Microsoft.KeyVault kasaları
Bicep kaynak tanımı
Kasa kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- kaynak grupları
- Bkz. kaynak grubu dağıtım komutları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Açıklamalar
Güvenli değerler için anahtar kasalarını kullanma yönergeleri için bkz. bicepkullanarak gizli dizileri yönetme
Gizli dizi oluşturma hakkında hızlı başlangıç için bkz. Hızlı Başlangıç: ARM şablonu kullanarak Azure Key Vault'tan gizli dizi ayarlama ve alma.
Anahtar oluşturmaya yönelik hızlı başlangıç için bkz. Hızlı Başlangıç: ARM şablonukullanarak Azure anahtar kasası ve anahtar oluşturma.
Kaynak biçimi
Microsoft.KeyVault/vaults kaynağı oluşturmak için şablonunuza aşağıdaki Bicep'i ekleyin.
resource symbolicname 'Microsoft.KeyVault/vaults@2023-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Özellik değerleri
Tonoz
| Ad | Açıklama | Değer |
|---|---|---|
| ad | Kaynak adı | dize (gerekli) Karakter sınırı: 3-24 Geçerli karakterler: Alfasayısallar ve kısa çizgiler. Harfle başlayın. Harf veya rakamla bitirin. Ardışık kısa çizgi içeremez. Kaynak adı Azure genelinde benzersiz olmalıdır. |
| yer | Anahtar kasasının oluşturulması gereken desteklenen Azure konumu. | dize (gerekli) |
| Etiketler | Anahtar kasasına atanacak etiketler. | Etiket adları ve değerleri sözlüğü. Bkz. şablonlardaki Etiketleri |
| Özellikler | Kasanın özellikleri | VaultProperties (gerekli) |
VaultProperties
| Ad | Açıklama | Değer |
|---|---|---|
| accessPolicies | Anahtar kasasına erişimi olan 0 ile 1024 arasında kimlik dizisi. Dizideki tüm kimlikler, anahtar kasasının kiracı kimliğiyle aynı kiracı kimliğini kullanmalıdır.
createMode
recoverolarak ayarlandığında erişim ilkeleri gerekli değildir. Aksi takdirde erişim ilkeleri gereklidir. |
AccessPolicyEntry[] |
| createMode | Kasanın kurtarılması gerekip gerekmediğini belirtmek için kasanın oluşturma modu. | 'default' 'recover' |
| enabledForDeployment | Azure Sanal Makineleri'nin anahtar kasasından gizli dizi olarak depolanan sertifikaları almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
| enabledForDiskEncryption | Azure Disk Şifrelemesi'nin kasadan gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik ve anahtarları açın. | Bool |
| enabledForTemplateDeployment | Azure Resource Manager'ın anahtar kasasından gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
| enablePurgeProtection | Bu kasa için temizlemeye karşı korumanın etkinleştirilip etkinleştirilmediğini belirten özellik. Bu özelliğin true olarak ayarlanması, bu kasanın ve içeriğinin temizlenmesine karşı korumayı etkinleştirir. Yalnızca Key Vault hizmeti sabit, geri alınamaz bir silme işlemi başlatabilir. Bu ayar yalnızca geçici silme de etkinleştirildiğinde etkindir. Bu işlevselliğin etkinleştirilmesi geri alınamaz; yani özellik değeri olarak false değerini kabul etmez. | Bool |
| enableRbacAuthorization | Veri eylemlerinin nasıl yetkilendirildiğini denetleen özellik. Doğru olduğunda, anahtar kasası veri eylemlerinin yetkilendirmesi için Rol Tabanlı Erişim Denetimi 'ni (RBAC) kullanır ve kasa özelliklerinde belirtilen erişim ilkeleri yoksayılır. False olduğunda, anahtar kasası kasa özelliklerinde belirtilen erişim ilkelerini kullanır ve Azure Resource Manager'da depolanan tüm ilkeler yoksayılır. Null veya belirtilmezse, kasa varsayılan false değeriyle oluşturulur. Yönetim eylemlerinin her zaman RBAC ile yetkilendirildiğini unutmayın. | Bool |
| enableSoftDelete | Bu anahtar kasası için 'geçici silme' işlevinin etkinleştirilip etkinleştirilmediğini belirten özellik. Yeni anahtar kasası oluşturulurken herhangi bir değere (true veya false) ayarlanmadıysa, varsayılan olarak true olarak ayarlanır. True olarak ayarlandıktan sonra false değerine geri döndürülemez. | Bool |
| networkAcls | Belirli ağ konumlarından anahtar kasasının erişilebilirliğini yöneten kurallar. | NetworkRuleSet |
| provisioningState | Kasanın sağlama durumu. | 'RegisteringDns' 'Başarılı' |
| publicNetworkAccess | Kasanın genel İnternet'ten gelen trafiği kabul edip etmeyeceğini belirten özellik. Özel uç nokta trafiği dışındaki ve güvenilen hizmetlerden gelen tüm trafik 'devre dışı' olarak ayarlanırsa engellenir. Bu, ayarlanan güvenlik duvarı kurallarını geçersiz kılar, yani güvenlik duvarı kuralları mevcut olsa bile kurallara uymayacağız. | dizgi |
| Sku | SKU ayrıntıları | Sku (gerekli) |
| softDeleteRetentionInDays | softDelete veri saklama günleri. =7 >ve =90 <kabul eder. | Int |
| tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dize (gerekli) Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | Anahtarlar ve gizli diziler üzerinde işlem gerçekleştirmek için kasanın URI'si. | dizgi |
AccessPolicyEntry
| Ad | Açıklama | Değer |
|---|---|---|
| applicationId | Sorumlu adına istekte bulunan istemcinin uygulama kimliği | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Kasa için Azure Active Directory kiracısında bir kullanıcının, hizmet sorumlusunun veya güvenlik grubunun nesne kimliği. Nesne kimliği, erişim ilkeleri listesi için benzersiz olmalıdır. | dize (gerekli) |
| izinler | Kimliğin anahtarlar, gizli diziler ve sertifikalar için sahip olduğu izinler. | İzinler (gerekli) |
| tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dize (gerekli) Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
İzinler
| Ad | Açıklama | Değer |
|---|---|---|
| Sertifika | Sertifika izinleri | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'temizleme' 'recover' 'restore' 'setissuers' 'update' |
| Anahtar | Anahtarlara yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'create' 'şifre çözme' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'temizleme' 'recover' 'release' 'restore' 'döndürme' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| Sır -larını | Gizli dizilere yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'delete' 'get' 'list' 'temizleme' 'recover' 'restore' 'set' |
| depolama | Depolama hesaplarına yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'temizleme' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
| Ad | Açıklama | Değer |
|---|---|---|
| Bypass | Ağ kurallarını hangi trafiğin atlayabileceğinizi bildirir. Bu ,'AzureServices' veya 'None' olabilir. Belirtilmezse varsayılan değer 'AzureServices' olur. | 'AzureServices' 'Hiçbiri' |
| defaultAction | IpRules ve virtualNetworkRules'tan hiçbir kural eşleşmediğinde varsayılan eylem. Bu yalnızca bypass özelliği değerlendirildikten sonra kullanılır. | 'İzin Ver' 'Reddet' |
| ipRules | IP adresi kuralları listesi. | IPRule |
| virtualNetworkRules | Sanal ağ kurallarının listesi. | VirtualNetworkRule |
IPRule
| Ad | Açıklama | Değer |
|---|---|---|
| değer | CIDR gösteriminde '124.56.78.91' (basit IP adresi) veya '124.56.78.0/24' gibi bir IPv4 adres aralığı (124.56.78 ile başlayan tüm adresler). | dize (gerekli) |
VirtualNetworkRule
| Ad | Açıklama | Değer |
|---|---|---|
| Kimliği | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' gibi bir sanal ağ alt ağının tam kaynak kimliği. | dize (gerekli) |
| ignoreMissingVnetServiceEndpoint | NRP'nin üst alt ağın yapılandırılmış serviceEndpoint'leri olup olmadığını denetlemeyi yoksayıp yoksaymayacağını belirten özellik. | Bool |
Sku
| Ad | Açıklama | Değer |
|---|---|---|
| aile | SKU aile adı | 'A' (gerekli) |
| ad | Anahtar kasasının standart kasa mı yoksa premium kasa mı olduğunu belirtmek için SKU adı. | 'premium' 'standard' (gerekli) |
Hızlı başlangıç şablonları
Aşağıdaki hızlı başlangıç şablonları bu kaynak türünü dağıtır.
| Şablon | Açıklama |
|---|---|
NAT Ağ Geçidi ve Application Gateway ile AKS Kümesini 
'a dağıtma |
Bu örnek, giden bağlantılar için NAT Ağ Geçidi ve gelen bağlantılar için Application Gateway ile AKS kümesinin nasıl dağıtılacağı gösterilmektedir. |
|
Genel DNS Bölgesi ile Özel AKS Kümesi Oluşturma
'a dağıtma |
Bu örnekte, Genel DNS Bölgesi ile özel AKS kümesinin nasıl dağıtılacağı gösterilmektedir. |
|
Azure Mimari'de Spor Analizi Dağıtma
'a dağıtma |
ADLS 2. Nesil'in etkinleştirildiği bir Azure depolama hesabı, depolama hesabı için bağlı hizmetler içeren bir Azure Data Factory örneği (dağıtıldıysa Azure SQL Veritabanı) ve bir Azure Databricks örneği oluşturur. Şablonu dağıtan kullanıcının AAD kimliğine ve ADF örneğinin yönetilen kimliğine depolama hesabında Depolama Blob Verileri Katkıda Bulunanı rolü verilir. Azure Key Vault örneği, Azure SQL Veritabanı ve Azure Olay Hub'ı (akış kullanım örnekleri için) dağıtma seçenekleri de vardır. Azure Key Vault dağıtıldığında, şablonu dağıtan kullanıcının veri fabrikası tarafından yönetilen kimliğine ve AAD kimliğine Key Vault Gizli Dizileri Kullanıcı rolü verilir. |
| Azure Machine Learning Çalışma Alanı
'a dağıtma |
Bu şablon şifrelenmiş bir Depolama Hesabı, KeyVault ve Applications Insights Günlüğü ile birlikte yeni bir Azure Machine Learning Çalışma Alanı oluşturur |
| KeyVault oluşturma
'a dağıtma |
Bu modül apiVersion 2019-09-01 ile bir KeyVault kaynağı oluşturur. |
|
KeyVault SSL ile API Management hizmeti oluşturma
'a dağıtma |
Bu şablon, Kullanıcı Tarafından Atanan Kimlik ile yapılandırılmış bir API Management hizmeti dağıtır. KeyVault'tan SSL sertifikası getirmek için bu kimliği kullanır ve her 4 saatte bir denetleyerek bu sertifikayı güncel tutar. |
|
Container Apps kullanarak Bir Dapr pub-sub servicebus uygulaması oluşturur
'a dağıtma |
Container Apps kullanarak bir Dapr pub-sub servicebus uygulaması oluşturun. |
|
bir Azure Stack HCI 23H2 kümesi oluşturur
'a dağıtma |
Bu şablon, ARM şablonu kullanarak bir Azure Stack HCI 23H2 kümesi oluşturur. |
|
bir Azure Stack HCI 23H2 kümesi oluşturur
'a dağıtma |
Bu şablon, özel depolama IP'sini kullanarak ARM şablonu kullanarak bir Azure Stack HCI 23H2 kümesi oluşturur |
|
Anahtarsız-Çift BağlantıLı Ağ modunda bir Azure Stack HCI 23H2 kümesi oluşturur
'a dağıtma |
Bu şablon, ARM şablonu kullanarak bir Azure Stack HCI 23H2 kümesi oluşturur. |
|
Switchless-SingleLink ağ modunda bir Azure Stack HCI 23H2 kümesi oluşturur
'a dağıtma |
Bu şablon, ARM şablonu kullanarak bir Azure Stack HCI 23H2 kümesi oluşturur. |
|
Galeri görüntüsünden yeni şifrelenmiş windows vm oluşturma
'a dağıtma |
Bu şablon, sunucu 2k12 galeri görüntüsünü kullanarak yeni bir şifrelenmiş Windows vm oluşturur. |
|
Galeri görüntüsünden yeni şifrelenmiş yönetilen diskler win-vm oluşturma
