Microsoft.KeyVault 保存庫 2021-10-01
Bicep 資源定義
儲存庫資源類型可以使用目標作業來部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
言論
如需針對安全值使用密鑰保存庫的指引,請參閱 使用 Bicep管理秘密。
如需建立秘密的快速入門,請參閱 快速入門:使用ARM樣本從 Azure Key Vault 設定和擷取秘密。
如需建立金鑰的快速入門,請參閱 快速入門:使用 ARM 範本建立 Azure 金鑰保存庫和金鑰。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 Bicep 新增至範本。
resource symbolicname 'Microsoft.KeyVault/vaults@2021-10-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
屬性值
金庫
名字 | 描述 | 價值 |
---|---|---|
名字 | 資源名稱 | 字串 (必要) 字元限制:3-24 合法字元: 英數位元和連字元。 以字母開頭。 以字母或數字結尾。 不能包含連續連字元。 資源名稱在整個 Azure 中必須是唯一的。 |
位置 | 應該在其中建立金鑰保存庫的支援 Azure 位置。 | 字串 (必要) |
標籤 | 將指派給金鑰保存庫的標記。 | 標記名稱和值的字典。 請參閱範本中的 標籤 |
性能 | 保存庫的屬性 | VaultProperties (必要) |
VaultProperties
名字 | 描述 | 價值 |
---|---|---|
accessPolicies | 具有金鑰保存庫存取權的 0 到 1024 身分識別陣列。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 createMode 設定為 recover 時,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出是否需要復原保存庫。 | 'default' 'recover' |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從密鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否啟用此保存庫的清除保護。 將此屬性設定為 true 會啟用保護以防止清除此保存庫及其內容 - 只有 Key Vault 服務可能會起始難以復原的刪除。 只有在同時啟用虛刪除時,此設定才有效。 啟用這項功能是無法復原的 - 也就是說,屬性不接受 false 作為其值。 | bool |
enableRbacAuthorization | 控制數據動作授權方式的屬性。 若為 true,金鑰保存庫將會使用角色型存取控制 (RBAC) 進行資料動作的授權,而且會忽略保存庫屬性中指定的存取原則。 若為 false,金鑰保存庫將會使用保存庫屬性中指定的存取原則,而且會忽略儲存在 Azure Resource Manager 上的任何原則。 如果為 null 或未指定,則會使用預設值 false 建立保存庫。 請注意,管理動作一律已獲得 RBAC 的授權。 | bool |
enableSoftDelete | 屬性,指定此金鑰保存庫是否啟用「虛刪除」功能。 如果在建立新的密鑰保存庫時未將它設定為任何值(true 或 false),則預設會設定為 true。 設定為 true 之後,就無法將它還原為 false。 | bool |
networkAcls | 管理來自特定網路位置之金鑰保存庫存取範圍的規則。 | NetworkRuleSet |
provisioningState | 保存庫的布建狀態。 | 'RegisteringDns' 'Succeeded' |
publicNetworkAccess | 屬性,指定保存庫是否會接受來自公用因特網的流量。 如果設定為 「已停用」,則私人端點流量以外的所有流量,且源自信任服務的所有流量都會遭到封鎖。 這會覆寫設定的防火牆規則,這表示即使防火牆規則存在,我們也不會遵守規則。 | 字串 |
sku | SKU 詳細數據 | Sku (必要) |
softDeleteRetentionInDays | softDelete 數據保留天數。 它會接受 >=7,<=90。 | int |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 保存庫的 URI,用於在金鑰和秘密上執行作業。 | 字串 |
AccessPolicyEntry
名字 | 描述 | 價值 |
---|---|---|
applicationId | 代表主體提出要求的用戶端應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件標識碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別對於金鑰、秘密和憑證的許可權。 | 權限 (必要) |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
名字 | 描述 | 價值 |
---|---|---|
證書 | 憑證的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
