Microsoft.KeyVault vaults 2019-09-01

Определение ресурса Bicep

Тип ресурса хранилища можно развернуть в:

Список измененных свойств в каждой версии API см. в журнале изменений.

Комментарии

Рекомендации по использованию хранилищ ключей для безопасных значений см. в статье Управление секретами с помощью Bicep.

Краткое руководство по созданию секрета см. в статье Краткое руководство. Установка и извлечение секрета из Azure Key Vault с помощью шаблона ARM.

Краткое руководство по созданию ключа см. в статье Краткое руководство. Создание хранилища ключей Azure и ключа с помощью шаблона ARM.

Формат ресурсов

Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий Bicep в шаблон.

resource symbolicname 'Microsoft.KeyVault/vaults@2019-09-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    sku: {
      family: 'A'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
}

Значения свойств

vaults

Имя Описание Значение
name имя ресурса. строка (обязательно)

Ограничение символов: 3–24

Допустимые символы:
Буквенно-цифровые символы и дефисы.

Начинается с буквы. Заканчивается буквой или цифрой. Не может содержать несколько дефисов подряд.

Имя ресурса должно быть уникальным в Azure.
location Поддерживаемая служба Azure, в которой должно быть создано хранилище ключей. строка (обязательно)
tags Теги, которые будут назначены хранилищу ключей. Словарь имен и значений тегов. См . раздел Теги в шаблонах
properties Свойства хранилища VaultProperties (обязательно)

VaultProperties

Имя Описание Значение
accessPolicies Массив удостоверений от 0 до 1024, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode для задано значение recover, политики доступа не требуются. В противном случае требуются политики доступа. AccessPolicyEntry[]
createMode Режим создания хранилища, указывающий, требуется ли восстановление хранилища. "default"
"recover"
enabledForDeployment Свойство указывает, разрешено ли Виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. bool
enabledForDiskEncryption Свойство , которое указывает, разрешено ли шифрованию дисков Azure извлекать секреты из хранилища и распаковывать ключи. bool
enabledForTemplateDeployment Свойство, указываемое, разрешено ли Resource Manager Azure получать секреты из хранилища ключей. bool
enablePurgeProtection Свойство, указывающее, включена ли защита от очистки для этого хранилища. Если задать для этого свойства значение true, активируется защита от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, неустранимое удаление. Параметр действует только в том случае, если также включено обратимое удаление. Включение этой функции необратимо, то есть свойство не принимает значение false. bool
enableRbacAuthorization Свойство, которое управляет авторизацией действий с данными. Если значение равно true, хранилище ключей будет использовать контроль доступа на основе ролей (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, будут игнорироваться. Если задано значение false, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, а все политики, хранящиеся в Azure Resource Manager, будут игнорироваться. Если значение null или не указано, хранилище создается со значением по умолчанию false. Обратите внимание, что действия управления всегда авторизоваться с помощью RBAC. bool
enableSoftDelete Свойство , указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию ему будет присвоено значение true. Если задано значение true, его нельзя вернуть к false. bool
networkAcls Правила, управляющие доступностью хранилища ключей из определенных сетевых расположений. NetworkRuleSet
provisioningState Состояние подготовки хранилища. RegisteringDns
"Успешно"
sku Сведения о номере SKU SKU (обязательно)
softDeleteRetentionInDays softDelete data retention days. Он принимает >значения =7 и <=90. INT
tenantId Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. строка (обязательно)
vaultUri Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. Это свойство доступно только для чтения строка

AccessPolicyEntry

Имя Описание Значение
applicationId Идентификатор приложения клиента, выполняющего запрос от имени участника строка
objectId Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. строка (обязательно)
разрешения Разрешения, которые удостоверение имеет для ключей, секретов и сертификатов. Разрешения (обязательные)
tenantId Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. строка (обязательно)

Разрешения

Имя Описание Значение
certificates Разрешения для сертификатов Массив строк, содержащий любой из:
'all'
"backup"
"create"
"delete"
"deleteissuers"
"get"
'getissuers'
"import"
"list"
"listissuers"
managecontacts
manageissuers
"очистка"
"recover"
"restore"
'setissuers'
"update"
ключи Разрешения для ключей Массив строк, содержащий любой из:
'all'
"backup"
"create"
"расшифровка"
"delete"
"encrypt"
"get"
"import"
"list"
"очистка"
"recover"
"restore"
"sign"
unwrapKey
"update"
"verify"
wrapKey
секретные коды Разрешения на доступ к секретам Массив строк, содержащий любой из:
'all'
"backup"
"delete"
"get"
"list"
"очистка"
"recover"
"restore"
"set"
носителей. Разрешения для учетных записей хранения Массив строк, содержащий любой из:
'all'
"backup"
"delete"
"deletesas"
"get"
'getsas'
"list"
"listsas"
"очистка"
"recover"
"regeneratekey"
"восстановление"
"set"
"setsas"
"update"

