Хранилища Microsoft.KeyVault
Определение ресурса Bicep
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов — см. команды развертывания групп ресурсов.
Список измененных свойств в каждой версии API см. в журнале изменений.
Комментарии
Рекомендации по использованию хранилищ ключей для безопасных значений см. в статье Управление секретами с помощью Bicep.
Краткое руководство по созданию секрета см. в статье Краткое руководство. Установка и получение секрета из Azure Key Vault с помощью шаблона ARM.
Краткое руководство по созданию ключа см. в статье Краткое руководство. Создание хранилища ключей Azure и ключа с помощью шаблона ARM.
Формат ресурсов
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.KeyVault/vaults@2023-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Значения свойств
vaults
Имя | Описание | Значение |
---|---|---|
name | имя ресурса. | string (обязательно) Ограничение символов: 3–24 Допустимые символы: Буквенно-цифровые символы и дефисы. Начинается с буквы. Заканчивается буквой или цифрой. Не может содержать несколько дефисов подряд. Имя ресурса должно быть уникальным в Azure. |
location | Поддерживаемая служба Azure, в которой должно быть создано хранилище ключей. | string (обязательно) |
tags | Теги, которые будут назначены хранилищу ключей. | Словарь имен и значений тегов. См . раздел Теги в шаблонах |
properties | Свойства хранилища | VaultProperties (обязательно) |
VaultProperties
Имя | Описание | Значение |
---|---|---|
accessPolicies | Массив от 0 до 1024 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode для задано значение recover , политики доступа не требуются. В противном случае требуются политики доступа. |
AccessPolicyEntry[] |
createMode | Режим создания хранилища, указывающий, требуется ли восстановление хранилища. | "default" "восстановить" |
enabledForDeployment | Свойство , указывая, разрешено ли Виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. | bool |
enabledForDiskEncryption | Свойство , указываемое, разрешено ли шифрованию дисков Azure извлекать секреты из хранилища и распаковывать ключи. | bool |
enabledForTemplateDeployment | Свойство , указывая, разрешено ли Resource Manager Azure получать секреты из хранилища ключей. | bool |
enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Если установить для этого свойства значение true, активируется защита от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, невосполнимое удаление. Параметр действует только в том случае, если также включено обратимое удаление. Включение этой функции необратимо, то есть свойство не принимает значение false в качестве значения. | bool |
enableRbacAuthorization | Свойство, которое управляет авторизацией действий с данными. Если задано значение true, хранилище ключей будет использовать контроль доступа на основе ролей (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, будут игнорироваться. Если значение равно false, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, и любая политика, хранящуюся в Azure Resource Manager, будет игнорироваться. Если значение null или не указано, хранилище создается со значением по умолчанию false. Обратите внимание, что действия управления всегда авторизоваться с помощью RBAC. | bool |
enableSoftDelete | Свойство , указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию ему будет присвоено значение true. Если задано значение true, его нельзя вернуть к false. | bool |
networkAcls | Правила, определяющие доступность хранилища ключей из определенных сетевых расположений. | NetworkRuleSet |
provisioningState | Состояние подготовки хранилища. | RegisteringDns "Успешно" |
publicNetworkAccess | Свойство , указываемое, будет ли хранилище принимать трафик из общедоступного Интернета. Если задано значение "отключено", весь трафик, кроме трафика частных конечных точек, который поступает из доверенных служб, будет заблокирован. Это переопределит заданные правила брандмауэра, а это означает, что даже если правила брандмауэра присутствуют, мы не будем соблюдать правила. | строка |
sku | Сведения о номере SKU | SKU (обязательно) |
softDeleteRetentionInDays | softDelete data retention days. Он принимает >значения =7 и <=90. | INT |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | string (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | строка |
AccessPolicyEntry
Имя | Описание | Значение |
---|---|---|
applicationId | Идентификатор приложения клиента, выполняющего запрос от имени участника | строка Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | string (обязательно) |
разрешения | Разрешения, которые имеет удостоверение для ключей, секретов и сертификатов. | Разрешения (обязательные) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | string (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Разрешения