鑰匙 | 金鑰的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
秘密 | 秘密的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
存儲 | 記憶體帳戶的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
名字 | 描述 | 價值 |
---|---|---|
旁路 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | 'AzureServices' 'None' |
defaultAction | 沒有來自ipRules和 virtualNetworkRules 相符的規則時的默認動作。 只有在評估略過屬性之後,才會使用此屬性。 | 'Allow' 'Deny' |
ipRules | IP 位址規則的清單。 | IPRule[] |
virtualNetworkRules | 虛擬網路規則的清單。 | VirtualNetworkRule[] |
IPRule
名字 | 描述 | 價值 |
---|---|---|
價值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78 的所有位址)。 | 字串 (必要) |
VirtualNetworkRule
名字 | 描述 | 價值 |
---|---|---|
id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 字串 (必要) |
ignoreMissingVnetServiceEndpoint | 屬性,指定 NRP 是否會忽略父子網是否已設定 serviceEndpoints 檢查。 | bool |
Sku
名字 | 描述 | 價值 |
---|---|---|
家庭 | SKU 系列名稱 | 'A' (必要) |
名字 | 指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | 'premium' 'standard' (必要) |
快速入門範本
下列快速入門範本會部署此資源類型。
範本 | 描述 |
---|---|
具有 NAT 閘道和應用程式閘道的 AKS 叢集 |
此範例示範如何使用 NAT 閘道部署 AKS 叢集以進行輸出連線,以及用於輸入連線的應用程式閘道。 |
使用公用 DNS 區域建立私人 AKS 叢集 |
此範例示範如何使用公用 DNS 區域部署私人 AKS 叢集。 |
在 Azure 架構上部署體育分析 |
建立已啟用 ADLS Gen 2 的 Azure 記憶體帳戶、具有記憶體帳戶連結服務的 Azure Data Factory 實例(如果已部署的 Azure SQL Database),以及 Azure Databricks 實例。 部署範本和 ADF 實例受控識別的使用者 AAD 身分識別,將會在記憶體帳戶上授與記憶體 Blob 數據參與者角色。 還有一個選項可用來部署 Azure Key Vault 實例、Azure SQL Database 和 Azure 事件中樞(適用於串流使用案例)。 部署 Azure Key Vault 時,部署範本之使用者的 Data Factory 受控識別和 AAD 身分識別將會獲得 Key Vault 秘密使用者角色。 |
Azure Machine Learning 工作區 |
此範本會建立新的 Azure Machine Learning 工作區,以及加密的記憶體帳戶、KeyVault 和 Applications Insights 記錄 |
建立 KeyVault |
本課程模組會使用 apiVersion 2019-09-01 建立 KeyVault 資源。 |
從 KeyVault 建立具有 SSL 的 API 管理服務 |
此範本會部署使用使用者指派身分識別設定的 API 管理服務。 它會使用此身分識別從 KeyVault 擷取 SSL 憑證,並每隔 4 小時檢查一次來保持更新。 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式。 |
建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
建立 Azure Stack HCI 23H2 叢集 |
此範本會使用 ARM 範本建立 Azure Stack HCI 23H2 叢集,並使用自定義記憶體 IP |
會在無交換器-雙鏈接網路模式中建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
會在 Switchless-SingleLink 網路模式中建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
從資源庫映射建立新的加密 Windows vm |
此範本會使用伺服器 2k12 資源庫映像來建立新的加密 Windows VM。 |
從資源庫映射建立新的加密受控磁碟 win-vm |
此範本會使用伺服器 2k12 資源庫映像來建立新的加密受控磁碟 Windows VM。 |
此範本會加密執行中的 Windows VMSS |
此範本可在執行中的 Windows VM 擴展集上啟用加密 |
