Microsoft.KeyVault 保存庫 2022-07-01
Bicep 資源定義
儲存庫資源類型可以使用目標作業進行部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
備註
如需使用金鑰保存庫進行安全值的指引,請參閱 使用 Bicep 管理秘密。
如需建立秘密的快速入門,請參閱快速入門:使用ARM樣本從 Azure 金鑰保存庫 設定和擷取秘密。
如需建立金鑰的快速入門,請參閱 快速入門:使用ARM樣本建立 Azure 金鑰保存庫和金鑰。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 Bicep 新增至範本。
resource symbolicname 'Microsoft.KeyVault/vaults@2022-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
屬性值
vaults
名稱 | 描述 | 值 |
---|---|---|
NAME | 資源名稱 | 需要字串 () 字元限制:3-24 合法字元: 英數字元和連字號。 以字母開頭。 以字母或數字結尾。 不能包含連續的連字號。 資源名稱在整個 Azure 中必須是唯一的。 |
location | 應建立金鑰保存庫的支援 Azure 位置。 | 需要字串 () |
tags | 將指派給金鑰保存庫的標記。 | 標記名稱和值的字典。 請參閱 範本中的標籤 |
properties | 保存庫的屬性 | 需要 VaultProperties () |
VaultProperties
名稱 | 描述 | 值 |
---|---|---|
accessPolicies | 0 到 1024 身分識別的陣列,可存取金鑰保存庫。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 設定為 recover 時createMode ,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出是否需要復原保存庫。 | 'default' 'recover' |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機器 從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從金鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否為此保存庫啟用清除保護。 將此屬性設定為 true 會啟用保護,以防止清除此保存庫及其內容, 只有 金鑰保存庫 服務可能會起始硬式且無法復原的刪除。 只有在同時啟用虛刪除時,設定才有效。 啟用這項功能是無法復原的,也就是說,屬性不接受 false 做為其值。 | bool |
enableRbacAuthorization | 控制數據動作授權方式的屬性。 若為 true,金鑰保存庫會使用角色型 存取控制 (RBAC) 來授權數據動作,並忽略保存庫屬性中指定的存取原則。 若為 false,金鑰保存庫屬性中指定的存取原則,而且會忽略儲存在 Azure Resource Manager 上的任何原則。 如果未指定 Null,則會以預設值 false 建立保存庫。 請注意,管理動作一律會獲得 RBAC 的授權。 | bool |
enableSoftDelete | 屬性,指定是否為此金鑰保存庫啟用「虛刪除」功能。 如果建立新的密鑰保存庫時未設定為任何值 (true 或 false) ,則預設會將其設定為 true。 設定為 true 之後,就無法還原為 false。 | bool |
networkAcls | 從特定網路位置控管金鑰保存庫存取權的規則。 | NetworkRuleSet |
provisioningState | 保存庫的布建狀態。 | 'RegisteringDns' 'Succeeded' |
publicNetworkAccess | 屬性,指定保存庫是否接受來自公用因特網的流量。 如果設定為 「已停用」所有流量,但私人端點流量除外,且來自受信任服務的流量將會遭到封鎖。 這會覆寫設定的防火牆規則,這表示即使防火牆規則存在,我們也不會接受規則。 | 字串 |
sku | SKU 詳細資料 | 需要sku () |
softDeleteRetentionInDays | softDelete 數據保留天數。 它接受 >=7 和 <=90。 | int |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 保存庫的 URI,用於對金鑰和秘密執行作業。 | 字串 |
AccessPolicyEntry
名稱 | 描述 | 值 |
---|---|---|
applicationId | 代表主體提出要求之用戶端的應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件識別碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別具有金鑰、秘密和憑證的許可權。 | 必要許可權 () |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
名稱 | 描述 | 值 |
---|---|---|
