Sdílet prostřednictvím


Trezory Microsoft.KeyVault 2016–10-01

Poznámky

Pokyny k používání trezorů klíčů pro zabezpečené hodnoty najdete v tématu Správa tajných kódů pomocíBicep .

Rychlý start k vytvoření tajného kódu najdete v tématu Rychlý start: Nastavení a načtení tajného kódu ze služby Azure Key Vault pomocí šablony ARM.

Rychlý start k vytvoření klíče najdete v tématu Rychlý start: Vytvoření trezoru klíčů Azure a klíče pomocí šablony ARM.

Definice prostředku Bicep

Typ prostředku trezorů je možné nasadit s operacemi, které cílí:

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující bicep.

resource symbolicname 'Microsoft.KeyVault/vaults@2016-10-01' = {
  location: 'string'
  name: 'string'
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableSoftDelete: bool
    sku: {
      family: 'string'
      name: 'string'
    }
    tenantId: 'string'
    vaultUri: 'string'
  }
  tags: {
    {customized property}: 'string'
  }
}

Hodnoty vlastností

AccessPolicyEntry

Jméno Popis Hodnota
applicationId ID aplikace klienta provádějícího žádost jménem objektu zabezpečení řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. string (povinné)
dovolení Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty oprávnění (povinné)
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné)

Microsoft.KeyVault/vaults

Jméno Popis Hodnota
umístění Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. string (povinné)
Jméno Název prostředku řetězec

Omezení:
Model = ^[a-zA-Z0-9-]{3,24}$ (povinné)
vlastnosti Vlastnosti trezoru VaultProperties (povinné)
visačky Značky prostředků Slovník názvů a hodnot značek Viz Značky v šablonách

Dovolení

Jméno Popis Hodnota
certifikáty Oprávnění k certifikátům Řetězcové pole obsahující některou z těchto možností:
Vytvořit
Odstranit
Deleteissuers
"get"
Getissuers
Import
'list'
'listissuers'
'managecontacts'
Manageissuers
"Vyprázdnit"
"obnovit"
"setissuers"
"update"
klíče Oprávnění ke klíčům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Vytvořit
Dešifrování
Odstranit
Šifrovat
"get"
Import
'list'
"Vyprázdnit"
"obnovit"
"restore"
"sign" (znaménko)
UnwrapKey
"update"
"verify" (ověřit)
WrapKey
tajemství Oprávnění k tajným kódům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Odstranit
"get"
'list'
"Vyprázdnit"
"obnovit"
"restore"
'set'
skladování Oprávnění k účtům úložiště Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Odstranit
Deletesas
"get"
"getsas"
'list'
"listsas"
"Vyprázdnit"
"obnovit"
Znovu vygenerovat klíč
"restore"
'set'
'setsas'
"update"

Sku

Jméno Popis Hodnota
Rodina Jméno rodiny skladové položky "A" (povinné)
Jméno Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. Premium
"standard" (povinné)

VaultCreateOrUpdateParametersTags

Jméno Popis Hodnota

VaultProperties

Jméno Popis Hodnota
accessPolicies Pole 0 až 16 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. Pokud je createMode nastavená na recover, zásady přístupu se nevyžadují. V opačném případě se vyžadují zásady přístupu. AccessPolicyEntry[]
createMode Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. Výchozí
"obnovit"
enabledForDeployment Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. Bool
enabledForDiskEncryption Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. Bool
enabledForTemplateDeployment Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. Bool
enablePurgeProtection Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. Bool
enableSoftDelete Vlastnost určující, jestli je pro tento trezor klíčů povolené obnovitelné odstranění. Nastavením této vlastnosti na hodnotu true se aktivuje funkce obnovitelného odstranění, kdy lze po odstranění obnovit trezory nebo entity trezoru. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. Bool
sku Podrobnosti skladové položky skladové položky (povinné)
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné)
vaultUri Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. řetězec

Ukázky rychlého startu

Následující ukázky rychlého startu nasadí tento typ prostředku.