在執行中的 Windows VM 上啟用加密 |
此範本可在執行中的 Windows VM 上啟用加密。 |
使用 jumpbox 建立和加密新的 Windows VMSS |
此範本可讓您使用最新修補版本的伺服器 Windows 版本來部署簡單的 Windows VM 擴展集。 此範本也會在相同的虛擬網路中部署具有公用IP位址的 Jumpbox。 您可以透過此公用IP位址連線到 jumpbox,然後透過私人IP位址從該處連線到擴展集中的 VM。此範本會在 WINDOWS VM 的 VM 擴展集上啟用加密。 |
建立 Azure Key Vault 和秘密 |
此範本會建立 Azure Key Vault 和秘密。 |
使用 RBAC 建立 Azure Key Vault 和秘密 |
此範本會建立 Azure Key Vault 和秘密。 它不依賴存取原則,而是利用 Azure RBAC 來管理秘密的授權 |
建立金鑰保存庫、受控識別和角色指派 |
此範本會建立金鑰保存庫、受控識別和角色指派。 |
透過私人端點連線到 Key Vault |
此範例示範如何使用設定虛擬網路和私人 DNS 區域,透過私人端點存取 Key Vault。 |
建立 Key Vault 和秘密清單 |
此範本會建立金鑰保存庫和金鑰保存庫中的秘密清單,連同參數一起傳遞 |
建立已啟用記錄功能的 Key Vault |
此範本會建立用於記錄的 Azure Key Vault 和 Azure 記憶體帳戶。 它選擇性地建立資源鎖定來保護您的 Key Vault 和記憶體資源。 |
Azure AI Studio 基本設定 |
這組範本示範如何使用基本設定來設定 Azure AI Studio,這表示已啟用公用因特網存取、Microsoft受控密鑰進行加密,以及 AI 資源的Microsoft受控識別設定。 |
Azure AI Studio 基本設定 |
這組範本示範如何使用基本設定來設定 Azure AI Studio,這表示已啟用公用因特網存取、Microsoft受控密鑰進行加密,以及 AI 資源的Microsoft受控識別設定。 |
使用 Microsoft Entra ID Authentication Azure AI Studio |
這組範本示範如何使用相依資源的 Microsoft Entra ID 驗證來設定 Azure AI Studio,例如 Azure AI 服務和 Azure 記憶體。 |
使用多個數據集建立 AML 工作區 & 資料存放區 |
此範本會建立具有多個數據集的 Azure Machine Learning 工作區,& 數據存放區。 |
Azure Machine Learning 端對端安全設定 |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和附加的私人 AKS 叢集。 |
Azure Machine Learning 端對端安全設定 (舊版) |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和附加的私人 AKS 叢集。 |
建立具有私人IP位址的 AKS 計算目標 |
此範本會在具有私人IP位址的指定 Azure Machine Learning 服務工作區中建立 AKS 計算目標。 |
建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態描述開始使用 Azure Machine Learning 所需的最少資源集。 |
建立 Azure Machine Learning 服務工作區 (CMK) |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此範例示範如何使用客戶管理的加密密鑰來設定 Azure Machine Learning 進行加密。 |
建立 Azure Machine Learning 服務工作區 (CMK) |
此部署範本會指定如何使用加密密鑰,建立具有服務端加密的 Azure Machine Learning 工作區。 |
建立 Azure Machine Learning 服務工作區 (vnet) |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態說明在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
建立 Azure Machine Learning 服務工作區 (舊版) |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態說明在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
使用應用程式閘道輸入控制器 AKS 叢集 |
此範例示範如何使用應用程式閘道、應用程式閘道輸入控制器、Azure Container Registry、Log Analytics 和 Key Vault 部署 AKS 叢集 |
使用 Key Vault 建立應用程式閘道 V2 |
此範本會在虛擬網路中部署應用程式閘道 V2、使用者定義的身分識別、Key Vault、秘密(憑證數據),以及在 Key Vault 和應用程式閘道上存取原則。 |
適用於 Azure 防火牆進階 |
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選 |