certificates | 憑證的許可權 | 包含任何項目的字串數組: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
金鑰 | 金鑰的許可權 | 包含任何項目的字串數組: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
密碼 | 秘密的許可權 | 包含任何項目的字串數組: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
儲存 | 記憶體帳戶的許可權 | 包含任何項目的字串數組: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
名稱 | 描述 | 值 |
---|---|---|
略過 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | 'AzureServices' 'None' |
defaultAction | 當ipRules和 virtualNetworkRules 沒有規則相符時,默認動作。 這只有在評估略過屬性之後才會使用。 | 'Allow' 'Deny' |
ipRules | IP 位址規則的清單。 | IPRule[] |
virtualNetworkRules | 虛擬網路規則的清單。 | VirtualNetworkRule[] |
IPRule
名稱 | 描述 | 值 |
---|---|---|
值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單的 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78) 的所有位址。 | 需要字串 () |
VirtualNetworkRule
名稱 | 描述 | 值 |
---|---|---|
id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 需要字串 () |
ignoreMissingVnetServiceEndpoint | 屬性,指定 NRP 是否會忽略是否已設定 serviceEndpoints 的父子網檢查。 | bool |
SKU
名稱 | 描述 | 值 |
---|---|---|
family | SKU 系列名稱 | 'A' (必要) |
NAME | 用來指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | 'premium' 'standard' (必要) |
快速入門範本
下列快速入門範本會部署此資源類型。
範本 | 描述 |
---|---|
適用於 Azure 的 SAS 9.4 和 Viya 快速入門範本 |
適用於 Azure 的 SAS® 9.4 和 Viya 快速入門範本會在雲端上部署這些產品:SAS Enterprise BI Server 9.4、SAS®® Enterprise Miner 15.1 和 Linux 上的 SAS 可視化分析 8.5,以及 Linux 上的 SAS®® 視覺數據採礦和 Machine Learning 8.5 for Viya。 本快速入門是一種參考架構,適用於想要使用雲端易記技術在 Azure 上部署 SAS® 9.4 和 Viya 組合的使用者。 藉由在 Azure 上部署 SAS® 平臺,您可以取得 SAS® 9.4 和 Viya 環境的整合環境,以便利用這兩個世界。 SAS® Viya 是啟用雲端的記憶體內部分析引擎。 其使用彈性、可調整且容錯的處理來解決複雜的分析挑戰。 SAS® Viya 使用支援 SAS®、Python、R、Java 和 Lua 程式設計的標準化程式代碼基底,提供更快速的分析處理。 它也支援雲端、內部部署或混合式環境,並順暢地部署到任何基礎結構或應用程式生態系統。 |
具有 NAT 閘道和 應用程式閘道 的 AKS 叢集 |
此範例示範如何使用 NAT 閘道部署 AKS 叢集以進行輸出連線,以及輸入連線的 應用程式閘道。 |
使用公用 DNS 區域建立私人 AKS 叢集 |
此範例示範如何使用公用 DNS 區域部署私人 AKS 叢集。 |
在 Azure 架構上部署運動分析 |
建立已啟用 ADLS Gen 2 的 Azure 記憶體帳戶、具有記憶體帳戶連結服務的 Azure Data Factory 實例, (已部署) 的 Azure SQL 資料庫,以及 Azure Databricks 實例。 部署範本的使用者 AAD 身分識別和 ADF 實例的受控識別,將會獲得記憶體帳戶上的記憶體 Blob 數據參與者角色。 另外還有一個選項可用來部署 Azure 金鑰保存庫 實例、Azure SQL 資料庫,以及用於串流使用案例的 Azure 事件中樞 () 。 部署 Azure 金鑰保存庫 時,部署範本之使用者的 Data Factory 受控識別和 AAD 身分識別將會獲得 金鑰保存庫 秘密使用者角色。 |
Azure Machine Learning 工作區 |
此範本會建立新的 Azure Machine Learning 工作區,以及加密的記憶體帳戶、KeyVault 和 Applications Insights 記錄 |
建立 KeyVault |
此課程模組會使用 apiVersion 2019-09-01 建立 KeyVault 資源。 |
