你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft.Storage storageAccounts
Bicep 资源定义
storageAccounts 资源类型可以使用面向以下对象的操作进行部署:
- 资源组 - 请参阅 资源组部署命令
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Storage/storageAccounts 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.Storage/storageAccounts@2023-01-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
sku: {
name: 'string'
}
kind: 'string'
extendedLocation: {
name: 'string'
type: 'EdgeZone'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
accessTier: 'string'
allowBlobPublicAccess: bool
allowCrossTenantReplication: bool
allowedCopyScope: 'string'
allowSharedKeyAccess: bool
azureFilesIdentityBasedAuthentication: {
activeDirectoryProperties: {
accountType: 'string'
azureStorageSid: 'string'
domainGuid: 'string'
domainName: 'string'
domainSid: 'string'
forestName: 'string'
netBiosDomainName: 'string'
samAccountName: 'string'
}
defaultSharePermission: 'string'
directoryServiceOptions: 'string'
}
customDomain: {
name: 'string'
useSubDomainName: bool
}
defaultToOAuthAuthentication: bool
dnsEndpointType: 'string'
encryption: {
identity: {
federatedIdentityClientId: 'string'
userAssignedIdentity: 'string'
}
keySource: 'string'
keyvaultproperties: {
keyname: 'string'
keyvaulturi: 'string'
keyversion: 'string'
}
requireInfrastructureEncryption: bool
services: {
blob: {
enabled: bool
keyType: 'string'
}
file: {
enabled: bool
keyType: 'string'
}
queue: {
enabled: bool
keyType: 'string'
}
table: {
enabled: bool
keyType: 'string'
}
}
}
immutableStorageWithVersioning: {
enabled: bool
immutabilityPolicy: {
allowProtectedAppendWrites: bool
immutabilityPeriodSinceCreationInDays: int
state: 'string'
}
}
isHnsEnabled: bool
isLocalUserEnabled: bool
isNfsV3Enabled: bool
isSftpEnabled: bool
keyPolicy: {
keyExpirationPeriodInDays: int
}
largeFileSharesState: 'string'
minimumTlsVersion: 'string'
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
action: 'Allow'
value: 'string'
}
]
resourceAccessRules: [
{
resourceId: 'string'
tenantId: 'string'
}
]
virtualNetworkRules: [
{
action: 'Allow'
id: 'string'
state: 'string'
}
]
}
publicNetworkAccess: 'string'
routingPreference: {
publishInternetEndpoints: bool
publishMicrosoftEndpoints: bool
routingChoice: 'string'
}
sasPolicy: {
expirationAction: 'Log'
sasExpirationPeriod: 'string'
}
supportsHttpsTrafficOnly: bool
}
}
属性值
storageAccounts
| 名称 | 说明 | 值 |
|---|---|---|
| name | 资源名称 | 字符串 (必需) 字符限制:3-24 有效字符: 小写字母和数字。 资源名称在 Azure 中必须是唯一的。 |
| location | 必需。 获取或设置资源的位置。 这是受支持和注册的 Azure 地理区域之一, (例如美国西部、美国东部、东南亚等 ) 。 创建资源后,无法更改该资源的地理区域,但如果在更新时指定了相同的地理区域,则请求将成功。 | 字符串 (必需) |
| 标记 | 获取或设置描述资源的键值对的列表。 这些标记可用于跨资源组) 查看和分组此资源 (。 最多可以为资源提供 15 个标记。 每个标记必须具有长度不超过 128 个字符的键和长度不超过 256 个字符的值。 | 标记名称和值的字典。 请参阅 模板中的标记 |
| sku | 必需。 获取或设置 SKU 名称。 | 需要 sku () |
| kind | 必需。 指示存储帐户的类型。 | “BlobStorage” “BlockBlobStorage” 'FileStorage' “Storage” 需要“StorageV2” () |
| extendedLocation | 可选。 设置资源的扩展位置。 如果未设置,则会在 Azure main区域中创建存储帐户。 否则,它将在指定的扩展位置中创建 | ExtendedLocation |
| 标识 | 资源的标识。 | 标识 |
| properties | 用于创建存储帐户的参数。 | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| 名称 | 说明 | 值 |
|---|---|---|
| name | 扩展位置的名称。 | 字符串 |
| type | 扩展位置的类型。 | “EdgeZone” |
标识
| 名称 | 说明 | Value |
|---|---|---|
| type | 标识类型。 | “None” “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned” (必需) |
| userAssignedIdentities | 获取或设置一个键值对列表,这些键值对描述将用于此存储帐户的用户分配标识集。 密钥是标识的 ARM 资源标识符。 此处仅允许使用 1 个用户分配的标识。 | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| 名称 | 说明 | 值 |
|---|---|---|
| {customized property} | UserAssignedIdentity |
UserAssignedIdentity
此对象不包含部署期间要设置的任何属性。 所有属性均为 ReadOnly。
StorageAccountPropertiesCreateParametersOrStorageAcc...