Имя | Описание | Значение |
---|---|---|
certificates | Разрешения на сертификаты | Массив строк, содержащий любой из: 'all' "backup" "create" "delete" 'deleteissuers' 'get' 'getissuers' "import" "list" 'listissuers' managecontacts 'manageissuers' "очистка" "восстановить" "восстановление" 'setissuers' "update" |
ключи | Разрешения для ключей | Массив строк, содержащий любой из: 'all' "backup" "create" "расшифровка" "delete" "encrypt" 'get' 'getrotationpolicy' "import" "list" "очистка" "восстановить" "release" "восстановление" "повернуть" 'setrotationpolicy' "sign" unwrapKey "update" "verify" 'wrapKey' |
секретные коды | Разрешения на доступ к секретам | Массив строк, содержащий любой из: 'all' "backup" "delete" 'get' "list" "очистка" "восстановить" "восстановление" "set" |
носителей. | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: 'all' "backup" "delete" "deletesas" 'get' 'getsas' "list" "listsas" "очистка" "восстановить" 'regeneratekey' "восстановление" "set" "setsas" "update" |
NetworkRuleSet
Имя | Описание | Значение |
---|---|---|
Обход | Указывает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, по умолчанию используется значение AzureServices. | AzureServices "Нет" |
defaultAction | Действие по умолчанию, если не совпадают правила из ipRules и virtualNetworkRules. Используется только после оценки свойства обхода. | "Разрешить" "Deny" |
ipRules | Список правил IP-адресов. | IPRule[] |
virtualNetworkRules | Список правил виртуальной сети. | VirtualNetworkRule[] |
IPRule
Имя | Описание | Значение |
---|---|---|
значение | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | string (обязательно) |
VirtualNetworkRule
Имя | Описание | Значение |
---|---|---|
идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (обязательно) |
ignoreMissingVnetServiceEndpoint | Свойство , указывающая, будет ли NRP игнорировать проверка, если в родительской подсети настроены точки serviceEndpoints. | bool |
Sku
Имя | Описание | Значение |
---|---|---|
family | Имя семейства SKU | "A" (обязательно) |
name | Имя SKU, указывающее, является ли хранилище ключей хранилищем уровня "Стандартный" или "Премиум". | "Премиум" "стандартный" (обязательный) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
SAS 9.4 и шаблон быстрого запуска Viya для Azure |
® Шаблон sas 9.4 и Viya QuickStart для Azure развертывает эти продукты в облаке: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 и SAS® Visual Analytics 8.5 в Linux, SAS® Visual Data Mining and Machine Learning 8.5 в Linux для Viya. Это краткое руководство представляет собой эталонную архитектуру для пользователей, которые хотят развернуть сочетание SAS® 9.4 и Viya в Azure с помощью облачных технологий. Развернув платформу SAS® в Azure, вы получаете интегрированную среду SAS® 9.4 и Viya, чтобы воспользоваться преимуществами обоих миров. SAS® Viya — это облачная подсистема аналитики в памяти. Она использует эластичную, масштабируемую и отказоустойчивую обработку для решения сложных аналитических задач. SAS® Viya обеспечивает более быструю обработку аналитики с помощью стандартизированной базы кода, поддерживающей программирование в SAS®, Python, R, Java и Lua. Он также поддерживает облачные, локальные или гибридные среды и легко развертывается в любой инфраструктуре или экосистеме приложений. |
Кластер AKS со шлюзом NAT и Шлюз приложений |
В этом примере показано, как развернуть кластер AKS со шлюзом NAT для исходящих подключений и Шлюз приложений для входящих подключений. |
Создание частного кластера AKS с общедоступной зоной DNS |
В этом примере показано, как развернуть частный кластер AKS с общедоступной зоной DNS. |
Развертывание Спортивной аналитики в архитектуре Azure |
Создает учетную запись хранения Azure с поддержкой ADLS 2-го поколения, экземпляр Фабрика данных Azure со связанными службами для учетной записи хранения (база данных Azure SQL при развертывании) и экземпляр Azure Databricks. Удостоверению AAD для пользователя, развертывающего шаблон, и управляемому удостоверению для экземпляра ADF будет предоставлена роль Участник данных BLOB-объектов хранилища в учетной записи хранения. Существуют также варианты развертывания экземпляра azure Key Vault, базы данных Azure SQL и концентратора событий Azure (для вариантов использования потоковой передачи). При развертывании Key Vault Azure управляемому удостоверению фабрики данных и удостоверению AAD для пользователя, развертывающего шаблон, будет предоставлена роль пользователя Key Vault Secrets. |
Рабочая область машинного обучения Azure |
Этот шаблон создает новую рабочую область Машинного обучения Azure, а также зашифрованную учетную запись хранения, хранилище ключей и ведение журнала Application Insights. |
