Microsoft.KeyVault 保存庫 2016-10-01
Bicep 資源定義
您可以使用目標工作來部署儲存庫資源類型:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄。
備註
如需使用金鑰保存庫進行安全值的指引,請參閱 使用 Bicep 管理秘密。
如需建立秘密的快速入門,請參閱快速入門:使用ARM樣本從 Azure 金鑰保存庫 設定和擷取秘密。
如需建立金鑰的快速入門,請參閱 快速入門:使用ARM樣本建立 Azure 金鑰保存庫和金鑰。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 Bicep 新增至您的範本。
resource symbolicname 'Microsoft.KeyVault/vaults@2016-10-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableSoftDelete: bool
sku: {
family: 'A'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
}
屬性值
vaults
名稱 | 描述 | 值 |
---|---|---|
NAME | 資源名稱 | 字串 (必要) 字元限制:3-24 合法字元: 英數字元和連字號。 以字母開頭。 以字母或數字結尾。 不能包含連續的連字號。 資源名稱在 Azure 中必須是唯一的。 |
location | 應該在其中建立金鑰保存庫的支援 Azure 位置。 | 字串 (必要) |
tags | 將指派給金鑰保存庫的標記。 | 標記名稱和值的字典。 請參閱 範本中的標記 |
properties | 保存庫的屬性 | 保存庫屬性 (必要) |
VaultProperties
名稱 | 描述 | 值 |
---|---|---|
accessPolicies | 0 到 16 個身分識別的數位,可存取金鑰保存庫。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 設定為 recover 時createMode ,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出保存庫是否需要復原。 | 'default' 'recover' |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機器 從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從金鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否為此保存庫啟用清除保護。 將此屬性設定為 true 可啟用保護,以防止清除此保存庫及其內容, 只有 金鑰保存庫 服務可能會起始硬式且無法復原的刪除。 只有在同時啟用虛刪除時,此設定才有效。 啟用這項功能是無法復原的,也就是說,屬性不接受 false 做為其值。 | bool |
enableSoftDelete | 屬性,指定是否啟用此金鑰保存庫的可復原刪除。 將此屬性設定為 true 會啟用虛刪除功能,其中保存庫或保存庫實體可以在刪除之後復原。 啟用這項功能是無法復原的,也就是說,屬性不接受 false 做為其值。 | bool |
sku | SKU 詳細資料 | 需要sku () |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 保存庫的 URI,用於對金鑰和秘密執行作業。 | 字串 |
AccessPolicyEntry
名稱 | 描述 | 值 |
---|---|---|
applicationId | 代表主體提出要求之用戶端的應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件識別碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別具有金鑰、秘密和憑證的許可權。 | 必要許可權 () |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
名稱 | 描述 | 值 |
---|---|---|
certificates | 憑證的許可權 | 包含任何項目的字串數組: 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'setissuers' 'update' |
金鑰 | 金鑰的許可權 | 包含任何項目的字串數組: 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
密碼 | 秘密的許可權 | 包含任何項目的字串數組: 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
儲存 | 記憶體帳戶的許可權 | 包含任何項目的字串數組: 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setas' 'update' |
SKU
名稱 | 描述 | 值 |
---|---|---|
family | SKU 系列名稱 | 必要 (『A') |
NAME | 指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | 'premium' 必要的 『standard』 () |
快速入門範本
下列快速入門範本會部署此資源類型。
範本 | 描述 |
---|---|
適用於 Azure 的 SAS 9.4 和 Viya 快速入門範本 |
