Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Замечания
Рекомендации по использованию хранилищ ключей для безопасных значений см. в статье Управление секретами с помощью Bicep.
Краткое руководство по созданию секрета см. в кратком руководстве по . Настройка и извлечение секрета из Azure Key Vault с помощьюшаблона ARM.
Краткое руководство по созданию ключа см. в кратком руководстве по . Создание хранилища ключей Azure и ключа с помощью шаблона ARM.
Определение ресурсов Bicep
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для следующих операций:
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.KeyVault/vaults@2015-06-01' = {
scope: resourceSymbolicName or scope
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
}
tenantId: 'string'
}
]
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enableSoftDelete: bool
sku: {
family: 'string'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
Значения свойств
Microsoft.KeyVault/vaults
| Имя | Описание | Ценность |
|---|---|---|
| местоположение | Поддерживаемом расположении Azure, в котором необходимо создать хранилище ключей. | строка (обязательно) |
| имя | Имя ресурса | струна Ограничения целостности: Pattern = ^[a-zA-Z0-9-]{3,24}$ (обязательно) |
| свойства | Свойства хранилища | VaultProperties (обязательно) |
| scope | Используется при создании ресурса в области, отличной от области развертывания. | Задайте для этого свойства символьное имя ресурса, чтобы применить ресурс расширения. |
| Теги | Теги ресурсов | Словарь имен и значений тегов. См. теги в шаблонах |
AccessPolicyEntry (Доступ к политике)
| Имя | Описание | Ценность |
|---|---|---|
| applicationId | Идентификатор приложения клиента, выполняющего запрос от имени субъекта | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
| Разрешения | Разрешения удостоверения имеются для ключей, секретов и сертификатов. | разрешения (обязательно) |
| идентификатор арендатора | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
Разрешения
| Имя | Описание | Ценность |
|---|---|---|
| Сертификаты | Разрешения на сертификаты | Массив строк, содержащий любой из: "все" Create "Delete" "deleteissuers" «Получить» 'getissuers' "Import" "list" "listissuers" "managecontacts" "manageissuers" "Очистка" "восстановление" 'setIssuers' "update" |
| Ключи | Разрешения на ключи | Массив строк, содержащий любой из: "все" "Backup" Create Расшифровка "Delete" "encrypt" «Получить» "Import" "list" "Очистка" "восстановление" "restore" Знак UnwrapKey "update" "проверка" "wrapKey" |
| Секреты | Разрешения на секреты | Массив строк, содержащий любой из: "все" "Backup" "Delete" «Получить» "list" "Очистка" "восстановление" "restore" «Набор» |
Артикул
| Имя | Описание | Ценность |
|---|---|---|
| семья | Имя семейства SKU | "A" (обязательно) |
| имя | Имя SKU, указывающее, является ли хранилище ключей стандартным хранилищем или хранилищем класса Premium. | "Премиум" "Стандартный" (обязательный) |
VaultCreateOrUpdateParametersTags
| Имя | Описание | Ценность |
|---|
Свойства хранилища
| Имя | Описание | Ценность |
|---|---|---|
| Политики доступа | Массив от 0 до 16 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. | AccessPolicyEntry[] (обязательно) |
| enabledForDeployment | Свойство, указываемое, разрешены ли виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов из хранилища ключей. | булевая переменная (bool) |
| enabledForDiskEncryption | Свойство, указываемое, разрешено ли шифрование дисков Azure извлекать секреты из хранилища и распаковывать ключи. | булевая переменная (bool) |
| enabledForTemplateDeployment | Свойство, указываемое, разрешено ли Azure Resource Manager получать секреты из хранилища ключей. | булевая переменная (bool) |
| enableSoftDelete | Свойство, указываемое, включена ли функция обратимого удаления для этого хранилища ключей. | булевая переменная (bool) |
| SKU | Сведения о номере SKU | Sku (обязательно) |
| идентификатор арендатора | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
| vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | струна |
Примеры использования
Проверенные модули Azure
Следующие проверенные модули Azure можно использовать для развертывания этого типа ресурсов.