'a dağıtma |
Bu şablon, sunucu 2k12 galeri görüntüsünü kullanarak yeni bir şifrelenmiş yönetilen diskler Windows vm oluşturur. |
|
Bu şablon çalışan bir Windows VMSS şifreler
'a dağıtma |
Bu şablon, çalışan bir Windows VM Ölçek Kümesinde şifrelemeyi etkinleştirir |
|
Çalışan bir Windows VM'de şifrelemeyi etkinleştirme
'a dağıtma |
Bu şablon, çalışan bir Windows vm'sinde şifrelemeyi etkinleştirir. |
|
Sıçrama kutusu ile yeni bir Windows VMSS oluşturma ve şifreleme
'a dağıtma |
Bu şablon, sunucu Windows sürümlerinin en son düzeltme eki uygulanmış sürümünü kullanarak basit bir Windows VM Ölçek Kümesi dağıtmanıza olanak tanır. Bu şablon aynı sanal ağda genel IP adresine sahip bir sıçrama kutusu da dağıtır. Bu genel IP adresi aracılığıyla sıçrama kutusuna bağlanabilir, ardından buradan özel IP adresleri aracılığıyla ölçek kümesindeki VM'lere bağlanabilirsiniz. Bu şablon, Windows VM'lerinin VM Ölçek Kümesinde şifrelemeyi etkinleştirir. |
|
Azure Key Vault ve gizli dizi oluşturma
'a dağıtma |
Bu şablon bir Azure Key Vault ve bir gizli dizi oluşturur. |
| RBAC ve gizli dizi ile Azure Key Vault oluşturma
'a dağıtma |
Bu şablon bir Azure Key Vault ve bir gizli dizi oluşturur. Erişim ilkelerine güvenmek yerine, gizli dizilerde yetkilendirmeyi yönetmek için Azure RBAC'yi kullanır |
|
Anahtar kasası, yönetilen kimlik ve rol ataması oluşturma
'a dağıtma |
Bu şablon bir anahtar kasası, yönetilen kimlik ve rol ataması oluşturur. |
|
Özel uç nokta üzerinden Key Vault'a bağlanma
'a dağıtma |
Bu örnek, özel uç nokta üzerinden Key Vault'a erişmek için sanal ağ ve özel DNS bölgesi yapılandırmanın nasıl kullanılacağını gösterir. |
|
Key Vault ve gizli dizi listesi oluşturma
'a dağıtma |
Bu şablon, parametrelerle birlikte geçirildikçe anahtar kasası içinde bir Key Vault ve gizli dizi listesi oluşturur |
| Günlüğe kaydetme özelliği etkinleştirilmiş Key Vault oluşturma
'a dağıtma |
Bu şablon bir Azure Key Vault ve günlüğe kaydetme için kullanılan bir Azure Depolama hesabı oluşturur. İsteğe bağlı olarak Key Vault'unuzu ve depolama kaynaklarınızı korumak için kaynak kilitleri oluşturur. |
| Azure AI Studio temel kurulum
'a dağıtma |
Bu şablon kümesi, Azure AI Studio'nun temel kurulumla nasıl ayarlandığını gösterir; yani genel İnternet erişimi etkinken, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması. |
| Azure AI Studio temel kurulum
'a dağıtma |
Bu şablon kümesi, Azure AI Studio'nun temel kurulumla nasıl ayarlandığını gösterir; yani genel İnternet erişimi etkinken, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması. |
| Microsoft Entra ID Authentication ile Azure AI Studio'yu
'a dağıtma |
Bu şablon kümesi, Azure AI Hizmetleri ve Azure Depolama gibi bağımlı kaynaklar için Microsoft Entra ID kimlik doğrulaması ile Azure AI Studio'nun nasıl ayarlandığını gösterir. |
|
Birden çok Veri Kümesi & Veri Depoları ile AML çalışma alanı oluşturma
'a dağıtma |
Bu şablon, veri depoları & birden çok veri kümesiyle Azure Machine Learning çalışma alanı oluşturur. |
| Azure Machine Learning uçtan uca güvenli kurulum
'a dağıtma |
Bu Bicep şablonları kümesi, Azure Machine Learning'i güvenli bir kurulumda uçtan uca ayarlamayı gösterir. Bu başvuru uygulaması Çalışma Alanını, işlem kümesini, işlem örneğini ve ekli özel AKS kümesini içerir. |
| Azure Machine Learning uçtan uca güvenli kurulum (eski)
'a dağıtma |
Bu Bicep şablonları kümesi, Azure Machine Learning'i güvenli bir kurulumda uçtan uca ayarlamayı gösterir. Bu başvuru uygulaması Çalışma Alanını, işlem kümesini, işlem örneğini ve ekli özel AKS kümesini içerir. |
|
Özel IP adresi ile AKS işlem hedefi oluşturma
'a dağıtma |
Bu şablon, belirli bir Azure Machine Learning hizmeti çalışma alanında özel IP adresiyle bir AKS işlem hedefi oluşturur. |
|
Azure Machine Learning hizmeti çalışma alanı oluşturma
'a dağıtma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i kullanmaya başlamak için ihtiyacınız olan en düşük kaynak kümesini açıklar. |
|
Azure Machine Learning hizmet çalışma alanı (CMK) oluşturma
'a dağıtma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Örnekte, müşteri tarafından yönetilen bir şifreleme anahtarıyla şifreleme için Azure Machine Learning'in nasıl yapılandırılır gösterilmektedir. |
|
Azure Machine Learning hizmet çalışma alanı (CMK) oluşturma
'a dağıtma |
Bu dağıtım şablonu, şifreleme anahtarlarınızı kullanarak hizmet tarafı şifrelemesi ile Azure Machine Learning çalışma alanı oluşturmayı belirtir. |
|
Azure Machine Learning hizmet çalışma alanı (vnet) oluşturma
'a dağıtma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i ağdan yalıtılmış bir kümede kullanmaya başlamak için ihtiyacınız olan kaynak kümesini açıklar. |
|
Azure Machine Learning hizmeti çalışma alanı oluşturma (eski)
'a dağıtma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i ağdan yalıtılmış bir kümede kullanmaya başlamak için ihtiyacınız olan kaynak kümesini açıklar. |
| Application Gateway Giriş Denetleyicisi ile AKS kümesini
'a dağıtma |
Bu örnekte Application Gateway, Application Gateway Giriş Denetleyicisi, Azure Container Registry, Log Analytics ve Key Vault ile AKS kümesinin nasıl dağıtılacağı gösterilmektedir |
|