| 名称 | 说明 | 值 |
|---|---|---|
| accessTier | 对于类型 = BlobStorage 的存储帐户是必需的。 访问层用于计费。 “高级”访问层是高级块 Blob 存储帐户类型的默认值,不能更改高级块 Blob 存储帐户类型的默认值。 | 'Cool' 'Hot' “Premium” |
| allowBlobPublicAccess | 允许或禁止对存储帐户中所有 Blob 或容器的公共访问。 此属性的默认解释为 false。 | bool |
| allowCrossTenantReplication | 允许或禁止跨 AAD 租户对象复制。 仅当对象复制策略涉及不同 AAD 租户中的存储帐户时,才将新帐户或现有帐户的此属性设置为 true。 默认解释为 false,新帐户默认遵循最佳安全做法。 | bool |
| allowedCopyScope | 限制向/从 AAD 租户中的存储帐户复制,或使用专用链接复制到同一 VNet。 | 'AAD' “PrivateLink” |
| allowSharedKeyAccess | 指示存储帐户是否允许通过共享密钥使用帐户访问密钥对请求进行授权。 如果为 false,则必须使用 Azure Active Directory (Azure AD) 授权所有请求(包括共享访问签名)。 默认值为 null,等效于 true。 | bool |
| azureFilesIdentityBasedAuthentication | 为Azure 文件存储提供基于标识的身份验证设置。 | AzureFilesIdentityBasedAuthentication |
| customDomain | 分配给存储帐户的用户域。 名称是 CNAME 源。 目前,每个存储帐户仅支持一个自定义域。 若要清除现有的自定义域,请对自定义域名属性使用空字符串。 | CustomDomain |
| defaultToOAuthAuthentication | 一个布尔标志,指示默认身份验证是否为 OAuth。 此属性的默认解释为 false。 | bool |
| dnsEndpointType | 允许指定终结点的类型。 将此设置为 AzureDNSZone,在单个订阅中创建大量帐户,这会在 Azure DNS 区域中创建帐户,终结点 URL 将具有字母数字 DNS 区域标识符。 | “AzureDnsZone” 'Standard' |
| 加密 | 要用于存储帐户的服务器端加密的加密设置。 | 加密 |
| immutableStorageWithVersioning | 属性是不可变的,只能在创建帐户时设置为 true。 设置为 true 时,它默认为帐户中的所有新容器启用对象级不可变性。 | ImmutableStorageAccount |
| isHnsEnabled | 如果设置为 true,则启用帐户 HierarchicalNamespace。 | bool |
| isLocalUserEnabled | 启用本地用户功能(如果设置为 true) | bool |
| isNfsV3Enabled | 如果设置为 true,则启用 NFS 3.0 协议支持。 | bool |
| isSftpEnabled | 启用安全文件传输协议(如果设置为 true) | bool |
| keyPolicy | 分配给存储帐户的 KeyPolicy。 | KeyPolicy |
| largeFileSharesState | 如果设置为“已启用”,则允许大型文件共享。 启用后,无法禁用它。 | 'Disabled' 'Enabled' |
| minimumTlsVersion | 设置请求存储时允许的最低 TLS 版本。 此属性的默认解释为 TLS 1.0。 | “TLS1_0” “TLS1_1” “TLS1_2” |
| networkAcls | 网络规则集 | NetworkRuleSet |
| publicNetworkAccess | 允许或禁止公用网络访问存储帐户。 值是可选的,但如果传入,则必须为“Enabled”或“Disabled”。 | 'Disabled' 'Enabled' |
| routingPreference | 维护用户为数据传输选择的网络路由选择的相关信息 | RoutingPreference |
| sasPolicy | 分配给存储帐户的 SasPolicy。 | SasPolicy |
| supportsHttpsTrafficOnly | 仅当设置为 true 时,才允许将 https 流量发送到存储服务。 自 API 版本 2019-04-01 起,默认值为 true。 | bool |
AzureFilesIdentityBasedAuthentication
| 名称 | 说明 | 值 |
|---|---|---|
| activeDirectoryProperties | 如果 directoryServiceOptions 为 AD,则是必需的;如果它们是 AADKERB,则为可选。 | ActiveDirectoryProperties |
| defaultSharePermission | 如果未分配 RBAC 角色,则使用 Kerberos 身份验证的用户的默认共享权限。 | “None” “StorageFileDataSmbShareContributor” “StorageFileDataSmbShareElevatedContributor” “StorageFileDataSmbShareReader” |
| directoryServiceOptions | 指示使用的目录服务。 请注意,将来可能会扩展此枚举。 | “AADDS” “AADKERB” “AD” “None” (必需) |
ActiveDirectoryProperties
| 名称 | 说明 | 值 |
|---|---|---|
| accountType | 指定 Azure 存储的 Active Directory 帐户类型。 | “计算机” “User” |
| azureStorageSid | 指定 Azure 存储的安全标识符 (SID) 。 | 字符串 |
| domainGuid | 指定域 GUID。 | 字符串 (必需) |
| domainName | 指定 AD DNS 服务器授权的主域。 | 字符串 (必需) |
| domainSid | 指定 SID) (安全标识符。 | 字符串 |
| forestName | 指定要获取的 Active Directory 林。 | 字符串 |
| netBiosDomainName | 指定 NetBIOS 域名。 | 字符串 |
| samAccountName | 指定 Azure 存储的 Active Directory SAMAccountName。 | 字符串 |
CustomDomain
| 名称 | 说明 | 值 |
|---|---|---|
| name | 获取或设置分配给存储帐户的自定义域名。 Name 是 CNAME 源。 | 字符串 (必需) |
| useSubDomainName | 指示是否启用间接 CName 验证。 默认值为 false。 仅应在更新时设置此设置。 | bool |
Encryption
| 名称 | 说明 | 值 |
|---|---|---|
| 标识 | 要与服务端静态加密一起使用的标识。 | EncryptionIdentity |
| keySource | 加密密钥源 (提供程序) 。 (不区分大小写) 的可能值:Microsoft.Storage、Microsoft.Keyvault | “Microsoft.Keyvault” “Microsoft.Storage” |
| keyvaultproperties | 密钥保管库提供的属性。 | KeyVaultProperties |
| requireInfrastructureEncryption | 一个布尔值,指示服务是否对静态数据应用具有平台托管密钥的辅助加密层。 | bool |
| services | 支持加密的服务列表。 | EncryptionServices |
EncryptionIdentity
| 名称 | 说明 | 值 |
|---|---|---|
| federatedIdentityClientId | 要与用户分配的标识一起使用的多租户应用程序的 ClientId,用于存储帐户上的跨租户客户托管密钥服务器端加密。 | 字符串 |
| userAssignedIdentity | 要与存储帐户上的服务器端加密关联的 UserAssigned 标识的资源标识符。 | 字符串 |
KeyVaultProperties
| 名称 | 说明 | 值 |
|---|---|---|
| keyname | KeyVault 密钥的名称。 | 字符串 |
| keyvaulturi | KeyVault 的 URI。 | 字符串 |
| keyversion | KeyVault 密钥的版本。 | 字符串 |
EncryptionServices
| 名称 | 说明 | 值 |
|---|---|---|
| blob | Blob 存储服务的加密功能。 | EncryptionService |
| 文件 | 文件存储服务的加密功能。 | EncryptionService |
| 队列 | 队列存储服务的加密功能。 | EncryptionService |
| 表 | 表存储服务的加密功能。 | EncryptionService |
EncryptionService
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 一个布尔值,指示服务是否在存储数据时加密数据。 目前默认启用静态加密,无法禁用。 | bool |
| keyType | 要用于加密服务的加密密钥类型。 “帐户”密钥类型意味着将使用帐户范围的加密密钥。 “服务”密钥类型表示使用默认服务密钥。 | “帐户” “Service” |
ImmutableStorageAccount
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 一个布尔标志,用于启用帐户级不可变性。 默认情况下,此类帐户下的所有容器都启用了对象级不可变性。 | bool |
