Trezory Microsoft.KeyVault 2018-02-14-preview
- nejnovější
-
2024-04-01-preview -
2023-07-01 - 2023-02-01
- 11. 11. 2022
-
2022-07-07 -
2022-022-01-preview -
11. 11. 2021 ve verzi Preview - 10. 10. 2021
-
2021-06-01-preview -
2021-04-01-preview -
2020-04-01-preview -
2019-09-09 - 2018-02-14
-
2018-02-14-preview - 10. 10. 2016
-
06.06.2015
Poznámky
Pokyny k používání trezorů klíčů pro zabezpečené hodnoty najdete v tématu Správa tajných kódů pomocíBicep .
Rychlý start k vytvoření tajného kódu najdete v tématu Rychlý start: Nastavení a načtení tajného kódu ze služby Azure Key Vault pomocí šablony ARM.
Rychlý start k vytvoření klíče najdete v tématu Rychlý start: Vytvoření trezoru klíčů Azure a klíče pomocí šablony ARM.
Definice prostředku Bicep
Typ prostředku trezorů je možné nasadit s operacemi, které cílí:
- skupiny prostředků – viz příkazy nasazení skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující bicep.
resource symbolicname 'Microsoft.KeyVault/vaults@2018-02-14-preview' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
}
]
}
sku: {
family: 'string'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
Hodnoty vlastností
AccessPolicyEntry
| Jméno | Popis | Hodnota |
|---|---|---|
| applicationId | ID aplikace klienta provádějícího žádost jménem objektu zabezpečení | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. | string (povinné) |
| dovolení | Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty | oprávnění (povinné) |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné) |
IpRule
| Jméno | Popis | Hodnota |
|---|---|---|
| hodnota | Rozsah adres IPv4 v zápisu CIDR, například 124.56.78.91 (jednoduchá IP adresa) nebo 124.56.78.0/24 (všechny adresy začínající 124.56.78). | string (povinné) |
Microsoft.KeyVault/vaults
| Jméno | Popis | Hodnota |
|---|---|---|
| umístění | Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. | string (povinné) |
| Jméno | Název prostředku | řetězec Omezení: Model = ^[a-zA-Z0-9-]{3,24}$ (povinné) |
| vlastnosti | Vlastnosti trezoru | VaultProperties (povinné) |
| visačky | Značky prostředků | Slovník názvů a hodnot značek Viz Značky v šablonách |
NetworkRuleSet
| Jméno | Popis | Hodnota |
|---|---|---|
| obejít | Udává, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud nezadáte výchozí hodnotu AzureServices. | AzureServices None (Žádný) |
| defaultAction | Výchozí akce, pokud se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Tento parametr se použije až po vyhodnocení vlastnosti bypass. | Povolit "Odepřít" |
| IpRules | Seznam pravidel IP adres. | IPRule [] |
| VirtualNetworkRules | Seznam pravidel virtuální sítě | VirtualNetworkRule[] |
Dovolení
| Jméno | Popis | Hodnota |
|---|---|---|
| certifikáty | Oprávnění k certifikátům | Řetězcové pole obsahující některou z těchto možností: "zálohování" Vytvořit Odstranit Deleteissuers "get" Getissuers Import 'list' 'listissuers' 'managecontacts' Manageissuers "Vyprázdnit" "obnovit" "restore" "setissuers" "update" |
| klíče | Oprávnění ke klíčům | Řetězcové pole obsahující některou z těchto možností: "zálohování" Vytvořit Dešifrování Odstranit Šifrovat "get" Import 'list' "Vyprázdnit" "obnovit" "restore" "sign" (znaménko) UnwrapKey "update" "verify" (ověřit) WrapKey |
| tajemství | Oprávnění k tajným kódům | Řetězcové pole obsahující některou z těchto možností: "zálohování" Odstranit "get" 'list' "Vyprázdnit" "obnovit" "restore" 'set' |
| skladování | Oprávnění k účtům úložiště | Řetězcové pole obsahující některou z těchto možností: "zálohování" Odstranit Deletesas "get" "getsas" 'list' "listsas" "Vyprázdnit" "obnovit" Znovu vygenerovat klíč "restore" 'set' 'setsas' "update" |
Sku
| Jméno | Popis | Hodnota |
|---|---|---|
| Rodina | Jméno rodiny skladové položky | "A" (povinné) |
| Jméno | Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. | Premium "standard" (povinné) |
VaultCreateOrUpdateParametersTags
| Jméno | Popis | Hodnota |
|---|
VaultProperties
| Jméno | Popis | Hodnota |
|---|---|---|
| accessPolicies | Pole 0 až 1024 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. | AccessPolicyEntry[] |
