
---|---|---|
obejście | Informuje, jaki ruch może pominąć reguły sieci. Może to być wartość "AzureServices" lub "None". Jeśli nie określono wartości domyślnej, to "AzureServices". | "AzureServices" "Brak" |
defaultAction | Akcja domyślna, gdy nie jest zgodna żadna reguła z reguł ipRules i virtualNetworkRules. Jest to używane tylko po ocenie właściwości obejścia. | "Zezwalaj" "Odmów" |
ipRules | Lista reguł adresów IP. | IPRule[] |
virtualNetworkRules | Lista reguł sieci wirtualnej. | VirtualNetworkRule[] |
IpRule
Nazwa | Opis | Wartość |
---|---|---|
wartość | Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). | ciąg (wymagany) |
VirtualNetworkRule
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | ciąg (wymagany) |
ignoreMissingVnetServiceEndpoint | Właściwość określająca, czy program NRP zignoruje sprawdzanie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. | bool |
SKU
Nazwa | Opis | Wartość |
---|---|---|
rodzina | Nazwa rodziny jednostek SKU | "A" (wymagane) |
name | Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem standardowym, czy magazynem w warstwie Premium. | "Premium" "standard" (wymagany) |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
Template | Opis |
---|---|
Szablon szybkiego startu sas 9.4 i Viya dla platformy Azure |
Szablon szybkiego startu sas® 9.4 i Viya dla platformy Azure wdraża te produkty w chmurze: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 i SAS® Visual Analytics 8.5 w systemie Linux oraz SAS Visual Data Mining i® Machine Learning 8.5 w systemie Linux for Viya. Ten przewodnik Szybki start to architektura referencyjna dla użytkowników, którzy chcą wdrożyć kombinację sygnatur sas® 9.4 i Viya na platformie Azure przy użyciu technologii przyjaznych dla chmury. Wdrażając platformę SAS® na platformie Azure, uzyskujesz zintegrowane środowisko środowisk SAS® 9.4 i Viya, dzięki czemu można korzystać z obu środowisk. SAS® Viya to aparat analizy w chmurze z obsługą chmury. Używa elastycznego, skalowalnego i odpornego na uszkodzenia przetwarzania, aby sprostać złożonym wyzwaniom analitycznym. Sas® Viya zapewnia szybsze przetwarzanie do analizy przy użyciu standardowej bazy kodu, która obsługuje programowanie w sygnaturach dostępu® współdzielonego, Python, R, Java i Lua. Obsługuje również środowiska chmurowe, lokalne lub hybrydowe i bezproblemowo wdraża je w dowolnej infrastrukturze lub ekosystemie aplikacji. |
Klaster usługi AKS z bramą translatora adresów sieciowych i Application Gateway |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS z bramą translatora adresów sieciowych dla połączeń wychodzących i Application Gateway dla połączeń przychodzących. |
Tworzenie prywatnego klastra usługi AKS z publiczną strefą DNS |
W tym przykładzie pokazano, jak wdrożyć prywatny klaster usługi AKS z publiczną strefą DNS. |
Wdrażanie analizy sportowej na platformie Azure |
Tworzy konto magazynu platformy Azure z włączoną usługą ADLS Gen 2, wystąpieniem Azure Data Factory połączonymi usługami dla konta magazynu (jeśli wdrożono bazę danych Azure SQL) i wystąpieniem usługi Azure Databricks. Tożsamość usługi AAD dla użytkownika wdrażającego szablon i tożsamość zarządzaną dla wystąpienia usługi ADF otrzymają rolę Współautor danych obiektu blob usługi Storage na koncie magazynu. Dostępne są również opcje wdrażania wystąpienia usługi Azure Key Vault, bazy danych Azure SQL i usługi Azure Event Hub (w przypadku przypadków użycia przesyłania strumieniowego). Po wdrożeniu usługi Azure Key Vault tożsamość zarządzana fabryki danych i tożsamość usługi AAD dla użytkownika wdrażającego szablon otrzymają rolę użytkownika Key Vault Wpisy tajne. |
Obszar roboczy usługi Azure Machine Learning |
Ten szablon tworzy nowy obszar roboczy usługi Azure Machine Learning wraz z zaszyfrowanym kontem magazynu, usługą KeyVault i rejestrowaniem usługi Applications Insights |