| Модуль | Описание |
|---|---|
| Хранилище ключей | Модуль ресурсов AVM для Key Vault |
Примеры быстрого запуска Azure
Следующие шаблоны быстрого запуска Azure содержат примеры Bicep для развертывания этого типа ресурса.
| Bicep-файл | Описание |
|---|---|
| кластер AKS с шлюзом NAT и шлюзом приложений | В этом примере показано, как развернуть кластер AKS с шлюзом NAT для исходящих подключений и шлюза приложений для входящих подключений. |
| кластер AKS с контроллером входящего трафика шлюза приложений | В этом примере показано, как развернуть кластер AKS с помощью шлюза приложений, контроллера входящего трафика шлюза приложений, реестра контейнеров Azure, Log Analytics и Key Vault |
| Шлюз приложений с внутренним управлением API и веб-приложения | Шлюз приложений маршрутизации трафика Интернета в экземпляр управления API виртуальной сети (внутренний режим), который обслуживает веб-API, размещенный в веб-приложении Azure. |
| Базовая настройка Azure AI Foundry | В этом наборе шаблонов показано, как настроить Azure AI Foundry с базовой настройкой, то есть с включенным общедоступным доступом к Интернету, ключами шифрования, управляемыми корпорацией Майкрософт, и конфигурацией удостоверений, управляемой корпорацией Майкрософт для ресурса ИИ. |
| Базовая настройка Azure AI Foundry | В этом наборе шаблонов показано, как настроить Azure AI Foundry с базовой настройкой, то есть с включенным общедоступным доступом к Интернету, ключами шифрования, управляемыми корпорацией Майкрософт, и конфигурацией удостоверений, управляемой корпорацией Майкрософт для ресурса ИИ. |
| Ограниченная сеть Azure AI Foundry | В этом наборе шаблонов показано, как настроить Azure AI Foundry с отключенным приватным каналом и исходящим трафиком, используя ключи, управляемые корпорацией Майкрософт, для шифрования и конфигурацию удостоверений, управляемую корпорацией Майкрософт для ресурса ИИ. |
| Azure AI Foundry с проверкой подлинности Microsoft Entra ID | В этом наборе шаблонов показано, как настроить Azure AI Foundry с проверкой подлинности Microsoft Entra ID для зависимых ресурсов, таких как службы Azure AI и служба хранилища Azure. |
| базовая настройка Azure AI Studio | В этом наборе шаблонов показано, как настроить Azure AI Studio с помощью базовой настройки, то есть с поддержкой общедоступного доступа к Интернету, ключами, управляемыми Корпорацией Майкрософт, для шифрования и конфигурации управляемых корпорацией Майкрософт удостоверений для ресурса ИИ. |
| ограниченной сети Azure AI Studio | Этот набор шаблонов демонстрирует настройку Azure AI Studio с закрытым каналом и отключением исходящего трафика с помощью ключей, управляемых Корпорацией Майкрософт, для шифрования и конфигурации управляемых корпорацией Майкрософт удостоверений для ресурса искусственного интеллекта. |
| приложение-функцию Azure и функцию, активированную ПО HTTP, | Этот пример развертывает приложение-функцию Azure и встроенную функцию, активированную ПО HTTP, в шаблоне. Он также развертывает Key Vault и заполняет секрет ключом узла приложения-функции. |
| сквозной настройке машинного обучения Azure | В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
| сквозной настройке машинного обучения Azure (устаревшая версия) | В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
| шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом | Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, созданного и размещенного в Key Vault. |
| базовый идентификатор установки агента | В этом наборе шаблонов показано, как настроить службу агента ИИ Azure с базовой настройкой с помощью проверки подлинности управляемого удостоверения для подключения службы ИИ/AOAI. Агенты используют ресурсы поиска в нескольких клиентах и хранилища, полностью управляемые корпорацией Майкрософт. У вас нет видимости или контроля над этими базовыми ресурсами Azure. |
| создание Хранилища ключей и списка секретов | Этот шаблон создает Key Vault и список секретов в хранилище ключей, как передано вместе с параметрами. |
| Создание периметра безопасности сети | Этот шаблон создает периметр безопасности сети и связанный с ним ресурс для защиты хранилища ключей Azure. |