Soubor Bicep Popis
clusterU AKS se službou NAT Gateway a služby Application Gateway Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a službu Application Gateway pro příchozí připojení.
clusterU AKS s kontrolerem příchozího přenosu dat služby Application Gateway Tato ukázka ukazuje, jak nasadit cluster AKS se službou Application Gateway, kontrolerem příchozího přenosu dat služby Application Gateway, službou Azure Container Registry, Log Analytics a službou Key Vault.
Application Gateway s interní službou API Management a webovou aplikací Služba Application Gateway směruje internetový provoz do instance služby API Management (interní režim), která obsluhuje webové rozhraní API hostované ve webové aplikaci Azure.
základní nastavení sady Azure AI Studio Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
základní nastavení sady Azure AI Studio Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
základní nastavení sady Azure AI Studio Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
síť Azure AI Studio s omezeným přístupem Tato sada šablon ukazuje, jak nastavit Azure AI Studio se zakázaným privátním propojením a odchozím přenosem dat pomocí klíčů spravovaných Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
síť Azure AI Studio s omezeným přístupem Tato sada šablon ukazuje, jak nastavit Azure AI Studio se zakázaným privátním propojením a odchozím přenosem dat pomocí klíčů spravovaných Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
Azure AI Studio s ověřováním Microsoft Entra ID Tato sada šablon ukazuje, jak nastavit Azure AI Studio s ověřováním Microsoft Entra ID pro závislé prostředky, jako jsou služby Azure AI a Azure Storage.
aplikaci Funkcí Azure a funkci aktivovanou protokolem HTTP Tento příklad nasadí aplikaci Funkcí Azure a vloženou funkci aktivovanou protokolem HTTP v šabloně. Nasadí také službu Key Vault a naplní tajný kód klíčem hostitele aplikace funkcí.
komplexní nastavení služby Azure Machine Learning Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS.
kompletního zabezpečeného nastavení služby Azure Machine Learning (starší verze) Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS.
šifrování účtu služby Azure Storage s využitím klíče spravovaného zákazníkem Tato šablona nasadí účet úložiště s klíčem spravovaným zákazníkem pro šifrování, které se vygeneruje a umístí do služby Key Vault.
Vytvoření služby Key Vault a seznam tajných kódů Tato šablona vytvoří službu Key Vault a seznam tajných kódů v trezoru klíčů, jak je předáno, spolu s parametry.
Vytvoření cílového výpočetního objektu AKS s privátní IP adresou Tato šablona vytvoří cílový výpočetní objekt AKS v daném pracovním prostoru služby Azure Machine Learning s privátní IP adresou.
vytvoření služby API Management s protokolem SSL ze služby KeyVault Tato šablona nasadí službu API Management nakonfigurovanou s identitou přiřazenou uživatelem. Tato identita používá k načtení certifikátu SSL ze služby KeyVault a udržuje ji aktualizovanou kontrolou každých 4 hodin.
vytvoření služby Azure Key Vault a tajného kódu Tato šablona vytvoří službu Azure Key Vault a tajný klíč.