適用於 Azure 的 SAS® 9.4 和 Viya 快速入門範本會在雲端上部署這些產品:SAS Enterprise BI Server 9.4、 ® SAS® Enterprise Miner 15.1 和 Linux 上的 SAS Visual Analytics 8.5,以及 Linux 上的 SAS®® 視覺數據採礦和 Machine Learning 8.5。 本快速入門是一種參考架構,適用於想要使用雲端易記技術在 Azure 上部署 SAS® 9.4 和 Viya 的組合的使用者。 藉由在 Azure 上部署 SAS® 平臺,您可以取得 SAS® 9.4 和 Viya 環境的整合環境,讓您可以利用這兩個世界。 SAS® Viya 是已啟用雲端的記憶體內部分析引擎。 它會使用彈性、可調整且容錯的處理來解決複雜的分析挑戰。 SAS® Viya 提供更快速的分析處理方式,方法是使用支援 SAS®、Python、R、Java 和 Lua 程式設計的標準程式代碼基底。 它也支援雲端、內部部署或混合式環境,並順暢地部署到任何基礎結構或應用程式生態系統。 |
具有 NAT 閘道和 應用程式閘道 的 AKS 叢集 |
此範例示範如何使用 NAT 閘道部署 AKS 叢集以進行輸出連線,以及輸入連線的 應用程式閘道。 |
使用公用 DNS 區域建立私人 AKS 叢集 |
此範例示範如何使用公用 DNS 區域部署私人 AKS 叢集。 |
在 Azure 架構上部署運動分析 |
建立已啟用 ADLS Gen 2 的 Azure 記憶體帳戶、具有記憶體帳戶連結服務的 Azure Data Factory 實例, (部署) Azure SQL 資料庫,以及 Azure Databricks 實例。 部署範本的使用者 AAD 身分識別和 ADF 實例的受控識別將會獲得記憶體帳戶上的記憶體 Blob 數據參與者角色。 還有一個選項可用來部署 Azure 金鑰保存庫 實例、Azure SQL 資料庫,以及用於串流處理使用案例的 Azure 事件中樞 () 。 部署 Azure 金鑰保存庫 時,部署範本之用戶的數據處理站受控識別和 AAD 身分識別將會獲得 金鑰保存庫 秘密使用者角色。 |
Azure Machine Learning 工作區 |
此範本會建立新的 Azure Machine Learning 工作區,以及加密的記憶體帳戶、KeyVault 和 Applications Insights 記錄 |
建立 KeyVault |
此課程模組會使用 apiVersion 2019-09-01 建立 KeyVault 資源。 |
從 KeyVault 使用 SSL 建立 API 管理 服務 |
此範本會部署使用使用者指派的身分識別所設定 API 管理 服務。 它會使用此身分識別從 KeyVault 擷取 SSL 憑證,並每隔 4 小時檢查一次來保持更新。 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式。 |
建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
從資源庫映像建立新的加密 Windows VM |
此範本會使用伺服器 2k12 資源庫映像建立新的加密 Windows VM。 |
從資源庫映像建立新的加密受控磁碟 win-vm |
此範本會使用伺服器 2k12 資源庫映像建立新的加密受控磁碟 Windows VM。 |
此範本會加密執行中的 Windows VMSS |
此範本可在執行中的 Windows VM 擴展集上啟用加密 |
在執行中的 Windows VM 上啟用加密 |
此範本可在執行中的 Windows VM 上啟用加密。 |
使用 Jumpbox 建立並加密新的 Windows VMSS |
此範本可讓您使用最新修補版本的伺服器 Windows 版本來部署簡單的 Windows VM 擴展集。 此範本也會在相同的虛擬網路中部署具有公用IP位址的 Jumpbox。 您可以透過此公用IP位址連線到 jumpbox,然後透過私人IP位址從該處連線到擴展集中的 VM。此範本可在 WINDOWS VM 的 VM 擴展集上啟用加密。 |
建立 Azure Key Vault 和秘密 |
此範本會建立 Azure 金鑰保存庫 和秘密。 |
使用 RBAC 和秘密建立 Azure 金鑰保存庫 |
此範本會建立 Azure 金鑰保存庫 和秘密。 它不會依賴存取原則,而是利用 Azure RBAC 來管理秘密的授權 |
建立金鑰保存庫、受控識別和角色指派 |
此範本會建立金鑰保存庫、受控識別和角色指派。 |
透過私人端點連線到 金鑰保存庫 |
此範例示範如何使用設定虛擬網路和私人 DNS 區域,透過私人端點存取 金鑰保存庫。 |
建立 Key Vault 和秘密清單 |
此範本會依照參數一起傳遞,建立金鑰保存庫中的 金鑰保存庫 和秘密清單 |
建立已啟用記錄的 金鑰保存庫 |
此範本會建立用於記錄的 Azure 金鑰保存庫 和 Azure 記憶體帳戶。 它會選擇性地建立資源鎖定,以保護您的 金鑰保存庫 和記憶體資源。 |
& 數據存放區建立具有多個數據集的 AML 工作區 |
此範本會建立具有多個數據集 & 數據存放區的 Azure Machine Learning 工作區。 |
Azure Machine Learning 端對端安全設定 |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和連結的私人 AKS 叢集。 |
Azure Machine Learning 端對端安全設定 (舊版) |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和連結的私人 AKS 叢集。 |
使用私人IP位址建立 AKS 計算目標 |