| createMode | Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. | Výchozí "obnovit" |
| enabledForDeployment | Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. | Bool |
| enabledForDiskEncryption | Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. | Bool |
| enabledForTemplateDeployment | Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. | Bool |
| enablePurgeProtection | Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. | Bool |
| enableSoftDelete | Vlastnost určující, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Nepřijme hodnotu false. | Bool |
| networkAcls | Kolekce pravidel, která řídí přístupnost trezoru z konkrétních síťových umístění. | NetworkRuleSet |
| sku | Podrobnosti skladové položky | skladové položky (povinné) |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné) |
| vaultUri | Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. | řetězec |
VirtualNetworkRule
| Jméno | Popis | Hodnota |
|---|---|---|
| id | Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. | string (povinné) |
Ukázky rychlého startu
Následující ukázky rychlého startu nasadí tento typ prostředku.
| Soubor Bicep | Popis |
|---|---|
| clusterU AKS se službou NAT Gateway a služby Application Gateway | Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a službu Application Gateway pro příchozí připojení. |
| clusterU AKS s kontrolerem příchozího přenosu dat služby Application Gateway | Tato ukázka ukazuje, jak nasadit cluster AKS se službou Application Gateway, kontrolerem příchozího přenosu dat služby Application Gateway, službou Azure Container Registry, Log Analytics a službou Key Vault. |
| Application Gateway s interní službou API Management a webovou aplikací | Služba Application Gateway směruje internetový provoz do instance služby API Management (interní režim), která obsluhuje webové rozhraní API hostované ve webové aplikaci Azure. |
| základní nastavení sady Azure AI Studio | Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
| základní nastavení sady Azure AI Studio | Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
| základní nastavení sady Azure AI Studio | Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
| síť Azure AI Studio s omezeným přístupem | Tato sada šablon ukazuje, jak nastavit Azure AI Studio se zakázaným privátním propojením a odchozím přenosem dat pomocí klíčů spravovaných Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
| síť Azure AI Studio s omezeným přístupem | Tato sada šablon ukazuje, jak nastavit Azure AI Studio se zakázaným privátním propojením a odchozím přenosem dat pomocí klíčů spravovaných Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
| Azure AI Studio s ověřováním Microsoft Entra ID | Tato sada šablon ukazuje, jak nastavit Azure AI Studio s ověřováním Microsoft Entra ID pro závislé prostředky, jako jsou služby Azure AI a Azure Storage. |
| aplikaci Funkcí Azure a funkci aktivovanou protokolem HTTP | Tento příklad nasadí aplikaci Funkcí Azure a vloženou funkci aktivovanou protokolem HTTP v šabloně. Nasadí také službu Key Vault a naplní tajný kód klíčem hostitele aplikace funkcí. |
| komplexní nastavení služby Azure Machine Learning | Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
| kompletního zabezpečeného nastavení služby Azure Machine Learning (starší verze) | Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
| šifrování účtu služby Azure Storage s využitím klíče spravovaného zákazníkem | Tato šablona nasadí účet úložiště s klíčem spravovaným zákazníkem pro šifrování, které se vygeneruje a umístí do služby Key Vault. |
| Vytvoření služby Key Vault a seznam tajných kódů | Tato šablona vytvoří službu Key Vault a seznam tajných kódů v trezoru klíčů, jak je předáno, spolu s parametry. |
| Vytvoření cílového výpočetního objektu AKS s privátní IP adresou | Tato šablona vytvoří cílový výpočetní objekt AKS v daném pracovním prostoru služby Azure Machine Learning s privátní IP adresou. |