Tworzenie usługi KeyVault |
Ten moduł tworzy zasób usługi KeyVault z interfejsem APIVersion 2019-09-01. |
Tworzenie usługi API Management przy użyciu protokołu SSL z usługi KeyVault |
Ten szablon wdraża usługę API Management skonfigurowaną przy użyciu tożsamości przypisanej przez użytkownika. Używa tej tożsamości do pobierania certyfikatu SSL z usługi KeyVault i aktualizowania go przez sprawdzanie co 4 godziny. |
Tworzy aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps |
Utwórz aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps. |
Tworzy klaster usługi Azure Stack HCI 23H2 |
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM. |
Tworzenie nowej zaszyfrowanej maszyny wirtualnej z systemem Windows na podstawie obrazu galerii |
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows przy użyciu obrazu galerii serwera 2k12. |
Tworzenie nowych zaszyfrowanych dysków zarządzanych win-vm na podstawie obrazu galerii |
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows z dyskami zarządzanymi przy użyciu obrazu galerii serwera 2k12. |
Ten szablon szyfruje uruchomiony zestaw skalowania maszyn wirtualnych z systemem Windows |
Ten szablon umożliwia szyfrowanie w uruchomionym zestawie skalowania maszyn wirtualnych z systemem Windows |
Włączanie szyfrowania na uruchomionej maszynie wirtualnej z systemem Windows |
Ten szablon umożliwia szyfrowanie na uruchomionej maszynie wirtualnej z systemem Windows. |
Tworzenie i szyfrowanie nowego zestawu skalowania maszyn wirtualnych z systemem Windows za pomocą serwera przesiadkowego |
Ten szablon umożliwia wdrożenie prostego zestawu skalowania maszyn wirtualnych z systemem Windows przy użyciu najnowszej poprawkowej wersji systemu Windows. Ten szablon służy również do wdrażania serwera przesiadkowego z publicznym adresem IP w tej samej sieci wirtualnej. Możesz nawiązać połączenie z serwerem przesiadkowym za pośrednictwem tego publicznego adresu IP, a następnie połączyć się stamtąd z maszynami wirtualnymi w zestawie skalowania za pośrednictwem prywatnych adresów IP. Ten szablon umożliwia szyfrowanie w zestawie skalowania maszyn wirtualnych z systemem Windows. |
Tworzenie Key Vault platformy Azure i wpisu tajnego |
Ten szablon tworzy Key Vault platformy Azure i wpis tajny. |
Tworzenie Key Vault Azure przy użyciu kontroli dostępu opartej na rolach i wpisu tajnego |
Ten szablon tworzy Key Vault platformy Azure i wpis tajny. Zamiast polegać na zasadach dostępu, korzysta ona z kontroli dostępu opartej na rolach platformy Azure do zarządzania autoryzacją wpisów tajnych |
Tworzenie magazynu kluczy, tożsamości zarządzanej i przypisania roli |
Ten szablon tworzy magazyn kluczy, tożsamość zarządzaną i przypisanie roli. |
Nawiązywanie połączenia z Key Vault za pośrednictwem prywatnego punktu końcowego |
W tym przykładzie pokazano, jak skonfigurować sieć wirtualną i prywatną strefę DNS w celu uzyskania dostępu do Key Vault za pośrednictwem prywatnego punktu końcowego. |
Tworzenie Key Vault i listy wpisów tajnych |
Ten szablon tworzy Key Vault i listę wpisów tajnych w magazynie kluczy przekazywanych wraz z parametrami |
Tworzenie Key Vault z włączonym rejestrowaniem |
Ten szablon tworzy Key Vault platformy Azure i konto usługi Azure Storage, które jest używane do rejestrowania. Opcjonalnie tworzy blokady zasobów w celu ochrony zasobów Key Vault i zasobów magazynu. |
Tworzenie obszaru roboczego usługi AML z wieloma zestawami danych & Magazyny danych |
Ten szablon umożliwia utworzenie obszaru roboczego usługi Azure Machine Learning z wieloma zestawami danych & magazynami danych. |
Kompleksowa konfiguracja zabezpieczeń usługi Azure Machine Learning |
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS. |
Kompleksowa konfiguracja zabezpieczeń usługi Azure Machine Learning (starsza wersja) |
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS. |