NetworkRuleSet

Имя Описание Значение
Обход Указывает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, по умолчанию используется значение AzureServices. AzureServices
"Нет"
defaultAction Действие по умолчанию, если не совпадают правила из ipRules и virtualNetworkRules. Используется только после оценки свойства обхода. "Разрешить"
"Deny"
ipRules Список правил IP-адресов. IPRule[]
virtualNetworkRules Список правил виртуальной сети. VirtualNetworkRule[]

IPRule

Имя Описание Значение
значение Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). string (обязательно)

VirtualNetworkRule

Имя Описание Значение
идентификатор Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". string (обязательно)
ignoreMissingVnetServiceEndpoint Свойство , указывающая, будет ли NRP игнорировать проверка, если в родительской подсети настроены точки serviceEndpoints. bool

Sku

Имя Описание Значение
family Имя семейства SKU "A" (обязательно)
name Имя SKU, указывающее, является ли хранилище ключей хранилищем уровня "Стандартный" или "Премиум". "Премиум"
"стандартный" (обязательный)

Шаблоны быстрого запуска

Следующие шаблоны быстрого запуска развертывают этот тип ресурса.

Шаблон Описание
SAS 9.4 и шаблон быстрого запуска Viya для Azure

Развертывание в Azure
® Шаблон sas 9.4 и Viya QuickStart для Azure развертывает эти продукты в облаке: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 и SAS® Visual Analytics 8.5 в Linux, SAS® Visual Data Mining and Machine Learning 8.5 в Linux для Viya. Это краткое руководство представляет собой эталонную архитектуру для пользователей, которые хотят развернуть сочетание SAS® 9.4 и Viya в Azure с помощью облачных технологий. Развернув платформу SAS® в Azure, вы получаете интегрированную среду SAS® 9.4 и Viya, чтобы воспользоваться преимуществами обоих миров. SAS® Viya — это облачная подсистема аналитики в памяти. Она использует эластичную, масштабируемую и отказоустойчивую обработку для решения сложных аналитических задач. SAS® Viya обеспечивает более быструю обработку аналитики с помощью стандартизированной базы кода, поддерживающей программирование в SAS®, Python, R, Java и Lua. Он также поддерживает облачные, локальные или гибридные среды и легко развертывается в любой инфраструктуре или экосистеме приложений.
Кластер AKS со шлюзом NAT и Шлюз приложений

Развертывание в Azure
В этом примере показано, как развернуть кластер AKS со шлюзом NAT для исходящих подключений и Шлюз приложений для входящих подключений.
Создание частного кластера AKS с общедоступной зоной DNS

Развертывание в Azure
В этом примере показано, как развернуть частный кластер AKS с общедоступной зоной DNS.
Развертывание Спортивной аналитики в архитектуре Azure

Развертывание в Azure
Создает учетную запись хранения Azure с поддержкой ADLS 2-го поколения, экземпляр Фабрика данных Azure со связанными службами для учетной записи хранения (база данных Azure SQL при развертывании) и экземпляр Azure Databricks. Удостоверению AAD для пользователя, развертывающего шаблон, и управляемому удостоверению для экземпляра ADF будет предоставлена роль Участник данных BLOB-объектов хранилища в учетной записи хранения. Существуют также варианты развертывания экземпляра Key Vault Azure, базы данных Azure SQL и концентратора событий Azure (для вариантов использования потоковой передачи). При развертывании Key Vault Azure управляемому удостоверению фабрики данных и удостоверению AAD для пользователя, развертывающего шаблон, будет предоставлена роль пользователя Key Vault секретов.
Рабочая область машинного обучения Azure

Развертывание в Azure
Этот шаблон создает новую рабочую область Машинного обучения Azure, а также зашифрованную учетную запись хранения, хранилище ключей и ведение журнала Application Insights.
Создание хранилища ключей

Развертывание в Azure
В этом модуле создается ресурс KeyVault с apiVersion 2019-09-01.
Создание службы Управление API с помощью SSL из KeyVault

Развертывание в Azure
Этот шаблон развертывает службу Управление API, настроенную с использованием удостоверения, назначаемого пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и сохраняет его обновление путем проверки каждые 4 часа.
Создает приложение служебной шины dapr pub-sub с помощью контейнеров приложений