| создание целевого объекта вычислений AKS с частным IP-адресом | Этот шаблон создает целевой объект вычислений AKS в данной рабочей области службы машинного обучения Azure с частным IP-адресом. |
| Создание службы управления API с помощью SSL из KeyVault | Этот шаблон развертывает службу управления API, настроенную с удостоверением, назначенным пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и сохраняет его обновление, проверяя каждые 4 часа. |
| Создание Azure Key Vault и секрета | Этот шаблон создает Azure Key Vault и секрет. |
| создание Azure Key Vault с помощью RBAC и секрета | Этот шаблон создает Azure Key Vault и секрет. Вместо того чтобы полагаться на политики доступа, она использует Azure RBAC для управления авторизацией в секретах |
| создание рабочей области службы машинного обучения Azure | Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. В этой конфигурации описывается минимальный набор ресурсов, необходимых для начала работы с Машинным обучением Azure. |
| Создание рабочей области службы машинного обучения Azure (CMK) | Этот шаблон развертывания указывает, как создать рабочую область Машинного обучения Azure с шифрованием на стороне службы с помощью ключей шифрования. |
| Создание рабочей области службы машинного обучения Azure (CMK) | Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. В примере показано, как настроить машинное обучение Azure для шифрования с помощью ключа шифрования, управляемого клиентом. |
| Создание рабочей области службы машинного обучения Azure (устаревшая версия) | Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Машинным обучением Azure в изолированной сети. |
| создание рабочей области службы машинного обучения Azure (vnet) | Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Машинным обучением Azure в изолированной сети. |
| создание шлюза приложений с помощью сертификатов | В этом шаблоне показано, как создавать самозаверяющие сертификаты Key Vault, а затем ссылаться на нее из шлюза приложений. |
| создание Key Vault с включенным ведением журнала | Этот шаблон создает Azure Key Vault и учетную запись хранения Azure, которая используется для ведения журнала. При необходимости создается блокировка ресурсов для защиты ресурсов Key Vault и ресурсов хранилища. |
| Создание хранилища ключей, управляемого удостоверения и назначения ролей | Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей. |
| Создание ресурса частной конечной точки между клиентами | Этот шаблон позволяет создавать ресурс конечной точки Priavate в той же или межтенантной среде и добавлять конфигурацию зоны DNS. |
| Создает приложение dapr pub-sub servicebus с помощью приложений контейнеров | Создайте приложение dapr pub-sub servicebus с помощью контейнерных приложений. |
| Развертывание Secure AI Foundry с помощью управляемой виртуальной сети | Этот шаблон создает безопасную среду Azure AI Foundry с надежными ограничениями безопасности сети и удостоверений. |
| развертывание спортивной аналитики в архитектуре Azure | Создает учетную запись хранения Azure с поддержкой ADLS 2-го поколения, экземпляр Фабрики данных Azure со связанными службами для учетной записи хранения (при развертывании базы данных SQL Azure) и экземпляра Azure Databricks. Удостоверение AAD для пользователя, развертывающего шаблон и управляемое удостоверение для экземпляра ADF, будет предоставлено роль участника данных BLOB-объектов хранилища в учетной записи хранения. Существуют также варианты развертывания экземпляра Azure Key Vault, базы данных SQL Azure и Концентратора событий Azure (для вариантов использования потоковой передачи). При развертывании Azure Key Vault управляемое удостоверение фабрики данных и удостоверение AAD для пользователя, развертывающего шаблон, будет предоставлена роль пользователя секретов Key Vault. |
| концентратора FinOps |
Этот шаблон создает новый экземпляр концентратора FinOps, включая Data Explorer, хранилище Data Lake и фабрику данных. |
| агент с управляемым удостоверением пользователя | Этот набор шаблонов демонстрирует настройку службы агента ИИ Azure с изоляцией виртуальной сети с помощью проверки подлинности управляемого удостоверения пользователей для подключения службы ИИ/AOAI и частных сетевых каналов для подключения агента к защищенным данным. |