從 KeyVault 使用 SSL 建立 API 管理 服務 |
此範本會部署使用使用者指派的身分識別所設定的 API 管理 服務。 它會使用此身分識別從 KeyVault 擷取 SSL 憑證,並每隔 4 小時檢查一次來保持更新。 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式。 |
建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
從資源庫映像建立新的加密 Windows VM |
此範本會使用伺服器 2k12 資源庫映像建立新的加密 Windows VM。 |
從資源庫映像建立新的加密受控磁碟 win-vm |
此範本會使用伺服器 2k12 資源庫映像,建立新的加密受控磁碟 Windows VM。 |
此範本會加密執行中的 Windows VMSS |
此範本可在執行中的 Windows VM 擴展集上啟用加密 |
在執行中的 Windows VM 上啟用加密 |
此範本可在執行中的 Windows VM 上啟用加密。 |
使用 Jumpbox 建立和加密新的 Windows VMSS |
此範本可讓您使用最新修補版本的伺服器 Windows 版本來部署簡單的 Windows VM 擴展集。 此範本也會在相同的虛擬網路中部署具有公用IP位址的 Jumpbox。 您可以透過此公用IP位址連線到 Jumpbox,然後透過私人IP位址從該處連線到擴展集中的 VM。此範本可在 Windows VM 的 VM 擴展集上啟用加密。 |
建立 Azure Key Vault 和秘密 |
此範本會建立 Azure 金鑰保存庫 和秘密。 |
使用 RBAC 和秘密建立 Azure 金鑰保存庫 |
此範本會建立 Azure 金鑰保存庫 和秘密。 它不會依賴存取原則,而是利用 Azure RBAC 來管理秘密的授權 |
建立金鑰保存庫、受控識別和角色指派 |
此範本會建立金鑰保存庫、受控識別和角色指派。 |
透過私人端點連線到 金鑰保存庫 |
此範例示範如何使用設定虛擬網路和私人 DNS 區域,透過私人端點存取 金鑰保存庫。 |
建立 Key Vault 和秘密清單 |
此範本會建立 金鑰保存庫和金鑰保存庫中的秘密清單,連同參數一起傳遞 |
建立已啟用記錄的 金鑰保存庫 |
此範本會建立用於記錄的 Azure 金鑰保存庫 和 Azure 記憶體帳戶。 它會選擇性地建立資源鎖定,以保護您的 金鑰保存庫 和記憶體資源。 |
& 數據存放區建立具有多個數據集的 AML 工作區 |
此範本會建立具有多個數據集的 Azure Machine Learning 工作區,& 數據存放區。 |
Azure Machine Learning 端對端安全設定 |
這組 Bicep 範本示範如何在安全設定中端對端設定 Azure Machine Learning。 此參考實作包括 Workspace、計算叢集、計算實例和附加的私人 AKS 叢集。 |
Azure Machine Learning 端對端安全設定 (舊版) |
這組 Bicep 範本示範如何在安全設定中端對端設定 Azure Machine Learning。 此參考實作包括 Workspace、計算叢集、計算實例和附加的私人 AKS 叢集。 |
使用私人IP位址建立 AKS 計算目標 |
此範本會在具有私人IP位址的指定 Azure Machine Learning 服務工作區中建立 AKS 計算目標。 |
建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述開始使用 Azure Machine Learning 所需的最少資源集。 |
(CMK) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此範例示範如何設定 Azure Machine Learning 以使用客戶管理的加密密鑰進行加密。 |
(vnet) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述在網路隔離設定中開始使用 Azure Machine Learning 所需的一組資源。 |
(舊版) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述在網路隔離設定中開始使用 Azure Machine Learning 所需的一組資源。 |
具有 應用程式閘道 輸入控制器的 AKS 叢集 |
此範例示範如何使用 應用程式閘道、應用程式閘道 輸入控制器、Azure Container Registry、Log Analytics 和 金鑰保存庫 部署 AKS 叢集 |
使用 金鑰保存庫 建立 應用程式閘道 V2 |
此範本會在 虛擬網路、使用者定義身分識別、金鑰保存庫、秘密 (憑證數據) ,以及在 金鑰保存庫 和 應用程式閘道 上部署 應用程式閘道 V2。 |
Azure 防火牆 Premium 的測試環境 |
此範本會建立具有進階功能的 Azure 防火牆 進階和防火牆原則,例如入侵檢測 (IDPS) 、TLS 檢查和 Web 類別篩選 |
使用憑證建立 應用程式閘道 |
此範本示範如何產生 金鑰保存庫 自我簽署憑證,然後從 應用程式閘道 參考。 |
使用客戶管理的金鑰進行 Azure 記憶體帳戶加密 |