Развертывание в Azure
Создайте приложение служебной шины dapr pub-sub с помощью контейнеров приложений.
создает кластер Azure Stack HCI 23H2

Развертывание в Azure
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM.
Создание зашифрованной виртуальной машины Windows из образа коллекции

Развертывание в Azure
Этот шаблон создает новую зашифрованную виртуальную машину Windows с помощью образа коллекции server 2k12.
Создание зашифрованных управляемых дисков win-vm из образа коллекции

Развертывание в Azure
Этот шаблон создает новую виртуальную машину Windows с зашифрованными управляемыми дисками с помощью образа коллекции server 2k12.
Этот шаблон шифрует работающий набор виртуальных машин Windows

Развертывание в Azure
Этот шаблон включает шифрование в работающем масштабируемом наборе виртуальных машин Windows
Включение шифрования на работающей виртуальной машине Windows

Развертывание в Azure
Этот шаблон включает шифрование на работающей виртуальной машине Windows.
Создание и шифрование нового набора виртуальных машин Windows с помощью jumpbox

Развертывание в Azure
Этот шаблон позволяет развернуть простой масштабируемый набор виртуальных машин Windows, используя последнюю версию серверных версий Windows с исправлениями. Этот шаблон также развертывает jumpbox с общедоступным IP-адресом в той же виртуальной сети. Вы можете подключиться к jumpbox через этот общедоступный IP-адрес, а затем подключиться оттуда к виртуальным машинам в масштабируемом наборе через частные IP-адреса. Этот шаблон включает шифрование в масштабируемом наборе виртуальных машин Windows.
Создание хранилища ключей и секрета

Развертывание в Azure
Этот шаблон создает Key Vault Azure и секрет.
Создание Key Vault Azure с помощью RBAC и секрета

Развертывание в Azure
Этот шаблон создает Key Vault Azure и секрет. Вместо того чтобы полагаться на политики доступа, он использует Azure RBAC для управления авторизацией для секретов.
Создание хранилища ключей, управляемого удостоверения и назначения ролей

Развертывание в Azure
Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей.
Подключение к Key Vault через частную конечную точку

Развертывание в Azure
В этом примере показано, как использовать настройку виртуальной сети и частной зоны DNS для доступа к Key Vault через частную конечную точку.
Создание хранилища ключей и списка секретов

Развертывание в Azure
Этот шаблон создает Key Vault и список секретов в хранилище ключей, переданных вместе с параметрами.
Создание Key Vault с включенным ведением журнала

Развертывание в Azure
Этот шаблон создает Key Vault Azure и учетную запись хранения Azure, которая используется для ведения журнала. При необходимости создаются блокировки ресурсов для защиты ресурсов Key Vault и хранилища.
Создание рабочей области AML с несколькими наборами данных & хранилищами данных

Развертывание в Azure
Этот шаблон создает рабочую область Машинного обучения Azure с несколькими наборами данных & хранилищами данных.
Сквозная безопасная настройка Машинного обучения Azure

Развертывание в Azure
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure в безопасной конфигурации. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS.
Сквозная безопасная настройка Машинного обучения Azure (устаревшая версия)

Развертывание в Azure
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure в безопасной конфигурации. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS.
Создание целевого объекта вычислений AKS с частным IP-адресом

Развертывание в Azure
Этот шаблон создает целевой объект вычислений AKS в заданной рабочей области Службы машинного обучения Azure с частным IP-адресом.
Создание рабочей области Службы машинного обучения Azure

Развертывание в Azure
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается минимальный набор ресурсов, необходимых для начала работы с Машинным обучением Azure.
Создание рабочей области Службы машинного обучения Azure (CMK)

Развертывание в Azure
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В примере показано, как настроить Машинное обучение Azure для шифрования с помощью ключа шифрования, управляемого клиентом.
Создание рабочей области Службы машинного обучения Azure (виртуальной сети)

Развертывание в Azure
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети.
Создание рабочей области Службы машинного обучения Azure (устаревшая версия)

Развертывание в Azure
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети.
Кластер AKS с контроллером входящего трафика Шлюз приложений

Развертывание в Azure
В этом примере показано, как развернуть кластер AKS с Шлюз приложений, контроллером Шлюз приложений входящего трафика, Реестр контейнеров Azure, Log Analytics и Key Vault
Создание Шлюз приложений версии 2 с Key Vault