| immutabilityPolicy | 指定默认帐户级不可变性策略,该策略继承并应用于对象级别没有显式不可变性策略的对象。 对象级不可变性策略的优先级高于容器级不可变性策略,后者的优先级高于帐户级不可变性策略。 | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| 名称 | 说明 | 值 |
|---|---|---|
| allowProtectedAppendWrites | 只能针对禁用和解锁的基于时间的保留策略更改此属性。 启用后,可将新块写入追加 blob,同时保持不可变性保护和符合性。 只能添加新块,而不能修改或删除任何现有块。 | bool |
| immutabilityPeriodSinceCreationInDays | 容器中 Blob 自策略创建以来的不可变性期限(以天为单位)。 | int 约束: 最小值 = 1 最大值 = 146000 |
| state | 不可变策略状态定义策略的模式。 禁用状态禁用策略,解锁状态允许增加和减少不可变性保留时间,还允许切换 allowProtectedAppendWrites 属性,锁定状态仅允许增加不可变保留时间。 策略只能在“已禁用”或“已解锁”状态下创建,并且可以在两种状态之间切换。 只有处于“已解锁”状态的策略才能转换为无法还原的“锁定”状态。 | “Disabled” “已锁定” “已解锁” |
KeyPolicy
| 名称 | 说明 | 值 |
|---|---|---|
| keyExpirationPeriodInDays | 密钥过期期限(以天为单位)。 | int (必需) |
NetworkRuleSet
| 名称 | 说明 | 值 |
|---|---|---|
| 绕过 | 指定是否绕过日志记录/指标/AzureServices 的流量。 可能的值为 Logging、Metrics、AzureServices (例如,“Logging, Metrics”) 或 None 的任意组合,以绕过任何这些流量。 | “AzureServices” “Logging” “指标” “None” |
| defaultAction | 指定在没有其他规则匹配时允许或拒绝的默认操作。 | “允许” “拒绝” (必需) |
| ipRules | 设置 IP ACL 规则 | IPRule[] |
| resourceAccessRules | 设置资源访问规则 | ResourceAccessRule[] |
| virtualNetworkRules | 设置虚拟网络规则 | VirtualNetworkRule[] |
IPRule
| 名称 | 说明 | 值 |
|---|---|---|
| action | IP ACL 规则的操作。 | “允许” |
| value | 以 CIDR 格式指定 IP 或 IP 范围。 仅允许 IPV4 地址。 | 字符串 (必需) |
ResourceAccessRule
| 名称 | 说明 | 值 |
|---|---|---|
| ResourceId | 资源 ID | 字符串 |
| tenantId | 租户 ID | 字符串 |
VirtualNetworkRule
| 名称 | 说明 | 值 |
|---|---|---|
| action | 虚拟网络规则的操作。 | “允许” |
| id | 子网的资源 ID,例如:/subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}。 | 字符串 (必需) |
| state | 获取虚拟网络规则的状态。 | “取消预配” “Failed” “NetworkSourceDeleted” “预配” 'Succeeded' |
RoutingPreference
| 名称 | 说明 | 值 |
|---|---|---|
| publishInternetEndpoints | 一个布尔标志,指示是否要发布 Internet 路由存储终结点 | bool |
| publishMicrosoftEndpoints | 一个布尔标志,指示是否要发布 Microsoft 路由存储终结点 | bool |
| routingChoice | 路由选择定义用户选择的网络路由类型。 | “InternetRouting” “MicrosoftRouting” |
SasPolicy
| 名称 | 说明 | 值 |
|---|---|---|
| expirationAction | SAS 过期操作。 只能为 Log。 | 需要“Log” () |
| sasExpirationPeriod | SAS 过期期限,DD.HH:MM:SS。 | 字符串 (必需) |
SKU
| 名称 | 说明 | 值 |
|---|---|---|
| name | SKU 名称。 创建帐户时需要;可选,用于更新。 请注意,在旧版本中,SKU 名称称为 accountType。 | “Premium_LRS” “Premium_ZRS” “Standard_GRS” “Standard_GZRS” “Standard_LRS” “Standard_RAGRS” “Standard_RAGZRS” 需要“Standard_ZRS” () |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 说明 |
|---|---|
通过专用终结点从 VM 连接到存储帐户 |
此示例演示如何使用连接虚拟网络通过专用终结点访问 Blob 存储帐户。 |
| 通过专用终结点连接到 Azure 文件共享 |
此示例演示如何使用配置虚拟网络和专用 DNS 区域通过专用终结点访问 Azure 文件共享。 |
| 创建标准存储帐户 |
此模板创建标准存储帐户 |
| 使用 SSE 创建存储帐户 |
此模板创建一个存储帐户,其中包含静态数据的存储服务加密 |
| 具有高级威胁防护的存储帐户 |
通过此模板,可以部署启用了高级威胁防护的 Azure 存储帐户。 |
| 在 Azure 上创建 Azure 存储帐户和 Blob 容器 |
此模板创建 Azure 存储帐户和 Blob 容器。 |
| 具有 SSE 和 Blob 删除保留策略的存储帐户 |
此模板创建具有存储服务加密和 Blob 删除保留策略的存储帐户 |
| 使用客户管理的密钥进行 Azure 存储帐户加密 |
此模板部署一个存储帐户,其中包含客户管理的密钥,用于生成并放置在密钥保管库内的加密。 |
| 创建包含文件共享的存储帐户 |
此模板创建 Azure 存储帐户和文件共享。 |
| 创建具有多个 Blob 容器的存储帐户 |
创建 Azure 存储帐户和多个 Blob 容器。 |
| 创建具有多个文件共享的存储帐户 |
创建 Azure 存储帐户和多个文件共享。 |
| 创建启用了 SFTP 的存储帐户 |
创建可以使用 SFTP 协议访问的 Azure 存储帐户和 Blob 容器。 访问权限可以基于密码或公钥。 |
| 部署静态网站 |
部署具有后备存储帐户的静态网站 |
ARM 模板资源定义
storageAccounts 资源类型可以通过针对以下操作进行部署:
- 资源组 - 请参阅 资源组部署命令
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Storage/storageAccounts 资源,请将以下 JSON 添加到模板。
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-01-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"sku": {
"name": "string"
},
"kind": "string",
"extendedLocation": {
"name": "string",
"type": "EdgeZone"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"accessTier": "string",
"allowBlobPublicAccess": "bool",
"allowCrossTenantReplication": "bool",
"allowedCopyScope": "string",
"allowSharedKeyAccess": "bool",
"azureFilesIdentityBasedAuthentication": {
"activeDirectoryProperties": {
"accountType": "string",
"azureStorageSid": "string",
"domainGuid": "string",
"domainName": "string",
"domainSid": "string",
"forestName": "string",
"netBiosDomainName": "string",
"samAccountName": "string"
},
"defaultSharePermission": "string",
"directoryServiceOptions": "string"
},
"customDomain": {
"name": "string",
"useSubDomainName": "bool"
},
"defaultToOAuthAuthentication": "bool",
"dnsEndpointType": "string",
"encryption": {
"identity": {
"federatedIdentityClientId": "string",
"userAssignedIdentity": "string"
},
"keySource": "string",
"keyvaultproperties": {
"keyname": "string",
"keyvaulturi": "string",
"keyversion": "string"
},
"requireInfrastructureEncryption": "bool",
"services": {
"blob": {
"enabled": "bool",
"keyType": "string"
},
"file": {
"enabled": "bool",
"keyType": "string"
},
"queue": {
"enabled": "bool",
"keyType": "string"
},