vytvoření služby Azure Key Vault pomocí RBAC a tajného Tato šablona vytvoří službu Azure Key Vault a tajný klíč. Místo spoléhání na zásady přístupu využívá Azure RBAC ke správě autorizace tajných kódů.
vytvoření pracovního prostoru služby Azure Machine Learning Service Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje minimální sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning.
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) Tato šablona nasazení určuje, jak vytvořit pracovní prostor Azure Machine Learning s šifrováním na straně služby pomocí šifrovacích klíčů.
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Příklad ukazuje, jak nakonfigurovat Službu Azure Machine Learning pro šifrování pomocí šifrovacího klíče spravovaného zákazníkem.
Vytvoření pracovního prostoru služby Azure Machine Learning Service (starší verze) Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti.
vytvoření pracovního prostoru služby Azure Machine Learning Service (virtuální síť) Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti.
vytvoření služby Application Gateway s certifikáty Tato šablona ukazuje, jak vygenerovat certifikáty podepsané svým držitelem služby Key Vault a pak odkazovat ze služby Application Gateway.
vytvoření služby Key Vault s povoleným protokolováním Tato šablona vytvoří službu Azure Key Vault a účet služby Azure Storage, který se používá k protokolování. Volitelně vytvoří zámky prostředků pro ochranu prostředků služby Key Vault a prostředků úložiště.
vytvoření trezoru klíčů, spravované identity a přiřazení rolí Tato šablona vytvoří trezor klíčů, spravovanou identitu a přiřazení role.
vytvoří prostředek privátního koncového bodu mezi tenanty Tato šablona umožňuje vytvořit prostředek koncového bodu Priavate ve stejném prostředí nebo v prostředí mezi tenanty a přidat konfiguraci zóny DNS.
vytvoří aplikaci Dapr pub-sub servicebus pomocí služby Container Apps Vytvořte aplikaci Dapr pub-sub servicebus pomocí Container Apps.
nasazení zabezpečeného nástroje Azure AI Studio se spravovanou virtuální sítí Tato šablona vytvoří zabezpečené prostředí Azure AI Studio s robustními omezeními zabezpečení sítě a identit.
nasazení analýzy sportů v architektuře Azure Vytvoří účet úložiště Azure s povoleným ADLS Gen2, instancí služby Azure Data Factory s propojenými službami pro účet úložiště (pokud je nasazená služba Azure SQL Database) a instancí Azure Databricks. Identita AAD pro uživatele, který nasazuje šablonu, a spravovanou identitu instance ADF se udělí roli Přispěvatel dat objektů blob služby Storage v účtu úložiště. K dispozici jsou také možnosti nasazení instance služby Azure Key Vault, Azure SQL Database a centra událostí Azure (pro případy použití streamování). Po nasazení služby Azure Key Vault se spravované identitě datové továrny a identitě AAD pro uživatele, který šablonu nasazuje, udělí roli uživatele tajných kódů služby Key Vault.
centra FinOps Tato šablona vytvoří novou instanci centra FinOps, včetně služby Data Lake Storage a služby Data Factory.
Testovací prostředí pro službu Azure Firewall Premium Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu.