Развертывание в Azure
Этот шаблон развертывает Шлюз приложений версии 2 в виртуальная сеть, определяемом пользователем удостоверении, Key Vault, секрете (данные сертификата) и политике доступа для Key Vault и Шлюз приложений.
Среда тестирования для Брандмауэр Azure Premium

Развертывание в Azure
Этот шаблон создает Брандмауэр Azure Premium и Политику брандмауэра с функциями уровня "Премиум", такими как обнаружение проверки вторжений (IDPS), проверка TLS и фильтрация веб-категорий.
Создание Шлюз приложений с помощью сертификатов

Развертывание в Azure
В этом шаблоне показано, как создать Key Vault самозаверяющие сертификаты, а затем ссылку на Шлюз приложений.
Шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом

Развертывание в Azure
Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, который создается и помещается в Key Vault.
Среда службы приложений с серверной частью Azure SQL

Развертывание в Azure
Этот шаблон создает Среда службы приложений с Azure SQL серверной частью, а также частными конечными точками и связанными ресурсами, обычно используемыми в частной или изолированной среде.
Приложение-функция Azure и функция, активироваемая HTTP

Развертывание в Azure
В этом примере развертывается приложение-функция Azure и функция, активироваемая HTTP, встроенная в шаблон. Он также развертывает Key Vault и заполняет секрет ключом узла приложения-функции.
Шлюз приложений с внутренним Управление API и веб-приложением

Развертывание в Azure
Шлюз приложений маршрутизации интернет-трафика в виртуальную сеть (внутренний режим) Управление API экземпляр, который обслуживает веб-API, размещенный в веб-приложении Azure.

Определение ресурса шаблона ARM

Тип ресурса хранилища можно развернуть в:

Список измененных свойств в каждой версии API см. в журнале изменений.

Комментарии

Рекомендации по использованию хранилищ ключей для безопасных значений см. в статье Управление секретами с помощью Bicep.

Краткое руководство по созданию секрета см. в статье Краткое руководство. Установка и извлечение секрета из Azure Key Vault с помощью шаблона ARM.

Краткое руководство по созданию ключа см. в статье Краткое руководство. Создание хранилища ключей Azure и ключа с помощью шаблона ARM.

Формат ресурсов

Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий код JSON в шаблон.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2019-09-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "sku": {
      "family": "A",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  }
}

Значения свойств

vaults

Имя Описание Значение
тип Тип ресурса Microsoft.KeyVault/vaults
версия_API Версия API ресурсов '2019-09-01'
name имя ресурса. string (обязательно)

Ограничение символов: 3–24

Допустимые символы:
Буквенно-цифровые символы и дефисы.

Начинается с буквы. Заканчивается буквой или цифрой. Не может содержать несколько дефисов подряд.

Имя ресурса должно быть уникальным в Azure.
location Поддерживаемая служба Azure, в которой должно быть создано хранилище ключей. string (обязательно)
tags Теги, которые будут назначены хранилищу ключей. Словарь имен и значений тегов. См . раздел Теги в шаблонах
properties Свойства хранилища VaultProperties (обязательно)

VaultProperties

Имя Описание Значение
accessPolicies Массив от 0 до 1024 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode для задано значение recover, политики доступа не требуются. В противном случае требуются политики доступа. AccessPolicyEntry[]
createMode Режим создания хранилища, указывающий, требуется ли восстановление хранилища. "default"
"восстановить"
enabledForDeployment Свойство , указывая, разрешено ли Виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. bool
enabledForDiskEncryption Свойство , указываемое, разрешено ли шифрованию дисков Azure извлекать секреты из хранилища и распаковывать ключи. bool
enabledForTemplateDeployment Свойство , указывая, разрешено ли Resource Manager Azure получать секреты из хранилища ключей. bool
enablePurgeProtection Свойство, указывающее, включена ли защита от очистки для этого хранилища. Если установить для этого свойства значение true, активируется защита от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, невосполнимое удаление. Параметр действует только в том случае, если также включено обратимое удаление. Включение этой функции необратимо, то есть свойство не принимает значение false в качестве значения. bool
enableRbacAuthorization Свойство, которое управляет авторизацией действий с данными. Если задано значение true, хранилище ключей будет использовать контроль доступа на основе ролей (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, будут игнорироваться. Если значение равно false, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, и любая политика, хранящуюся в Azure Resource Manager, будет игнорироваться. Если значение null или не указано, хранилище создается со значением по умолчанию false. Обратите внимание, что действия управления всегда авторизоваться с помощью RBAC. bool
enableSoftDelete Свойство , указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию ему будет присвоено значение true. Если задано значение true, его нельзя вернуть к false. bool
networkAcls Правила, определяющие доступность хранилища ключей из определенных сетевых расположений. NetworkRuleSet
provisioningState Состояние подготовки хранилища. RegisteringDns
"Успешно"
sku Сведения о номере SKU SKU (обязательно)
softDeleteRetentionInDays softDelete data retention days. Он принимает >значения =7 и <=90. INT
tenantId Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. string (обязательно)
vaultUri Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. Это свойство доступно только для чтения строка