此範本會使用客戶管理的密鑰來部署記憶體帳戶,以進行產生的加密,並將其放在 金鑰保存庫 內。 |
使用 Azure SQL 後端 App Service 環境 |
此範本會建立具有 Azure SQL 後端的 App Service 環境,以及私人端點,以及通常用於私人/隔離環境中的相關聯資源。 |
Azure 函式應用程式和 HTTP 觸發的函式 |
此範例會在範本中內嵌部署 Azure 函式應用程式和 HTTP 觸發的函式。 它也會部署 金鑰保存庫,並使用函式應用程式的主機金鑰填入秘密。 |
使用內部 API 管理和 Web 應用程式 應用程式閘道 |
應用程式閘道 將因特網流量路由傳送至虛擬網路 (內部模式) API 管理 實例,其服務裝載於 Azure Web 應用程式中的 Web API。 |
ARM 範本資源定義
儲存庫資源類型可以使用目標作業進行部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
備註
如需使用金鑰保存庫進行安全值的指引,請參閱 使用 Bicep 管理秘密。
如需建立秘密的快速入門,請參閱快速入門:使用ARM樣本從 Azure 金鑰保存庫 設定和擷取秘密。
如需建立金鑰的快速入門,請參閱 快速入門:使用ARM樣本建立 Azure 金鑰保存庫和金鑰。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 JSON 新增至範本。
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2022-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
屬性值
vaults
名稱 | 描述 | 值 |
---|---|---|
類型 | 資源類型 | 'Microsoft.KeyVault/vaults' |
apiVersion | 資源 API 版本 | '2022-07-01' |
NAME | 資源名稱 | 需要字串 () 字元限制:3-24 合法字元: 英數字元和連字號。 以字母開頭。 以字母或數字結尾。 不能包含連續的連字號。 資源名稱在整個 Azure 中必須是唯一的。 |
location | 應建立金鑰保存庫的支援 Azure 位置。 | 需要字串 () |
tags | 將指派給金鑰保存庫的標記。 | 標記名稱和值的字典。 請參閱 範本中的標籤 |
properties | 保存庫的屬性 | 需要 VaultProperties () |
VaultProperties
名稱 | 描述 | 值 |
---|---|---|
accessPolicies | 0 到 1024 身分識別的陣列,可存取金鑰保存庫。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 設定為 recover 時createMode ,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出是否需要復原保存庫。 | 'default' 'recover' |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機器 從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從金鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否為此保存庫啟用清除保護。 將此屬性設定為 true 會啟用保護,以防止清除此保存庫及其內容- 只有 金鑰保存庫 服務可能會起始硬式且無法復原的刪除。 只有在同時啟用虛刪除時,設定才有效。 啟用這項功能是無法復原的,也就是說,屬性不接受 false 做為其值。 | bool |
enableRbacAuthorization | 控制數據動作授權方式的屬性。 若為 true,金鑰保存庫會使用角色型 存取控制 (RBAC) 來授權數據動作,並忽略保存庫屬性中指定的存取原則。 若為 false,金鑰保存庫屬性中指定的存取原則,而且會忽略儲存在 Azure Resource Manager 上的任何原則。 如果未指定 Null,則會以預設值 false 建立保存庫。 請注意,管理動作一律會獲得 RBAC 的授權。 | bool |
enableSoftDelete | 屬性,指定是否為此金鑰保存庫啟用「虛刪除」功能。 如果建立新的密鑰保存庫時未設定為任何值 (true 或 false) ,則預設會將其設定為 true。 設定為 true 之後,就無法還原為 false。 | bool |
networkAcls | 從特定網路位置控管金鑰保存庫存取權的規則。 | NetworkRuleSet |
provisioningState | 保存庫的布建狀態。 | 'RegisteringDns' 'Succeeded' |
publicNetworkAccess | 屬性,指定保存庫是否接受來自公用因特網的流量。 如果設定為 「已停用」所有流量,但私人端點流量除外,且來自受信任服務的流量將會遭到封鎖。 這會覆寫設定的防火牆規則,這表示即使防火牆規則存在,我們也不會接受規則。 | 字串 |
sku | SKU 詳細資料 | 需要sku () |