| настройка стандартного агента | В этом наборе шаблонов показано, как настроить службу агента ИИ Azure со стандартной настройкой, то есть с проверкой подлинности управляемого удостоверения для подключений к проекту или концентратору и общедоступного доступа к Интернету. Агенты используют ресурсы поиска и хранилища с одним клиентом. С помощью этой настройки вы можете полностью контролировать и просматривать эти ресурсы, но вы будете нести расходы на основе использования. |
| среда тестирования для брандмауэра Azure Premium | Этот шаблон создает политику брандмауэра Azure premium и брандмауэра с такими функциями, как обнаружение вторжений (IDPS), проверка TLS и фильтрация веб-категорий |
Определение ресурса шаблона ARM
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для следующих операций:
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2015-06-01",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ]
},
"tenantId": "string"
}
],
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enableSoftDelete": "bool",
"sku": {
"family": "string",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
Значения свойств
Microsoft.KeyVault/vaults
| Имя | Описание | Ценность |
|---|---|---|
| apiVersion | Версия API | '2015-06-01' |
| местоположение | Поддерживаемом расположении Azure, в котором необходимо создать хранилище ключей. | строка (обязательно) |
| имя | Имя ресурса | струна Ограничения целостности: Pattern = ^[a-zA-Z0-9-]{3,24}$ (обязательно) |
| свойства | Свойства хранилища | VaultProperties (обязательно) |
| Теги | Теги ресурсов | Словарь имен и значений тегов. См. теги в шаблонах |
| тип | Тип ресурса | Microsoft.KeyVault/vaults |
AccessPolicyEntry (Доступ к политике)
| Имя | Описание | Ценность |
|---|---|---|
| applicationId | Идентификатор приложения клиента, выполняющего запрос от имени субъекта | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
| Разрешения | Разрешения удостоверения имеются для ключей, секретов и сертификатов. | разрешения (обязательно) |
| идентификатор арендатора | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
Разрешения
| Имя | Описание | Ценность |
|---|---|---|
| Сертификаты | Разрешения на сертификаты | Массив строк, содержащий любой из: "все" Create "Delete" "deleteissuers" «Получить» 'getissuers' "Import" "list" "listissuers" "managecontacts" "manageissuers" "Очистка" "восстановление" 'setIssuers' "update" |
| Ключи | Разрешения на ключи | Массив строк, содержащий любой из: "все" "Backup" Create Расшифровка "Delete" "encrypt" «Получить» "Import" "list" "Очистка" "восстановление" "restore" Знак UnwrapKey "update" "проверка" "wrapKey" |
| Секреты | Разрешения на секреты | Массив строк, содержащий любой из: "все" "Backup" "Delete" «Получить» "list" "Очистка" "восстановление" "restore" «Набор» |
Артикул
| Имя | Описание | Ценность |
|---|---|---|
| семья | Имя семейства SKU | "A" (обязательно) |
| имя | Имя SKU, указывающее, является ли хранилище ключей стандартным хранилищем или хранилищем класса Premium. | "Премиум" "Стандартный" (обязательный) |
VaultCreateOrUpdateParametersTags
| Имя | Описание | Ценность |
|---|
Свойства хранилища
| Имя | Описание | Ценность |
|---|---|---|
| Политики доступа | Массив от 0 до 16 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. | AccessPolicyEntry[] (обязательно) |
| enabledForDeployment | Свойство, указываемое, разрешены ли виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов из хранилища ключей. | булевая переменная (bool) |
| enabledForDiskEncryption | Свойство, указываемое, разрешено ли шифрование дисков Azure извлекать секреты из хранилища и распаковывать ключи. | булевая переменная (bool) |
| enabledForTemplateDeployment | Свойство, указываемое, разрешено ли Azure Resource Manager получать секреты из хранилища ключей. | булевая переменная (bool) |
| enableSoftDelete | Свойство, указываемое, включена ли функция обратимого удаления для этого хранилища ключей. | булевая переменная (bool) |
| SKU | Сведения о номере SKU | Sku (обязательно) |
| идентификатор арендатора | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
| vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | струна |
Примеры использования
Шаблоны быстрого запуска Azure
Следующие шаблоны быстрого запуска Azure развернуть этот тип ресурса.