"table": {
"enabled": "bool",
"keyType": "string"
}
}
},
"immutableStorageWithVersioning": {
"enabled": "bool",
"immutabilityPolicy": {
"allowProtectedAppendWrites": "bool",
"immutabilityPeriodSinceCreationInDays": "int",
"state": "string"
}
},
"isHnsEnabled": "bool",
"isLocalUserEnabled": "bool",
"isNfsV3Enabled": "bool",
"isSftpEnabled": "bool",
"keyPolicy": {
"keyExpirationPeriodInDays": "int"
},
"largeFileSharesState": "string",
"minimumTlsVersion": "string",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"action": "Allow",
"value": "string"
}
],
"resourceAccessRules": [
{
"resourceId": "string",
"tenantId": "string"
}
],
"virtualNetworkRules": [
{
"action": "Allow",
"id": "string",
"state": "string"
}
]
},
"publicNetworkAccess": "string",
"routingPreference": {
"publishInternetEndpoints": "bool",
"publishMicrosoftEndpoints": "bool",
"routingChoice": "string"
},
"sasPolicy": {
"expirationAction": "Log",
"sasExpirationPeriod": "string"
},
"supportsHttpsTrafficOnly": "bool"
}
}
属性值
storageAccounts
| 名称 | 说明 | Value |
|---|---|---|
| type | 资源类型 | “Microsoft.Storage/storageAccounts” |
| apiVersion | 资源 API 版本 | '2023-01-01' |
| name | 资源名称 | 字符串 (必需) 字符限制:3-24 有效字符: 小写字母和数字。 资源名称在 Azure 中必须是唯一的。 |
| location | 必需。 获取或设置资源的位置。 这是受支持和注册的 Azure 地理区域之一, (例如美国西部、美国东部、东南亚等 ) 。 创建资源后,无法更改其地理区域,但如果在更新时指定了相同的地理区域,则请求将成功。 | 字符串 (必需) |
| 标记 | 获取或设置描述资源的键值对的列表。 这些标记可用于跨资源组) 查看和分组此资源 (。 最多可以为一个资源提供 15 个标记。 每个标记必须具有长度不超过 128 个字符的键和长度不超过 256 个字符的值。 | 标记名称和值的字典。 请参阅 模板中的标记 |
| sku | 必需。 获取或设置 SKU 名称。 | 需要 sku () |
| kind | 必需。 指示存储帐户的类型。 | “BlobStorage” “BlockBlobStorage” “FileStorage” “Storage” “StorageV2” (必需) |
| extendedLocation | 可选。 设置资源的扩展位置。 如果未设置,则会在 Azure main 区域中创建存储帐户。 否则,将在指定的扩展位置中创建它 | ExtendedLocation |
| 标识 | 资源的标识。 | 标识 |
| properties | 用于创建存储帐户的参数。 | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| 名称 | 说明 | 值 |
|---|---|---|
| name | 扩展位置的名称。 | 字符串 |
| type | 扩展位置的类型。 | “EdgeZone” |
标识
| 名称 | 说明 | Value |
|---|---|---|
| type | 标识类型。 | “None” “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned” (必需) |
| userAssignedIdentities | 获取或设置一个键值对列表,这些键值对描述将用于此存储帐户的用户分配标识集。 密钥是标识的 ARM 资源标识符。 此处仅允许使用 1 个用户分配的标识。 | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| 名称 | 说明 | 值 |
|---|---|---|
| {customized property} | UserAssignedIdentity |
UserAssignedIdentity
此对象不包含部署期间要设置的任何属性。 所有属性均为 ReadOnly。
StorageAccountPropertiesCreateParametersOrStorageAcc...
| 名称 | 说明 | 值 |
|---|---|---|
| accessTier | 对于类型 = BlobStorage 的存储帐户是必需的。 访问层用于计费。 “高级”访问层是高级块 Blob 存储帐户类型的默认值,不能更改高级块 Blob 存储帐户类型的默认值。 | 'Cool' 'Hot' “Premium” |
| allowBlobPublicAccess | 允许或禁止对存储帐户中所有 Blob 或容器的公共访问。 此属性的默认解释为 false。 | bool |
| allowCrossTenantReplication | 允许或禁止跨 AAD 租户对象复制。 仅当对象复制策略涉及不同 AAD 租户中的存储帐户时,才将新帐户或现有帐户的此属性设置为 true。 默认解释为 false,新帐户默认遵循最佳安全做法。 | bool |
| allowedCopyScope | 限制向/从 AAD 租户中的存储帐户复制,或使用专用链接复制到同一 VNet。 | 'AAD' “PrivateLink” |
| allowSharedKeyAccess | 指示存储帐户是否允许通过共享密钥使用帐户访问密钥对请求进行授权。 如果为 false,则必须使用 Azure Active Directory (Azure AD) 授权所有请求(包括共享访问签名)。 默认值为 null,等效于 true。 | bool |
| azureFilesIdentityBasedAuthentication | 为Azure 文件存储提供基于标识的身份验证设置。 | AzureFilesIdentityBasedAuthentication |
| customDomain | 分配给存储帐户的用户域。 名称是 CNAME 源。 目前,每个存储帐户仅支持一个自定义域。 若要清除现有的自定义域,请对自定义域名属性使用空字符串。 | CustomDomain |
| defaultToOAuthAuthentication | 一个布尔标志,指示默认身份验证是否为 OAuth。 此属性的默认解释为 false。 | bool |
| dnsEndpointType | 允许指定终结点的类型。 将此设置为 AzureDNSZone,在单个订阅中创建大量帐户,这会在 Azure DNS 区域中创建帐户,终结点 URL 将具有字母数字 DNS 区域标识符。 | “AzureDnsZone” 'Standard' |
| 加密 | 要用于存储帐户的服务器端加密的加密设置。 | 加密 |
| immutableStorageWithVersioning | 属性是不可变的,只能在创建帐户时设置为 true。 设置为 true 时,它默认为帐户中的所有新容器启用对象级不可变性。 | ImmutableStorageAccount |
| isHnsEnabled | 如果设置为 true,则启用帐户 HierarchicalNamespace。 | bool |
| isLocalUserEnabled | 启用本地用户功能(如果设置为 true) | bool |
| isNfsV3Enabled | 如果设置为 true,则启用 NFS 3.0 协议支持。 | bool |
| isSftpEnabled | 启用安全文件传输协议(如果设置为 true) | bool |
| keyPolicy | 分配给存储帐户的 KeyPolicy。 | KeyPolicy |
| largeFileSharesState | 如果设置为“已启用”,则允许大型文件共享。 启用后,无法禁用它。 | 'Disabled' 'Enabled' |
| minimumTlsVersion | 设置请求存储时允许的最低 TLS 版本。 此属性的默认解释为 TLS 1.0。 | “TLS1_0” “TLS1_1” “TLS1_2” |
| networkAcls | 网络规则集 | NetworkRuleSet |
| publicNetworkAccess | 允许或禁止公用网络访问存储帐户。 值是可选的,但如果传入,则必须为“Enabled”或“Disabled”。 | “Disabled” “已启用” |
| routingPreference | 维护用户选择用于数据传输的网络路由的相关信息 | RoutingPreference |
| sasPolicy | 分配给存储帐户的 SasPolicy。 | SasPolicy |
| supportsHttpsTrafficOnly | 仅当设置为 true 时,才允许将 https 流量发送到存储服务。 自 API 版本 2019-04-01 起,默认值为 true。 | bool |
AzureFilesIdentityBasedAuthentication
| 名称 | 说明 | 值 |
|---|---|---|