Definice prostředku šablony ARM

Typ prostředku trezorů je možné nasadit s operacemi, které cílí:

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující JSON.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2016-10-01",
  "name": "string",
  "location": "string",
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableSoftDelete": "bool",
    "sku": {
      "family": "string",
      "name": "string"
    },
    "tenantId": "string",
    "vaultUri": "string"
  },
  "tags": {
    "{customized property}": "string"
  }
}

Hodnoty vlastností

AccessPolicyEntry

Jméno Popis Hodnota
applicationId ID aplikace klienta provádějícího žádost jménem objektu zabezpečení řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. string (povinné)
dovolení Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty oprávnění (povinné)
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné)

Microsoft.KeyVault/vaults

Jméno Popis Hodnota
apiVersion Verze rozhraní API '2016-10-01'
umístění Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. string (povinné)
Jméno Název prostředku řetězec

Omezení:
Model = ^[a-zA-Z0-9-]{3,24}$ (povinné)
vlastnosti Vlastnosti trezoru VaultProperties (povinné)
visačky Značky prostředků Slovník názvů a hodnot značek Viz Značky v šablonách
typ Typ prostředku Microsoft.KeyVault/vaults

Dovolení

Jméno Popis Hodnota
certifikáty Oprávnění k certifikátům Řetězcové pole obsahující některou z těchto možností:
Vytvořit
Odstranit
Deleteissuers
"get"
Getissuers
Import
'list'
'listissuers'
'managecontacts'
Manageissuers
"Vyprázdnit"
"obnovit"
"setissuers"
"update"
klíče Oprávnění ke klíčům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Vytvořit
Dešifrování
Odstranit
Šifrovat
"get"
Import
'list'
"Vyprázdnit"
"obnovit"
"restore"
"sign" (znaménko)
UnwrapKey
"update"
"verify" (ověřit)
WrapKey
tajemství Oprávnění k tajným kódům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Odstranit
"get"
'list'
"Vyprázdnit"
"obnovit"
"restore"
'set'
skladování Oprávnění k účtům úložiště Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Odstranit
Deletesas
"get"
"getsas"
'list'
"listsas"
"Vyprázdnit"
"obnovit"
Znovu vygenerovat klíč
"restore"
'set'
'setsas'
"update"

Sku

Jméno Popis Hodnota
Rodina Jméno rodiny skladové položky "A" (povinné)
Jméno Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. Premium
"standard" (povinné)

VaultCreateOrUpdateParametersTags

Jméno Popis Hodnota

VaultProperties

Jméno Popis Hodnota
accessPolicies Pole 0 až 16 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. Pokud je createMode nastavená na recover, zásady přístupu se nevyžadují. V opačném případě se vyžadují zásady přístupu. AccessPolicyEntry[]
createMode Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. Výchozí
"obnovit"
enabledForDeployment Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. Bool
enabledForDiskEncryption Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. Bool
enabledForTemplateDeployment Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. Bool
enablePurgeProtection Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. Bool
enableSoftDelete Vlastnost určující, jestli je pro tento trezor klíčů povolené obnovitelné odstranění. Nastavením této vlastnosti na hodnotu true se aktivuje funkce obnovitelného odstranění, kdy lze po odstranění obnovit trezory nebo entity trezoru. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. Bool
sku Podrobnosti skladové položky skladové položky (povinné)
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné)
vaultUri Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. řetězec

Šablony pro rychlý start

Následující šablony pro rychlý start nasazují tento typ prostředku.

Šablona Popis
clusterU AKS se službou NAT Gateway a služby Application Gateway

nasazení do Azure
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a službu Application Gateway pro příchozí připojení.
clusterU AKS s kontrolerem příchozího přenosu dat služby Application Gateway

nasazení do Azure
Tato ukázka ukazuje, jak nasadit cluster AKS se službou Application Gateway, kontrolerem příchozího přenosu dat služby Application Gateway, službou Azure Container Registry, Log Analytics a službou Key Vault.
App Service Environment s back-endovým Azure SQL

nasazení do Azure
Tato šablona vytvoří službu App Service Environment s back-endem Azure SQL spolu s privátními koncovými body spolu s přidruženými prostředky, které se obvykle používají v privátním nebo izolovaném prostředí.
Application Gateway s interní službou API Management a webovou aplikací

nasazení do Azure
Služba Application Gateway směruje internetový provoz do instance služby API Management (interní režim), která obsluhuje webové rozhraní API hostované ve webové aplikaci Azure.
základní nastavení sady Azure AI Studio

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
základní nastavení sady Azure AI Studio

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
základní nastavení sady Azure AI Studio

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
síť Azure AI Studio s omezeným přístupem

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio se zakázaným privátním propojením a odchozím přenosem dat pomocí klíčů spravovaných Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
síť Azure AI Studio s omezeným přístupem

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio se zakázaným privátním propojením a odchozím přenosem dat pomocí klíčů spravovaných Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
Azure AI Studio s ověřováním Microsoft Entra ID