| Шаблон | Описание |
|---|---|
|
кластер AKS с шлюзом NAT и шлюзом приложений развертывание  |
В этом примере показано, как развернуть кластер AKS с шлюзом NAT для исходящих подключений и шлюза приложений для входящих подключений. |
|
кластер AKS с контроллером входящего трафика шлюза приложений развертывание |
В этом примере показано, как развернуть кластер AKS с помощью шлюза приложений, контроллера входящего трафика шлюза приложений, реестра контейнеров Azure, Log Analytics и Key Vault |
|
среда службы приложений с серверной SQL Azure развертывание |
Этот шаблон создает среду службы приложений с серверной частью SQL Azure вместе с частными конечными точками вместе с связанными ресурсами, обычно используемыми в частной или изолированной среде. |
|
Шлюз приложений с внутренним управлением API и веб-приложения развертывание |
Шлюз приложений маршрутизации трафика Интернета в экземпляр управления API виртуальной сети (внутренний режим), который обслуживает веб-API, размещенный в веб-приложении Azure. |
|
Базовая настройка Azure AI Foundry развертывание |
В этом наборе шаблонов показано, как настроить Azure AI Foundry с базовой настройкой, то есть с включенным общедоступным доступом к Интернету, ключами шифрования, управляемыми корпорацией Майкрософт, и конфигурацией удостоверений, управляемой корпорацией Майкрософт для ресурса ИИ. |
|
Базовая настройка Azure AI Foundry развертывание |
В этом наборе шаблонов показано, как настроить Azure AI Foundry с базовой настройкой, то есть с включенным общедоступным доступом к Интернету, ключами шифрования, управляемыми корпорацией Майкрософт, и конфигурацией удостоверений, управляемой корпорацией Майкрософт для ресурса ИИ. |
|
Ограниченная сеть Azure AI Foundry развертывание |
В этом наборе шаблонов показано, как настроить Azure AI Foundry с отключенным приватным каналом и исходящим трафиком, используя ключи, управляемые корпорацией Майкрософт, для шифрования и конфигурацию удостоверений, управляемую корпорацией Майкрософт для ресурса ИИ. |
|
Azure AI Foundry с проверкой подлинности Microsoft Entra ID развертывание |
В этом наборе шаблонов показано, как настроить Azure AI Foundry с проверкой подлинности Microsoft Entra ID для зависимых ресурсов, таких как службы Azure AI и служба хранилища Azure. |
|
базовая настройка Azure AI Studio развертывание |
В этом наборе шаблонов показано, как настроить Azure AI Studio с помощью базовой настройки, то есть с поддержкой общедоступного доступа к Интернету, ключами, управляемыми Корпорацией Майкрософт, для шифрования и конфигурации управляемых корпорацией Майкрософт удостоверений для ресурса ИИ. |
|
ограниченной сети Azure AI Studio развертывание |
Этот набор шаблонов демонстрирует настройку Azure AI Studio с закрытым каналом и отключением исходящего трафика с помощью ключей, управляемых Корпорацией Майкрософт, для шифрования и конфигурации управляемых корпорацией Майкрософт удостоверений для ресурса искусственного интеллекта. |
|
приложение-функцию Azure и функцию, активированную ПО HTTP, развертывание |
Этот пример развертывает приложение-функцию Azure и встроенную функцию, активированную ПО HTTP, в шаблоне. Он также развертывает Key Vault и заполняет секрет ключом узла приложения-функции. |
|
сквозной настройке машинного обучения Azure развертывание |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
|
сквозной настройке машинного обучения Azure (устаревшая версия) развертывание |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
|
рабочей области машинного обучения Azure развертывание |
Этот шаблон создает новую рабочую область машинного обучения Azure, а также зашифрованную учетную запись хранения, ведение журнала KeyVault и Application Insights |
|
шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом развертывание |
Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, созданного и размещенного в Key Vault. |
|
базовый идентификатор установки агента развертывание |
В этом наборе шаблонов показано, как настроить службу агента ИИ Azure с базовой настройкой с помощью проверки подлинности управляемого удостоверения для подключения службы ИИ/AOAI. Агенты используют ресурсы поиска в нескольких клиентах и хранилища, полностью управляемые корпорацией Майкрософт. У вас нет видимости или контроля над этими базовыми ресурсами Azure. |