AccessPolicyEntry

Имя Описание Значение
applicationId Идентификатор приложения клиента, выполняющего запрос от имени участника строка
objectId Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. string (обязательно)
разрешения Разрешения, которые удостоверение имеет для ключей, секретов и сертификатов. Разрешения (обязательные)
tenantId Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. строка (обязательно)

Разрешения

Имя Описание Значение
certificates Разрешения для сертификатов Массив строк, содержащий любой из:
'all'
"backup"
"create"
"delete"
"deleteissuers"
"get"
'getissuers'
"import"
"list"
"listissuers"
managecontacts
manageissuers
"очистка"
"recover"
"restore"
'setissuers'
"update"
ключи Разрешения для ключей Массив строк, содержащий любой из:
'all'
"backup"
"create"
"расшифровка"
"delete"
"encrypt"
"get"
"import"
"list"
"очистка"
"recover"
"restore"
"sign"
unwrapKey
"update"
"verify"
wrapKey
секретные коды Разрешения на доступ к секретам Массив строк, содержащий любой из:
'all'
"backup"
"delete"
"get"
"list"
"очистка"
"recover"
"restore"
"set"
носителей. Разрешения для учетных записей хранения Массив строк, содержащий любой из:
'all'
"backup"
"delete"
"deletesas"
"get"
'getsas'
"list"
"listsas"
"очистка"
"recover"
"regeneratekey"
"restore"
"set"
"setsas"
"update"

NetworkRuleSet

Имя Описание Значение
Обход Сообщает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, значение по умолчанию — "AzureServices". AzureServices
"Нет"
defaultAction Действие по умолчанию, если ни один из правил ipRules и virtualNetworkRules не совпадает. Используется только после вычисления свойства обхода. "Разрешить"
"Deny"
ipRules Список правил IP-адресов. IPRule[]
virtualNetworkRules Список правил виртуальной сети. VirtualNetworkRule[]

IPRule

Имя Описание Значение
значение Диапазон адресов IPv4 в нотации CIDR, например 124.56.78.91 (простой IP-адрес) или 124.56.78.0/24 (все адреса, начинающиеся с 124.56.78). строка (обязательно)

VirtualNetworkRule

Имя Описание Значение
идентификатор Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnets/subnet1". строка (обязательно)
ignoreMissingVnetServiceEndpoint Свойство указывает, будет ли NRP игнорировать проверка, если в родительской подсети настроены точки serviceEndpoints. bool

Sku

Имя Описание Значение
family Имя семейства SKU "A" (обязательно)
name Имя SKU, указывающее, является ли хранилище ключей хранилищем уровня "Стандартный" или "Премиум". "Премиум"
"standard" (обязательно)

Шаблоны быстрого запуска

Следующие шаблоны быстрого запуска развертывают этот тип ресурса.

Шаблон Описание
Шаблон быстрого запуска SAS 9.4 и Viya для Azure

Развертывание в Azure
В шаблоне быстрого запуска SAS® 9.4 и Viya для Azure развертываются следующие продукты в облаке: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 и SAS® Visual Analytics 8.5 в Linux и SAS® Visual Data Mining and Machine Learning 8.5 в Linux для Viya. Это краткое руководство представляет собой эталонную архитектуру для пользователей, которые хотят развернуть сочетание SAS® 9.4 и Viya в Azure с помощью облачных технологий. Развернув платформу SAS® в Azure, вы получите интегрированную среду SAS® 9.4 и Viya, чтобы воспользоваться преимуществами обоих миров. SAS® Viya — это облачная подсистема аналитики в памяти. Она использует эластичную, масштабируемую и отказоустойчивую обработку для решения сложных аналитических задач. SAS® Viya обеспечивает более быструю обработку аналитики с помощью стандартизированной базы кода, которая поддерживает программирование на SAS®, Python, R, Java и Lua. Она также поддерживает облачные, локальные или гибридные среды и легко развертывается в любой инфраструктуре или экосистеме приложений.
Кластер AKS со шлюзом NAT и Шлюз приложений