建立跨租使用者私人端點資源 |
此範本可讓您在相同或跨租用戶環境中建立Priavate端點資源,並新增 DNS 區域設定。 |
使用憑證建立應用程式閘道 |
此範本示範如何產生 Key Vault 自我簽署憑證,然後從應用程式閘道參考。 |
使用客戶管理的金鑰 Azure 記憶體帳戶加密 |
此範本會部署具有客戶自控密鑰的記憶體帳戶,以用於產生並放置在 Key Vault 內的加密。 |
使用 Azure SQL 後端 |
此範本會建立具有 Azure SQL 後端的 App Service 環境,以及私人端點,以及通常用於私人/隔離環境中的相關聯資源。 |
Azure 函式應用程式和 HTTP 觸發的函式 |
此範例會在範本中內嵌部署 Azure 函式應用程式和 HTTP 觸發的函式。 它也會部署 Key Vault,並使用函式應用程式的主機密鑰填入秘密。 |
使用內部 API 管理和 Web 應用程式 |
應用程式閘道會將因特網流量路由傳送至虛擬網路(內部模式)API 管理實例,此實例會服務裝載於 Azure Web 應用程式中的 Web API。 |
ARM 樣本資源定義
儲存庫資源類型可以使用目標作業來部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
言論
如需針對安全值使用密鑰保存庫的指引,請參閱 使用 Bicep管理秘密。
如需建立秘密的快速入門,請參閱 快速入門:使用ARM樣本從 Azure Key Vault 設定和擷取秘密。
如需建立金鑰的快速入門,請參閱 快速入門:使用 ARM 範本建立 Azure 金鑰保存庫和金鑰。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 JSON 新增至範本。
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2021-10-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
屬性值
金庫
名字 | 描述 | 價值 |
---|---|---|
類型 | 資源類型 | 'Microsoft.KeyVault/vaults' |
apiVersion | 資源 API 版本 | '2021-10-01' |
名字 | 資源名稱 | 字串 (必要) 字元限制:3-24 合法字元: 英數位元和連字元。 以字母開頭。 以字母或數字結尾。 不能包含連續連字元。 資源名稱在整個 Azure 中必須是唯一的。 |
位置 | 應該在其中建立金鑰保存庫的支援 Azure 位置。 | 字串 (必要) |
標籤 | 將指派給金鑰保存庫的標記。 | 標記名稱和值的字典。 請參閱範本中的 標籤 |
性能 | 保存庫的屬性 | VaultProperties (必要) |
VaultProperties
名字 | 描述 | 價值 |
---|---|---|
accessPolicies | 具有金鑰保存庫存取權的 0 到 1024 身分識別陣列。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 createMode 設定為 recover 時,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出是否需要復原保存庫。 | 'default' 'recover' |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從密鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否啟用此保存庫的清除保護。 將此屬性設定為 true 會啟用保護以防止清除此保存庫及其內容 - 只有 Key Vault 服務可能會起始難以復原的刪除。 只有在同時啟用虛刪除時,此設定才有效。 啟用這項功能是無法復原的 - 也就是說,屬性不接受 false 作為其值。 | bool |
enableRbacAuthorization | 控制數據動作授權方式的屬性。 若為 true,金鑰保存庫將會使用角色型存取控制 (RBAC) 進行資料動作的授權,而且會忽略保存庫屬性中指定的存取原則。 若為 false,金鑰保存庫將會使用保存庫屬性中指定的存取原則,而且會忽略儲存在 Azure Resource Manager 上的任何原則。 如果為 null 或未指定,則會使用預設值 false 建立保存庫。 請注意,管理動作一律已獲得 RBAC 的授權。 | bool |
enableSoftDelete | 屬性,指定此金鑰保存庫是否啟用「虛刪除」功能。 如果在建立新的密鑰保存庫時未將它設定為任何值(true 或 false),則預設會設定為 true。 設定為 true 之後,就無法將它還原為 false。 | bool |
networkAcls | 管理來自特定網路位置之金鑰保存庫存取範圍的規則。 | NetworkRuleSet |
provisioningState | 保存庫的布建狀態。 | 'RegisteringDns' 'Succeeded' |
publicNetworkAccess | 屬性,指定保存庫是否會接受來自公用因特網的流量。 如果設定為 「已停用」,則私人端點流量以外的所有流量,且源自信任服務的所有流量都會遭到封鎖。 這會覆寫設定的防火牆規則,這表示即使防火牆規則存在,我們也不會遵守規則。 | 字串 |