Создание Хранилища ключей |
В этом модуле создается ресурс KeyVault с apiVersion 2019-09-01. |
Создание службы Управление API с помощью SSL из KeyVault |
Этот шаблон развертывает службу Управление API, настроенную с использованием удостоверения, назначаемого пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и обновляет его, проверяя его каждые 4 часа. |
Создает приложение служебной шины dapr pub-sub с помощью контейнеров приложений |
Создайте приложение служебной шины dapr pub-sub с помощью контейнеров приложений. |
создает кластер Azure Stack HCI 23H2 |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM. |
Создание зашифрованной виртуальной машины Windows из образа коллекции |
Этот шаблон создает новую зашифрованную виртуальную машину Windows с помощью образа коллекции server 2k12. |
Создание зашифрованных управляемых дисков win-vm из образа коллекции |
Этот шаблон создает виртуальную машину windows с зашифрованными управляемыми дисками с помощью образа коллекции server 2k12. |
Этот шаблон шифрует работающий набор виртуальных машин Windows |
Этот шаблон включает шифрование в работающем масштабируемом наборе виртуальных машин Windows |
Включение шифрования на работающей виртуальной машине Windows |
Этот шаблон включает шифрование на работающей виртуальной машине Windows. |
Создание и шифрование нового набора виртуальных машин Windows с помощью jumpbox |
Этот шаблон позволяет развернуть простой масштабируемый набор виртуальных машин Windows, используя последнюю версию серверных версий Windows с исправлениями. Этот шаблон также развертывает jumpbox с общедоступным IP-адресом в той же виртуальной сети. Вы можете подключиться к jumpbox через этот общедоступный IP-адрес, а затем подключиться оттуда к виртуальным машинам в масштабируемом наборе через частные IP-адреса. Этот шаблон включает шифрование в масштабируемом наборе виртуальных машин Windows. |
Создание хранилища ключей и секрета |
Этот шаблон создает Key Vault Azure и секрет. |
Создание Key Vault Azure с помощью RBAC и секрета |
Этот шаблон создает Key Vault Azure и секрет. Вместо того чтобы полагаться на политики доступа, он использует Azure RBAC для управления авторизацией для секретов. |
Создание хранилища ключей, управляемого удостоверения и назначения ролей |
Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей. |
Подключение к Key Vault через частную конечную точку |
В этом примере показано, как использовать настройку виртуальной сети и частной зоны DNS для доступа к Key Vault через частную конечную точку. |
Создание хранилища ключей и списка секретов |
Этот шаблон создает Key Vault и список секретов в хранилище ключей, переданных вместе с параметрами. |
Создание Key Vault с включенным ведением журнала |
Этот шаблон создает Key Vault Azure и учетную запись хранения Azure, которая используется для ведения журнала. При необходимости создаются блокировки ресурсов для защиты ресурсов Key Vault и хранилища. |
Создание рабочей области AML с несколькими наборами данных & хранилищами данных |
Этот шаблон создает рабочую область Машинного обучения Azure с несколькими наборами данных & хранилищами данных. |
Сквозная безопасная настройка Машинного обучения Azure |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure в безопасной конфигурации. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS. |
Сквозная безопасная настройка Машинного обучения Azure (устаревшая версия) |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure в безопасной конфигурации. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS. |
Создание целевого объекта вычислений AKS с частным IP-адресом |
Этот шаблон создает целевой объект вычислений AKS в заданной рабочей области Службы машинного обучения Azure с частным IP-адресом. |
Создание рабочей области Службы машинного обучения Azure |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается минимальный набор ресурсов, необходимых для начала работы с Машинным обучением Azure. |
Создание рабочей области Службы машинного обучения Azure (CMK) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В примере показано, как настроить Машинное обучение Azure для шифрования с помощью ключа шифрования, управляемого клиентом. |
Создание рабочей области Службы машинного обучения Azure (виртуальной сети) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети. |
Создание рабочей области Службы машинного обучения Azure (устаревшая версия) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети. |
Кластер AKS с контроллером входящего трафика Шлюз приложений |
В этом примере показано, как развернуть кластер AKS с Шлюз приложений, контроллером Шлюз приложений входящего трафика, Реестр контейнеров Azure, Log Analytics и Key Vault |