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio s ověřováním Microsoft Entra ID pro závislé prostředky, jako jsou služby Azure AI a Azure Storage.
aplikaci Funkcí Azure a funkci aktivovanou protokolem HTTP

nasazení do Azure
Tento příklad nasadí aplikaci Funkcí Azure a vloženou funkci aktivovanou protokolem HTTP v šabloně. Nasadí také službu Key Vault a naplní tajný kód klíčem hostitele aplikace funkcí.
komplexní nastavení služby Azure Machine Learning

nasazení do Azure
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS.
kompletního zabezpečeného nastavení služby Azure Machine Learning (starší verze)

nasazení do Azure
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS.
pracovního prostoru Azure Machine Learning

nasazení do Azure
Tato šablona vytvoří nový pracovní prostor služby Azure Machine Learning společně s šifrovaným účtem úložiště, službou KeyVault a protokolováním Application Insights.
šifrování účtu služby Azure Storage s využitím klíče spravovaného zákazníkem

nasazení do Azure
Tato šablona nasadí účet úložiště s klíčem spravovaným zákazníkem pro šifrování, které se vygeneruje a umístí do služby Key Vault.
připojení ke službě Key Vault prostřednictvím privátního koncového bodu

nasazení do Azure
Tato ukázka ukazuje, jak použít konfiguraci virtuální sítě a privátní zóny DNS pro přístup ke službě Key Vault prostřednictvím privátního koncového bodu.
Vytvoření služby Key Vault a seznam tajných kódů

nasazení do Azure
Tato šablona vytvoří službu Key Vault a seznam tajných kódů v trezoru klíčů, jak je předáno, spolu s parametry.
vytvoření služby KeyVault

nasazení do Azure
Tento modul vytvoří prostředek KeyVault s apiVersion 2019-09-01.
Vytvoření nového šifrovaného virtuálního počítače s Windows z image galerie

nasazení do Azure
Tato šablona vytvoří nový šifrovaný virtuální počítač s Windows pomocí image galerie serveru 2k12.
vytvoření privátního clusteru AKS s veřejnou zónou DNS

nasazení do Azure
Tato ukázka ukazuje, jak nasadit privátní cluster AKS s veřejnou zónou DNS.
vytvoření pracovního prostoru AML s více datovými sadami & úložiště dat

nasazení do Azure
Tato šablona vytvoří pracovní prostor Azure Machine Learning s více datovými sadami & úložišti dat.
Vytvoření cílového výpočetního objektu AKS s privátní IP adresou

nasazení do Azure
Tato šablona vytvoří cílový výpočetní objekt AKS v daném pracovním prostoru služby Azure Machine Learning s privátní IP adresou.
vytvoření služby API Management s protokolem SSL ze služby KeyVault

nasazení do Azure
Tato šablona nasadí službu API Management nakonfigurovanou s identitou přiřazenou uživatelem. Tato identita používá k načtení certifikátu SSL ze služby KeyVault a udržuje ji aktualizovanou kontrolou každých 4 hodin.
vytvoření služby Application Gateway V2 se službou Key Vault

nasazení do Azure
Tato šablona nasadí službu Application Gateway V2 ve virtuální síti, identitu definovanou uživatelem, službu Key Vault, tajný klíč (data certifikátu) a zásadu přístupu ve službě Key Vault a službě Application Gateway.
vytvoření služby Azure Key Vault a tajného kódu

nasazení do Azure
Tato šablona vytvoří službu Azure Key Vault a tajný klíč.
vytvoření služby Azure Key Vault pomocí RBAC a tajného

nasazení do Azure
Tato šablona vytvoří službu Azure Key Vault a tajný klíč. Místo spoléhání na zásady přístupu využívá Azure RBAC ke správě autorizace tajných kódů.
vytvoření pracovního prostoru služby Azure Machine Learning Service

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje minimální sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning.
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK)

nasazení do Azure
Tato šablona nasazení určuje, jak vytvořit pracovní prostor Azure Machine Learning s šifrováním na straně služby pomocí šifrovacích klíčů.
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK)

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Příklad ukazuje, jak nakonfigurovat Službu Azure Machine Learning pro šifrování pomocí šifrovacího klíče spravovaného zákazníkem.
Vytvoření pracovního prostoru služby Azure Machine Learning Service (starší verze)