Tworzenie docelowego obiektu obliczeniowego usługi AKS z prywatnym adresem IP |
Ten szablon tworzy docelowy obiekt obliczeniowy usługi AKS w danym obszarze roboczym usługi Azure Machine Learning Service z prywatnym adresem IP. |
Tworzenie obszaru roboczego usługi Azure Machine Learning Service |
Ten szablon wdrożenia określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługi Azure Key Vault, Azure Storage, aplikacja systemu Azure Insights i Azure Container Registry. Ta konfiguracja opisuje minimalny zestaw zasobów, których potrzebujesz do rozpoczęcia pracy z usługą Azure Machine Learning. |
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK) |
Ten szablon wdrożenia określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługi Azure Key Vault, Azure Storage, aplikacja systemu Azure Insights i Azure Container Registry. W przykładzie pokazano, jak skonfigurować usługę Azure Machine Learning na potrzeby szyfrowania przy użyciu klucza szyfrowania zarządzanego przez klienta. |
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (sieć wirtualna) |
Ten szablon wdrożenia określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługi Azure Key Vault, Azure Storage, aplikacja systemu Azure Insights i Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci. |
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (starsza wersja) |
Ten szablon wdrożenia określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługi Azure Key Vault, Azure Storage, aplikacja systemu Azure Insights i Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci. |
Klaster usługi AKS z kontrolerem ruchu przychodzącego Application Gateway |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS przy użyciu Application Gateway, kontrolera ruchu przychodzącego Application Gateway, Azure Container Registry, usługi Log Analytics i Key Vault |
Tworzenie Application Gateway V2 przy użyciu Key Vault |
Ten szablon wdraża Application Gateway V2 w Virtual Network, tożsamość zdefiniowaną przez użytkownika, Key Vault, wpis tajny (dane certyfikatu) oraz zasady dostępu w Key Vault i Application Gateway. |
Środowisko testowe dla Azure Firewall Premium |
Ten szablon tworzy zasady Azure Firewall Premium i Zapory z funkcjami w warstwie Premium, takimi jak wykrywanie inspekcji włamania (IDPS), inspekcja protokołu TLS i filtrowanie kategorii sieci Web |
Tworzenie Application Gateway przy użyciu certyfikatów |
Ten szablon pokazuje, jak wygenerować certyfikaty z podpisem własnym Key Vault, a następnie odwoływać się z Application Gateway. |
Szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta |
Ten szablon służy do wdrażania konta magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w Key Vault. |
App Service Environment z zapleczem usługi Azure SQL |
Ten szablon tworzy App Service Environment z zapleczem Azure SQL wraz z prywatnymi punktami końcowymi wraz ze skojarzonymi zasobami zwykle używanymi w środowisku prywatnym/izolowanym. |
Aplikacja funkcji platformy Azure i funkcja wyzwalana przez protokół HTTP |
W tym przykładzie wdrożono aplikację funkcji platformy Azure i funkcję wyzwalaną przez protokół HTTP w tekście w szablonie. Wdraża również Key Vault i wypełnia wpis tajny kluczem hosta aplikacji funkcji. |
Application Gateway z wewnętrznymi API Management i aplikacją internetową |
Application Gateway routing ruchu internetowego do sieci wirtualnej (tryb wewnętrzny) API Management wystąpienie, które obsługuje internetowy interfejs API hostowany w aplikacji internetowej platformy Azure. |
Definicja zasobu szablonu usługi ARM
Typ zasobu magazynu można wdrożyć z operacjami docelowymi:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Uwagi
Aby uzyskać wskazówki dotyczące używania magazynów kluczy do zabezpieczania wartości, zobacz Manage secrets by using Bicep (Zarządzanie wpisami tajnymi przy użyciu Bicep).
Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia wpisu tajnego, zobacz Szybki start: ustawianie i pobieranie wpisu tajnego z usługi Azure Key Vault przy użyciu szablonu usługi ARM.
Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia klucza, zobacz Szybki start: tworzenie magazynu kluczy platformy Azure i klucza przy użyciu szablonu usługi ARM.
Format zasobu
Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2021-04-01-preview",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Wartości właściwości
Sklepienia
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ zasobu | "Microsoft.KeyVault/vaults" |
apiVersion | Wersja interfejsu API zasobów | "2021-04-01-preview" |
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 3–24 Prawidłowe znaki: Alfanumeryczne i łączniki. Zacznij od litery. Koniec z literą lub cyfrą. Nie można zawierać kolejnych łączników. Nazwa zasobu musi być unikatowa na platformie Azure. |
location | Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. | ciąg (wymagany) |
tags | Tagi, które zostaną przypisane do magazynu kluczy. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
properties | Właściwości magazynu | Właściwości magazynu (wymagane) |
Właściwości magazynu
Nazwa | Opis | Wartość |
---|---|---|
accessPolicies | Tablica od 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Jeśli createMode jest ustawiona wartość recover , zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. |
AccessPolicyEntry[] |
createMode | Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. | "default" "odzyskiwanie" |
enabledForDeployment | Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. | bool |
enabledForDiskEncryption | Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. | bool |
enabledForTemplateDeployment | Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. | bool |
enablePurgeProtection | Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na wartość true powoduje aktywowanie ochrony przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. | bool |
enableRbacAuthorization | Właściwość, która kontroluje sposób autoryzacji akcji danych. W przypadku wartości true magazyn kluczy będzie używać Access Control opartych na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane. W przypadku wartości false magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane przy użyciu kontroli dostępu opartej na rolach. | bool |
enableSoftDelete | Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. | bool |
networkAcls | Reguły rządzące ułatwieniami dostępu magazynu kluczy z określonych lokalizacji sieciowych. | NetworkRuleSet |
provisioningState | Stan aprowizacji magazynu. | "RegisteringDns" "Powodzenie" |
sku | Szczegóły jednostki SKU | Jednostka SKU (wymagana) |
softDeleteRetentionInDays | softDelete data retention days (dni przechowywania danych softDelete). Akceptuje >=7 i <=90. | int |
tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. | ciąg |
AccessPolicyEntry
Nazwa | Opis | Wartość |
---|---|---|
applicationId | Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń | ciąg Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. | ciąg (wymagany) |
uprawnienia | Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. | Uprawnienia (wymagane) |
tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Uprawnienia
Nazwa | Opis | Wartość |
---|---|---|
certyfikaty | Uprawnienia do certyfikatów | Tablica ciągów zawierająca dowolną z: "kopia zapasowa" "create" "usuń" "deleteissuers" "get" "getissuers" "import" "lista" "listissuers" "managecontacts" "manageissuers" "przeczyszczanie" "odzyskiwanie" "Przywracanie" "setissuers" "update" |
keys | Uprawnienia do kluczy | Tablica ciągów zawierająca dowolną z: "kopia zapasowa" "create" "Odszyfruj" "usuń" "Szyfruj" "get" "import" "lista" "przeczyszczanie" "odzyskiwanie" "release" "Przywracanie" "podpis" "unwrapKey" "update" "Verify" "wrapKey" |
wpisy tajne | Uprawnienia do wpisów tajnych | Tablica ciągów zawierająca dowolną z: "kopia zapasowa" "usuń" "get" "lista" "przeczyszczanie" "odzyskiwanie" "Przywracanie" "set" |