| activeDirectoryProperties | 如果 directoryServiceOptions 为 AD,则是必需的;如果它们是 AADKERB,则为可选。 | ActiveDirectoryProperties |
| defaultSharePermission | 如果未分配 RBAC 角色,则使用 Kerberos 身份验证的用户的默认共享权限。 | “None” “StorageFileDataSmbShareContributor” “StorageFileDataSmbShareElevatedContributor” “StorageFileDataSmbShareReader” |
| directoryServiceOptions | 指示使用的目录服务。 请注意,将来可能会扩展此枚举。 | “AADDS” “AADKERB” “AD” “None” (必需) |
ActiveDirectoryProperties
| 名称 | 说明 | 值 |
|---|---|---|
| accountType | 指定 Azure 存储的 Active Directory 帐户类型。 | “计算机” “User” |
| azureStorageSid | 指定 Azure 存储的安全标识符 (SID) 。 | 字符串 |
| domainGuid | 指定域 GUID。 | 字符串 (必需) |
| domainName | 指定 AD DNS 服务器授权的主域。 | 字符串 (必需) |
| domainSid | 指定 SID) (安全标识符。 | 字符串 |
| forestName | 指定要获取的 Active Directory 林。 | 字符串 |
| netBiosDomainName | 指定 NetBIOS 域名。 | 字符串 |
| samAccountName | 指定 Azure 存储的 Active Directory SAMAccountName。 | 字符串 |
CustomDomain
| 名称 | 说明 | 值 |
|---|---|---|
| name | 获取或设置分配给存储帐户的自定义域名。 Name 是 CNAME 源。 | 字符串 (必需) |
| useSubDomainName | 指示是否启用间接 CName 验证。 默认值为 false。 仅应在更新时设置此设置。 | bool |
Encryption
| 名称 | 说明 | 值 |
|---|---|---|
| 标识 | 要与服务端静态加密一起使用的标识。 | EncryptionIdentity |
| keySource | 加密密钥源 (提供程序) 。 (不区分大小写) 的可能值:Microsoft.Storage、Microsoft.Keyvault | “Microsoft.Keyvault” “Microsoft.Storage” |
| keyvaultproperties | 密钥保管库提供的属性。 | KeyVaultProperties |
| requireInfrastructureEncryption | 一个布尔值,指示服务是否对静态数据应用具有平台托管密钥的辅助加密层。 | bool |
| services | 支持加密的服务列表。 | EncryptionServices |
EncryptionIdentity
| 名称 | 说明 | 值 |
|---|---|---|
| federatedIdentityClientId | 要与用户分配的标识一起使用的多租户应用程序的 ClientId,用于存储帐户上的跨租户客户托管密钥服务器端加密。 | 字符串 |
| userAssignedIdentity | 要与存储帐户上的服务器端加密关联的 UserAssigned 标识的资源标识符。 | 字符串 |
KeyVaultProperties
| 名称 | 说明 | 值 |
|---|---|---|
| keyname | KeyVault 密钥的名称。 | 字符串 |
| keyvaulturi | KeyVault 的 URI。 | 字符串 |
| keyversion | KeyVault 密钥的版本。 | 字符串 |
EncryptionServices
| 名称 | 说明 | 值 |
|---|---|---|
| blob | Blob 存储服务的加密功能。 | EncryptionService |
| 文件 | 文件存储服务的加密功能。 | EncryptionService |
| 队列 | 队列存储服务的加密功能。 | EncryptionService |
| 表 | 表存储服务的加密功能。 | EncryptionService |
EncryptionService
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 一个布尔值,指示服务是否在存储数据时加密数据。 目前默认启用静态加密,无法禁用。 | bool |
| keyType | 要用于加密服务的加密密钥类型。 “帐户”密钥类型意味着将使用帐户范围的加密密钥。 “服务”密钥类型表示使用默认服务密钥。 | “帐户” “Service” |
ImmutableStorageAccount
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 一个布尔标志,用于启用帐户级不可变性。 默认情况下,此类帐户下的所有容器都启用了对象级不可变性。 | bool |
| immutabilityPolicy | 指定默认帐户级不可变性策略,该策略继承并应用于对象级别没有显式不可变性策略的对象。 对象级不可变性策略的优先级高于容器级不可变性策略,后者的优先级高于帐户级不可变性策略。 | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| 名称 | 说明 | 值 |
|---|---|---|
| allowProtectedAppendWrites | 只能针对禁用和解锁的基于时间的保留策略更改此属性。 启用后,可将新块写入追加 blob,同时保持不可变性保护和符合性。 只能添加新块,而不能修改或删除任何现有块。 | bool |
| immutabilityPeriodSinceCreationInDays | 容器中 Blob 自策略创建以来的不可变性期限(以天为单位)。 | int 约束: 最小值 = 1 最大值 = 146000 |
| state | 不可变策略状态定义策略的模式。 禁用状态禁用策略,解锁状态允许增加和减少不可变性保留时间,还允许切换 allowProtectedAppendWrites 属性,锁定状态仅允许增加不可变保留时间。 策略只能在“已禁用”或“已解锁”状态下创建,并且可以在两种状态之间切换。 只有处于“已解锁”状态的策略才能转换为无法还原的“锁定”状态。 | “Disabled” “已锁定” “已解锁” |
KeyPolicy
| 名称 | 说明 | 值 |
|---|---|---|
| keyExpirationPeriodInDays | 密钥过期期限(以天为单位)。 | int (必需) |
NetworkRuleSet
| 名称 | 说明 | 值 |
|---|---|---|
| 绕过 | 指定是否绕过日志记录/指标/AzureServices 的流量。 可能的值为 Logging、Metrics、AzureServices (例如,“Logging, Metrics”) 或 None 的任意组合,以绕过任何这些流量。 | “AzureServices” “Logging” “指标” “None” |
| defaultAction | 指定在没有其他规则匹配时允许或拒绝的默认操作。 | “允许” “拒绝” (必需) |
| ipRules | 设置 IP ACL 规则 | IPRule[] |
| resourceAccessRules | 设置资源访问规则 | ResourceAccessRule[] |
| virtualNetworkRules | 设置虚拟网络规则 | VirtualNetworkRule[] |
IPRule
| 名称 | 说明 | 值 |
|---|---|---|
| action | IP ACL 规则的操作。 | “允许” |
| value | 以 CIDR 格式指定 IP 或 IP 范围。 仅允许 IPV4 地址。 | 字符串 (必需) |
ResourceAccessRule
| 名称 | 说明 | 值 |
|---|---|---|
| ResourceId | 资源 ID | 字符串 |
| tenantId | 租户 ID | 字符串 |
VirtualNetworkRule
| 名称 | 说明 | 值 |
|---|---|---|
| action | 虚拟网络规则的操作。 | “允许” |
| id | 子网的资源 ID,例如:/subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}。 | 字符串 (必需) |
| state | 获取虚拟网络规则的状态。 | “取消预配” “失败” “NetworkSourceDeleted” “预配” “成功” |
RoutingPreference
| 名称 | 说明 | 值 |
|---|---|---|
| publishInternetEndpoints | 一个布尔标志,指示是否要发布 Internet 路由存储终结点 | bool |
| publishMicrosoftEndpoints | 一个布尔标志,指示是否要发布 Microsoft 路由存储终结点 | bool |
| routingChoice | 路由选择定义用户选择的网络路由类型。 | “InternetRouting” “MicrosoftRouting” |
SasPolicy
| 名称 | 说明 | 值 |
|---|---|---|
| expirationAction | SAS 过期操作。 只能是日志。 | “Log” (必需) |
| sasExpirationPeriod | SAS 过期期限,DD.HH:MM:SS。 | 字符串 (必需) |
SKU
| 名称 | 说明 | 值 |
|---|---|---|
