Share via

Microsoft.KeyVault managedHSMs 2023-07-01

  • Статья

Определение ресурса Bicep

Тип ресурса managedHSM можно развернуть с помощью операций, предназначенных для:

Список измененных свойств в каждой версии API см. в журнале изменений.

Формат ресурсов

Чтобы создать ресурс Microsoft.KeyVault/managedHSM, добавьте следующий Bicep в шаблон.

resource symbolicname 'Microsoft.KeyVault/managedHSMs@2023-07-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  sku: {
    family: 'B'
    name: 'string'
  }
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  properties: {
    createMode: 'string'
    enablePurgeProtection: bool
    enableSoftDelete: bool
    initialAdminObjectIds: [
      'string'
    ]
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
        }
      ]
    }
    publicNetworkAccess: 'string'
    regions: [
      {
        isPrimary: bool
        name: 'string'
      }
    ]
    softDeleteRetentionInDays: int
    tenantId: 'string'
  }
}

Значения свойств

managedHSMs

Имя Описание Значение
name имя ресурса. string (обязательно)
location Поддерживаемая служба Azure, в которой должен быть создан управляемый пул HSM. строка
tags Теги ресурсов Словарь имен и значений тегов. См . раздел Теги в шаблонах
sku Сведения о номере SKU ManagedHsmSku
удостоверение Управляемое удостоверение службы (назначаемые системой и /или назначенные пользователем удостоверения) Управляемое удостоверение службы
properties Свойства управляемого модуля HSM ManagedHsmProperties

Управляемое удостоверение службы

Имя Описание Значение
тип Тип управляемого удостоверения службы (где разрешены типы SystemAssigned и UserAssigned). "Нет"
SystemAssigned
"SystemAssigned,UserAssigned"
UserAssigned (обязательно)
userAssignedIdentities Набор назначенных пользователем удостоверений, связанных с ресурсом. Ключи словаря userAssignedIdentities будут иметь идентификаторы ресурсов ARM в формате :/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Значения словаря могут быть пустыми объектами ({}) в запросах. UserAssignedIdentities

UserAssignedIdentities

Имя Описание Значение
{настраиваемое свойство} UserAssignedIdentity

UserAssignedIdentity

Этот объект не содержит свойств, которые необходимо задать во время развертывания. Все свойства доступны только для чтения.

ManagedHsmProperties

Имя Описание Значение
createMode Режим создания, указывающий, создается ли ресурс или восстанавливается из удаленного ресурса. "default"
"восстановить"
enablePurgeProtection Свойство, указывающее, включена ли защита от очистки для этого управляемого пула HSM. Если установить для этого свойства значение true, активируется защита от очистки для этого пула управляемого устройства HSM и его содержимого. Только служба управляемого модуля HSM может инициировать жесткое, безвозвратное удаление. Включение этой функции необратимо. bool
enableSoftDelete Свойство , указывая, включена ли функция обратимого удаления для этого управляемого пула HSM. Обратимое удаление включено по умолчанию для всех управляемых модулей HSM и неизменяемо. bool
initialAdminObjectIds Массив начальных идентификаторов объектов администраторов для этого управляемого пула HSM. string[]
networkAcls Правила, определяющие доступность хранилища ключей из определенных сетевых расположений. MhsmNetworkRuleSet
publicNetworkAccess Управление разрешением на управляемый модуль HSM из общедоступных сетей. "Отключено"
"Включено"
regions Список всех регионов, связанных с управляемым пулом HSM. MhsmGeoReplicatedRegion[]
softDeleteRetentionInDays Обратимо удаленные дни хранения данных. При удалении модуля HSM или ключа он будет оставаться восстановленным в течение настроенного периода хранения или периода по умолчанию, равного 90 дням. Он принимает значения от 7 до 90. INT
tenantId Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к управляемому пулу HSM. строка

Ограничения:
Минимальная длина = 36
Максимальная длина = 36
Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