Развертывание в Azure
В этом примере показано, как развернуть кластер AKS со шлюзом NAT для исходящих подключений и Шлюз приложений для входящих подключений.
Создание частного кластера AKS с общедоступной зоной DNS

Развертывание в Azure
В этом примере показано, как развернуть частный кластер AKS с общедоступной зоной DNS.
Развертывание спортивной аналитики в архитектуре Azure

Развертывание в Azure
Создает учетную запись хранения Azure с поддержкой ADLS 2-го поколения, экземпляр Фабрика данных Azure со связанными службами для учетной записи хранения (при развертывании базы данных Azure SQL) и экземпляра Azure Databricks. Удостоверению AAD для пользователя, развертывающего шаблон, и управляемому удостоверению для экземпляра ADF будет предоставлена роль участника данных BLOB-объектов хранилища в учетной записи хранения. Существуют также варианты развертывания экземпляра azure Key Vault, базы данных Azure SQL и концентратора событий Azure (для вариантов использования потоковой передачи). При развертывании Key Vault Azure управляемому удостоверению фабрики данных и удостоверению AAD для пользователя, развертывающего шаблон, будет предоставлена роль пользователя Key Vault Secrets.
Рабочая область машинного обучения Azure

Развертывание в Azure
Этот шаблон создает новую рабочую область Машинного обучения Azure, а также зашифрованную учетную запись хранения, хранилище ключей и ведение журнала Application Insights.
Создание Хранилища ключей

Развертывание в Azure
В этом модуле создается ресурс KeyVault с apiVersion 2019-09-01.
Создание службы Управление API с помощью SSL из KeyVault

Развертывание в Azure
Этот шаблон развертывает службу Управление API, настроенную с использованием удостоверения, назначаемого пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и обновляет его, проверяя его каждые 4 часа.
Создает приложение служебной шины dapr pub-sub с помощью контейнеров приложений

Развертывание в Azure
Создайте приложение служебной шины dapr pub-sub с помощью контейнеров приложений.
создает кластер Azure Stack HCI 23H2

Развертывание в Azure
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM.
Создание зашифрованной виртуальной машины Windows из образа коллекции

Развертывание в Azure
Этот шаблон создает новую зашифрованную виртуальную машину Windows с помощью образа коллекции server 2k12.
Создание зашифрованных управляемых дисков win-vm из образа коллекции

Развертывание в Azure
Этот шаблон создает виртуальную машину windows с зашифрованными управляемыми дисками с помощью образа коллекции server 2k12.
Этот шаблон шифрует работающий набор виртуальных машин Windows

Развертывание в Azure
Этот шаблон включает шифрование в работающем масштабируемом наборе виртуальных машин Windows
Включение шифрования на работающей виртуальной машине Windows

Развертывание в Azure
Этот шаблон включает шифрование на работающей виртуальной машине Windows.
Создание и шифрование нового набора виртуальных машин Windows с помощью jumpbox

Развертывание в Azure
Этот шаблон позволяет развернуть простой масштабируемый набор виртуальных машин Windows, используя последнюю версию серверных версий Windows с исправлениями. Этот шаблон также развертывает jumpbox с общедоступным IP-адресом в той же виртуальной сети. Вы можете подключиться к jumpbox через этот общедоступный IP-адрес, а затем подключиться оттуда к виртуальным машинам в масштабируемом наборе через частные IP-адреса. Этот шаблон включает шифрование в масштабируемом наборе виртуальных машин Windows.
Создание хранилища ключей и секрета

Развертывание в Azure
Этот шаблон создает Key Vault Azure и секрет.
Создание Key Vault Azure с помощью RBAC и секрета

Развертывание в Azure
Этот шаблон создает Key Vault Azure и секрет. Вместо того чтобы полагаться на политики доступа, он использует Azure RBAC для управления авторизацией для секретов.
Создание хранилища ключей, управляемого удостоверения и назначения ролей

Развертывание в Azure
Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей.
Подключение к Key Vault через частную конечную точку

Развертывание в Azure
В этом примере показано, как использовать настройку виртуальной сети и частной зоны DNS для доступа к Key Vault через частную конечную точку.
Создание хранилища ключей и списка секретов

Развертывание в Azure
Этот шаблон создает Key Vault и список секретов в хранилище ключей, переданных вместе с параметрами.
Создание Key Vault с включенным ведением журнала

Развертывание в Azure
Этот шаблон создает Key Vault Azure и учетную запись хранения Azure, которая используется для ведения журнала. При необходимости создаются блокировки ресурсов для защиты ресурсов Key Vault и хранилища.
Создание рабочей области AML с несколькими наборами данных & хранилищами данных