此範本會在具有私人IP位址的指定 Azure Machine Learning 服務工作區中建立 AKS 計算目標。 |
建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述開始使用 Azure Machine Learning 所需的最少資源集。 |
(CMK) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此範例示範如何設定 Azure Machine Learning 以使用客戶管理的加密密鑰進行加密。 |
(vnet) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述在網路隔離設定中開始使用 Azure Machine Learning 所需的一組資源。 |
(舊版) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述在網路隔離設定中開始使用 Azure Machine Learning 所需的一組資源。 |
具有 應用程式閘道 輸入控制器的 AKS 叢集 |
此範例示範如何使用 應用程式閘道、應用程式閘道 輸入控制器、Azure Container Registry、Log Analytics 和 金鑰保存庫 部署 AKS 叢集 |
使用 金鑰保存庫 建立 應用程式閘道 V2 |
此範本會在 虛擬網路、使用者定義身分識別、金鑰保存庫、秘密 (憑證數據) 中部署 應用程式閘道 V2,以及在 金鑰保存庫 和 應用程式閘道 上存取原則。 |
Azure 防火牆 Premium 的測試環境 |
此範本會建立具有進階功能的 Azure 防火牆 進階和防火牆原則,例如入侵檢測 (IDPS) 、TLS 檢查和 Web 類別篩選 |
使用憑證建立 應用程式閘道 |
此範本示範如何產生 金鑰保存庫 自我簽署憑證,然後從 應用程式閘道 參考。 |
使用客戶管理的金鑰進行 Azure 記憶體帳戶加密 |
此範本會使用客戶管理的密鑰來部署記憶體帳戶,以進行產生的加密,並將其放在 金鑰保存庫 內。 |
使用 Azure SQL 後端 App Service 環境 |
此範本會建立具有 Azure SQL 後端的 App Service 環境,以及私人端點,以及通常用於私人/隔離環境中的相關聯資源。 |
Azure 函式應用程式和 HTTP 觸發的函式 |
此範例會在範本中內嵌部署 Azure 函式應用程式和 HTTP 觸發的函式。 它也會部署 金鑰保存庫,並使用函式應用程式的主機金鑰填入秘密。 |
使用內部 API 管理和 Web 應用程式 應用程式閘道 |
應用程式閘道 將因特網流量路由傳送至虛擬網路 (內部模式) API 管理 實例,其服務裝載於 Azure Web 應用程式中的 Web API。 |
ARM 範本資源定義
儲存庫資源類型可以使用目標作業進行部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
備註
如需使用金鑰保存庫進行安全值的指引,請參閱 使用 Bicep 管理秘密。
如需建立秘密的快速入門,請參閱快速入門:使用ARM樣本從 Azure 金鑰保存庫 設定和擷取秘密。
如需建立金鑰的快速入門,請參閱 快速入門:使用ARM樣本建立 Azure 金鑰保存庫和金鑰。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 JSON 新增至範本。
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2016-10-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableSoftDelete": "bool",
"sku": {
"family": "A",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
}
}
屬性值
vaults
名稱 | 描述 | 值 |
---|---|---|
類型 | 資源類型 | 'Microsoft.KeyVault/vaults' |
apiVersion | 資源 API 版本 | '2016-10-01' |
NAME | 資源名稱 | 需要字串 () 字元限制:3-24 合法字元: 英數字元和連字號。 以字母開頭。 以字母或數字結尾。 不能包含連續的連字號。 資源名稱在整個 Azure 中必須是唯一的。 |
location | 應建立金鑰保存庫的支援 Azure 位置。 | 需要字串 () |
tags | 將指派給金鑰保存庫的標記。 | 標記名稱和值的字典。 請參閱 範本中的標籤 |
properties | 保存庫的屬性 | 需要 VaultProperties () |
VaultProperties
名稱 | 描述 | 值 |
---|---|---|
accessPolicies | 0 到 16 個身分識別的數位,可存取金鑰保存庫。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 設定為 recover 時createMode ,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出是否需要復原保存庫。 | 'default' 'recover' |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機器 從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從金鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否為此保存庫啟用清除保護。 將此屬性設定為 true 會啟用保護,以防止清除此保存庫及其內容, 只有 金鑰保存庫 服務可能會起始硬式且無法復原的刪除。 只有在同時啟用虛刪除時,此設定才有效。 啟用這項功能是無法復原的,也就是說,屬性不接受 false 做為其值。 | bool |