Создание Шлюз приложений версии 2 с Key Vault |
Этот шаблон развертывает Шлюз приложений версии 2 в виртуальная сеть, определяемом пользователем удостоверении, Key Vault, секрете (данные сертификата) и политике доступа для Key Vault и Шлюз приложений. |
Среда тестирования для Брандмауэр Azure Premium |
Этот шаблон создает Брандмауэр Azure Premium и Политику брандмауэра с функциями уровня "Премиум", такими как обнаружение проверки вторжений (IDPS), проверка TLS и фильтрация веб-категорий. |
Создание Шлюз приложений с помощью сертификатов |
В этом шаблоне показано, как создать Key Vault самозаверяющие сертификаты, а затем ссылку на Шлюз приложений. |
Шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом |
Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, который создается и помещается в Key Vault. |
Среда службы приложений с серверной частью Azure SQL |
Этот шаблон создает Среда службы приложений с Azure SQL серверной частью, а также частными конечными точками и связанными ресурсами, обычно используемыми в частной или изолированной среде. |
Приложение-функция Azure и функция, активироваемая HTTP |
В этом примере развертывается приложение-функция Azure и функция, активироваемая HTTP, встроенная в шаблон. Он также развертывает Key Vault и заполняет секрет ключом узла приложения-функции. |
Шлюз приложений с внутренним Управление API и веб-приложением |
Шлюз приложений маршрутизации интернет-трафика в виртуальную сеть (внутренний режим) Управление API экземпляр, который обслуживает веб-API, размещенный в веб-приложении Azure. |
Определение ресурса шаблона ARM
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов — см. команды развертывания групп ресурсов.
Список измененных свойств в каждой версии API см. в журнале изменений.
Комментарии
Рекомендации по использованию хранилищ ключей для безопасных значений см. в статье Управление секретами с помощью Bicep.
Краткое руководство по созданию секрета см. в статье Краткое руководство. Установка и получение секрета из Azure Key Vault с помощью шаблона ARM.
Краткое руководство по созданию ключа см. в статье Краткое руководство. Создание хранилища ключей Azure и ключа с помощью шаблона ARM.
Формат ресурсов
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Значения свойств
vaults
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | Microsoft.KeyVault/vaults |
версия_API | Версия API ресурсов | '2023-07-01' |
name | имя ресурса. | string (обязательно) Ограничение символов: 3–24 Допустимые символы: Буквенно-цифровые символы и дефисы. Начинается с буквы. Заканчивается буквой или цифрой. Не может содержать несколько дефисов подряд. Имя ресурса должно быть уникальным в Azure. |
location | Поддерживаемая служба Azure, в которой должно быть создано хранилище ключей. | string (обязательно) |
tags | Теги, которые будут назначены хранилищу ключей. | Словарь имен и значений тегов. См . раздел Теги в шаблонах |
properties | Свойства хранилища | VaultProperties (обязательно) |
VaultProperties
Имя | Описание | Значение |
---|---|---|
accessPolicies | Массив от 0 до 1024 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode для задано значение recover , политики доступа не требуются. В противном случае требуются политики доступа. |
AccessPolicyEntry[] |
createMode | Режим создания хранилища, указывающий, требуется ли восстановление хранилища. | "default" "восстановить" |
enabledForDeployment | Свойство , указывая, разрешено ли Виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. | bool |
enabledForDiskEncryption | Свойство , указываемое, разрешено ли шифрованию дисков Azure извлекать секреты из хранилища и распаковывать ключи. | bool |
enabledForTemplateDeployment | Свойство , указывая, разрешено ли Resource Manager Azure получать секреты из хранилища ключей. | bool |
enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Если установить для этого свойства значение true, активируется защита от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, невосполнимое удаление. Параметр действует только в том случае, если также включено обратимое удаление. Включение этой функции необратимо, то есть свойство не принимает значение false в качестве значения. | bool |
enableRbacAuthorization | Свойство, которое управляет авторизацией действий с данными. Если задано значение true, хранилище ключей будет использовать контроль доступа на основе ролей (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, будут игнорироваться. Если значение равно false, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, и любая политика, хранящуюся в Azure Resource Manager, будет игнорироваться. Если значение null или не указано, хранилище создается со значением по умолчанию false. Обратите внимание, что действия управления всегда авторизоваться с помощью RBAC. | bool |