magazyn | Uprawnienia do kont magazynu | Tablica ciągów zawierająca dowolną z: "kopia zapasowa" "usuń" "deletesas" "get" "getsas" "lista" "listas" "przeczyszczanie" "odzyskiwanie" "Regeneratekey" "Przywracanie" "set" "setsas" "update" |
NetworkRuleSet
Nazwa | Opis | Wartość |
---|---|---|
obejście | Informuje, jaki ruch może pomijać reguły sieci. Może to być wartość "AzureServices" lub "Brak". Jeśli nie określono wartości domyślnej to "AzureServices". | "AzureServices" "Brak" |
defaultAction | Domyślna akcja, gdy żadna reguła z reguł ipRules i virtualNetworkRules jest zgodna. Jest to używane tylko po ocenie właściwości obejścia. | "Zezwalaj" "Odmów" |
adresy IPRules | Lista reguł adresów IP. | IpRule[] |
virtualNetworkRules | Lista reguł sieci wirtualnej. | VirtualNetworkRule[] |
Adres IPRule
Nazwa | Opis | Wartość |
---|---|---|
wartość | Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). | ciąg (wymagany) |
VirtualNetworkRule
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | ciąg (wymagany) |
ignoreMissingVnetServiceEndpoint | Właściwość określająca, czy dostawca nrP zignoruje sprawdzanie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. | bool |
SKU
Nazwa | Opis | Wartość |
---|---|---|
rodzina | Nazwa rodziny jednostek SKU | "A" (wymagane) |
name | Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. | "premium" "Standardowa" (wymagana) |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
Template | Opis |
---|---|
Szablon szybkiego startu sas 9.4 i Viya dla platformy Azure |
Szablon szybkiego startu SAS® 9.4 i Viya dla platformy Azure wdraża te produkty w chmurze: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 i SAS® Visual Analytics 8.5 w systemie Linux oraz sas® Visual Data Mining i Machine Learning 8.5 w systemie Linux for Viya. Ten przewodnik Szybki start to architektura referencyjna dla użytkowników, którzy chcą wdrożyć kombinację sygnatur dostępu® współdzielonego 9.4 i viya na platformie Azure przy użyciu technologii przyjaznych dla chmury. Wdrażając platformę SAS® na platformie Azure, uzyskujesz zintegrowane środowisko środowisk SAS® 9.4 i Viya, aby móc korzystać z obu środowisk. SAS® Viya to aparat analizy w pamięci z obsługą chmury. Używa ona elastycznego, skalowalnego i odpornego na uszkodzenia przetwarzania w celu sprostania złożonym wyzwaniom analitycznym. Sas® Viya zapewnia szybsze przetwarzanie na potrzeby analizy przy użyciu ustandaryzowanej bazy kodu, która obsługuje programowanie w® sygnaturach dostępu współdzielonego, Python, R, Java i Lua. Obsługuje również środowiska chmurowe, lokalne lub hybrydowe i bezproblemowo wdraża je w dowolnej infrastrukturze lub ekosystemie aplikacji. |
Klaster usługi AKS z bramą translatora adresów sieciowych i Application Gateway |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS z bramą translatora adresów sieciowych dla połączeń wychodzących i Application Gateway dla połączeń przychodzących. |
Tworzenie prywatnego klastra usługi AKS z publiczną strefą DNS |
W tym przykładzie pokazano, jak wdrożyć prywatny klaster usługi AKS z publiczną strefą DNS. |
Wdrażanie analizy sportowej na platformie Azure |
Tworzy konto magazynu platformy Azure z włączoną usługą ADLS Gen 2, wystąpieniem Azure Data Factory z połączonymi usługami dla konta magazynu (jeśli została wdrożona baza danych Azure SQL) i wystąpieniem usługi Azure Databricks. Tożsamość usługi AAD dla użytkownika wdrażającego szablon i tożsamość zarządzaną dla wystąpienia usługi ADF otrzymają rolę Współautor danych obiektu blob usługi Storage na koncie magazynu. Dostępne są również opcje wdrażania wystąpienia usługi Azure Key Vault, bazy danych Azure SQL i usługi Azure Event Hub (w przypadku przypadków użycia przesyłania strumieniowego). Po wdrożeniu usługi Azure Key Vault tożsamość zarządzana usługi Data Factory i tożsamość usługi AAD dla użytkownika wdrażającego szablon otrzymają rolę użytkownika Key Vault Secrets User. |
Obszar roboczy usługi Azure Machine Learning |
Ten szablon tworzy nowy obszar roboczy usługi Azure Machine Learning wraz z zaszyfrowanym kontem magazynu, usługą KeyVault i rejestrowaniem usługi Applications Insights |
Tworzenie magazynu kluczy |