enableSoftDelete | 屬性,指定是否啟用此金鑰保存庫的可復原刪除。 將此屬性設定為 true 會啟用虛刪除功能,其中保存庫或保存庫實體可以在刪除之後復原。 啟用這項功能是無法復原的,也就是說,屬性不接受 false 做為其值。 | bool |
sku | SKU 詳細資料 | 需要sku () |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 保存庫的 URI,用於對金鑰和秘密執行作業。 | 字串 |
AccessPolicyEntry
名稱 | 描述 | 值 |
---|---|---|
applicationId | 代表主體提出要求之用戶端的應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件識別碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別具有金鑰、秘密和憑證的許可權。 | 必要許可權 () |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
名稱 | 描述 | 值 |
---|---|---|
certificates | 憑證的許可權 | 包含任何項目的字串數組: 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'setissuers' 'update' |
金鑰 | 金鑰的許可權 | 包含任何項目的字串數組: 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
密碼 | 秘密的許可權 | 包含任何項目的字串數組: 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
儲存 | 記憶體帳戶的許可權 | 包含任何項目的字串數組: 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setas' 'update' |
SKU
名稱 | 描述 | 值 |
---|---|---|
family | SKU 系列名稱 | 必要 (『A') |
NAME | 指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | 'premium' 必要的 『standard』 () |
快速入門範本
下列快速入門範本會部署此資源類型。
範本 | 描述 |
---|---|
適用於 Azure 的 SAS 9.4 和 Viya 快速入門範本 |
適用於 Azure 的 SAS® 9.4 和 Viya 快速入門範本會在雲端上部署這些產品:SAS Enterprise BI Server 9.4、 ® SAS® Enterprise Miner 15.1 和 Linux 上的 SAS Visual Analytics 8.5,以及 Linux 上的 SAS®® 視覺數據採礦和 Machine Learning 8.5。 本快速入門是一種參考架構,適用於想要使用雲端易記技術在 Azure 上部署 SAS® 9.4 和 Viya 的組合的使用者。 藉由在 Azure 上部署 SAS® 平臺,您可以取得 SAS® 9.4 和 Viya 環境的整合環境,讓您可以利用這兩個世界。 SAS® Viya 是已啟用雲端的記憶體內部分析引擎。 它會使用彈性、可調整且容錯的處理來解決複雜的分析挑戰。 SAS® Viya 提供更快速的分析處理方式,方法是使用支援 SAS®、Python、R、Java 和 Lua 程式設計的標準程式代碼基底。 它也支援雲端、內部部署或混合式環境,並順暢地部署到任何基礎結構或應用程式生態系統。 |
具有 NAT 閘道和 應用程式閘道 的 AKS 叢集 |
此範例示範如何使用 NAT 閘道部署 AKS 叢集以進行輸出連線,以及輸入連線的 應用程式閘道。 |
使用公用 DNS 區域建立私人 AKS 叢集 |
此範例示範如何使用公用 DNS 區域部署私人 AKS 叢集。 |
在 Azure 架構上部署運動分析 |
建立已啟用 ADLS Gen 2 的 Azure 記憶體帳戶、具有記憶體帳戶連結服務的 Azure Data Factory 實例, (部署) 和 Azure Databricks 實例時 Azure SQL 資料庫。 部署範本的使用者 AAD 身分識別和 ADF 實例的受控識別將會獲得記憶體帳戶上的記憶體 Blob 數據參與者角色。 另外還有選項可用來部署 Azure 金鑰保存庫 實例、Azure SQL 資料庫,以及用於串流處理使用案例的 Azure 事件中樞 () 。 部署 Azure 金鑰保存庫 時,部署範本之用戶的數據處理站受控識別和 AAD 身分識別將會獲得 金鑰保存庫 秘密使用者角色。 |
Azure Machine Learning 工作區 |
此範本會建立新的 Azure Machine Learning 工作區,以及加密的記憶體帳戶、KeyVault 和 Applications Insights 記錄 |
建立 KeyVault |
此課程模組會使用 apiVersion 2019-09-01 建立 KeyVault 資源。 |
從 KeyVault 使用 SSL 建立 API 管理 服務 |
此範本會部署使用使用者指派的身分識別所設定的 API 管理 服務。 它會使用此身分識別從 KeyVault 擷取 SSL 憑證,並每隔 4 小時檢查一次來保持更新。 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式。 |