Key Vault ile Application Gateway V2 oluşturma
'a dağıtma |
Bu şablon bir Sanal Ağa Application Gateway V2, kullanıcı tanımlı kimlik, Key Vault, gizli dizi (sertifika verileri) ve Key Vault ile Application Gateway'e erişim ilkesi dağıtır. |
| Azure Güvenlik Duvarı Premium için
'a dağıtma |
Bu şablon yetkisiz erişim denetimi algılama (IDPS), TLS denetimi ve Web Kategorisi filtreleme gibi premium özelliklere sahip bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi oluşturur |
|
Kiracılar Arası Özel Uç Nokta kaynağı oluşturur
'a dağıtma |
Bu şablon, aynı veya kiracılar arası ortamda Priavate Uç Noktası kaynağı oluşturmanıza ve dns bölgesi yapılandırması eklemenize olanak tanır. |
|
Sertifikalar ile Application Gateway Oluşturma
'a dağıtma |
Bu şablonda Key Vault otomatik olarak imzalanan sertifikaların nasıl oluşturulacağı ve ardından Application Gateway'den nasıl başvurulacağı gösterilmektedir. |
| Müşteri tarafından yönetilen anahtar ile Azure Depolama Hesabı Şifrelemesi'
'a dağıtma |
Bu şablon, oluşturulan ve Key Vault içine yerleştirilmiş şifreleme için müşteri tarafından yönetilen anahtara sahip bir Depolama Hesabı dağıtır. |
| Azure SQL arka uç ile App Service Ortamını
'a dağıtma |
Bu şablon genellikle özel/yalıtılmış bir ortamda kullanılan ilişkili kaynaklarla birlikte özel uç noktaların yanı sıra Azure SQL arka ucuna sahip bir App Service Ortamı oluşturur. |
|
Azure İşlevi uygulaması ve HTTP ile tetiklenen bir işlev
'a dağıtma |
Bu örnekte şablonda bir Azure İşlevi uygulaması ve HTTP ile tetiklenen bir işlev satır içi dağıtılır. Ayrıca bir Key Vault dağıtır ve bir gizli diziyi işlev uygulamasının konak anahtarıyla doldurur. |
| İç API Management ve Web App ile Application Gateway
'a dağıtma |
Application Gateway, İnternet trafiğini Azure Web App'te barındırılan bir web API'sine hizmet veren bir sanal ağ (iç mod) API Management örneğine yönlendirir. |
ARM şablonu kaynak tanımı
Kasa kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- kaynak grupları
- Bkz. kaynak grubu dağıtım komutları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Açıklamalar
Güvenli değerler için anahtar kasalarını kullanma yönergeleri için bkz. bicepkullanarak gizli dizileri yönetme
Gizli dizi oluşturma hakkında hızlı başlangıç için bkz. Hızlı Başlangıç: ARM şablonu kullanarak Azure Key Vault'tan gizli dizi ayarlama ve alma.
Anahtar oluşturmaya yönelik hızlı başlangıç için bkz. Hızlı Başlangıç: ARM şablonukullanarak Azure anahtar kasası ve anahtar oluşturma.
Kaynak biçimi
Microsoft.KeyVault/vaults kaynağı oluşturmak için şablonunuza aşağıdaki JSON'u ekleyin.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Özellik değerleri
Tonoz
| Ad | Açıklama | Değer |
|---|---|---|
| tür | Kaynak türü | 'Microsoft.KeyVault/vaults' |
| apiVersion | Kaynak API'sinin sürümü | '2023-07-01' |
| ad | Kaynak adı | dize (gerekli) Karakter sınırı: 3-24 Geçerli karakterler: Alfasayısallar ve kısa çizgiler. Harfle başlayın. Harf veya rakamla bitirin. Ardışık kısa çizgi içeremez. Kaynak adı Azure genelinde benzersiz olmalıdır. |
| yer | Anahtar kasasının oluşturulması gereken desteklenen Azure konumu. | dize (gerekli) |
| Etiketler | Anahtar kasasına atanacak etiketler. | Etiket adları ve değerleri sözlüğü. Bkz. şablonlardaki Etiketleri |
| Özellikler | Kasanın özellikleri | VaultProperties (gerekli) |
VaultProperties
| Ad | Açıklama | Değer |
|---|---|---|
| accessPolicies | Anahtar kasasına erişimi olan 0 ile 1024 arasında kimlik dizisi. Dizideki tüm kimlikler, anahtar kasasının kiracı kimliğiyle aynı kiracı kimliğini kullanmalıdır.
createMode
recoverolarak ayarlandığında erişim ilkeleri gerekli değildir. Aksi takdirde erişim ilkeleri gereklidir. |
AccessPolicyEntry[] |
| createMode | Kasanın kurtarılması gerekip gerekmediğini belirtmek için kasanın oluşturma modu. | 'default' 'recover' |
| enabledForDeployment | Azure Sanal Makineleri'nin anahtar kasasından gizli dizi olarak depolanan sertifikaları almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
| enabledForDiskEncryption | Azure Disk Şifrelemesi'nin kasadan gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik ve anahtarları açın. | Bool |
| enabledForTemplateDeployment | Azure Resource Manager'ın anahtar kasasından gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
| enablePurgeProtection | Bu kasa için temizlemeye karşı korumanın etkinleştirilip etkinleştirilmediğini belirten özellik. Bu özelliğin true olarak ayarlanması, bu kasanın ve içeriğinin temizlenmesine karşı korumayı etkinleştirir. Yalnızca Key Vault hizmeti sabit, geri alınamaz bir silme işlemi başlatabilir. Bu ayar yalnızca geçici silme de etkinleştirildiğinde etkindir. Bu işlevselliğin etkinleştirilmesi geri alınamaz; yani özellik değeri olarak false değerini kabul etmez. | Bool |
| enableRbacAuthorization | Veri eylemlerinin nasıl yetkilendirildiğini denetleen özellik. Doğru olduğunda, anahtar kasası veri eylemlerinin yetkilendirmesi için Rol Tabanlı Erişim Denetimi 'ni (RBAC) kullanır ve kasa özelliklerinde belirtilen erişim ilkeleri yoksayılır. False olduğunda, anahtar kasası kasa özelliklerinde belirtilen erişim ilkelerini kullanır ve Azure Resource Manager'da depolanan tüm ilkeler yoksayılır. Null veya belirtilmezse, kasa varsayılan false değeriyle oluşturulur. Yönetim eylemlerinin her zaman RBAC ile yetkilendirildiğini unutmayın. | Bool |