| vytvoření služby API Management s protokolem SSL ze služby KeyVault | Tato šablona nasadí službu API Management nakonfigurovanou s identitou přiřazenou uživatelem. Tato identita používá k načtení certifikátu SSL ze služby KeyVault a udržuje ji aktualizovanou kontrolou každých 4 hodin. |
| vytvoření služby Azure Key Vault a tajného kódu | Tato šablona vytvoří službu Azure Key Vault a tajný klíč. |
| vytvoření služby Azure Key Vault pomocí RBAC a tajného | Tato šablona vytvoří službu Azure Key Vault a tajný klíč. Místo spoléhání na zásady přístupu využívá Azure RBAC ke správě autorizace tajných kódů. |
| vytvoření pracovního prostoru služby Azure Machine Learning Service | Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje minimální sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning. |
| vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) | Tato šablona nasazení určuje, jak vytvořit pracovní prostor Azure Machine Learning s šifrováním na straně služby pomocí šifrovacích klíčů. |
| vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) | Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Příklad ukazuje, jak nakonfigurovat Službu Azure Machine Learning pro šifrování pomocí šifrovacího klíče spravovaného zákazníkem. |
| Vytvoření pracovního prostoru služby Azure Machine Learning Service (starší verze) | Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti. |
| vytvoření pracovního prostoru služby Azure Machine Learning Service (virtuální síť) | Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti. |
| vytvoření služby Application Gateway s certifikáty | Tato šablona ukazuje, jak vygenerovat certifikáty podepsané svým držitelem služby Key Vault a pak odkazovat ze služby Application Gateway. |
| vytvoření služby Key Vault s povoleným protokolováním | Tato šablona vytvoří službu Azure Key Vault a účet služby Azure Storage, který se používá k protokolování. Volitelně vytvoří zámky prostředků pro ochranu prostředků služby Key Vault a prostředků úložiště. |
| vytvoření trezoru klíčů, spravované identity a přiřazení rolí | Tato šablona vytvoří trezor klíčů, spravovanou identitu a přiřazení role. |
| vytvoří prostředek privátního koncového bodu mezi tenanty | Tato šablona umožňuje vytvořit prostředek koncového bodu Priavate ve stejném prostředí nebo v prostředí mezi tenanty a přidat konfiguraci zóny DNS. |
| vytvoří aplikaci Dapr pub-sub servicebus pomocí služby Container Apps | Vytvořte aplikaci Dapr pub-sub servicebus pomocí Container Apps. |
| nasazení zabezpečeného nástroje Azure AI Studio se spravovanou virtuální sítí | Tato šablona vytvoří zabezpečené prostředí Azure AI Studio s robustními omezeními zabezpečení sítě a identit. |
| nasazení analýzy sportů v architektuře Azure | Vytvoří účet úložiště Azure s povoleným ADLS Gen2, instancí služby Azure Data Factory s propojenými službami pro účet úložiště (pokud je nasazená služba Azure SQL Database) a instancí Azure Databricks. Identita AAD pro uživatele, který nasazuje šablonu, a spravovanou identitu instance ADF se udělí roli Přispěvatel dat objektů blob služby Storage v účtu úložiště. K dispozici jsou také možnosti nasazení instance služby Azure Key Vault, Azure SQL Database a centra událostí Azure (pro případy použití streamování). Po nasazení služby Azure Key Vault se spravované identitě datové továrny a identitě AAD pro uživatele, který šablonu nasazuje, udělí roli uživatele tajných kódů služby Key Vault. |
| centra |
Tato šablona vytvoří novou instanci centra FinOps, včetně služby Data Lake Storage a služby Data Factory. |
| Testovací prostředí pro službu Azure Firewall Premium | Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
Definice prostředku šablony ARM
Typ prostředku trezorů je možné nasadit s operacemi, které cílí:
- skupiny prostředků – viz příkazy nasazení skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující JSON.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2018-02-14-preview",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string"
}
]
},
"sku": {
"family": "string",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
Hodnoty vlastností
AccessPolicyEntry
| Jméno | Popis | Hodnota |
|---|---|---|