建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
從資源庫映像建立新的加密 Windows VM |
此範本會使用伺服器 2k12 資源庫映像建立新的加密 Windows VM。 |
從資源庫映像建立新的加密受控磁碟 win-vm |
此範本會使用伺服器 2k12 資源庫映像建立新的加密受控磁碟 Windows VM。 |
此範本會加密執行中的 Windows VMSS |
此範本可在執行中的 Windows VM 擴展集上啟用加密 |
在執行中的 Windows VM 上啟用加密 |
此範本可在執行中的 Windows VM 上啟用加密。 |
使用 Jumpbox 建立並加密新的 Windows VMSS |
此範本可讓您使用最新修補版本的伺服器 Windows 版本來部署簡單的 Windows VM 擴展集。 此範本也會在相同的虛擬網路中部署具有公用IP位址的 Jumpbox。 您可以透過此公用IP位址連線到 jumpbox,然後透過私人IP位址從該處連線到擴展集中的 VM。此範本可在 WINDOWS VM 的 VM 擴展集上啟用加密。 |
建立 Azure Key Vault 和秘密 |
此範本會建立 Azure 金鑰保存庫 和秘密。 |
使用 RBAC 和秘密建立 Azure 金鑰保存庫 |
此範本會建立 Azure 金鑰保存庫 和秘密。 它不會依賴存取原則,而是利用 Azure RBAC 來管理秘密的授權 |
建立金鑰保存庫、受控識別和角色指派 |
此範本會建立金鑰保存庫、受控識別和角色指派。 |
透過私人端點連線到 金鑰保存庫 |
此範例示範如何使用設定虛擬網路和私人 DNS 區域,透過私人端點存取 金鑰保存庫。 |
建立 Key Vault 和秘密清單 |
此範本會依照參數一起傳遞,建立金鑰保存庫中的 金鑰保存庫 和秘密清單 |
建立已啟用記錄的 金鑰保存庫 |
此範本會建立 Azure 金鑰保存庫,以及用於記錄的 Azure 記憶體帳戶。 它會選擇性地建立資源鎖定,以保護您的 金鑰保存庫 和記憶體資源。 |
& 數據存放區建立具有多個數據集的 AML 工作區 |
此範本會建立具有多個數據集 & 數據存放區的 Azure Machine Learning 工作區。 |
Azure Machine Learning 端對端安全設定 |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和連結的私人 AKS 叢集。 |
Azure Machine Learning 端對端安全設定 (舊版) |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和連結的私人 AKS 叢集。 |
使用私人IP位址建立 AKS 計算目標 |
此範本會在具有私人IP位址的指定 Azure Machine Learning 服務工作區中建立 AKS 計算目標。 |
建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述開始使用 Azure Machine Learning 所需的最少資源集。 |
(CMK) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此範例示範如何設定 Azure Machine Learning 以使用客戶管理的加密密鑰進行加密。 |
(vnet) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述您在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
(舊版) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述您在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
具有 應用程式閘道 輸入控制器的 AKS 叢集 |
此範例示範如何使用 應用程式閘道、應用程式閘道 輸入控制器、Azure Container Registry、Log Analytics 和 金鑰保存庫 部署 AKS 叢集 |
使用 金鑰保存庫 建立 應用程式閘道 V2 |
此範本會在 虛擬網路、使用者定義身分識別、金鑰保存庫、秘密 (憑證數據) 中部署 應用程式閘道 V2,以及在 金鑰保存庫 和 應用程式閘道 上存取原則。 |
Azure 防火牆 Premium 的測試環境 |
此範本會建立具有進階功能的 Azure 防火牆 進階和防火牆原則,例如入侵檢查偵測 (IDPS) 、TLS 檢查和 Web 類別篩選 |
使用憑證建立 應用程式閘道 |
此範本示範如何產生 金鑰保存庫 自我簽署憑證,然後從 應用程式閘道 參考。 |
使用客戶管理的金鑰進行 Azure 記憶體帳戶加密 |
此範本會部署具有客戶管理密鑰的記憶體帳戶,以進行產生的加密,並放在 金鑰保存庫 內。 |
使用 Azure SQL 後端 App Service 環境 |
此範本會建立具有 Azure SQL 後端的 App Service 環境,以及私人端點,以及通常用於私人/隔離環境中的相關聯資源。 |
Azure 函式應用程式和 HTTP 觸發的函式 |
此範例會在範本中內嵌部署 Azure 函式應用程式和 HTTP 觸發的函式。 它也會部署 金鑰保存庫,並使用函式應用程式的主機金鑰填入秘密。 |
使用內部 API 管理和 Web 應用程式 應用程式閘道 |
應用程式閘道 將因特網流量路由傳送至虛擬網路 (內部模式) API 管理 實例,該實例服務裝載於 Azure Web 應用程式中的 Web API。 |
Terraform (AzAPI 提供者) 資源定義