|
Подключение к Key Vault через частную конечную точку развертывание |
В этом примере показано, как настроить виртуальную сеть и частную зону DNS для доступа к Key Vault через частную конечную точку. |
|
создание Хранилища ключей и списка секретов развертывание |
Этот шаблон создает Key Vault и список секретов в хранилище ключей, как передано вместе с параметрами. |
|
создание KeyVault развертывание |
Этот модуль создает ресурс KeyVault с apiVersion 2019-09-01. |
|
Создание периметра безопасности сети развертывание |
Этот шаблон создает периметр безопасности сети и связанный с ним ресурс для защиты хранилища ключей Azure. |
|
Создание зашифрованной виртуальной машины Windows из образа коллекции развертывание |
Этот шаблон создает новую зашифрованную виртуальную машину Windows с помощью образа коллекции server 2k12. |
|
создание частного кластера AKS с общедоступной зоны DNS развертывание |
В этом примере показано, как развернуть частный кластер AKS с общедоступной зоной DNS. |
|
Создание рабочей области AML с несколькими наборами данных & хранилищами данных развертывание |
Этот шаблон создает рабочую область Машинного обучения Azure с несколькими наборами данных & хранилищами данных. |
|
создание целевого объекта вычислений AKS с частным IP-адресом развертывание |
Этот шаблон создает целевой объект вычислений AKS в данной рабочей области службы машинного обучения Azure с частным IP-адресом. |
|
Создание службы управления API с помощью SSL из KeyVault развертывание |
Этот шаблон развертывает службу управления API, настроенную с удостоверением, назначенным пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и сохраняет его обновление, проверяя каждые 4 часа. |
|
Создание шлюза приложений версии 2 с помощью key Vault развертывание |
Этот шаблон развертывает шлюз приложений версии 2 в виртуальной сети, определяемое пользователем удостоверение, Key Vault, секрет (данные сертификата) и политику доступа в Key Vault и шлюзе приложений. |
|
Создание Azure Key Vault и секрета развертывание |
Этот шаблон создает Azure Key Vault и секрет. |
|
создание Azure Key Vault с помощью RBAC и секрета развертывание |
Этот шаблон создает Azure Key Vault и секрет. Вместо того чтобы полагаться на политики доступа, она использует Azure RBAC для управления авторизацией в секретах |
|
создание рабочей области службы машинного обучения Azure развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. В этой конфигурации описывается минимальный набор ресурсов, необходимых для начала работы с Машинным обучением Azure. |
|
Создание рабочей области службы машинного обучения Azure (CMK) развертывание |
Этот шаблон развертывания указывает, как создать рабочую область Машинного обучения Azure с шифрованием на стороне службы с помощью ключей шифрования. |
|
Создание рабочей области службы машинного обучения Azure (CMK) развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. В примере показано, как настроить машинное обучение Azure для шифрования с помощью ключа шифрования, управляемого клиентом. |
|
Создание рабочей области службы машинного обучения Azure (устаревшая версия) развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Машинным обучением Azure в изолированной сети. |
|
создание рабочей области службы машинного обучения Azure (vnet) развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Машинным обучением Azure в изолированной сети. |
|
создание и шифрование новой виртуальной машины Windows с помощью развертывание |
Этот шаблон позволяет развернуть простой масштабируемый набор виртуальных машин Windows с помощью последней исправленной версии серверных версий Windows. Этот шаблон также развертывает прыжки с общедоступным IP-адресом в той же виртуальной сети. С помощью этого общедоступного IP-адреса можно подключиться к виртуальным машинам в масштабируемом наборе с помощью частных IP-адресов. Этот шаблон включает шифрование в масштабируемом наборе виртуальных машин Windows. |
|
создание шлюза приложений с помощью сертификатов развертывание |
В этом шаблоне показано, как создавать самозаверяющие сертификаты Key Vault, а затем ссылаться на нее из шлюза приложений. |