enableSoftDelete | Свойство , указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию ему будет присвоено значение true. Если задано значение true, его нельзя вернуть к false. | bool |
networkAcls | Правила, определяющие доступность хранилища ключей из определенных сетевых расположений. | NetworkRuleSet |
provisioningState | Состояние подготовки хранилища. | RegisteringDns "Успешно" |
publicNetworkAccess | Свойство , указываемое, будет ли хранилище принимать трафик из общедоступного Интернета. Если задано значение "отключено", весь трафик, кроме трафика частных конечных точек, который поступает из доверенных служб, будет заблокирован. Это переопределит заданные правила брандмауэра, а это означает, что даже если правила брандмауэра присутствуют, мы не будем соблюдать правила. | строка |
sku | Сведения о номере SKU | SKU (обязательно) |
softDeleteRetentionInDays | softDelete data retention days. Он принимает >значения =7 и <=90. | INT |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | string (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | строка |
AccessPolicyEntry
Имя | Описание | Значение |
---|---|---|
applicationId | Идентификатор приложения клиента, выполняющего запрос от имени участника | строка Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | string (обязательно) |
разрешения | Разрешения, которые имеет удостоверение для ключей, секретов и сертификатов. | Разрешения (обязательные) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | string (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Разрешения
Имя | Описание | Значение |
---|---|---|
certificates | Разрешения на сертификаты | Массив строк, содержащий любой из: 'all' "backup" "create" "delete" 'deleteissuers' 'get' 'getissuers' "import" "list" 'listissuers' managecontacts 'manageissuers' "очистка" "восстановить" "восстановление" 'setissuers' "update" |
ключи | Разрешения для ключей | Массив строк, содержащий любой из: 'all' "backup" "create" "расшифровка" "delete" "encrypt" 'get' 'getrotationpolicy' "import" "list" "очистка" "восстановить" "release" "восстановление" "повернуть" 'setrotationpolicy' "sign" unwrapKey "update" "verify" 'wrapKey' |
секретные коды | Разрешения на доступ к секретам | Массив строк, содержащий любой из: 'all' "backup" "delete" 'get' "list" "очистка" "восстановить" "восстановление" "set" |
носителей. | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: 'all' "backup" "delete" "deletesas" 'get' 'getsas' "list" "listsas" "очистка" "восстановить" 'regeneratekey' "восстановление" "set" "setsas" "update" |
NetworkRuleSet
Имя | Описание | Значение |
---|---|---|
Обход | Указывает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, по умолчанию используется значение AzureServices. | AzureServices "Нет" |
defaultAction | Действие по умолчанию, если не совпадают правила из ipRules и virtualNetworkRules. Используется только после оценки свойства обхода. | "Разрешить" "Deny" |
ipRules | Список правил IP-адресов. | IPRule[] |
virtualNetworkRules | Список правил виртуальной сети. | VirtualNetworkRule[] |
IPRule
Имя | Описание | Значение |
---|---|---|
значение | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | string (обязательно) |
VirtualNetworkRule
Имя | Описание | Значение |
---|---|---|
идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (обязательно) |
ignoreMissingVnetServiceEndpoint | Свойство , указывающая, будет ли NRP игнорировать проверка, если в родительской подсети настроены точки serviceEndpoints. | bool |
Sku
Имя | Описание | Значение |
---|---|---|
family | Имя семейства SKU | "A" (обязательно) |
name | Имя SKU, указывающее, является ли хранилище ключей хранилищем уровня "Стандартный" или "Премиум". | "Премиум" "стандартный" (обязательный) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
SAS 9.4 и шаблон быстрого запуска Viya для Azure |
® Шаблон sas 9.4 и Viya QuickStart для Azure развертывает эти продукты в облаке: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 и SAS® Visual Analytics 8.5 в Linux, SAS® Visual Data Mining and Machine Learning 8.5 в Linux для Viya. Это краткое руководство представляет собой эталонную архитектуру для пользователей, которые хотят развернуть сочетание SAS® 9.4 и Viya в Azure с помощью облачных технологий. Развернув платформу SAS® в Azure, вы получаете интегрированную среду SAS® 9.4 и Viya, чтобы воспользоваться преимуществами обоих миров. SAS® Viya — это облачная подсистема аналитики в памяти. Она использует эластичную, масштабируемую и отказоустойчивую обработку для решения сложных аналитических задач. SAS® Viya обеспечивает более быструю обработку аналитики с помощью стандартизированной базы кода, поддерживающей программирование в SAS®, Python, R, Java и Lua. Он также поддерживает облачные, локальные или гибридные среды и легко развертывается в любой инфраструктуре или экосистеме приложений. |