您可以使用目標工作來部署儲存庫資源類型:
- 資源群組
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 Terraform 新增至您的範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2016-10-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableSoftDelete = bool
sku = {
family = "A"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
})
}
屬性值
vaults
名稱 | 描述 | 值 |
---|---|---|
類型 | 資源類型 | “Microsoft.KeyVault/vaults@2016-10-01” |
NAME | 資源名稱 | 字串 (必要) 字元限制:3-24 合法字元: 英數字元和連字號。 以字母開頭。 以字母或數字結尾。 不能包含連續的連字號。 資源名稱在 Azure 中必須是唯一的。 |
location | 應該在其中建立金鑰保存庫的支援 Azure 位置。 | 字串 (必要) |
parent_id | 若要部署至資源群組,請使用該資源群組的標識碼。 | 字串 (必要) |
tags | 將指派給金鑰保存庫的標記。 | 標記名稱和值的字典。 |
properties | 保存庫的屬性 | 保存庫屬性 (必要) |
VaultProperties
名稱 | 描述 | 值 |
---|---|---|
accessPolicies | 0 到 16 個身分識別的數位,可存取金鑰保存庫。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 設定為 recover 時createMode ,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出保存庫是否需要復原。 | "default" “recover” |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機器 從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從金鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否為此保存庫啟用清除保護。 將此屬性設定為 true 會啟用保護,以防止清除此保存庫及其內容, 只有 金鑰保存庫 服務可能會起始硬式且無法復原的刪除。 只有在同時啟用虛刪除時,此設定才有效。 啟用這項功能是無法復原的,也就是說,屬性不接受 false 做為其值。 | bool |
enableSoftDelete | 屬性,指定是否啟用此金鑰保存庫的可復原刪除。 將此屬性設定為 true 會啟用虛刪除功能,其中保存庫或保存庫實體可以在刪除之後復原。 啟用這項功能是無法復原的,也就是說,屬性不接受 false 做為其值。 | bool |
sku | SKU 詳細資料 | 需要sku () |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 保存庫的 URI,用於對金鑰和秘密執行作業。 | 字串 |
AccessPolicyEntry
名稱 | 描述 | 值 |
---|---|---|
applicationId | 代表主體提出要求之用戶端的應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件識別碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別具有金鑰、秘密和憑證的許可權。 | 必要許可權 () |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
名稱 | 描述 | 值 |
---|---|---|
certificates | 憑證的許可權 | 包含任何項目的字串數組: “create” “delete” “deleteissuers” “get” “getissuers” “import” 「清單」 “listissuers” “managecontacts” “manageissuers” “purge” “recover” “setissuers” “update” |
金鑰 | 金鑰的許可權 | 包含任何項目的字串數組: “backup” “create” “decrypt” “delete” “encrypt” “get” “import” 「清單」 “purge” “recover” “restore” “sign” “unwrapKey” “update” “verify” “wrapKey” |
密碼 | 秘密的許可權 | 包含任何項目的字串數組: “backup” “delete” “get” 「清單」 “purge” “recover” “restore” “set” |
儲存 | 記憶體帳戶的許可權 | 包含任何項目的字串數組: “backup” “delete” “deletesas” “get” “getsas” 「清單」 “listsas” “purge” “recover” “regeneratekey” “restore” “set” “setsas” “update” |
SKU
名稱 | 描述 | 值 |
---|---|---|
family | SKU 系列名稱 | “A” (必要) |
NAME | 用來指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | “premium” “standard” (必要) |