|
создание Key Vault с включенным ведением журнала развертывание |
Этот шаблон создает Azure Key Vault и учетную запись хранения Azure, которая используется для ведения журнала. При необходимости создается блокировка ресурсов для защиты ресурсов Key Vault и ресурсов хранилища. |
|
Создание хранилища ключей, управляемого удостоверения и назначения ролей развертывание |
Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей. |
|
Создание зашифрованных управляемых дисков win-vm из образа коллекции развертывание |
Этот шаблон создает виртуальную машину windows с зашифрованными управляемыми дисками с помощью образа коллекции server 2k12. |
|
Создание ресурса частной конечной точки между клиентами развертывание |
Этот шаблон позволяет создавать ресурс конечной точки Priavate в той же или межтенантной среде и добавлять конфигурацию зоны DNS. |
|
Создает приложение dapr pub-sub servicebus с помощью приложений контейнеров развертывание |
Создайте приложение dapr pub-sub servicebus с помощью контейнерных приложений. |
|
Развертывание Secure AI Foundry с помощью управляемой виртуальной сети развертывание |
Этот шаблон создает безопасную среду Azure AI Foundry с надежными ограничениями безопасности сети и удостоверений. |
|
развертывание спортивной аналитики в архитектуре Azure развертывание |
Создает учетную запись хранения Azure с поддержкой ADLS 2-го поколения, экземпляр Фабрики данных Azure со связанными службами для учетной записи хранения (при развертывании базы данных SQL Azure) и экземпляра Azure Databricks. Удостоверение AAD для пользователя, развертывающего шаблон и управляемое удостоверение для экземпляра ADF, будет предоставлено роль участника данных BLOB-объектов хранилища в учетной записи хранения. Существуют также варианты развертывания экземпляра Azure Key Vault, базы данных SQL Azure и Концентратора событий Azure (для вариантов использования потоковой передачи). При развертывании Azure Key Vault управляемое удостоверение фабрики данных и удостоверение AAD для пользователя, развертывающего шаблон, будет предоставлена роль пользователя секретов Key Vault. |
|
Включить шифрование на работающей виртуальной машине Windows развертывание |
Этот шаблон включает шифрование на работающей виртуальной машине Windows. |
| концентратора FinOps развертывание |
Этот шаблон создает новый экземпляр концентратора FinOps, включая Data Explorer, хранилище Data Lake и фабрику данных. |
|
агент с управляемым удостоверением пользователя развертывание |
Этот набор шаблонов демонстрирует настройку службы агента ИИ Azure с изоляцией виртуальной сети с помощью проверки подлинности управляемого удостоверения пользователей для подключения службы ИИ/AOAI и частных сетевых каналов для подключения агента к защищенным данным. |
|
настройка стандартного агента развертывание |
В этом наборе шаблонов показано, как настроить службу агента ИИ Azure со стандартной настройкой, то есть с проверкой подлинности управляемого удостоверения для подключений к проекту или концентратору и общедоступного доступа к Интернету. Агенты используют ресурсы поиска и хранилища с одним клиентом. С помощью этой настройки вы можете полностью контролировать и просматривать эти ресурсы, но вы будете нести расходы на основе использования. |
| среда тестирования для брандмауэра Azure Premium развертывание |
Этот шаблон создает политику брандмауэра Azure premium и брандмауэра с такими функциями, как обнаружение вторжений (IDPS), проверка TLS и фильтрация веб-категорий |
|
Этот шаблон шифрует запущенные виртуальных машин Windows развертывание |
Этот шаблон включает шифрование в работающем масштабируемом наборе виртуальных машин Windows |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для следующих операций:
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2015-06-01"
name = "string"
parent_id = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
}
tenantId = "string"
}
]
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enableSoftDelete = bool
sku = {
family = "string"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
}
}
Значения свойств
Microsoft.KeyVault/vaults
| Имя | Описание | Ценность |
|---|---|---|