| applicationId | ID aplikace klienta provádějícího žádost jménem objektu zabezpečení | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. | string (povinné) |
| dovolení | Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty | oprávnění (povinné) |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné) |
IpRule
| Jméno | Popis | Hodnota |
|---|---|---|
| hodnota | Rozsah adres IPv4 v zápisu CIDR, například 124.56.78.91 (jednoduchá IP adresa) nebo 124.56.78.0/24 (všechny adresy začínající 124.56.78). | string (povinné) |
Microsoft.KeyVault/vaults
| Jméno | Popis | Hodnota |
|---|---|---|
| apiVersion | Verze rozhraní API | 2018-02-14-preview |
| umístění | Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. | string (povinné) |
| Jméno | Název prostředku | řetězec Omezení: Model = ^[a-zA-Z0-9-]{3,24}$ (povinné) |
| vlastnosti | Vlastnosti trezoru | VaultProperties (povinné) |
| visačky | Značky prostředků | Slovník názvů a hodnot značek Viz Značky v šablonách |
| typ | Typ prostředku | Microsoft.KeyVault/vaults |
NetworkRuleSet
| Jméno | Popis | Hodnota |
|---|---|---|
| obejít | Udává, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud nezadáte výchozí hodnotu AzureServices. | AzureServices None (Žádný) |
| defaultAction | Výchozí akce, pokud se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Tento parametr se použije až po vyhodnocení vlastnosti bypass. | Povolit "Odepřít" |
| IpRules | Seznam pravidel IP adres. | IPRule [] |
| VirtualNetworkRules | Seznam pravidel virtuální sítě | VirtualNetworkRule[] |
Dovolení
| Jméno | Popis | Hodnota |
|---|---|---|
| certifikáty | Oprávnění k certifikátům | Řetězcové pole obsahující některou z těchto možností: "zálohování" Vytvořit Odstranit Deleteissuers "get" Getissuers Import 'list' 'listissuers' 'managecontacts' Manageissuers "Vyprázdnit" "obnovit" "restore" "setissuers" "update" |
| klíče | Oprávnění ke klíčům | Řetězcové pole obsahující některou z těchto možností: "zálohování" Vytvořit Dešifrování Odstranit Šifrovat "get" Import 'list' "Vyprázdnit" "obnovit" "restore" "sign" (znaménko) UnwrapKey "update" "verify" (ověřit) WrapKey |
| tajemství | Oprávnění k tajným kódům | Řetězcové pole obsahující některou z těchto možností: "zálohování" Odstranit "get" 'list' "Vyprázdnit" "obnovit" "restore" 'set' |
| skladování | Oprávnění k účtům úložiště | Řetězcové pole obsahující některou z těchto možností: "zálohování" Odstranit Deletesas "get" "getsas" 'list' "listsas" "Vyprázdnit" "obnovit" Znovu vygenerovat klíč "restore" 'set' 'setsas' "update" |
Sku
| Jméno | Popis | Hodnota |
|---|---|---|
| Rodina | Jméno rodiny skladové položky | "A" (povinné) |
| Jméno | Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. | Premium "standard" (povinné) |
VaultCreateOrUpdateParametersTags
| Jméno | Popis | Hodnota |
|---|
VaultProperties
| Jméno | Popis | Hodnota |
|---|---|---|
| accessPolicies | Pole 0 až 1024 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. | AccessPolicyEntry[] |
| createMode | Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. | Výchozí "obnovit" |
| enabledForDeployment | Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. | Bool |
| enabledForDiskEncryption | Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. | Bool |
| enabledForTemplateDeployment | Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. | Bool |
| enablePurgeProtection | Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. | Bool |
| enableSoftDelete | Vlastnost určující, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Nepřijme hodnotu false. | Bool |
| networkAcls | Kolekce pravidel, která řídí přístupnost trezoru z konkrétních síťových umístění. | NetworkRuleSet |
| sku | Podrobnosti skladové položky | skladové položky (povinné) |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné) |
| vaultUri | Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. | řetězec |
VirtualNetworkRule
| Jméno | Popis | Hodnota |
|---|---|---|
| id | Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. | string (povinné) |
Šablony pro rychlý start
Následující šablony pro rychlý start nasazují tento typ prostředku.