Кластер AKS со шлюзом NAT и Шлюз приложений |
В этом примере показано, как развернуть кластер AKS со шлюзом NAT для исходящих подключений и Шлюз приложений для входящих подключений. |
Создание частного кластера AKS с общедоступной зоной DNS |
В этом примере показано, как развернуть частный кластер AKS с общедоступной зоной DNS. |
Развертывание Спортивной аналитики в архитектуре Azure |
Создает учетную запись хранения Azure с поддержкой ADLS 2-го поколения, экземпляр Фабрика данных Azure со связанными службами для учетной записи хранения (база данных Azure SQL при развертывании) и экземпляр Azure Databricks. Удостоверению AAD для пользователя, развертывающего шаблон, и управляемому удостоверению для экземпляра ADF будет предоставлена роль Участник данных BLOB-объектов хранилища в учетной записи хранения. Существуют также варианты развертывания экземпляра Key Vault Azure, базы данных Azure SQL и концентратора событий Azure (для вариантов использования потоковой передачи). При развертывании Key Vault Azure управляемому удостоверению фабрики данных и удостоверению AAD для пользователя, развертывающего шаблон, будет предоставлена роль пользователя Key Vault секретов. |
Рабочая область машинного обучения Azure |
Этот шаблон создает новую рабочую область Машинного обучения Azure, а также зашифрованную учетную запись хранения, хранилище ключей и ведение журнала Application Insights. |
Создание Хранилища ключей |
В этом модуле создается ресурс KeyVault с apiVersion 2019-09-01. |
Создание службы Управление API с помощью SSL из KeyVault |
Этот шаблон развертывает службу Управление API, настроенную с использованием удостоверения, назначаемого пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и обновляет его, проверяя его каждые 4 часа. |
Создает приложение служебной шины dapr pub-sub с помощью контейнеров приложений |
Создайте приложение служебной шины dapr pub-sub с помощью контейнеров приложений. |
создает кластер Azure Stack HCI 23H2 |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM. |
Создание зашифрованной виртуальной машины Windows из образа коллекции |
Этот шаблон создает новую зашифрованную виртуальную машину Windows с помощью образа коллекции server 2k12. |
Создание зашифрованных управляемых дисков win-vm из образа коллекции |
Этот шаблон создает виртуальную машину windows с зашифрованными управляемыми дисками с помощью образа коллекции server 2k12. |
Этот шаблон шифрует работающий набор виртуальных машин Windows |
Этот шаблон включает шифрование в работающем масштабируемом наборе виртуальных машин Windows |
Включение шифрования на работающей виртуальной машине Windows |
Этот шаблон включает шифрование на работающей виртуальной машине Windows. |
Создание и шифрование нового набора виртуальных машин Windows с помощью jumpbox |
Этот шаблон позволяет развернуть простой масштабируемый набор виртуальных машин Windows, используя последнюю версию серверных версий Windows с исправлениями. Этот шаблон также развертывает jumpbox с общедоступным IP-адресом в той же виртуальной сети. Вы можете подключиться к jumpbox через этот общедоступный IP-адрес, а затем подключиться оттуда к виртуальным машинам в масштабируемом наборе через частные IP-адреса. Этот шаблон включает шифрование в масштабируемом наборе виртуальных машин Windows. |
Создание хранилища ключей и секрета |
Этот шаблон создает Key Vault Azure и секрет. |
Создание Key Vault Azure с помощью RBAC и секрета |
Этот шаблон создает Key Vault Azure и секрет. Вместо того чтобы полагаться на политики доступа, он использует Azure RBAC для управления авторизацией для секретов. |
Создание хранилища ключей, управляемого удостоверения и назначения ролей |
Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей. |
Подключение к Key Vault через частную конечную точку |
В этом примере показано, как использовать настройку виртуальной сети и частной зоны DNS для доступа к Key Vault через частную конечную точку. |
Создание хранилища ключей и списка секретов |
Этот шаблон создает Key Vault и список секретов в хранилище ключей, переданных вместе с параметрами. |
Создание Key Vault с включенным ведением журнала |
Этот шаблон создает Key Vault Azure и учетную запись хранения Azure, которая используется для ведения журнала. При необходимости создаются блокировки ресурсов для защиты ресурсов Key Vault и хранилища. |
Создание рабочей области AML с несколькими наборами данных & хранилищами данных |
Этот шаблон создает рабочую область Машинного обучения Azure с несколькими наборами данных & хранилищами данных. |