softDeleteRetentionInDays | softDelete 數據保留天數。 它接受 >=7 和 <=90。 | int |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 保存庫的 URI,用於對金鑰和秘密執行作業。 | 字串 |
AccessPolicyEntry
名稱 | 描述 | 值 |
---|---|---|
applicationId | 代表主體提出要求之用戶端的應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件識別碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別具有金鑰、秘密和憑證的許可權。 | 必要許可權 () |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
名稱 | 描述 | 值 |
---|---|---|
certificates | 憑證的許可權 | 包含任何項目的字串數組: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
金鑰 | 金鑰的許可權 | 包含任何項目的字串數組: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
密碼 | 秘密的許可權 | 包含任何項目的字串數組: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
儲存 | 記憶體帳戶的許可權 | 包含任何項目的字串數組: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
名稱 | 描述 | 值 |
---|---|---|
略過 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | 'AzureServices' 'None' |
defaultAction | 當ipRules和 virtualNetworkRules 沒有規則相符時,默認動作。 這只有在評估略過屬性之後才會使用。 | 'Allow' 'Deny' |
ipRules | IP 位址規則的清單。 | IPRule[] |
virtualNetworkRules | 虛擬網路規則的清單。 | VirtualNetworkRule[] |
IPRule
名稱 | 描述 | 值 |
---|---|---|
值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單的 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78) 的所有位址。 | 需要字串 () |
VirtualNetworkRule
名稱 | 描述 | 值 |
---|---|---|
id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 需要字串 () |
ignoreMissingVnetServiceEndpoint | 屬性,指定 NRP 是否會忽略是否已設定 serviceEndpoints 的父子網檢查。 | bool |
SKU
名稱 | 描述 | 值 |
---|---|---|
family | SKU 系列名稱 | 'A' (必要) |
NAME | 用來指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | 'premium' 'standard' (必要) |
快速入門範本
下列快速入門範本會部署此資源類型。
範本 | 描述 |
---|---|
適用於 Azure 的 SAS 9.4 和 Viya 快速入門範本 |
適用於 Azure 的 SAS® 9.4 和 Viya 快速入門範本會在雲端上部署這些產品:SAS Enterprise BI Server 9.4、SAS®® Enterprise Miner 15.1 和 Linux 上的 SAS 可視化分析 8.5,以及 Linux 上的 SAS®® 視覺數據採礦和 Machine Learning 8.5 for Viya。 本快速入門是一種參考架構,適用於想要使用雲端易記技術在 Azure 上部署 SAS® 9.4 和 Viya 組合的使用者。 藉由在 Azure 上部署 SAS® 平臺,您可以取得 SAS® 9.4 和 Viya 環境的整合環境,以便利用這兩個世界。 SAS® Viya 是啟用雲端的記憶體內部分析引擎。 其使用彈性、可調整且容錯的處理來解決複雜的分析挑戰。 SAS® Viya 使用支援 SAS®、Python、R、Java 和 Lua 程式設計的標準化程式代碼基底,提供更快速的分析處理。 它也支援雲端、內部部署或混合式環境,並順暢地部署到任何基礎結構或應用程式生態系統。 |
具有 NAT 閘道和 應用程式閘道 的 AKS 叢集 |
此範例示範如何使用 NAT 閘道部署 AKS 叢集以進行輸出連線,以及輸入連線的 應用程式閘道。 |
使用公用 DNS 區域建立私人 AKS 叢集 |
此範例示範如何使用公用 DNS 區域部署私人 AKS 叢集。 |
在 Azure 架構上部署運動分析 |