| name | SKU 名称。 创建帐户时需要;可选,用于更新。 请注意,在旧版本中,SKU 名称称为 accountType。 | “Premium_LRS” “Premium_ZRS” “Standard_GRS” “Standard_GZRS” “Standard_LRS” “Standard_RAGRS” “Standard_RAGZRS” “Standard_ZRS” (必需) |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 说明 |
|---|---|
| 通过专用终结点从 VM 连接到存储帐户 |
此示例演示如何使用连接虚拟网络通过专用终结点访问 Blob 存储帐户。 |
| 通过专用终结点连接到 Azure 文件共享 |
此示例演示如何使用配置虚拟网络和专用 DNS 区域通过专用终结点访问 Azure 文件共享。 |
| 创建标准存储帐户 |
此模板创建标准存储帐户 |
| 使用 SSE 创建存储帐户 |
此模板创建一个存储帐户,其中包含静态数据的存储服务加密 |
| 具有高级威胁防护的存储帐户 |
此模板允许部署启用了高级威胁防护的 Azure 存储帐户。 |
| 在 Azure 上创建 Azure 存储帐户和 Blob 容器 |
此模板创建 Azure 存储帐户和 Blob 容器。 |
| 具有 SSE 和 Blob 删除保留策略的存储帐户 |
此模板创建具有存储服务加密和 Blob 删除保留策略的存储帐户 |
| 使用客户管理的密钥进行 Azure 存储帐户加密 |
此模板部署一个存储帐户,其中包含客户管理的密钥,用于生成并放置在密钥保管库内的加密。 |
| 创建包含文件共享的存储帐户 |
此模板创建 Azure 存储帐户和文件共享。 |
| 创建具有多个 Blob 容器的存储帐户 |
创建 Azure 存储帐户和多个 Blob 容器。 |
| 创建具有多个文件共享的存储帐户 |
创建 Azure 存储帐户和多个文件共享。 |
| 创建启用了 SFTP 的存储帐户 |
创建可以使用 SFTP 协议访问的 Azure 存储帐户和 Blob 容器。 访问可以基于密码或公钥。 |
| 部署静态网站 |
使用支持存储帐户部署静态网站 |
Terraform (AzAPI 提供程序) 资源定义
storageAccounts 资源类型可以使用面向以下对象的操作进行部署:
- 资源组
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Storage/storageAccounts 资源,请将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Storage/storageAccounts@2023-01-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
accessTier = "string"
allowBlobPublicAccess = bool
allowCrossTenantReplication = bool
allowedCopyScope = "string"
allowSharedKeyAccess = bool
azureFilesIdentityBasedAuthentication = {
activeDirectoryProperties = {
accountType = "string"
azureStorageSid = "string"
domainGuid = "string"
domainName = "string"
domainSid = "string"
forestName = "string"
netBiosDomainName = "string"
samAccountName = "string"
}
defaultSharePermission = "string"
directoryServiceOptions = "string"
}
customDomain = {
name = "string"
useSubDomainName = bool
}
defaultToOAuthAuthentication = bool
dnsEndpointType = "string"
encryption = {
identity = {
federatedIdentityClientId = "string"
userAssignedIdentity = "string"
}
keySource = "string"
keyvaultproperties = {
keyname = "string"
keyvaulturi = "string"
keyversion = "string"
}
requireInfrastructureEncryption = bool
services = {
blob = {
enabled = bool
keyType = "string"
}
file = {
enabled = bool
keyType = "string"
}
queue = {
enabled = bool
keyType = "string"
}
table = {
enabled = bool
keyType = "string"
}
}
}
immutableStorageWithVersioning = {
enabled = bool
immutabilityPolicy = {
allowProtectedAppendWrites = bool
immutabilityPeriodSinceCreationInDays = int
state = "string"
}
}
isHnsEnabled = bool
isLocalUserEnabled = bool
isNfsV3Enabled = bool
isSftpEnabled = bool
keyPolicy = {
keyExpirationPeriodInDays = int
}
largeFileSharesState = "string"
minimumTlsVersion = "string"
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
action = "Allow"
value = "string"
}
]
resourceAccessRules = [
{
resourceId = "string"
tenantId = "string"
}
]
virtualNetworkRules = [
{
action = "Allow"
id = "string"
state = "string"
}
]
}
publicNetworkAccess = "string"
routingPreference = {
publishInternetEndpoints = bool
publishMicrosoftEndpoints = bool
routingChoice = "string"
}
sasPolicy = {
expirationAction = "Log"
sasExpirationPeriod = "string"
}
supportsHttpsTrafficOnly = bool
}
sku = {
name = "string"
}
kind = "string"
extendedLocation = {
name = "string"
type = "EdgeZone"
}
})
}
属性值
storageAccounts
| 名称 | 说明 | Value |
|---|---|---|
| type | 资源类型 | “Microsoft.Storage/storageAccounts@2023-01-01” |
| name | 资源名称 | 字符串 (必需) 字符限制:3-24 有效字符: 小写字母和数字。 资源名称在 Azure 中必须是唯一的。 |
| location | 必需。 获取或设置资源的位置。 这是受支持和注册的 Azure 地理区域之一, (例如美国西部、美国东部、东南亚等 ) 。 创建资源后,无法更改该资源的地理区域,但如果在更新时指定了相同的地理区域,则请求将成功。 | 字符串 (必需) |
| parent_id | 若要部署到资源组,请使用该资源组的 ID。 | 字符串 (必需) |
| 标记 | 获取或设置描述资源的键值对的列表。 这些标记可用于跨资源组) 查看和分组此资源 (。 最多可以为资源提供 15 个标记。 每个标记必须具有长度不超过 128 个字符的键和长度不超过 256 个字符的值。 | 标记名称和值的字典。 |
| sku | 必需。 获取或设置 SKU 名称。 | 需要 sku () |
| kind | 必需。 指示存储帐户的类型。 | “BlobStorage” “BlockBlobStorage” “FileStorage” “存储” 需要“StorageV2” () |
| extendedLocation | 可选。 设置资源的扩展位置。 如果未设置,则会在 Azure main区域中创建存储帐户。 否则,它将在指定的扩展位置中创建 | ExtendedLocation |
| 标识 | 资源的标识。 | 标识 |
| properties | 用于创建存储帐户的参数。 | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
| 名称 | 说明 | 值 |
|---|---|---|
| name | 扩展位置的名称。 | 字符串 |
| type | 扩展位置的类型。 | “EdgeZone” |
标识
| 名称 | 说明 | Value |
|---|---|---|
| type | 标识类型。 | “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned” (必需) |
| identity_ids | 获取或设置一个键值对列表,这些键值对描述将用于此存储帐户的用户分配标识集。 密钥是标识的 ARM 资源标识符。 此处仅允许使用 1 个用户分配的标识。 | 用户标识 ID 的数组。 |
IdentityUserAssignedIdentities
| 名称 | 说明 | 值 |
|---|---|---|
| {customized property} | UserAssignedIdentity |
UserAssignedIdentity
此对象不包含部署期间要设置的任何属性。 所有属性均为 ReadOnly。
StorageAccountPropertiesCreateParametersOrStorageAcc...