| enableSoftDelete | Bu anahtar kasası için 'geçici silme' işlevinin etkinleştirilip etkinleştirilmediğini belirten özellik. Yeni anahtar kasası oluşturulurken herhangi bir değere (true veya false) ayarlanmadıysa, varsayılan olarak true olarak ayarlanır. True olarak ayarlandıktan sonra false değerine geri döndürülemez. | Bool |
| networkAcls | Belirli ağ konumlarından anahtar kasasının erişilebilirliğini yöneten kurallar. | NetworkRuleSet |
| provisioningState | Kasanın sağlama durumu. | 'RegisteringDns' 'Başarılı' |
| publicNetworkAccess | Kasanın genel İnternet'ten gelen trafiği kabul edip etmeyeceğini belirten özellik. Özel uç nokta trafiği dışındaki ve güvenilen hizmetlerden gelen tüm trafik 'devre dışı' olarak ayarlanırsa engellenir. Bu, ayarlanan güvenlik duvarı kurallarını geçersiz kılar, yani güvenlik duvarı kuralları mevcut olsa bile kurallara uymayacağız. | dizgi |
| Sku | SKU ayrıntıları | Sku (gerekli) |
| softDeleteRetentionInDays | softDelete veri saklama günleri. =7 >ve =90 <kabul eder. | Int |
| tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dize (gerekli) Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | Anahtarlar ve gizli diziler üzerinde işlem gerçekleştirmek için kasanın URI'si. | dizgi |
AccessPolicyEntry
| Ad | Açıklama | Değer |
|---|---|---|
| applicationId | Sorumlu adına istekte bulunan istemcinin uygulama kimliği | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Kasa için Azure Active Directory kiracısında bir kullanıcının, hizmet sorumlusunun veya güvenlik grubunun nesne kimliği. Nesne kimliği, erişim ilkeleri listesi için benzersiz olmalıdır. | dize (gerekli) |
| izinler | Kimliğin anahtarlar, gizli diziler ve sertifikalar için sahip olduğu izinler. | İzinler (gerekli) |
| tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dize (gerekli) Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
İzinler
| Ad | Açıklama | Değer |
|---|---|---|
| Sertifika | Sertifika izinleri | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'temizleme' 'recover' 'restore' 'setissuers' 'update' |
| Anahtar | Anahtarlara yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'create' 'şifre çözme' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'temizleme' 'recover' 'release' 'restore' 'döndürme' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| Sır -larını | Gizli dizilere yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'delete' 'get' 'list' 'temizleme' 'recover' 'restore' 'set' |
| depolama | Depolama hesaplarına yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'temizleme' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
| Ad | Açıklama | Değer |
|---|---|---|
| Bypass | Ağ kurallarını hangi trafiğin atlayabileceğinizi bildirir. Bu ,'AzureServices' veya 'None' olabilir. Belirtilmezse varsayılan değer 'AzureServices' olur. | 'AzureServices' 'Hiçbiri' |
| defaultAction | IpRules ve virtualNetworkRules'tan hiçbir kural eşleşmediğinde varsayılan eylem. Bu yalnızca bypass özelliği değerlendirildikten sonra kullanılır. | 'İzin Ver' 'Reddet' |
| ipRules | IP adresi kuralları listesi. | IPRule |
| virtualNetworkRules | Sanal ağ kurallarının listesi. | VirtualNetworkRule |
IPRule
| Ad | Açıklama | Değer |
|---|---|---|
| değer | CIDR gösteriminde '124.56.78.91' (basit IP adresi) veya '124.56.78.0/24' gibi bir IPv4 adres aralığı (124.56.78 ile başlayan tüm adresler). | dize (gerekli) |
VirtualNetworkRule
| Ad | Açıklama | Değer |
|---|---|---|
| Kimliği | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' gibi bir sanal ağ alt ağının tam kaynak kimliği. | dize (gerekli) |
| ignoreMissingVnetServiceEndpoint | NRP'nin üst alt ağın yapılandırılmış serviceEndpoint'leri olup olmadığını denetlemeyi yoksayıp yoksaymayacağını belirten özellik. | Bool |
Sku
| Ad | Açıklama | Değer |
|---|---|---|
| aile | SKU aile adı | 'A' (gerekli) |
| ad | Anahtar kasasının standart kasa mı yoksa premium kasa mı olduğunu belirtmek için SKU adı. | 'premium' 'standard' (gerekli) |
Hızlı başlangıç şablonları
Aşağıdaki hızlı başlangıç şablonları bu kaynak türünü dağıtır.
| Şablon | Açıklama |
|---|---|
| NAT Ağ Geçidi ve Application Gateway ile AKS Kümesini
'a dağıtma |
Bu örnek, giden bağlantılar için NAT Ağ Geçidi ve gelen bağlantılar için Application Gateway ile AKS kümesinin nasıl dağıtılacağı gösterilmektedir. |
|
Genel DNS Bölgesi ile Özel AKS Kümesi Oluşturma
'a dağıtma |
Bu örnekte, Genel DNS Bölgesi ile özel AKS kümesinin nasıl dağıtılacağı gösterilmektedir. |
|
Azure Mimari'de Spor Analizi Dağıtma
'a dağıtma |
ADLS 2. Nesil'in etkinleştirildiği bir Azure depolama hesabı, depolama hesabı için bağlı hizmetler içeren bir Azure Data Factory örneği (dağıtıldıysa Azure SQL Veritabanı) ve bir Azure Databricks örneği oluşturur. Şablonu dağıtan kullanıcının AAD kimliğine ve ADF örneğinin yönetilen kimliğine depolama hesabında Depolama Blob Verileri Katkıda Bulunanı rolü verilir. Azure Key Vault örneği, Azure SQL Veritabanı ve Azure Olay Hub'ı (akış kullanım örnekleri için) dağıtma seçenekleri de vardır. Azure Key Vault dağıtıldığında, şablonu dağıtan kullanıcının veri fabrikası tarafından yönetilen kimliğine ve AAD kimliğine Key Vault Gizli Dizileri Kullanıcı rolü verilir. |