建立已啟用 ADLS Gen 2 的 Azure 記憶體帳戶、具有記憶體帳戶連結服務的 Azure Data Factory 實例, (部署) Azure SQL 資料庫,以及 Azure Databricks 實例。 部署範本的使用者 AAD 身分識別和 ADF 實例的受控識別,將會獲得記憶體帳戶上的記憶體 Blob 數據參與者角色。 還有一個選項可用來部署 Azure 金鑰保存庫 實例、Azure SQL 資料庫,以及用於串流處理使用案例的 Azure 事件中樞 () 。 部署 Azure 金鑰保存庫 時,部署範本之使用者的 Data Factory 受控識別和 AAD 身分識別將會獲得 金鑰保存庫 秘密使用者角色。 |
Azure Machine Learning 工作區 |
此範本會建立新的 Azure Machine Learning 工作區,以及加密的記憶體帳戶、KeyVault 和 Applications Insights 記錄 |
建立 KeyVault |
此課程模組會使用 apiVersion 2019-09-01 建立 KeyVault 資源。 |
從 KeyVault 使用 SSL 建立 API 管理 服務 |
此範本會部署使用使用者指派的身分識別所設定 API 管理 服務。 它會使用此身分識別從 KeyVault 擷取 SSL 憑證,並每隔 4 小時檢查一次來保持更新。 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式。 |
建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
從資源庫映像建立新的加密 Windows VM |
此範本會使用伺服器 2k12 資源庫映像建立新的加密 Windows VM。 |
從資源庫映像建立新的加密受控磁碟 win-vm |
此範本會使用伺服器 2k12 資源庫映像建立新的加密受控磁碟 Windows VM。 |
此範本會加密執行中的 Windows VMSS |
此範本可在執行中的 Windows VM 擴展集上啟用加密 |
在執行中的 Windows VM 上啟用加密 |
此範本可在執行中的 Windows VM 上啟用加密。 |
使用 Jumpbox 建立並加密新的 Windows VMSS |
此範本可讓您使用最新修補版本的伺服器 Windows 版本來部署簡單的 Windows VM 擴展集。 此範本也會在相同的虛擬網路中部署具有公用IP位址的 Jumpbox。 您可以透過此公用IP位址連線到 jumpbox,然後透過私人IP位址從該處連線到擴展集中的 VM。此範本可在 WINDOWS VM 的 VM 擴展集上啟用加密。 |
建立 Azure Key Vault 和秘密 |
此範本會建立 Azure 金鑰保存庫 和秘密。 |
使用 RBAC 和秘密建立 Azure 金鑰保存庫 |
此範本會建立 Azure 金鑰保存庫 和秘密。 它不會依賴存取原則,而是利用 Azure RBAC 來管理秘密的授權 |
建立金鑰保存庫、受控識別和角色指派 |
此範本會建立金鑰保存庫、受控識別和角色指派。 |
透過私人端點連線到 金鑰保存庫 |
此範例示範如何使用設定虛擬網路和私人 DNS 區域,透過私人端點存取 金鑰保存庫。 |
建立 Key Vault 和秘密清單 |
此範本會依照參數一起傳遞,建立金鑰保存庫中的 金鑰保存庫 和秘密清單 |
建立已啟用記錄的 金鑰保存庫 |
此範本會建立用於記錄的 Azure 金鑰保存庫 和 Azure 記憶體帳戶。 它會選擇性地建立資源鎖定,以保護您的 金鑰保存庫 和記憶體資源。 |
& 數據存放區建立具有多個數據集的 AML 工作區 |
此範本會建立具有多個數據集 & 數據存放區的 Azure Machine Learning 工作區。 |
Azure Machine Learning 端對端安全設定 |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和連結的私人 AKS 叢集。 |
Azure Machine Learning 端對端安全設定 (舊版) |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和連結的私人 AKS 叢集。 |
使用私人IP位址建立 AKS 計算目標 |
此範本會在具有私人IP位址的指定 Azure Machine Learning 服務工作區中建立 AKS 計算目標。 |
建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述開始使用 Azure Machine Learning 所需的最少資源集。 |
(CMK) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此範例示範如何設定 Azure Machine Learning 以使用客戶管理的加密密鑰進行加密。 |
(vnet) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述您在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
(舊版) 建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure 金鑰保存庫、Azure 記憶體、Azure 應用程式 Insights 和 Azure Container Registry。 此組態描述您在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