Ten moduł tworzy zasób usługi KeyVault z interfejsem apiVersion 2019-09-01. |
Tworzenie usługi API Management przy użyciu protokołu SSL z usługi KeyVault |
Ten szablon służy do wdrażania usługi API Management skonfigurowanej przy użyciu tożsamości przypisanej przez użytkownika. Używa tej tożsamości do pobierania certyfikatu SSL z usługi KeyVault i jego aktualizowania przez sprawdzanie co 4 godziny. |
Tworzy aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps |
Utwórz aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps. |
Tworzy klaster usługi Azure Stack HCI 23H2 |
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM. |
Tworzenie nowej zaszyfrowanej maszyny wirtualnej z systemem Windows na podstawie obrazu galerii |
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows przy użyciu obrazu galerii serwera 2k12. |
Tworzenie nowych zaszyfrowanych dysków zarządzanych win-vm na podstawie obrazu galerii |
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows z dyskami zarządzanymi przy użyciu obrazu galerii serwera 2k12. |
Ten szablon szyfruje uruchomiony zestaw skalowania maszyn wirtualnych z systemem Windows |
Ten szablon umożliwia szyfrowanie w uruchomionym zestawie skalowania maszyn wirtualnych z systemem Windows |
Włączanie szyfrowania na uruchomionej maszynie wirtualnej z systemem Windows |
Ten szablon umożliwia szyfrowanie na uruchomionej maszynie wirtualnej z systemem Windows. |
Tworzenie i szyfrowanie nowego systemu Windows VMSS za pomocą serwera przesiadkowego |
Ten szablon umożliwia wdrożenie prostego zestawu skalowania maszyn wirtualnych z systemem Windows przy użyciu najnowszej poprawkowej wersji serwera systemu Windows. Ten szablon wdraża również skrzynkę przesiadkową z publicznym adresem IP w tej samej sieci wirtualnej. Możesz nawiązać połączenie z serwerem przesiadkowym za pośrednictwem tego publicznego adresu IP, a następnie połączyć się stamtąd z maszynami wirtualnymi w zestawie skalowania za pośrednictwem prywatnych adresów IP. Ten szablon umożliwia szyfrowanie w zestawie skalowania maszyn wirtualnych z systemem Windows. |
Tworzenie Key Vault platformy Azure i wpisu tajnego |
Ten szablon tworzy Key Vault platformy Azure i wpis tajny. |
Tworzenie Key Vault platformy Azure przy użyciu kontroli dostępu opartej na rolach i wpisu tajnego |
Ten szablon tworzy Key Vault platformy Azure i wpis tajny. Zamiast polegać na zasadach dostępu, wykorzystuje kontrolę dostępu opartą na rolach platformy Azure do zarządzania autoryzacją wpisów tajnych |
Tworzenie magazynu kluczy, tożsamości zarządzanej i przypisania roli |
Ten szablon tworzy magazyn kluczy, tożsamość zarządzaną i przypisanie roli. |
Nawiązywanie połączenia z Key Vault za pośrednictwem prywatnego punktu końcowego |
W tym przykładzie pokazano, jak skonfigurować sieć wirtualną i prywatną strefę DNS w celu uzyskania dostępu do Key Vault za pośrednictwem prywatnego punktu końcowego. |
Tworzenie Key Vault i listy wpisów tajnych |
Ten szablon tworzy Key Vault i listę wpisów tajnych w magazynie kluczy, które zostały przekazane wraz z parametrami |
Tworzenie Key Vault z włączonym rejestrowaniem |
Ten szablon tworzy Key Vault platformy Azure i konto usługi Azure Storage używane do rejestrowania. Opcjonalnie tworzy blokady zasobów w celu ochrony zasobów Key Vault i zasobów magazynu. |
Tworzenie obszaru roboczego AML z wieloma zestawami danych & Magazyny danych |
Ten szablon tworzy obszar roboczy usługi Azure Machine Learning z wieloma zestawami danych & magazynów danych. |
Kompleksowa konfiguracja bezpieczna usługi Azure Machine Learning |
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS. |
Kompleksowa konfiguracja zabezpieczania usługi Azure Machine Learning (starsza wersja) |
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS. |
Tworzenie docelowego obiektu obliczeniowego usługi AKS przy użyciu prywatnego adresu IP |
Ten szablon tworzy docelowy obiekt obliczeniowy usługi AKS w danym obszarze roboczym usługi Azure Machine Learning Service z prywatnym adresem IP. |