| Azure Machine Learning Çalışma Alanı
'a dağıtma |
Bu şablon şifrelenmiş bir Depolama Hesabı, KeyVault ve Applications Insights Günlüğü ile birlikte yeni bir Azure Machine Learning Çalışma Alanı oluşturur |
| KeyVault oluşturma
'a dağıtma |
Bu modül apiVersion 2019-09-01 ile bir KeyVault kaynağı oluşturur. |
|
KeyVault SSL ile API Management hizmeti oluşturma
'a dağıtma |
Bu şablon, Kullanıcı Tarafından Atanan Kimlik ile yapılandırılmış bir API Management hizmeti dağıtır. KeyVault'tan SSL sertifikası getirmek için bu kimliği kullanır ve her 4 saatte bir denetleyerek bu sertifikayı güncel tutar. |
|
Container Apps kullanarak Bir Dapr pub-sub servicebus uygulaması oluşturur
'a dağıtma |
Container Apps kullanarak bir Dapr pub-sub servicebus uygulaması oluşturun. |
|
bir Azure Stack HCI 23H2 kümesi oluşturur
'a dağıtma |
Bu şablon, ARM şablonu kullanarak bir Azure Stack HCI 23H2 kümesi oluşturur. |
|
bir Azure Stack HCI 23H2 kümesi oluşturur
'a dağıtma |
Bu şablon, özel depolama IP'sini kullanarak ARM şablonu kullanarak bir Azure Stack HCI 23H2 kümesi oluşturur |
|
Anahtarsız-Çift BağlantıLı Ağ modunda bir Azure Stack HCI 23H2 kümesi oluşturur
'a dağıtma |
Bu şablon, ARM şablonu kullanarak bir Azure Stack HCI 23H2 kümesi oluşturur. |
|
Switchless-SingleLink ağ modunda bir Azure Stack HCI 23H2 kümesi oluşturur
'a dağıtma |
Bu şablon, ARM şablonu kullanarak bir Azure Stack HCI 23H2 kümesi oluşturur. |
|
Galeri görüntüsünden yeni şifrelenmiş windows vm oluşturma
'a dağıtma |
Bu şablon, sunucu 2k12 galeri görüntüsünü kullanarak yeni bir şifrelenmiş Windows vm oluşturur. |
|
Galeri görüntüsünden yeni şifrelenmiş yönetilen diskler win-vm oluşturma
'a dağıtma |
Bu şablon, sunucu 2k12 galeri görüntüsünü kullanarak yeni bir şifrelenmiş yönetilen diskler Windows vm oluşturur. |
|
Bu şablon çalışan bir Windows VMSS şifreler
'a dağıtma |
Bu şablon, çalışan bir Windows VM Ölçek Kümesinde şifrelemeyi etkinleştirir |
|
Çalışan bir Windows VM'de şifrelemeyi etkinleştirme
'a dağıtma |
Bu şablon, çalışan bir Windows vm'sinde şifrelemeyi etkinleştirir. |
|
Sıçrama kutusu ile yeni bir Windows VMSS oluşturma ve şifreleme
'a dağıtma |
Bu şablon, sunucu Windows sürümlerinin en son düzeltme eki uygulanmış sürümünü kullanarak basit bir Windows VM Ölçek Kümesi dağıtmanıza olanak tanır. Bu şablon aynı sanal ağda genel IP adresine sahip bir sıçrama kutusu da dağıtır. Bu genel IP adresi aracılığıyla sıçrama kutusuna bağlanabilir, ardından buradan özel IP adresleri aracılığıyla ölçek kümesindeki VM'lere bağlanabilirsiniz. Bu şablon, Windows VM'lerinin VM Ölçek Kümesinde şifrelemeyi etkinleştirir. |
|
Azure Key Vault ve gizli dizi oluşturma
'a dağıtma |
Bu şablon bir Azure Key Vault ve bir gizli dizi oluşturur. |
| RBAC ve gizli dizi ile Azure Key Vault oluşturma
'a dağıtma |
Bu şablon bir Azure Key Vault ve bir gizli dizi oluşturur. Erişim ilkelerine güvenmek yerine, gizli dizilerde yetkilendirmeyi yönetmek için Azure RBAC'yi kullanır |
|
Anahtar kasası, yönetilen kimlik ve rol ataması oluşturma
'a dağıtma |
Bu şablon bir anahtar kasası, yönetilen kimlik ve rol ataması oluşturur. |
|
Özel uç nokta üzerinden Key Vault'a bağlanma
'a dağıtma |
Bu örnek, özel uç nokta üzerinden Key Vault'a erişmek için sanal ağ ve özel DNS bölgesi yapılandırmanın nasıl kullanılacağını gösterir. |
|
Key Vault ve gizli dizi listesi oluşturma
'a dağıtma |
Bu şablon, parametrelerle birlikte geçirildikçe anahtar kasası içinde bir Key Vault ve gizli dizi listesi oluşturur |
| Günlüğe kaydetme özelliği etkinleştirilmiş Key Vault oluşturma
'a dağıtma |
Bu şablon bir Azure Key Vault ve günlüğe kaydetme için kullanılan bir Azure Depolama hesabı oluşturur. İsteğe bağlı olarak Key Vault'unuzu ve depolama kaynaklarınızı korumak için kaynak kilitleri oluşturur. |
| Azure AI Studio temel kurulum
'a dağıtma |
Bu şablon kümesi, Azure AI Studio'nun temel kurulumla nasıl ayarlandığını gösterir; yani genel İnternet erişimi etkinken, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması. |
| Azure AI Studio temel kurulum
'a dağıtma |
Bu şablon kümesi, Azure AI Studio'nun temel kurulumla nasıl ayarlandığını gösterir; yani genel İnternet erişimi etkinken, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması. |
| Microsoft Entra ID Authentication ile Azure AI Studio'yu
'a dağıtma |
Bu şablon kümesi, Azure AI Hizmetleri ve Azure Depolama gibi bağımlı kaynaklar için Microsoft Entra ID kimlik doğrulaması ile Azure AI Studio'nun nasıl ayarlandığını gösterir. |
|
Birden çok Veri Kümesi & Veri Depoları ile AML çalışma alanı oluşturma
'a dağıtma |
Bu şablon, veri depoları & birden çok veri kümesiyle Azure Machine Learning çalışma alanı oluşturur. |
| Azure Machine Learning uçtan uca güvenli kurulum
'a dağıtma |
Bu Bicep şablonları kümesi, Azure Machine Learning'i güvenli bir kurulumda uçtan uca ayarlamayı gösterir. Bu başvuru uygulaması Çalışma Alanını, işlem kümesini, işlem örneğini ve ekli özel AKS kümesini içerir. |