具有 應用程式閘道 輸入控制器的 AKS 叢集 |
此範例示範如何使用 應用程式閘道、應用程式閘道 輸入控制器、Azure Container Registry、Log Analytics 和 金鑰保存庫 部署 AKS 叢集 |
使用 金鑰保存庫 建立 應用程式閘道 V2 |
此範本會在 虛擬網路、使用者定義身分識別、金鑰保存庫、秘密 (憑證數據) ,以及在 金鑰保存庫 和 應用程式閘道 上部署 應用程式閘道 V2。 |
Azure 防火牆 Premium 的測試環境 |
此範本會建立具有進階功能的 Azure 防火牆 進階和防火牆原則,例如入侵檢查偵測 (IDPS) 、TLS 檢查和 Web 類別篩選 |
使用憑證建立 應用程式閘道 |
此範本示範如何產生 金鑰保存庫 自我簽署憑證,然後從 應用程式閘道 參考。 |
使用客戶管理的金鑰進行 Azure 記憶體帳戶加密 |
此範本會部署具有客戶管理密鑰的記憶體帳戶,以進行產生的加密,並放在 金鑰保存庫 內。 |
具有 Azure SQL 後端的 App Service 環境 |
此範本會建立具有 Azure SQL 後端以及私人端點以及通常用於私人/隔離環境中的相關聯資源 App Service 環境。 |
Azure 函式應用程式和 HTTP 觸發的函式 |
此範例會在範本中內嵌部署 Azure 函式應用程式和 HTTP 觸發的函式。 它也會部署 金鑰保存庫,並使用函式應用程式的主機金鑰填入秘密。 |
使用內部 API 管理 和 Web 應用程式進行 應用程式閘道 |
應用程式閘道 將因特網流量路由傳送至虛擬網路 (內部模式) API 管理 實例,以服務裝載於 Azure Web 應用程式中的 Web API。 |
Terraform (AzAPI 提供者) 資源定義
您可以使用目標工作來部署儲存庫資源類型:
- 資源群組
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 Terraform 新增至您的範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2022-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
屬性值
vaults
名稱 | 描述 | 值 |
---|---|---|
類型 | 資源類型 | “Microsoft.KeyVault/vaults@2022-07-01” |
NAME | 資源名稱 | 字串 (必要) 字元限制:3-24 合法字元: 英數字元和連字號。 以字母開頭。 以字母或數字結尾。 不能包含連續的連字號。 資源名稱在 Azure 中必須是唯一的。 |
location | 應該在其中建立金鑰保存庫的支援 Azure 位置。 | 字串 (必要) |
parent_id | 若要部署至資源群組,請使用該資源群組的標識碼。 | 字串 (必要) |
tags | 將指派給金鑰保存庫的標記。 | 標記名稱和值的字典。 |
properties | 保存庫的屬性 | 保存庫屬性 (必要) |
VaultProperties
名稱 | 描述 | 值 |
---|---|---|
accessPolicies | 具有金鑰保存庫存取權的 0 到 1024 身分識別陣列。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 設定為 recover 時createMode ,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出保存庫是否需要復原。 | "default" “recover” |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機器 從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從金鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否為此保存庫啟用清除保護。 將此屬性設定為 true 會啟用保護,以防止清除此保存庫及其內容, 只有 金鑰保存庫 服務可能會起始硬式且無法復原的刪除。 只有在同時啟用虛刪除時,此設定才有效。 啟用這項功能是無法復原的,也就是說,屬性不接受 false 做為其值。 | bool |
enableRbacAuthorization | 控制數據動作授權方式的屬性。 若為 true,金鑰保存庫將會使用角色型 存取控制 (RBAC) 來授權數據動作,並忽略保存庫屬性中指定的存取原則。 若為 false,金鑰保存庫將會使用保存庫屬性中指定的存取原則,而且會忽略儲存在 Azure Resource Manager 上的任何原則。 如果為 null 或未指定,則會使用預設值 false 建立保存庫。 請注意,管理動作一律會獲得 RBAC 的授權。 | bool |
enableSoftDelete | 屬性,指定此金鑰保存庫是否啟用「虛刪除」功能。 如果未在建立新的密鑰保存庫時設定為任何值, (true 或 false) ,則預設會將其設定為 true。 設定為 true 之後,就無法將它還原為 false。 | bool |
networkAcls | 規則,控管來自特定網路位置之密鑰保存庫的存取範圍。 | NetworkRuleSet |