| 名称 | 说明 | 值 |
|---|---|---|
| accessTier | 对于类型 = BlobStorage 的存储帐户是必需的。 访问层用于计费。 “高级”访问层是高级块 Blob 存储帐户类型的默认值,不能更改高级块 Blob 存储帐户类型的默认值。 | “Cool” “Hot” “Premium” |
| allowBlobPublicAccess | 允许或禁止对存储帐户中所有 Blob 或容器的公共访问。 此属性的默认解释为 false。 | bool |
| allowCrossTenantReplication | 允许或禁止跨 AAD 租户对象复制。 仅当对象复制策略涉及不同 AAD 租户中的存储帐户时,才将新帐户或现有帐户的此属性设置为 true。 默认解释为 false,新帐户默认遵循最佳安全做法。 | bool |
| allowedCopyScope | 限制向/从 AAD 租户中的存储帐户复制,或使用专用链接复制到同一 VNet。 | “AAD” “PrivateLink” |
| allowSharedKeyAccess | 指示存储帐户是否允许通过共享密钥使用帐户访问密钥对请求进行授权。 如果为 false,则必须使用 Azure Active Directory (Azure AD) 授权所有请求(包括共享访问签名)。 默认值为 null,等效于 true。 | bool |
| azureFilesIdentityBasedAuthentication | 为Azure 文件存储提供基于标识的身份验证设置。 | AzureFilesIdentityBasedAuthentication |
| customDomain | 分配给存储帐户的用户域。 名称是 CNAME 源。 目前,每个存储帐户仅支持一个自定义域。 若要清除现有的自定义域,请对自定义域名属性使用空字符串。 | CustomDomain |
| defaultToOAuthAuthentication | 一个布尔标志,指示默认身份验证是否为 OAuth。 此属性的默认解释为 false。 | bool |
| dnsEndpointType | 允许指定终结点的类型。 将此设置为 AzureDNSZone,在单个订阅中创建大量帐户,这会在 Azure DNS 区域中创建帐户,终结点 URL 将具有字母数字 DNS 区域标识符。 | “AzureDnsZone” “Standard” |
| 加密 | 要用于存储帐户的服务器端加密的加密设置。 | 加密 |
| immutableStorageWithVersioning | 属性是不可变的,只能在创建帐户时设置为 true。 设置为 true 时,它默认为帐户中的所有新容器启用对象级不可变性。 | ImmutableStorageAccount |
| isHnsEnabled | 如果设置为 true,则启用帐户 HierarchicalNamespace。 | bool |
| isLocalUserEnabled | 启用本地用户功能(如果设置为 true) | bool |
| isNfsV3Enabled | 如果设置为 true,则启用 NFS 3.0 协议支持。 | bool |
| isSftpEnabled | 启用安全文件传输协议(如果设置为 true) | bool |
| keyPolicy | 分配给存储帐户的 KeyPolicy。 | KeyPolicy |
| largeFileSharesState | 如果设置为“已启用”,则允许大型文件共享。 启用后,无法禁用它。 | “Disabled” “Enabled” |
| minimumTlsVersion | 设置请求存储时允许的最低 TLS 版本。 此属性的默认解释为 TLS 1.0。 | “TLS1_0” “TLS1_1” “TLS1_2” |
| networkAcls | 网络规则集 | NetworkRuleSet |
| publicNetworkAccess | 允许或禁止公用网络访问存储帐户。 值是可选的,但如果传入,则必须为“Enabled”或“Disabled”。 | “Disabled” “Enabled” |
| routingPreference | 维护用户为数据传输选择的网络路由选择的相关信息 | RoutingPreference |
| sasPolicy | 分配给存储帐户的 SasPolicy。 | SasPolicy |
| supportsHttpsTrafficOnly | 仅当设置为 true 时,才允许将 https 流量发送到存储服务。 自 API 版本 2019-04-01 起,默认值为 true。 | bool |
AzureFilesIdentityBasedAuthentication
| 名称 | 说明 | 值 |
|---|---|---|
| activeDirectoryProperties | 如果 directoryServiceOptions 为 AD,则为必需;如果是 AADKERB,则为可选。 | ActiveDirectoryProperties |
| defaultSharePermission | 如果未分配 RBAC 角色,则使用 Kerberos 身份验证的用户的默认共享权限。 | "None" “StorageFileDataSmbShareContributor” “StorageFileDataSmbShareElevatedContributor” “StorageFileDataSmbShareReader” |
| directoryServiceOptions | 指示使用的目录服务。 请注意,此枚举将来可能会扩展。 | “AADDS” “AADKERB” “AD” “None” (必需) |
ActiveDirectoryProperties
| 名称 | 说明 | 值 |
|---|---|---|
| accountType | 指定 Azure 存储的 Active Directory 帐户类型。 | “Computer” “User” |
| azureStorageSid | 指定 Azure 存储的安全标识符 (SID) 。 | 字符串 |
| domainGuid | 指定域 GUID。 | 字符串 (必需) |
| domainName | 指定 AD DNS 服务器授权的主域。 | 字符串 (必需) |
| domainSid | 指定 SID) (安全标识符。 | 字符串 |
| forestName | 指定要获取的 Active Directory 林。 | 字符串 |
| netBiosDomainName | 指定 NetBIOS 域名。 | 字符串 |
| samAccountName | 指定 Azure 存储的 Active Directory SAMAccountName。 | 字符串 |
CustomDomain
| 名称 | 说明 | 值 |
|---|---|---|
| name | 获取或设置分配给存储帐户的自定义域名。 名称是 CNAME 源。 | 字符串 (必需) |
| useSubDomainName | 指示是否启用间接 CName 验证。 默认值为 false。 这只能在更新时设置。 | bool |
Encryption
| 名称 | 说明 | 值 |
|---|---|---|
| 标识 | 要与服务端静态加密一起使用的标识。 | EncryptionIdentity |
| keySource | 加密密钥源 (提供程序) 。 (不区分大小写) 的可能值:Microsoft.Storage、Microsoft.Keyvault | “Microsoft.Keyvault” “Microsoft.Storage” |