| Azure Machine Learning uçtan uca güvenli kurulum (eski)
'a dağıtma |
Bu Bicep şablonları kümesi, Azure Machine Learning'i güvenli bir kurulumda uçtan uca ayarlamayı gösterir. Bu başvuru uygulaması Çalışma Alanını, işlem kümesini, işlem örneğini ve ekli özel AKS kümesini içerir. |
|
Özel IP adresi ile AKS işlem hedefi oluşturma
'a dağıtma |
Bu şablon, belirli bir Azure Machine Learning hizmeti çalışma alanında özel IP adresiyle bir AKS işlem hedefi oluşturur. |
|
Azure Machine Learning hizmeti çalışma alanı oluşturma
'a dağıtma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i kullanmaya başlamak için ihtiyacınız olan en düşük kaynak kümesini açıklar. |
|
Azure Machine Learning hizmet çalışma alanı (CMK) oluşturma
'a dağıtma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Örnekte, müşteri tarafından yönetilen bir şifreleme anahtarıyla şifreleme için Azure Machine Learning'in nasıl yapılandırılır gösterilmektedir. |
|
Azure Machine Learning hizmet çalışma alanı (CMK) oluşturma
'a dağıtma |
Bu dağıtım şablonu, şifreleme anahtarlarınızı kullanarak hizmet tarafı şifrelemesi ile Azure Machine Learning çalışma alanı oluşturmayı belirtir. |
|
Azure Machine Learning hizmet çalışma alanı (vnet) oluşturma
'a dağıtma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i ağdan yalıtılmış bir kümede kullanmaya başlamak için ihtiyacınız olan kaynak kümesini açıklar. |
|
Azure Machine Learning hizmeti çalışma alanı oluşturma (eski)
'a dağıtma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i ağdan yalıtılmış bir kümede kullanmaya başlamak için ihtiyacınız olan kaynak kümesini açıklar. |
| Application Gateway Giriş Denetleyicisi ile AKS kümesini
'a dağıtma |
Bu örnekte Application Gateway, Application Gateway Giriş Denetleyicisi, Azure Container Registry, Log Analytics ve Key Vault ile AKS kümesinin nasıl dağıtılacağı gösterilmektedir |
|
Key Vault ile Application Gateway V2 oluşturma
'a dağıtma |
Bu şablon bir Sanal Ağa Application Gateway V2, kullanıcı tanımlı kimlik, Key Vault, gizli dizi (sertifika verileri) ve Key Vault ile Application Gateway'e erişim ilkesi dağıtır. |
| Azure Güvenlik Duvarı Premium için
'a dağıtma |
Bu şablon yetkisiz erişim denetimi algılama (IDPS), TLS denetimi ve Web Kategorisi filtreleme gibi premium özelliklere sahip bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi oluşturur |
|
Kiracılar Arası Özel Uç Nokta kaynağı oluşturur
'a dağıtma |
Bu şablon, aynı veya kiracılar arası ortamda Priavate Uç Noktası kaynağı oluşturmanıza ve dns bölgesi yapılandırması eklemenize olanak tanır. |
|
Sertifikalar ile Application Gateway Oluşturma
'a dağıtma |
Bu şablonda Key Vault otomatik olarak imzalanan sertifikaların nasıl oluşturulacağı ve ardından Application Gateway'den nasıl başvurulacağı gösterilmektedir. |
| Müşteri tarafından yönetilen anahtar ile Azure Depolama Hesabı Şifrelemesi'
'a dağıtma |
Bu şablon, oluşturulan ve Key Vault içine yerleştirilmiş şifreleme için müşteri tarafından yönetilen anahtara sahip bir Depolama Hesabı dağıtır. |
| Azure SQL arka uç ile App Service Ortamını
'a dağıtma |
Bu şablon genellikle özel/yalıtılmış bir ortamda kullanılan ilişkili kaynaklarla birlikte özel uç noktaların yanı sıra Azure SQL arka ucuna sahip bir App Service Ortamı oluşturur. |
|
Azure İşlevi uygulaması ve HTTP ile tetiklenen bir işlev
'a dağıtma |
Bu örnekte şablonda bir Azure İşlevi uygulaması ve HTTP ile tetiklenen bir işlev satır içi dağıtılır. Ayrıca bir Key Vault dağıtır ve bir gizli diziyi işlev uygulamasının konak anahtarıyla doldurur. |
| İç API Management ve Web App ile Application Gateway
'a dağıtma |
Application Gateway, İnternet trafiğini Azure Web App'te barındırılan bir web API'sine hizmet veren bir sanal ağ (iç mod) API Management örneğine yönlendirir. |
Terraform (AzAPI sağlayıcısı) kaynak tanımı
Kasa kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- Kaynak grupları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.KeyVault/vaults kaynağı oluşturmak için şablonunuza aşağıdaki Terraform'u ekleyin.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2023-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Özellik değerleri
Tonoz
| Ad | Açıklama | Değer |
|---|---|---|
| tür | Kaynak türü | "Microsoft.KeyVault/vaults@2023-07-01" |
| ad | Kaynak adı | dize (gerekli) Karakter sınırı: 3-24 Geçerli karakterler: Alfasayısallar ve kısa çizgiler. Harfle başlayın. Harf veya rakamla bitirin. Ardışık kısa çizgi içeremez. Kaynak adı Azure genelinde benzersiz olmalıdır. |
| yer | Anahtar kasasının oluşturulması gereken desteklenen Azure konumu. | dize (gerekli) |
| parent_id | Bir kaynak grubuna dağıtmak için bu kaynak grubunun kimliğini kullanın. | dize (gerekli) |
| Etiketler | Anahtar kasasına atanacak etiketler. | Etiket adları ve değerleri sözlüğü. |
| Özellikler | Kasanın özellikleri | VaultProperties (gerekli) |
VaultProperties
| Ad | Açıklama | Değer |
|---|---|---|
| accessPolicies | Anahtar kasasına erişimi olan 0 ile 1024 arasında kimlik dizisi. Dizideki tüm kimlikler, anahtar kasasının kiracı kimliğiyle aynı kiracı kimliğini kullanmalıdır.