provisioningState | 保存庫的布建狀態。 | “RegisteringDns” “Succeeded” |
publicNetworkAccess | 屬性,指定保存庫是否接受來自公用因特網的流量。 如果設定為 「已停用」所有流量,但私人端點流量除外,且來自受信任服務的流量將會遭到封鎖。 這會覆寫設定的防火牆規則,這表示即使防火牆規則存在,我們也不會接受規則。 | 字串 |
sku | SKU 詳細資料 | 需要sku () |
softDeleteRetentionInDays | softDelete 數據保留天數。 它會接受 >=7 和 <=90。 | int |
tenantId | 應用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 需要字串 () 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | 保存庫的 URI,用於對金鑰和秘密執行作業。 | 字串 |
AccessPolicyEntry
名稱 | 描述 | 值 |
---|---|---|
applicationId | 代表主體提出要求的用戶端應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件識別碼必須是唯一的。 | 需要字串 () |
權限 | 身分識別對於金鑰、秘密和憑證的許可權。 | 必要許可權 () |
tenantId | 應用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 需要字串 () 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
名稱 | 描述 | 值 |
---|---|---|
certificates | 憑證的許可權 | 包含任何項目的字串數組: “all” “backup” “create” “delete” “deleteissuers” “get” “getissuers” “import” 「清單」 “listissuers” “managecontacts” “manageissuers” “purge” “recover” “restore” “setissuers” “update” |
金鑰 | 金鑰的許可權 | 包含任何項目的字串數組: “all” “backup” “create” “decrypt” “delete” “encrypt” “get” “getrotationpolicy” “import” 「清單」 “purge” “recover” “release” “restore” “rotate” “setrotationpolicy” “sign” “unwrapKey” “update” “verify” “wrapKey” |
密碼 | 秘密的許可權 | 包含任何項目的字串數組: “all” “backup” “delete” “get” 「清單」 “purge” “recover” “restore” “set” |
儲存 | 記憶體帳戶的許可權 | 包含任何項目的字串數組: “all” “backup” “delete” “deletesas” “get” “getsas” 「清單」 “listsas” “purge” “recover” “regeneratekey” “restore” “set” “setsas” “update” |
NetworkRuleSet
名稱 | 描述 | 值 |
---|---|---|
略過 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | “AzureServices” "None" |
defaultAction | 當ipRules和 virtualNetworkRules 沒有規則相符時,默認動作。 這只有在評估略過屬性之後才會使用。 | “允許” “拒絕” |
ipRules | IP 位址規則的清單。 | IPRule[] |
virtualNetworkRules | 虛擬網路規則的清單。 | VirtualNetworkRule[] |
IPRule
名稱 | 描述 | 值 |
---|---|---|
值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單的 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78) 的所有位址。 | 需要字串 () |
VirtualNetworkRule
名稱 | 描述 | 值 |
---|---|---|
id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 需要字串 () |
ignoreMissingVnetServiceEndpoint | 屬性,指定 NRP 是否會忽略是否已設定 serviceEndpoints 的父子網檢查。 | bool |
SKU
名稱 | 描述 | 值 |
---|---|---|
family | SKU 系列名稱 | “A” (必要) |
NAME | 用來指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | “premium” “standard” (必要) |