MhsmNetworkRuleSet

Имя Описание Значение
Обход Сообщает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, значение по умолчанию — "AzureServices". AzureServices
"Нет"
defaultAction Действие по умолчанию, если ни один из правил ipRules и virtualNetworkRules не совпадает. Используется только после вычисления свойства обхода. "Разрешить"
"Deny"
ipRules Список правил IP-адресов. MhsmipRule[]
virtualNetworkRules Список правил виртуальной сети. MhsmVirtualNetworkRule[]

MhsmipRule

Имя Описание Значение
значение Диапазон адресов IPv4 в нотации CIDR, например 124.56.78.91 (простой IP-адрес) или 124.56.78.0/24 (все адреса, начинающиеся с 124.56.78). строка (обязательно)

MhsmVirtualNetworkRule

Имя Описание Значение
идентификатор Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnets/subnet1". строка (обязательно)

MhsmGeoReplicatedRegion

Имя Описание Значение
isPrimary Логическое значение, указывающее, является ли регион основным или дополнительным регионом. bool
name Имя геореплицированного региона. строка

ManagedHsmSku

Имя Описание Значение
family Семейство SKU управляемого пула HSM "B" (обязательно)
name SKU управляемого пула HSM "Custom_B32"
"Custom_B6"
"Standard_B1" (обязательно)

Шаблоны быстрого запуска

Следующие шаблоны быстрого запуска развертывают этот тип ресурса.

Шаблон Описание
Создание управляемого модуля HSM Key Vault Azure

Развертывание в Azure		 Этот шаблон создает управляемый модуль HSM Azure Key Vault.

Определение ресурса шаблона ARM

Тип ресурса managedHSM можно развернуть с помощью операций, предназначенных для:

Список измененных свойств в каждой версии API см. в журнале изменений.

Формат ресурсов

Чтобы создать ресурс Microsoft.KeyVault/managedHSM, добавьте следующий код JSON в шаблон.

{
  "type": "Microsoft.KeyVault/managedHSMs",
  "apiVersion": "2023-07-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "sku": {
    "family": "B",
    "name": "string"
  },
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {}
    }
  },
  "properties": {
    "createMode": "string",
    "enablePurgeProtection": "bool",
    "enableSoftDelete": "bool",
    "initialAdminObjectIds": [ "string" ],
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string"
        }
      ]
    },
    "publicNetworkAccess": "string",
    "regions": [
      {
        "isPrimary": "bool",
        "name": "string"
      }
    ],
    "softDeleteRetentionInDays": "int",
    "tenantId": "string"
  }
}

Значения свойств

managedHSMs

Имя Описание Значение
тип Тип ресурса Microsoft.KeyVault/managedHSMs
версия_API Версия API ресурсов '2023-07-01'
name имя ресурса. строка (обязательно)
location Поддерживаемая служба Azure, в которой должен быть создан пул управляемых устройств HSM. строка
tags Теги ресурсов Словарь имен и значений тегов. См . раздел Теги в шаблонах
sku Сведения о номере SKU ManagedHsmSku
удостоверение Управляемое удостоверение службы (назначаемые системой и /или назначенные пользователем удостоверения) Управляемое удостоверение службы
properties Свойства управляемого модуля HSM ManagedHsmProperties

Управляемое удостоверение службы

Имя Описание Значение
тип Тип управляемого удостоверения службы (где разрешены типы SystemAssigned и UserAssigned). "Нет"
SystemAssigned
"SystemAssigned,UserAssigned"
UserAssigned (обязательно)
userAssignedIdentities Набор назначенных пользователем удостоверений, связанных с ресурсом. Ключи словаря userAssignedIdentities будут иметь идентификаторы ресурсов ARM в формате :/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Значения словаря могут быть пустыми объектами ({}) в запросах. UserAssignedIdentities

UserAssignedIdentities

Имя Описание Значение
{настраиваемое свойство} UserAssignedIdentity

UserAssignedIdentity

Этот объект не содержит свойств, которые необходимо задать во время развертывания. Все свойства доступны только для чтения.