Развертывание в Azure
Этот шаблон создает рабочую область Машинного обучения Azure с несколькими наборами данных & хранилищами данных.
Сквозная безопасная настройка Машинного обучения Azure

Развертывание в Azure
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure в безопасной конфигурации. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS.
Сквозная безопасная настройка Машинного обучения Azure (устаревшая версия)

Развертывание в Azure
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure в безопасной конфигурации. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS.
Создание целевого объекта вычислений AKS с частным IP-адресом

Развертывание в Azure
Этот шаблон создает целевой объект вычислений AKS в заданной рабочей области Службы машинного обучения Azure с частным IP-адресом.
Создание рабочей области Службы машинного обучения Azure

Развертывание в Azure
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается минимальный набор ресурсов, необходимых для начала работы с Машинным обучением Azure.
Создание рабочей области Службы машинного обучения Azure (CMK)

Развертывание в Azure
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В примере показано, как настроить Машинное обучение Azure для шифрования с помощью ключа шифрования, управляемого клиентом.
Создание рабочей области Службы машинного обучения Azure (виртуальной сети)

Развертывание в Azure
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети.
Создание рабочей области Службы машинного обучения Azure (устаревшая версия)

Развертывание в Azure
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети.
Кластер AKS с контроллером входящего трафика Шлюз приложений

Развертывание в Azure
В этом примере показано, как развернуть кластер AKS с Шлюз приложений, контроллером Шлюз приложений входящего трафика, Реестр контейнеров Azure, Log Analytics и Key Vault
Создание Шлюз приложений версии 2 с Key Vault

Развертывание в Azure
Этот шаблон развертывает Шлюз приложений версии 2 в виртуальная сеть, определяемом пользователем удостоверении, Key Vault, секрете (данные сертификата) и политике доступа для Key Vault и Шлюз приложений.
Среда тестирования для Брандмауэр Azure Premium

Развертывание в Azure
Этот шаблон создает Брандмауэр Azure Premium и Политику брандмауэра с функциями уровня "Премиум", такими как обнаружение проверки вторжений (IDPS), проверка TLS и фильтрация веб-категорий.
Создание Шлюз приложений с помощью сертификатов

Развертывание в Azure
В этом шаблоне показано, как создать Key Vault самозаверяющие сертификаты, а затем ссылку на Шлюз приложений.
Шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом

Развертывание в Azure
Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, который создается и помещается в Key Vault.
Среда службы приложений с серверной частью Azure SQL

Развертывание в Azure
Этот шаблон создает Среда службы приложений с Azure SQL серверной частью, а также частными конечными точками и связанными ресурсами, обычно используемыми в частной или изолированной среде.
Приложение-функция Azure и функция, активироваемая HTTP

Развертывание в Azure
В этом примере развертывается приложение-функция Azure и функция, активироваемая HTTP, встроенная в шаблон. Он также развертывает Key Vault и заполняет секрет ключом узла приложения-функции.
Шлюз приложений с внутренним Управление API и веб-приложением

Развертывание в Azure
Шлюз приложений маршрутизации интернет-трафика в виртуальную сеть (внутренний режим) Управление API экземпляр, который обслуживает веб-API, размещенный в веб-приложении Azure.

Определение ресурса Terraform (поставщик AzAPI)

Тип ресурса хранилища можно развернуть в:

  • Группы ресурсов

Список измененных свойств в каждой версии API см. в журнале изменений.

Формат ресурсов

Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте в шаблон следующую terraform.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2019-09-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      sku = {
        family = "A"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Значения свойств

vaults

Имя Описание Значение
тип Тип ресурса "Microsoft.KeyVault/vaults@2019-09-01"
name имя ресурса. строка (обязательно)

Ограничение символов: 3–24

Допустимые символы:
Буквенно-цифровые символы и дефисы.

Начинается с буквы. Заканчивается буквой или цифрой. Не может содержать несколько дефисов подряд.