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti.
vytvoření pracovního prostoru služby Azure Machine Learning Service (virtuální síť)

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti.
Vytvoření a šifrování nové sady VMSS s Windows pomocí jumpboxu

nasazení do Azure
Tato šablona umožňuje nasadit jednoduchou škálovací sadu virtuálních počítačů s Windows pomocí nejnovější opravené verze serverových verzí Windows. Tato šablona také nasadí jumpbox s veřejnou IP adresou ve stejné virtuální síti. K jumpboxu se můžete připojit přes tuto veřejnou IP adresu a pak se odtud připojit k virtuálním počítačům ve škálovací sadě prostřednictvím privátních IP adres. Tato šablona umožňuje šifrování na škálovací sadě virtuálních počítačů s Windows.
vytvoření služby Application Gateway s certifikáty

nasazení do Azure
Tato šablona ukazuje, jak vygenerovat certifikáty podepsané svým držitelem služby Key Vault a pak odkazovat ze služby Application Gateway.
vytvoření služby Key Vault s povoleným protokolováním

nasazení do Azure
Tato šablona vytvoří službu Azure Key Vault a účet služby Azure Storage, který se používá k protokolování. Volitelně vytvoří zámky prostředků pro ochranu prostředků služby Key Vault a prostředků úložiště.
vytvoření trezoru klíčů, spravované identity a přiřazení rolí

nasazení do Azure
Tato šablona vytvoří trezor klíčů, spravovanou identitu a přiřazení role.
Vytvoření nových šifrovaných spravovaných disků win-vm z image galerie

nasazení do Azure
Tato šablona vytvoří nový šifrovaný virtuální počítač se spravovanými disky s Windows pomocí image galerie serveru 2k12.
vytvoří prostředek privátního koncového bodu mezi tenanty

nasazení do Azure
Tato šablona umožňuje vytvořit prostředek koncového bodu Priavate ve stejném prostředí nebo v prostředí mezi tenanty a přidat konfiguraci zóny DNS.
vytvoří aplikaci Dapr pub-sub servicebus pomocí služby Container Apps

nasazení do Azure
Vytvořte aplikaci Dapr pub-sub servicebus pomocí Container Apps.
vytvoří cluster Azure Stack HCI 23H2

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM pomocí vlastní IP adresy úložiště.
vytvoří cluster Azure Stack HCI 23H2

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM.
vytvoří cluster Azure Stack HCI 23H2 v bezpínacím režimu sítě s duálním propojením

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM.
vytvoří cluster Azure Stack HCI 23H2 v Switchless-SingleLink síťovém režimu

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM.
nasazení zabezpečeného nástroje Azure AI Studio se spravovanou virtuální sítí

nasazení do Azure
Tato šablona vytvoří zabezpečené prostředí Azure AI Studio s robustními omezeními zabezpečení sítě a identit.
nasazení analýzy sportů v architektuře Azure

nasazení do Azure
Vytvoří účet úložiště Azure s povoleným ADLS Gen2, instancí služby Azure Data Factory s propojenými službami pro účet úložiště (pokud je nasazená služba Azure SQL Database) a instancí Azure Databricks. Identita AAD pro uživatele, který nasazuje šablonu, a spravovanou identitu instance ADF se udělí roli Přispěvatel dat objektů blob služby Storage v účtu úložiště. K dispozici jsou také možnosti nasazení instance služby Azure Key Vault, Azure SQL Database a centra událostí Azure (pro případy použití streamování). Po nasazení služby Azure Key Vault se spravované identitě datové továrny a identitě AAD pro uživatele, který šablonu nasazuje, udělí roli uživatele tajných kódů služby Key Vault.
Povolení šifrování na spuštěném virtuálním počítači s Windows

nasazení do Azure
Tato šablona umožňuje šifrování na spuštěném virtuálním počítači s Windows.
centra FinOps

nasazení do Azure
Tato šablona vytvoří novou instanci centra FinOps, včetně služby Data Lake Storage a služby Data Factory.
Testovací prostředí pro službu Azure Firewall Premium

nasazení do Azure
Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu.
Tato šablona šifruje spuštěnou VMSS s Windows.