Tworzenie obszaru roboczego usługi Azure Machine Learning Service |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym azure Key Vault, Azure Storage, aplikacja systemu Azure Insights i Azure Container Registry. Ta konfiguracja opisuje minimalny zestaw zasobów potrzebnych do rozpoczęcia pracy z usługą Azure Machine Learning. |
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK) |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym azure Key Vault, Azure Storage, aplikacja systemu Azure Insights i Azure Container Registry. W przykładzie pokazano, jak skonfigurować usługę Azure Machine Learning na potrzeby szyfrowania przy użyciu klucza szyfrowania zarządzanego przez klienta. |
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (sieć wirtualna) |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym azure Key Vault, Azure Storage, aplikacja systemu Azure Insights i Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci. |
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (starsza wersja) |
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym azure Key Vault, Azure Storage, aplikacja systemu Azure Insights i Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci. |
Klaster usługi AKS z kontrolerem ruchu przychodzącego Application Gateway |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS przy użyciu Application Gateway, kontrolera ruchu przychodzącego Application Gateway, Azure Container Registry, usługi Log Analytics i Key Vault |
Tworzenie Application Gateway V2 przy użyciu Key Vault |
Ten szablon wdraża Application Gateway V2 w Virtual Network, tożsamość zdefiniowaną przez użytkownika, Key Vault, wpis tajny (dane certyfikatu) i zasady dostępu w Key Vault i Application Gateway. |
Środowisko testowania dla Azure Firewall Premium |
Ten szablon tworzy zasady Azure Firewall Premium i Zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii sieci Web |
Tworzenie Application Gateway przy użyciu certyfikatów |
Ten szablon pokazuje, jak wygenerować certyfikaty z podpisem własnym Key Vault, a następnie odwołać się do Application Gateway. |
Szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta |
Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w Key Vault. |
App Service Environment z zapleczem Azure SQL |
Ten szablon tworzy App Service Environment z zapleczem Azure SQL wraz z prywatnymi punktami końcowymi wraz ze skojarzonymi zasobami zwykle używanymi w środowisku prywatnym/izolowanym. |
Aplikacja funkcji platformy Azure i funkcja wyzwalana przez protokół HTTP |
W tym przykładzie wdrożono aplikację funkcji platformy Azure i funkcję wyzwalaną przez protokół HTTP w tekście w szablonie. Wdraża również Key Vault i wypełnia wpis tajny kluczem hosta aplikacji funkcji. |
Application Gateway z wewnętrznymi API Management i aplikacją internetową |
Application Gateway routingu ruchu internetowego do sieci wirtualnej (trybu wewnętrznego) API Management wystąpienia, które obsługuje internetowy interfejs API hostowany w aplikacji internetowej platformy Azure. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu magazynu można wdrożyć przy użyciu operacji docelowych:
- Grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2021-04-01-preview"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Wartości właściwości
Sklepienia
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ zasobu | "Microsoft.KeyVault/vaults@2021-04-01-preview" |
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 3–24 Prawidłowe znaki: Alfanumeryczne i łączniki. Zacznij od litery. Koniec z literą lub cyfrą. Nie można zawierać kolejnych łączników. Nazwa zasobu musi być unikatowa na platformie Azure. |
location | Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. | ciąg (wymagany) |
parent_id | Aby przeprowadzić wdrożenie w grupie zasobów, użyj identyfikatora tej grupy zasobów. | ciąg (wymagany) |
tags | Tagi, które zostaną przypisane do magazynu kluczy. | Słownik nazw tagów i wartości. |
properties | Właściwości magazynu | Właściwości magazynu (wymagane) |
Właściwości magazynu
Nazwa | Opis | Wartość |
---|---|---|
accessPolicies | Tablica od 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Jeśli createMode jest ustawiona wartość recover , zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. |