Сквозная безопасная настройка Машинного обучения Azure |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure в безопасной конфигурации. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS. |
Сквозная безопасная настройка Машинного обучения Azure (устаревшая версия) |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure в безопасной конфигурации. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS. |
Создание целевого объекта вычислений AKS с частным IP-адресом |
Этот шаблон создает целевой объект вычислений AKS в заданной рабочей области Службы машинного обучения Azure с частным IP-адресом. |
Создание рабочей области Службы машинного обучения Azure |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается минимальный набор ресурсов, необходимых для начала работы с Машинным обучением Azure. |
Создание рабочей области Службы машинного обучения Azure (CMK) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В примере показано, как настроить Машинное обучение Azure для шифрования с помощью ключа шифрования, управляемого клиентом. |
Создание рабочей области Службы машинного обучения Azure (виртуальной сети) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети. |
Создание рабочей области Службы машинного обучения Azure (устаревшая версия) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети. |
Кластер AKS с контроллером входящего трафика Шлюз приложений |
В этом примере показано, как развернуть кластер AKS с Шлюз приложений, контроллером Шлюз приложений входящего трафика, Реестр контейнеров Azure, Log Analytics и Key Vault |
Создание Шлюз приложений версии 2 с Key Vault |
Этот шаблон развертывает Шлюз приложений версии 2 в виртуальная сеть, определяемом пользователем удостоверении, Key Vault, секрете (данные сертификата) и политике доступа для Key Vault и Шлюз приложений. |
Среда тестирования для Брандмауэр Azure Premium |
Этот шаблон создает Брандмауэр Azure Premium и Политику брандмауэра с функциями уровня "Премиум", такими как обнаружение проверки вторжений (IDPS), проверка TLS и фильтрация веб-категорий. |
Создание Шлюз приложений с помощью сертификатов |
В этом шаблоне показано, как создать Key Vault самозаверяющие сертификаты, а затем ссылку на Шлюз приложений. |
Шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом |
Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, который создается и помещается в Key Vault. |
Среда службы приложений с серверной частью Azure SQL |
Этот шаблон создает Среда службы приложений с Azure SQL серверной частью, а также частными конечными точками и связанными ресурсами, обычно используемыми в частной или изолированной среде. |
Приложение-функция Azure и функция, активироваемая HTTP |
В этом примере развертывается приложение-функция Azure и функция, активироваемая HTTP, встроенная в шаблон. Он также развертывает Key Vault и заполняет секрет ключом узла приложения-функции. |
Шлюз приложений с внутренним Управление API и веб-приложением |
Шлюз приложений маршрутизации интернет-трафика в виртуальную сеть (внутренний режим) Управление API экземпляр, который обслуживает веб-API, размещенный в веб-приложении Azure. |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующую terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2023-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Значения свойств
vaults
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | "Microsoft.KeyVault/vaults@2023-07-01" |
name | имя ресурса. | string (обязательно) Ограничение символов: 3–24 Допустимые символы: Буквенно-цифровые символы и дефисы. Начинается с буквы. Заканчивается буквой или цифрой. Не может содержать несколько дефисов подряд. Имя ресурса должно быть уникальным в Azure. |
location | Поддерживаемая служба Azure, в которой должно быть создано хранилище ключей. | string (обязательно) |
parent_id | Для развертывания в группе ресурсов используйте идентификатор этой группы ресурсов. | string (обязательно) |
tags | Теги, которые будут назначены хранилищу ключей. | Словарь имен и значений тегов. |
properties | Свойства хранилища | VaultProperties (обязательно) |
VaultProperties
Имя | Описание | Значение |
---|---|---|
accessPolicies | Массив от 0 до 1024 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode для задано значение recover , политики доступа не требуются. В противном случае требуются политики доступа. |
AccessPolicyEntry[] |
createMode | Режим создания хранилища, указывающий, требуется ли восстановление хранилища. | «по умолчанию» "восстановить" |
enabledForDeployment | Свойство , указывая, разрешено ли Виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. | bool |
enabledForDiskEncryption | Свойство , указываемое, разрешено ли шифрованию дисков Azure извлекать секреты из хранилища и распаковывать ключи. | bool |