sku | SKU 詳細數據 | Sku (必要) |
softDeleteRetentionInDays | softDelete 數據保留天數。 它會接受 >=7,<=90。 | int |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 保存庫的 URI,用於在金鑰和秘密上執行作業。 | 字串 |
AccessPolicyEntry
名字 | 描述 | 價值 |
---|---|---|
applicationId | 代表主體提出要求的用戶端應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件標識碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別對於金鑰、秘密和憑證的許可權。 | 權限 (必要) |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
名字 | 描述 | 價值 |
---|---|---|
證書 | 憑證的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
鑰匙 | 金鑰的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
秘密 | 秘密的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
存儲 | 記憶體帳戶的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
名字 | 描述 | 價值 |
---|---|---|
旁路 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | 'AzureServices' 'None' |
defaultAction | 沒有來自ipRules和 virtualNetworkRules 相符的規則時的默認動作。 只有在評估略過屬性之後,才會使用此屬性。 | 'Allow' 'Deny' |
ipRules | IP 位址規則的清單。 | IPRule[] |
virtualNetworkRules | 虛擬網路規則的清單。 | VirtualNetworkRule[] |
IPRule
名字 | 描述 | 價值 |
---|---|---|
價值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78 的所有位址)。 | 字串 (必要) |
VirtualNetworkRule
名字 | 描述 | 價值 |
---|---|---|
id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 字串 (必要) |
ignoreMissingVnetServiceEndpoint | 屬性,指定 NRP 是否會忽略父子網是否已設定 serviceEndpoints 檢查。 | bool |
Sku
名字 | 描述 | 價值 |
---|---|---|
家庭 | SKU 系列名稱 | 'A' (必要) |
名字 | 指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | 'premium' 'standard' (必要) |
快速入門範本
下列快速入門範本會部署此資源類型。
範本 | 描述 |
---|---|
具有 NAT 閘道和應用程式閘道的 AKS 叢集 |
此範例示範如何使用 NAT 閘道部署 AKS 叢集以進行輸出連線,以及用於輸入連線的應用程式閘道。 |
使用公用 DNS 區域建立私人 AKS 叢集 |
此範例示範如何使用公用 DNS 區域部署私人 AKS 叢集。 |
在 Azure 架構上部署體育分析 |
建立已啟用 ADLS Gen 2 的 Azure 記憶體帳戶、具有記憶體帳戶連結服務的 Azure Data Factory 實例(如果已部署的 Azure SQL Database),以及 Azure Databricks 實例。 部署範本和 ADF 實例受控識別的使用者 AAD 身分識別,將會在記憶體帳戶上授與記憶體 Blob 數據參與者角色。 還有一個選項可用來部署 Azure Key Vault 實例、Azure SQL Database 和 Azure 事件中樞(適用於串流使用案例)。 部署 Azure Key Vault 時,部署範本之使用者的 Data Factory 受控識別和 AAD 身分識別將會獲得 Key Vault 秘密使用者角色。 |
Azure Machine Learning 工作區 |
此範本會建立新的 Azure Machine Learning 工作區,以及加密的記憶體帳戶、KeyVault 和 Applications Insights 記錄 |
建立 KeyVault |
本課程模組會使用 apiVersion 2019-09-01 建立 KeyVault 資源。 |
從 KeyVault 建立具有 SSL 的 API 管理服務 |