ManagedHsmProperties

Имя Описание Значение
createMode Режим создания, указывающий, создается ли ресурс или восстанавливается из удаленного ресурса. "default"
"восстановить"
enablePurgeProtection Свойство, указывающее, включена ли защита от очистки для этого управляемого пула HSM. Если установить для этого свойства значение true, активируется защита от очистки для этого пула управляемого устройства HSM и его содержимого. Только служба управляемого модуля HSM может инициировать жесткое, безвозвратное удаление. Включение этой функции необратимо. bool
enableSoftDelete Свойство , указывая, включена ли функция обратимого удаления для этого управляемого пула HSM. Обратимое удаление включено по умолчанию для всех управляемых модулей HSM и неизменяемо. bool
initialAdminObjectIds Массив начальных идентификаторов объектов администраторов для этого управляемого пула HSM. string[]
networkAcls Правила, определяющие доступность хранилища ключей из определенных сетевых расположений. MhsmNetworkRuleSet
publicNetworkAccess Управление разрешением на управляемый модуль HSM из общедоступных сетей. "Отключено"
"Включено"
regions Список всех регионов, связанных с управляемым пулом HSM. MhsmGeoReplicatedRegion[]
softDeleteRetentionInDays Обратимо удаленные данные в днях хранения. При удалении модуля HSM или ключа они остаются пригодными для восстановления в течение настроенного периода хранения или периода по умолчанию в 90 дней. Он принимает значения от 7 до 90. INT
tenantId Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к управляемому пулу HSM. строка

Ограничения:
Минимальная длина = 36
Максимальная длина = 36
Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

MhsmNetworkRuleSet

Имя Описание Значение
Обход Указывает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, по умолчанию используется значение AzureServices. AzureServices
"Нет"
defaultAction Действие по умолчанию, если не совпадают правила из ipRules и virtualNetworkRules. Используется только после оценки свойства обхода. "Разрешить"
"Deny"
ipRules Список правил IP-адресов. MhsmipRule[]
virtualNetworkRules Список правил виртуальной сети. MhsmVirtualNetworkRule[]

MhsmipRule

Имя Описание Значение
значение Диапазон адресов IPv4 в нотации CIDR, например 124.56.78.91 (простой IP-адрес) или 124.56.78.0/24 (все адреса, начинающиеся с 124.56.78). строка (обязательно)

MhsmVirtualNetworkRule

Имя Описание Значение
идентификатор Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnets/subnet1". строка (обязательно)

MhsmGeoReplicatedRegion

Имя Описание Значение
isPrimary Логическое значение, указывающее, является ли регион основным или дополнительным регионом. bool
name Имя геореплицированного региона. строка

ManagedHsmSku

Имя Описание Значение
family Семейство SKU управляемого пула HSM "B" (обязательно)
name SKU управляемого пула HSM "Custom_B32"
"Custom_B6"
"Standard_B1" (обязательно)

Шаблоны быстрого запуска

Следующие шаблоны быстрого запуска развертывают этот тип ресурса.

Шаблон Описание
Создание управляемого модуля HSM Key Vault Azure

Развертывание в Azure		 Этот шаблон создает управляемый модуль HSM Azure Key Vault.

Определение ресурса Terraform (поставщик AzAPI)

Тип ресурса managedHSM можно развернуть с помощью операций, предназначенных для:

  • Группы ресурсов

Список измененных свойств в каждой версии API см. в журнале изменений.

Формат ресурсов

Чтобы создать ресурс Microsoft.KeyVault/managedHSMs, добавьте в шаблон следующую terraform.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/managedHSMs@2023-07-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  identity {
    type = "string"
    identity_ids = []
  }
  body = jsonencode({
    properties = {
      createMode = "string"
      enablePurgeProtection = bool
      enableSoftDelete = bool
      initialAdminObjectIds = [
        "string"
      ]
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
          }
        ]
      }
      publicNetworkAccess = "string"
      regions = [
        {
          isPrimary = bool
          name = "string"
        }
      ]
      softDeleteRetentionInDays = int
      tenantId = "string"
    }
    sku = {
      family = "B"
      name = "string"
    }
  })
}