enabledForTemplateDeployment | Свойство , указывая, разрешено ли Resource Manager Azure получать секреты из хранилища ключей. | bool |
enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Если установить для этого свойства значение true, активируется защита от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, невосполнимое удаление. Параметр действует только в том случае, если также включено обратимое удаление. Включение этой функции необратимо, то есть свойство не принимает значение false в качестве значения. | bool |
enableRbacAuthorization | Свойство, которое управляет авторизацией действий с данными. Если задано значение true, хранилище ключей будет использовать контроль доступа на основе ролей (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, будут игнорироваться. Если значение равно false, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, и любая политика, хранящуюся в Azure Resource Manager, будет игнорироваться. Если значение null или не указано, хранилище создается со значением по умолчанию false. Обратите внимание, что действия управления всегда авторизоваться с помощью RBAC. | bool |
enableSoftDelete | Свойство , указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию ему будет присвоено значение true. Если задано значение true, его нельзя вернуть к false. | bool |
networkAcls | Правила, определяющие доступность хранилища ключей из определенных сетевых расположений. | NetworkRuleSet |
provisioningState | Состояние подготовки хранилища. | "RegisteringDns" "Выполнено" |
publicNetworkAccess | Свойство , указываемое, будет ли хранилище принимать трафик из общедоступного Интернета. Если задано значение "отключено", весь трафик, кроме трафика частных конечных точек, который поступает из доверенных служб, будет заблокирован. Это переопределит заданные правила брандмауэра, а это означает, что даже если правила брандмауэра присутствуют, мы не будем соблюдать правила. | строка |
sku | Сведения о номере SKU | SKU (обязательно) |
softDeleteRetentionInDays | softDelete data retention days. Он принимает >значения =7 и <=90. | INT |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | строка |
AccessPolicyEntry
Имя | Описание | Значение |
---|---|---|
applicationId | Идентификатор приложения клиента, выполняющего запрос от имени участника | строка Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
разрешения | Разрешения, которые удостоверение имеет для ключей, секретов и сертификатов. | Разрешения (обязательные) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Разрешения
Имя | Описание | Значение |
---|---|---|
certificates | Разрешения для сертификатов | Массив строк, содержащий любой из: "all" "backup" "create" "delete" "deleteissuers" "get" "getissuers" "import" "список" "listissuers" "managecontacts" "manageissuers" "очистка" "recover" "restore" "setissuers" "update" |
ключи | Разрешения для ключей | Массив строк, содержащий любой из: "all" "backup" "create" "расшифровка" "delete" "encrypt" "get" "getrotationpolicy" "import" "список" "очистка" "recover" "release" "restore" "повернуть" "setrotationpolicy" "sign" unwrapKey "update" "verify" "wrapKey" |
секретные коды | Разрешения на доступ к секретам | Массив строк, содержащий любой из: "all" "backup" "delete" "get" "список" "очистка" "recover" "restore" "set" |
носителей. | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: "all" "backup" "delete" "deletesas" "get" "getas" "список" "listsas" "очистка" "восстановить" "regeneratekey" "restore" "set" "setsas" "update" |
NetworkRuleSet
Имя | Описание | Значение |
---|---|---|
Обход | Указывает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, по умолчанию используется значение AzureServices. | "AzureServices" "None" |
defaultAction | Действие по умолчанию, если не совпадают правила из ipRules и virtualNetworkRules. Используется только после оценки свойства обхода. | "Разрешить" "Запретить" |
ipRules | Список правил IP-адресов. | IPRule[] |
virtualNetworkRules | Список правил виртуальной сети. | VirtualNetworkRule[] |
IPRule
Имя | Описание | Значение |
---|---|---|
значение | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | string (обязательно) |
VirtualNetworkRule
Имя | Описание | Значение |
---|---|---|
идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (обязательно) |
ignoreMissingVnetServiceEndpoint | Свойство , указывающая, будет ли NRP игнорировать проверка, если в родительской подсети настроены точки serviceEndpoints. | bool |
Sku
Имя | Описание | Значение |
---|---|---|
family | Имя семейства SKU | "A" (обязательно) |
name | Имя SKU, указывающее, является ли хранилище ключей хранилищем уровня "Стандартный" или "Премиум". | "Премиум" "стандартный" (обязательно) |