此範本會部署使用使用者指派身分識別設定的 API 管理服務。 它會使用此身分識別從 KeyVault 擷取 SSL 憑證,並每隔 4 小時檢查一次來保持更新。 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式。 |
建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
建立 Azure Stack HCI 23H2 叢集 |
此範本會使用 ARM 範本建立 Azure Stack HCI 23H2 叢集,並使用自定義記憶體 IP |
會在無交換器-雙鏈接網路模式中建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
會在 Switchless-SingleLink 網路模式中建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
從資源庫映射建立新的加密 Windows vm |
此範本會使用伺服器 2k12 資源庫映像來建立新的加密 Windows VM。 |
從資源庫映射建立新的加密受控磁碟 win-vm |
此範本會使用伺服器 2k12 資源庫映像來建立新的加密受控磁碟 Windows VM。 |
此範本會加密執行中的 Windows VMSS |
此範本可在執行中的 Windows VM 擴展集上啟用加密 |
在執行中的 Windows VM 上啟用加密 |
此範本可在執行中的 Windows VM 上啟用加密。 |
使用 jumpbox 建立和加密新的 Windows VMSS |
此範本可讓您使用最新修補版本的伺服器 Windows 版本來部署簡單的 Windows VM 擴展集。 此範本也會在相同的虛擬網路中部署具有公用IP位址的 Jumpbox。 您可以透過此公用IP位址連線到 jumpbox,然後透過私人IP位址從該處連線到擴展集中的 VM。此範本會在 WINDOWS VM 的 VM 擴展集上啟用加密。 |
建立 Azure Key Vault 和秘密 |
此範本會建立 Azure Key Vault 和秘密。 |
使用 RBAC 建立 Azure Key Vault 和秘密 |
此範本會建立 Azure Key Vault 和秘密。 它不依賴存取原則,而是利用 Azure RBAC 來管理秘密的授權 |
建立金鑰保存庫、受控識別和角色指派 |
此範本會建立金鑰保存庫、受控識別和角色指派。 |
透過私人端點連線到 Key Vault |
此範例示範如何使用設定虛擬網路和私人 DNS 區域,透過私人端點存取 Key Vault。 |
建立 Key Vault 和秘密清單 |
此範本會建立金鑰保存庫和金鑰保存庫中的秘密清單,連同參數一起傳遞 |
建立已啟用記錄功能的 Key Vault |
此範本會建立用於記錄的 Azure Key Vault 和 Azure 記憶體帳戶。 它選擇性地建立資源鎖定來保護您的 Key Vault 和記憶體資源。 |
Azure AI Studio 基本設定 |
這組範本示範如何使用基本設定來設定 Azure AI Studio,這表示已啟用公用因特網存取、Microsoft受控密鑰進行加密,以及 AI 資源的Microsoft受控識別設定。 |
Azure AI Studio 基本設定 |
這組範本示範如何使用基本設定來設定 Azure AI Studio,這表示已啟用公用因特網存取、Microsoft受控密鑰進行加密,以及 AI 資源的Microsoft受控識別設定。 |
使用 Microsoft Entra ID Authentication Azure AI Studio |
這組範本示範如何使用相依資源的 Microsoft Entra ID 驗證來設定 Azure AI Studio,例如 Azure AI 服務和 Azure 記憶體。 |
使用多個數據集建立 AML 工作區 & 資料存放區 |
此範本會建立具有多個數據集的 Azure Machine Learning 工作區,& 數據存放區。 |
Azure Machine Learning 端對端安全設定 |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和附加的私人 AKS 叢集。 |
Azure Machine Learning 端對端安全設定 (舊版) |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和附加的私人 AKS 叢集。 |
建立具有私人IP位址的 AKS 計算目標 |
此範本會在具有私人IP位址的指定 Azure Machine Learning 服務工作區中建立 AKS 計算目標。 |
建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態描述開始使用 Azure Machine Learning 所需的最少資源集。 |
建立 Azure Machine Learning 服務工作區 (CMK) |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此範例示範如何使用客戶管理的加密密鑰來設定 Azure Machine Learning 進行加密。 |
建立 Azure Machine Learning 服務工作區 (CMK) |
此部署範本會指定如何使用加密密鑰,建立具有服務端加密的 Azure Machine Learning 工作區。 |