Значения свойств

managedHSMs

Имя Описание Значение
тип Тип ресурса "Microsoft.KeyVault/managedHSMs@2023-07-01"
name имя ресурса. строка (обязательно)
location Поддерживаемая служба Azure, в которой должен быть создан пул управляемых устройств HSM. строка
parent_id Чтобы выполнить развертывание в группе ресурсов, используйте идентификатор этой группы ресурсов. строка (обязательно)
tags Теги ресурсов Словарь имен и значений тегов.
sku Сведения о номере SKU ManagedHsmSku
удостоверение Управляемое удостоверение службы (назначаемые системой и (или) назначаемые пользователем удостоверения) Управляемое удостоверение службы
properties Свойства управляемого модуля HSM ManagedHsmProperties

Управляемое удостоверение службы

Имя Описание Значение
тип Тип управляемого удостоверения службы (где разрешены типы SystemAssigned и UserAssigned). "SystemAssigned"
"SystemAssigned,UserAssigned"
UserAssigned (обязательно)
identity_ids Набор удостоверений, назначаемых пользователем, связанных с ресурсом. Ключи словаря userAssignedIdentities будут иметь идентификаторы ресурсов ARM в формате :/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Значения словаря могут быть пустыми объектами ({}) в запросах. Массив идентификаторов удостоверений пользователей.

UserAssignedIdentities

Имя Описание Значение
{настроенное свойство} UserAssignedIdentity

UserAssignedIdentity

Этот объект не содержит свойств, которые необходимо задать во время развертывания. Все свойства доступны только для чтения.

ManagedHsmProperties

Имя Описание Значение
createMode Режим создания, указывающий, создается ли ресурс или восстанавливается из удаленного ресурса. «по умолчанию»
"recover"
enablePurgeProtection Свойство, указывающее, включена ли защита от очистки для этого управляемого пула HSM. Установка для этого свойства значения true активирует защиту от очистки для этого пула управляемых устройств HSM и его содержимого. Только служба управляемого устройства HSM может инициировать жесткое, неустранимое удаление. Включение этой функции необратимо. bool
enableSoftDelete Свойство , указываемое, включена ли функция обратимого удаления для этого управляемого пула HSM. Обратимое удаление включено по умолчанию для всех управляемых устройств HSM и неизменяемо. bool
initialAdminObjectIds Массив начальных идентификаторов объектов администраторов для этого управляемого пула HSM. string[]
networkAcls Правила, управляющие доступностью хранилища ключей из определенных сетевых расположений. MhsmNetworkRuleSet
publicNetworkAccess Управление разрешением на управляемый модуль HSM из общедоступных сетей. "Отключено"
"Включено"
regions Список всех регионов, связанных с управляемым пулом HSM. MhsmGeoReplicatedRegion[]
softDeleteRetentionInDays Обратимо удаленные дни хранения данных. При удалении модуля HSM или ключа он будет оставаться восстановленным в течение настроенного периода хранения или периода по умолчанию, равного 90 дням. Он принимает значения от 7 до 90. INT
tenantId Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к управляемому пулу HSM. строка

Ограничения:
Минимальная длина = 36
Максимальная длина = 36
Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

MhsmNetworkRuleSet

Имя Описание Значение
Обход Сообщает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, значение по умолчанию — "AzureServices". AzureServices
"None"
defaultAction Действие по умолчанию, если ни один из правил ipRules и virtualNetworkRules не совпадает. Используется только после вычисления свойства обхода. "Разрешить"
"Запретить"
ipRules Список правил IP-адресов. MhsmipRule[]
virtualNetworkRules Список правил виртуальной сети. MhsmVirtualNetworkRule[]

MhsmipRule

Имя Описание Значение
значение Диапазон адресов IPv4 в нотации CIDR, например 124.56.78.91 (простой IP-адрес) или 124.56.78.0/24 (все адреса, начинающиеся с 124.56.78). строка (обязательно)

MhsmVirtualNetworkRule

Имя Описание Значение
идентификатор Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnets/subnet1". строка (обязательно)

MhsmGeoReplicatedRegion

Имя Описание Значение
isPrimary Логическое значение, указывающее, является ли регион основным или дополнительным регионом. bool
name Имя геореплицированного региона. строка

ManagedHsmSku

Имя Описание Значение
family Семейство SKU управляемого пула HSM "B" (обязательно)
name SKU управляемого пула HSM "Custom_B32"
"Custom_B6"
"Standard_B1" (обязательно)