| keyvaultproperties | 密钥保管库提供的属性。 | KeyVaultProperties |
| requireInfrastructureEncryption | 一个布尔值,指示服务是否对静态数据应用具有平台托管密钥的辅助加密层。 | bool |
| services | 支持加密的服务列表。 | EncryptionServices |
EncryptionIdentity
| 名称 | 说明 | 值 |
|---|---|---|
| federatedIdentityClientId | 要与用户分配的标识一起使用的多租户应用程序的 ClientId,用于存储帐户上的跨租户客户托管密钥服务器端加密。 | 字符串 |
| userAssignedIdentity | 要与存储帐户上的服务器端加密关联的 UserAssigned 标识的资源标识符。 | 字符串 |
KeyVaultProperties
| 名称 | 说明 | 值 |
|---|---|---|
| keyname | KeyVault 密钥的名称。 | 字符串 |
| keyvaulturi | KeyVault 的 URI。 | 字符串 |
| keyversion | KeyVault 密钥的版本。 | 字符串 |
EncryptionServices
| 名称 | 说明 | 值 |
|---|---|---|
| blob | Blob 存储服务的加密功能。 | EncryptionService |
| 文件 | 文件存储服务的加密功能。 | EncryptionService |
| 队列 | 队列存储服务的加密功能。 | EncryptionService |
| 表 | 表存储服务的加密功能。 | EncryptionService |
EncryptionService
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 一个布尔值,指示服务是否在存储数据时加密数据。 目前默认启用静态加密,无法禁用。 | bool |
| keyType | 要用于加密服务的加密密钥类型。 “帐户”密钥类型意味着将使用帐户范围的加密密钥。 “服务”密钥类型表示使用默认服务密钥。 | “帐户” “Service” |
ImmutableStorageAccount
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 一个布尔标志,用于启用帐户级不可变性。 默认情况下,此类帐户下的所有容器都启用了对象级不可变性。 | bool |
| immutabilityPolicy | 指定默认帐户级不可变性策略,该策略继承并应用于对象级别没有显式不可变性策略的对象。 对象级不可变性策略的优先级高于容器级不可变性策略,后者的优先级高于帐户级不可变性策略。 | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
| 名称 | 说明 | 值 |
|---|---|---|
| allowProtectedAppendWrites | 只能针对禁用和解锁的基于时间的保留策略更改此属性。 启用后,可将新块写入追加 blob,同时保持不可变性保护和符合性。 只能添加新块,而不能修改或删除任何现有块。 | bool |
| immutabilityPeriodSinceCreationInDays | 容器中 Blob 自策略创建以来的不可变性期限(以天为单位)。 | int 约束: 最小值 = 1 最大值 = 146000 |
| state | 不可变策略状态定义策略的模式。 禁用状态禁用策略,解锁状态允许增加和减少不可变性保留时间,还允许切换 allowProtectedAppendWrites 属性,锁定状态仅允许增加不可变保留时间。 策略只能在“已禁用”或“已解锁”状态下创建,并且可以在两种状态之间切换。 只有处于“已解锁”状态的策略才能转换为无法还原的“锁定”状态。 | “Disabled” “已锁定” “已解锁” |
KeyPolicy
| 名称 | 说明 | 值 |
|---|---|---|
| keyExpirationPeriodInDays | 密钥过期期限(以天为单位)。 | int (必需) |
NetworkRuleSet
| 名称 | 说明 | 值 |
|---|---|---|
| 绕过 | 指定是否绕过日志记录/指标/AzureServices 的流量。 可能的值为 Logging、Metrics、AzureServices (例如,“Logging, Metrics”) 或 None 的任意组合,以绕过任何这些流量。 | “AzureServices” “日志记录” “指标” "None" |
| defaultAction | 指定在没有其他规则匹配时允许或拒绝的默认操作。 | “允许” 需要“拒绝” () |
| ipRules | 设置 IP ACL 规则 | IPRule[] |
| resourceAccessRules | 设置资源访问规则 | ResourceAccessRule[] |
| virtualNetworkRules | 设置虚拟网络规则 | VirtualNetworkRule[] |
IPRule
| 名称 | 说明 | 值 |
|---|---|---|
| action | IP ACL 规则的操作。 | “允许” |
| value | 以 CIDR 格式指定 IP 或 IP 范围。 仅允许 IPV4 地址。 | 字符串 (必需) |
ResourceAccessRule
| 名称 | 说明 | 值 |
|---|---|---|
| ResourceId | 资源 ID | 字符串 |
| tenantId | 租户 ID | 字符串 |
VirtualNetworkRule
| 名称 | 说明 | 值 |
|---|---|---|
| action | 虚拟网络规则的操作。 | “允许” |
| id | 子网的资源 ID,例如:/subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}。 | 字符串 (必需) |
| state | 获取虚拟网络规则的状态。 | “取消预配” “失败” “NetworkSourceDeleted” “预配” “成功” |
RoutingPreference
| 名称 | 说明 | 值 |
|---|---|---|
| publishInternetEndpoints | 一个布尔标志,指示是否要发布 Internet 路由存储终结点 | bool |
| publishMicrosoftEndpoints | 一个布尔标志,指示是否要发布 Microsoft 路由存储终结点 | bool |
| routingChoice | 路由选择定义用户选择的网络路由类型。 | “InternetRouting” “MicrosoftRouting” |
SasPolicy
| 名称 | 说明 | 值 |
|---|---|---|
| expirationAction | SAS 过期操作。 只能是日志。 | “Log” (必需) |
| sasExpirationPeriod | SAS 过期期限,DD.HH:MM:SS。 | 字符串 (必需) |
SKU
| 名称 | 说明 | 值 |
|---|---|---|
| name | SKU 名称。 创建帐户时需要;可选,用于更新。 请注意,在旧版本中,SKU 名称称为 accountType。 | “Premium_LRS” “Premium_ZRS” “Standard_GRS” “Standard_GZRS” “Standard_LRS” “Standard_RAGRS” “Standard_RAGZRS” 需要“Standard_ZRS” () |