建立 Azure Machine Learning 服務工作區 (vnet) |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態說明在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
建立 Azure Machine Learning 服務工作區 (舊版) |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態說明在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
使用應用程式閘道輸入控制器 AKS 叢集 |
此範例示範如何使用應用程式閘道、應用程式閘道輸入控制器、Azure Container Registry、Log Analytics 和 Key Vault 部署 AKS 叢集 |
使用 Key Vault 建立應用程式閘道 V2 |
此範本會在虛擬網路中部署應用程式閘道 V2、使用者定義的身分識別、Key Vault、秘密(憑證數據),以及在 Key Vault 和應用程式閘道上存取原則。 |
適用於 Azure 防火牆進階 |
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選 |
建立跨租使用者私人端點資源 |
此範本可讓您在相同或跨租用戶環境中建立Priavate端點資源,並新增 DNS 區域設定。 |
使用憑證建立應用程式閘道 |
此範本示範如何產生 Key Vault 自我簽署憑證,然後從應用程式閘道參考。 |
使用客戶管理的金鑰 Azure 記憶體帳戶加密 |
此範本會部署具有客戶自控密鑰的記憶體帳戶,以用於產生並放置在 Key Vault 內的加密。 |
使用 Azure SQL 後端 |
此範本會建立具有 Azure SQL 後端的 App Service 環境,以及私人端點,以及通常用於私人/隔離環境中的相關聯資源。 |
Azure 函式應用程式和 HTTP 觸發的函式 |
此範例會在範本中內嵌部署 Azure 函式應用程式和 HTTP 觸發的函式。 它也會部署 Key Vault,並使用函式應用程式的主機密鑰填入秘密。 |
使用內部 API 管理和 Web 應用程式 |
應用程式閘道會將因特網流量路由傳送至虛擬網路(內部模式)API 管理實例,此實例會服務裝載於 Azure Web 應用程式中的 Web API。 |
Terraform (AzAPI 提供者) 資源定義
儲存庫資源類型可以使用目標作業來部署:
- 資源群組
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 Terraform 新增至範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2021-10-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
屬性值
金庫
名字 | 描述 | 價值 |
---|---|---|
類型 | 資源類型 | “Microsoft.KeyVault/vaults@2021-10-01” |
名字 | 資源名稱 | 字串 (必要) 字元限制:3-24 合法字元: 英數位元和連字元。 以字母開頭。 以字母或數字結尾。 不能包含連續連字元。 資源名稱在整個 Azure 中必須是唯一的。 |
位置 | 應該在其中建立金鑰保存庫的支援 Azure 位置。 | 字串 (必要) |
parent_id | 若要部署至資源群組,請使用該資源群組的標識碼。 | 字串 (必要) |
標籤 | 將指派給金鑰保存庫的標記。 | 標記名稱和值的字典。 |
性能 | 保存庫的屬性 | VaultProperties (必要) |
VaultProperties
名字 | 描述 | 價值 |
---|---|---|
accessPolicies | 具有金鑰保存庫存取權的 0 到 1024 身分識別陣列。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 createMode 設定為 recover 時,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出是否需要復原保存庫。 | “default” “recover” |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從密鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否啟用此保存庫的清除保護。 將此屬性設定為 true 會啟用保護以防止清除此保存庫及其內容 - 只有 Key Vault 服務可能會起始難以復原的刪除。 只有在同時啟用虛刪除時,此設定才有效。 啟用這項功能是無法復原的 - 也就是說,屬性不接受 false 作為其值。 | bool |
enableRbacAuthorization | 控制數據動作授權方式的屬性。 若為 true,金鑰保存庫將會使用角色型存取控制 (RBAC) 進行資料動作的授權,而且會忽略保存庫屬性中指定的存取原則。 若為 false,金鑰保存庫將會使用保存庫屬性中指定的存取原則,而且會忽略儲存在 Azure Resource Manager 上的任何原則。 如果為 null 或未指定,則會使用預設值 false 建立保存庫。 請注意,管理動作一律已獲得 RBAC 的授權。 | bool |