AccessPolicyEntry[] |
createMode | Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. | "default" "Odzyskiwanie" |
enabledForDeployment | Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. | bool |
enabledForDiskEncryption | Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. | bool |
enabledForTemplateDeployment | Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. | bool |
enablePurgeProtection | Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na wartość true powoduje aktywowanie ochrony przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. | bool |
enableRbacAuthorization | Właściwość, która kontroluje sposób autoryzacji akcji danych. W przypadku wartości true magazyn kluczy będzie używać Access Control opartych na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane. W przypadku wartości false magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane przy użyciu kontroli dostępu opartej na rolach. | bool |
enableSoftDelete | Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. | bool |
networkAcls | Reguły rządzące ułatwieniami dostępu magazynu kluczy z określonych lokalizacji sieciowych. | NetworkRuleSet |
provisioningState | Stan aprowizacji magazynu. | "RegisteringDns" "Powodzenie" |
sku | Szczegóły jednostki SKU | Jednostka SKU (wymagana) |
softDeleteRetentionInDays | softDelete data retention days (dni przechowywania danych softDelete). Akceptuje >=7 i <=90. | int |
tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. | ciąg |
AccessPolicyEntry
Nazwa | Opis | Wartość |
---|---|---|
applicationId | Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń | ciąg Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. | ciąg (wymagany) |
uprawnienia | Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. | Uprawnienia (wymagane) |
tenantId | Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań w magazynie kluczy. | ciąg (wymagany) Ograniczenia: Minimalna długość = 36 Maksymalna długość = 36 Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Uprawnienia
Nazwa | Opis | Wartość |
---|---|---|
certyfikaty | Uprawnienia do certyfikatów | Tablica ciągów zawierająca dowolną z: "Kopia zapasowa" "utwórz" "usuń" "deleteissuers" "get" "getissuers" "import" "lista" "listissuers" "managecontacts" "manageissuers" "przeczyszczanie" "odzyskaj" "Przywróć" "setissuers" "update" |
keys | Uprawnienia do kluczy | Tablica ciągów zawierająca dowolną z: "Kopia zapasowa" "utwórz" "Odszyfrowywanie" "usuń" "Szyfruj" "get" "import" "lista" "przeczyszczanie" "odzyskaj" "release" "Przywróć" "znak" "unwrapKey" "update" "verify" "wrapKey" |
wpisy tajne | Uprawnienia do wpisów tajnych | Tablica ciągów zawierająca dowolną z: "Kopia zapasowa" "usuń" "get" "lista" "przeczyszczanie" "odzyskaj" "Przywróć" "set" |
magazyn | Uprawnienia do kont magazynu | Tablica ciągów zawierająca dowolną z: "Kopia zapasowa" "usuń" "deletesas" "get" "getsas" "lista" "listas" "przeczyszczanie" "odzyskaj" "Regeneratekey" "Przywróć" "set" "setsas" "update" |
NetworkRuleSet
Nazwa | Opis | Wartość |
---|---|---|
obejście | Informuje, jaki ruch może pominąć reguły sieci. Może to być wartość "AzureServices" lub "None". Jeśli nie określono wartości domyślnej, to "AzureServices". | "AzureServices" "Brak" |
defaultAction | Akcja domyślna, gdy nie jest zgodna żadna reguła z reguł ipRules i virtualNetworkRules. Jest to używane tylko po ocenie właściwości obejścia. | "Zezwalaj" "Odmów" |
ipRules | Lista reguł adresów IP. | IPRule[] |
virtualNetworkRules | Lista reguł sieci wirtualnej. | VirtualNetworkRule[] |
Adres IPRule
Nazwa | Opis | Wartość |
---|---|---|
wartość | Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). | ciąg (wymagany) |
VirtualNetworkRule
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | ciąg (wymagany) |
ignoreMissingVnetServiceEndpoint | Właściwość określająca, czy dostawca nrP zignoruje sprawdzanie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. | bool |
SKU
Nazwa | Opis | Wartość |
---|---|---|
rodzina | Nazwa rodziny jednostek SKU | "A" (wymagane) |
name | Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. | "premium" "Standardowa" (wymagana) |