| местоположение | Поддерживаемом расположении Azure, в котором необходимо создать хранилище ключей. | строка (обязательно) |
| имя | Имя ресурса | струна Ограничения целостности: Pattern = ^[a-zA-Z0-9-]{3,24}$ (обязательно) |
| parent_id | Идентификатор ресурса для применения этого ресурса расширения. | строка (обязательно) |
| свойства | Свойства хранилища | VaultProperties (обязательно) |
| Теги | Теги ресурсов | Словарь имен и значений тегов. |
| тип | Тип ресурса | "Microsoft.KeyVault/vaults@2015-06-01" |
AccessPolicyEntry (Доступ к политике)
| Имя | Описание | Ценность |
|---|---|---|
| applicationId | Идентификатор приложения клиента, выполняющего запрос от имени субъекта | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
| Разрешения | Разрешения удостоверения имеются для ключей, секретов и сертификатов. | разрешения (обязательно) |
| идентификатор арендатора | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
Разрешения
| Имя | Описание | Ценность |
|---|---|---|
| Сертификаты | Разрешения на сертификаты | Массив строк, содержащий любой из: "все" Create "Delete" "deleteissuers" «Получить» 'getissuers' "Import" "list" "listissuers" "managecontacts" "manageissuers" "Очистка" "восстановление" 'setIssuers' "update" |
| Ключи | Разрешения на ключи | Массив строк, содержащий любой из: "все" "Backup" Create Расшифровка "Delete" "encrypt" «Получить» "Import" "list" "Очистка" "восстановление" "restore" Знак UnwrapKey "update" "проверка" "wrapKey" |
| Секреты | Разрешения на секреты | Массив строк, содержащий любой из: "все" "Backup" "Delete" «Получить» "list" "Очистка" "восстановление" "restore" «Набор» |
Артикул
| Имя | Описание | Ценность |
|---|---|---|
| семья | Имя семейства SKU | "A" (обязательно) |
| имя | Имя SKU, указывающее, является ли хранилище ключей стандартным хранилищем или хранилищем класса Premium. | "Премиум" "Стандартный" (обязательный) |
VaultCreateOrUpdateParametersTags
| Имя | Описание | Ценность |
|---|
Свойства хранилища
| Имя | Описание | Ценность |
|---|---|---|
| Политики доступа | Массив от 0 до 16 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. | AccessPolicyEntry[] (обязательно) |
| enabledForDeployment | Свойство, указываемое, разрешены ли виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов из хранилища ключей. | булевая переменная (bool) |
| enabledForDiskEncryption | Свойство, указываемое, разрешено ли шифрование дисков Azure извлекать секреты из хранилища и распаковывать ключи. | булевая переменная (bool) |
| enabledForTemplateDeployment | Свойство, указываемое, разрешено ли Azure Resource Manager получать секреты из хранилища ключей. | булевая переменная (bool) |
| enableSoftDelete | Свойство, указываемое, включена ли функция обратимого удаления для этого хранилища ключей. | булевая переменная (bool) |
| SKU | Сведения о номере SKU | Sku (обязательно) |
| идентификатор арендатора | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
| vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | струна |
Примеры использования
Примеры Terraform
Простой пример развертывания Key Vault.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
data "azurerm_client_config" "current" {
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "vault" {
type = "Microsoft.KeyVault/vaults@2021-10-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
accessPolicies = [
{
objectId = data.azurerm_client_config.current.object_id
permissions = {
certificates = [
"ManageContacts",
]
keys = [
"Create",
]
secrets = [
"Set",
]
storage = [
]
}
tenantId = data.azurerm_client_config.current.tenant_id
},
]
createMode = "default"
enableRbacAuthorization = false
enableSoftDelete = true
enabledForDeployment = false
enabledForDiskEncryption = false
enabledForTemplateDeployment = false
publicNetworkAccess = "Enabled"
sku = {
family = "A"
name = "standard"
}
softDeleteRetentionInDays = 7
tenantId = data.azurerm_client_config.current.tenant_id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Проверенные модули Azure
Следующие проверенные модули Azure можно использовать для развертывания этого типа ресурсов.
| Модуль | Описание |
|---|---|
| Хранилище ключей | Модуль ресурсов AVM для Key Vault |