enableSoftDelete | 屬性,指定此金鑰保存庫是否啟用「虛刪除」功能。 如果在建立新的密鑰保存庫時未將它設定為任何值(true 或 false),則預設會設定為 true。 設定為 true 之後,就無法將它還原為 false。 | bool |
networkAcls | 管理來自特定網路位置之金鑰保存庫存取範圍的規則。 | NetworkRuleSet |
provisioningState | 保存庫的布建狀態。 | “RegisteringDns” “Succeeded” |
publicNetworkAccess | 屬性,指定保存庫是否會接受來自公用因特網的流量。 如果設定為 「已停用」,則私人端點流量以外的所有流量,且源自信任服務的所有流量都會遭到封鎖。 這會覆寫設定的防火牆規則,這表示即使防火牆規則存在,我們也不會遵守規則。 | 字串 |
sku | SKU 詳細數據 | Sku (必要) |
softDeleteRetentionInDays | softDelete 數據保留天數。 它會接受 >=7,<=90。 | int |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 保存庫的 URI,用於在金鑰和秘密上執行作業。 | 字串 |
AccessPolicyEntry
名字 | 描述 | 價值 |
---|---|---|
applicationId | 代表主體提出要求的用戶端應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件標識碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別對於金鑰、秘密和憑證的許可權。 | 權限 (必要) |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
名字 | 描述 | 價值 |
---|---|---|
證書 | 憑證的許可權 | 包含任何的字串數組: “all” “backup” “create” “delete” “deleteissuers” “get” “getissuers” “import” “list” “listissuers” “managecontacts” “manageissuers” “purge” “recover” “restore” “setissuers” “update” |
鑰匙 | 金鑰的許可權 | 包含任何的字串數組: “all” “backup” “create” “decrypt” “delete” “encrypt” “get” “import” “list” “purge” “recover” “restore” “sign” “unwrapKey” “update” “verify” “wrapKey” |
秘密 | 秘密的許可權 | 包含任何的字串數組: “all” “backup” “delete” “get” “list” “purge” “recover” “restore” “set” |
存儲 | 記憶體帳戶的許可權 | 包含任何的字串數組: “all” “backup” “delete” “deletesas” “get” “getsas” “list” “listsas” “purge” “recover” “regeneratekey” “restore” “set” “setsas” “update” |
NetworkRuleSet
名字 | 描述 | 價值 |
---|---|---|
旁路 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | “AzureServices” “None” |
defaultAction | 沒有來自ipRules和 virtualNetworkRules 相符的規則時的默認動作。 只有在評估略過屬性之後,才會使用此屬性。 | “Allow” “Deny” |
ipRules | IP 位址規則的清單。 | IPRule[] |
virtualNetworkRules | 虛擬網路規則的清單。 | VirtualNetworkRule[] |
IPRule
名字 | 描述 | 價值 |
---|---|---|
價值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78 的所有位址)。 | 字串 (必要) |
VirtualNetworkRule
名字 | 描述 | 價值 |
---|---|---|
id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 字串 (必要) |
ignoreMissingVnetServiceEndpoint | 屬性,指定 NRP 是否會忽略父子網是否已設定 serviceEndpoints 檢查。 | bool |
Sku
名字 | 描述 | 價值 |
---|---|---|
家庭 | SKU 系列名稱 | “A” (必要) |
名字 | 指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | “premium” “standard” (必要) |