Имя ресурса должно быть уникальным в Azure.
location Поддерживаемая служба Azure, в которой должно быть создано хранилище ключей. строка (обязательно)
parent_id Чтобы выполнить развертывание в группе ресурсов, используйте идентификатор этой группы ресурсов. строка (обязательно)
tags Теги, которые будут назначены хранилищу ключей. Словарь имен и значений тегов.
properties Свойства хранилища VaultProperties (обязательно)

VaultProperties

Имя Описание Значение
accessPolicies Массив удостоверений от 0 до 1024, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode для задано значение recover, политики доступа не требуются. В противном случае требуются политики доступа. AccessPolicyEntry[]
createMode Режим создания хранилища, указывающий, требуется ли восстановление хранилища. «по умолчанию»
"recover"
enabledForDeployment Свойство указывает, разрешено ли Виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. bool
enabledForDiskEncryption Свойство , которое указывает, разрешено ли шифрованию дисков Azure извлекать секреты из хранилища и распаковывать ключи. bool
enabledForTemplateDeployment Свойство, указываемое, разрешено ли Resource Manager Azure получать секреты из хранилища ключей. bool
enablePurgeProtection Свойство, указывающее, включена ли защита от очистки для этого хранилища. Если задать для этого свойства значение true, активируется защита от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, неустранимое удаление. Параметр действует только в том случае, если также включено обратимое удаление. Включение этой функции необратимо, то есть свойство не принимает значение false. bool
enableRbacAuthorization Свойство, которое управляет авторизацией действий с данными. Если значение равно true, хранилище ключей будет использовать контроль доступа на основе ролей (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, будут игнорироваться. Если задано значение false, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, а все политики, хранящиеся в Azure Resource Manager, будут игнорироваться. Если значение null или не указано, хранилище создается со значением по умолчанию false. Обратите внимание, что действия управления всегда авторизоваться с помощью RBAC. bool
enableSoftDelete Свойство , указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию ему будет присвоено значение true. Если задано значение true, его нельзя вернуть к false. bool
networkAcls Правила, управляющие доступностью хранилища ключей из определенных сетевых расположений. NetworkRuleSet
provisioningState Состояние подготовки хранилища. RegisteringDns
"Успешно"
sku Сведения о номере SKU SKU (обязательно)
softDeleteRetentionInDays softDelete data retention days. Он принимает >значения =7 и <=90. INT
tenantId Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. строка (обязательно)
vaultUri Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. Это свойство доступно только для чтения строка

AccessPolicyEntry

Имя Описание Значение
applicationId Идентификатор приложения клиента, выполняющего запрос от имени участника строка
objectId Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. строка (обязательно)
разрешения Разрешения, которые удостоверение имеет для ключей, секретов и сертификатов. Разрешения (обязательные)
tenantId Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. строка (обязательно)

Разрешения

Имя Описание Значение
certificates Разрешения для сертификатов Массив строк, содержащий любой из:
"all"
"backup"
"create"
"delete"
"deleteissuers"
"get"
"getissuers"
"import"
"список"
"listissuers"
"managecontacts"
"manageissuers"
"очистка"
"recover"
"restore"
"setissuers"
"update"
ключи Разрешения для ключей Массив строк, содержащий любой из:
"all"
"backup"
"create"
"расшифровка"
"delete"
"encrypt"
"get"
"import"
"список"
"очистка"
"recover"
"restore"
"sign"
unwrapKey
"update"
"verify"
"wrapKey"
секретные коды Разрешения на доступ к секретам Массив строк, содержащий любой из:
"all"
"backup"
"delete"
"get"
"список"
"очистка"
"recover"
"restore"
"set"
носителей. Разрешения для учетных записей хранения Массив строк, содержащий любой из:
"all"
"backup"
"delete"
"deletesas"
"get"
"getas"
"список"
"listsas"
"очистка"
"recover"
"regeneratekey"
"restore"
"set"
"setsas"
"update"

NetworkRuleSet

Имя Описание Значение
Обход Сообщает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, значение по умолчанию — "AzureServices". AzureServices
"None"
defaultAction Действие по умолчанию, если ни один из правил ipRules и virtualNetworkRules не совпадает. Используется только после вычисления свойства обхода. "Разрешить"
"Запретить"
ipRules Список правил IP-адресов. IPRule[]
virtualNetworkRules Список правил виртуальной сети. VirtualNetworkRule[]

IPRule

Имя Описание Значение
значение Диапазон адресов IPv4 в нотации CIDR, например 124.56.78.91 (простой IP-адрес) или 124.56.78.0/24 (все адреса, начинающиеся с 124.56.78). строка (обязательно)

VirtualNetworkRule

Имя Описание Значение
идентификатор Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnets/subnet1". строка (обязательно)
ignoreMissingVnetServiceEndpoint Свойство указывает, будет ли NRP игнорировать проверка, если в родительской подсети настроены точки serviceEndpoints. bool

Sku

Имя Описание Значение
family Имя семейства SKU "A" (обязательно)
name Имя SKU, указывающее, является ли хранилище ключей хранилищем уровня "Стандартный" или "Премиум". "Премиум"
"standard" (обязательно)