nasazení do Azure
Tato šablona umožňuje šifrování na spuštěné škálovací sadě virtuálních počítačů s Windows.
upgraduje cluster Azure Stack HCI 22H2 na cluster 23H2

nasazení do Azure
Tato šablona upgraduje cluster Azure Stack HCI 22H2 na cluster 23H2 pomocí šablony ARM.

Definice prostředku Terraformu (poskytovatel AzAPI)

Typ prostředku trezorů je možné nasadit s operacemi, které cílí:

  • skupiny prostředků

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující Terraform.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2016-10-01"
  name = "string"
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableSoftDelete = bool
      sku = {
        family = "string"
        name = "string"
      }
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Hodnoty vlastností

AccessPolicyEntry

Jméno Popis Hodnota
applicationId ID aplikace klienta provádějícího žádost jménem objektu zabezpečení řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. string (povinné)
dovolení Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty oprávnění (povinné)
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné)

Microsoft.KeyVault/vaults

Jméno Popis Hodnota
umístění Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. string (povinné)
Jméno Název prostředku řetězec

Omezení:
Model = ^[a-zA-Z0-9-]{3,24}$ (povinné)
vlastnosti Vlastnosti trezoru VaultProperties (povinné)
visačky Značky prostředků Slovník názvů a hodnot značek
typ Typ prostředku Microsoft.KeyVault/vaults@2016-10-01

Dovolení

Jméno Popis Hodnota
certifikáty Oprávnění k certifikátům Řetězcové pole obsahující některou z těchto možností:
Vytvořit
Odstranit
Deleteissuers
"get"
Getissuers
Import
'list'
'listissuers'
'managecontacts'
Manageissuers
"Vyprázdnit"
"obnovit"
"setissuers"
"update"
klíče Oprávnění ke klíčům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Vytvořit
Dešifrování
Odstranit
Šifrovat
"get"
Import
'list'
"Vyprázdnit"
"obnovit"
"restore"
"sign" (znaménko)
UnwrapKey
"update"
"verify" (ověřit)
WrapKey
tajemství Oprávnění k tajným kódům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Odstranit
"get"
'list'
"Vyprázdnit"
"obnovit"
"restore"
'set'
skladování Oprávnění k účtům úložiště Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Odstranit
Deletesas
"get"
"getsas"
'list'
"listsas"
"Vyprázdnit"
"obnovit"
Znovu vygenerovat klíč
"restore"
'set'
'setsas'
"update"

Sku

Jméno Popis Hodnota
Rodina Jméno rodiny skladové položky "A" (povinné)
Jméno Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. Premium
"standard" (povinné)

VaultCreateOrUpdateParametersTags

Jméno Popis Hodnota

VaultProperties

Jméno Popis Hodnota
accessPolicies Pole 0 až 16 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. Pokud je createMode nastavená na recover, zásady přístupu se nevyžadují. V opačném případě se vyžadují zásady přístupu. AccessPolicyEntry[]
createMode Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. Výchozí
"obnovit"
enabledForDeployment Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. Bool
enabledForDiskEncryption Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. Bool
enabledForTemplateDeployment Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. Bool
enablePurgeProtection Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. Bool
enableSoftDelete Vlastnost určující, jestli je pro tento trezor klíčů povolené obnovitelné odstranění. Nastavením této vlastnosti na hodnotu true se aktivuje funkce obnovitelného odstranění, kdy lze po odstranění obnovit trezory nebo entity trezoru. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. Bool
sku Podrobnosti skladové položky skladové položky (povinné)
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné)
vaultUri Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. řetězec