createMode
recoverolarak ayarlandığında erişim ilkeleri gerekli değildir. Aksi takdirde erişim ilkeleri gereklidir. |
AccessPolicyEntry[] |
| createMode | Kasanın kurtarılması gerekip gerekmediğini belirtmek için kasanın oluşturma modu. | "varsayılan" "kurtarma" |
| enabledForDeployment | Azure Sanal Makineleri'nin anahtar kasasından gizli dizi olarak depolanan sertifikaları almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
| enabledForDiskEncryption | Azure Disk Şifrelemesi'nin kasadan gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik ve anahtarları açın. | Bool |
| enabledForTemplateDeployment | Azure Resource Manager'ın anahtar kasasından gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
| enablePurgeProtection | Bu kasa için temizlemeye karşı korumanın etkinleştirilip etkinleştirilmediğini belirten özellik. Bu özelliğin true olarak ayarlanması, bu kasanın ve içeriğinin temizlenmesine karşı korumayı etkinleştirir. Yalnızca Key Vault hizmeti sabit, geri alınamaz bir silme işlemi başlatabilir. Bu ayar yalnızca geçici silme de etkinleştirildiğinde etkindir. Bu işlevselliğin etkinleştirilmesi geri alınamaz; yani özellik değeri olarak false değerini kabul etmez. | Bool |
| enableRbacAuthorization | Veri eylemlerinin nasıl yetkilendirildiğini denetleen özellik. Doğru olduğunda, anahtar kasası veri eylemlerinin yetkilendirmesi için Rol Tabanlı Erişim Denetimi 'ni (RBAC) kullanır ve kasa özelliklerinde belirtilen erişim ilkeleri yoksayılır. False olduğunda, anahtar kasası kasa özelliklerinde belirtilen erişim ilkelerini kullanır ve Azure Resource Manager'da depolanan tüm ilkeler yoksayılır. Null veya belirtilmezse, kasa varsayılan false değeriyle oluşturulur. Yönetim eylemlerinin her zaman RBAC ile yetkilendirildiğini unutmayın. | Bool |
| enableSoftDelete | Bu anahtar kasası için 'geçici silme' işlevinin etkinleştirilip etkinleştirilmediğini belirten özellik. Yeni anahtar kasası oluşturulurken herhangi bir değere (true veya false) ayarlanmadıysa, varsayılan olarak true olarak ayarlanır. True olarak ayarlandıktan sonra false değerine geri döndürülemez. | Bool |
| networkAcls | Belirli ağ konumlarından anahtar kasasının erişilebilirliğini yöneten kurallar. | NetworkRuleSet |
| provisioningState | Kasanın sağlama durumu. | "RegisteringDns" "Başarılı" |
| publicNetworkAccess | Kasanın genel İnternet'ten gelen trafiği kabul edip etmeyeceğini belirten özellik. Özel uç nokta trafiği dışındaki ve güvenilen hizmetlerden gelen tüm trafik 'devre dışı' olarak ayarlanırsa engellenir. Bu, ayarlanan güvenlik duvarı kurallarını geçersiz kılar, yani güvenlik duvarı kuralları mevcut olsa bile kurallara uymayacağız. | dizgi |
| Sku | SKU ayrıntıları | Sku (gerekli) |
| softDeleteRetentionInDays | softDelete veri saklama günleri. =7 >ve =90 <kabul eder. | Int |
| tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dize (gerekli) Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | Anahtarlar ve gizli diziler üzerinde işlem gerçekleştirmek için kasanın URI'si. | dizgi |
AccessPolicyEntry
| Ad | Açıklama | Değer |
|---|---|---|
| applicationId | Sorumlu adına istekte bulunan istemcinin uygulama kimliği | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Kasa için Azure Active Directory kiracısında bir kullanıcının, hizmet sorumlusunun veya güvenlik grubunun nesne kimliği. Nesne kimliği, erişim ilkeleri listesi için benzersiz olmalıdır. | dize (gerekli) |
| izinler | Kimliğin anahtarlar, gizli diziler ve sertifikalar için sahip olduğu izinler. | İzinler (gerekli) |
| tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dize (gerekli) Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
İzinler
| Ad | Açıklama | Değer |
|---|---|---|
| Sertifika | Sertifika izinleri | Herhangi birini içeren dize dizisi: "tümü" "yedekleme" "create" "sil" "deleteissuers" "get" "getissuers" "içeri aktarma" "list" "listissuers" "managecontacts" "manageissuers" "temizleme" "kurtarma" "geri yükleme" "setissuers" "update" |
| Anahtar | Anahtarlara yönelik izinler | Herhangi birini içeren dize dizisi: "tümü" "yedekleme" "create" "şifre çözme" "sil" "encrypt" "get" "getrotationpolicy" "içeri aktarma" "list" "temizleme" "kurtarma" "yayın" "geri yükleme" "döndür" "setrotationpolicy" "sign" "unwrapKey" "update" "verify" "wrapKey" |
| Sır -larını | Gizli dizilere yönelik izinler | Herhangi birini içeren dize dizisi: "tümü" "yedekleme" "sil" "get" "list" "temizleme" "kurtarma" "geri yükleme" "set" |
| depolama | Depolama hesaplarına yönelik izinler | Herhangi birini içeren dize dizisi: "tümü" "yedekleme" "sil" "deletesas" "get" "getsas" "list" "listsas" "temizleme" "kurtarma" "regeneratekey" "geri yükleme" "set" "setsas" "update" |
NetworkRuleSet
| Ad | Açıklama | Değer |
|---|---|---|
| Bypass | Ağ kurallarını hangi trafiğin atlayabileceğinizi bildirir. Bu ,'AzureServices' veya 'None' olabilir. Belirtilmezse varsayılan değer 'AzureServices' olur. | "AzureServices" "Yok" |
| defaultAction | IpRules ve virtualNetworkRules'tan hiçbir kural eşleşmediğinde varsayılan eylem. Bu yalnızca bypass özelliği değerlendirildikten sonra kullanılır. | "İzin Ver" "Reddet" |
| ipRules | IP adresi kuralları listesi. | IPRule |
| virtualNetworkRules | Sanal ağ kurallarının listesi. | VirtualNetworkRule |
IPRule
| Ad | Açıklama | Değer |
|---|---|---|
| değer | CIDR gösteriminde '124.56.78.91' (basit IP adresi) veya '124.56.78.0/24' gibi bir IPv4 adres aralığı (124.56.78 ile başlayan tüm adresler). | dize (gerekli) |
VirtualNetworkRule
| Ad | Açıklama | Değer |
|---|---|---|
| Kimliği | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' gibi bir sanal ağ alt ağının tam kaynak kimliği. | dize (gerekli) |
| ignoreMissingVnetServiceEndpoint | NRP'nin üst alt ağın yapılandırılmış serviceEndpoint'leri olup olmadığını denetlemeyi yoksayıp yoksaymayacağını belirten özellik. | Bool |
Sku
| Ad | Açıklama | Değer |
|---|---|---|
| aile | SKU aile adı | "A" (gerekli) |
| ad | Anahtar kasasının standart kasa mı yoksa premium kasa mı olduğunu belirtmek için SKU adı. | "premium" "standard" (gerekli) |