| Šablona | Popis |
|---|---|
|
clusterU AKS se službou NAT Gateway a služby Application Gateway nasazení  |
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a službu Application Gateway pro příchozí připojení. |
|
clusterU AKS s kontrolerem příchozího přenosu dat služby Application Gateway nasazení |
Tato ukázka ukazuje, jak nasadit cluster AKS se službou Application Gateway, kontrolerem příchozího přenosu dat služby Application Gateway, službou Azure Container Registry, Log Analytics a službou Key Vault. |
|
App Service Environment s back-endovým Azure SQL nasazení |
Tato šablona vytvoří službu App Service Environment s back-endem Azure SQL spolu s privátními koncovými body spolu s přidruženými prostředky, které se obvykle používají v privátním nebo izolovaném prostředí. |
|
Application Gateway s interní službou API Management a webovou aplikací nasazení |
Služba Application Gateway směruje internetový provoz do instance služby API Management (interní režim), která obsluhuje webové rozhraní API hostované ve webové aplikaci Azure. |
|
základní nastavení sady Azure AI Studio nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
|
základní nastavení sady Azure AI Studio nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
|
základní nastavení sady Azure AI Studio nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
|
síť Azure AI Studio s omezeným přístupem nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio se zakázaným privátním propojením a odchozím přenosem dat pomocí klíčů spravovaných Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
|
síť Azure AI Studio s omezeným přístupem nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio se zakázaným privátním propojením a odchozím přenosem dat pomocí klíčů spravovaných Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI. |
|
Azure AI Studio s ověřováním Microsoft Entra ID nasazení |
Tato sada šablon ukazuje, jak nastavit Azure AI Studio s ověřováním Microsoft Entra ID pro závislé prostředky, jako jsou služby Azure AI a Azure Storage. |
|
aplikaci Funkcí Azure a funkci aktivovanou protokolem HTTP nasazení |
Tento příklad nasadí aplikaci Funkcí Azure a vloženou funkci aktivovanou protokolem HTTP v šabloně. Nasadí také službu Key Vault a naplní tajný kód klíčem hostitele aplikace funkcí. |
|
komplexní nastavení služby Azure Machine Learning nasazení |
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
|
kompletního zabezpečeného nastavení služby Azure Machine Learning (starší verze) nasazení |
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS. |
|
pracovního prostoru Azure Machine Learning nasazení |
Tato šablona vytvoří nový pracovní prostor služby Azure Machine Learning společně s šifrovaným účtem úložiště, službou KeyVault a protokolováním Application Insights. |
|
šifrování účtu služby Azure Storage s využitím klíče spravovaného zákazníkem nasazení |
Tato šablona nasadí účet úložiště s klíčem spravovaným zákazníkem pro šifrování, které se vygeneruje a umístí do služby Key Vault. |
|
připojení ke službě Key Vault prostřednictvím privátního koncového bodu nasazení |
Tato ukázka ukazuje, jak použít konfiguraci virtuální sítě a privátní zóny DNS pro přístup ke službě Key Vault prostřednictvím privátního koncového bodu. |
|
Vytvoření služby Key Vault a seznam tajných kódů nasazení |
Tato šablona vytvoří službu Key Vault a seznam tajných kódů v trezoru klíčů, jak je předáno, spolu s parametry. |
|
vytvoření služby KeyVault nasazení |
Tento modul vytvoří prostředek KeyVault s apiVersion 2019-09-01. |
|
Vytvoření nového šifrovaného virtuálního počítače s Windows z image galerie nasazení |
Tato šablona vytvoří nový šifrovaný virtuální počítač s Windows pomocí image galerie serveru 2k12. |
|
vytvoření privátního clusteru AKS s veřejnou zónou DNS nasazení |
Tato ukázka ukazuje, jak nasadit privátní cluster AKS s veřejnou zónou DNS. |
|
vytvoření pracovního prostoru AML s více datovými sadami & úložiště dat nasazení |
Tato šablona vytvoří pracovní prostor Azure Machine Learning s více datovými sadami & úložišti dat. |
|
Vytvoření cílového výpočetního objektu AKS s privátní IP adresou nasazení |
Tato šablona vytvoří cílový výpočetní objekt AKS v daném pracovním prostoru služby Azure Machine Learning s privátní IP adresou. |
|
vytvoření služby API Management s protokolem SSL ze služby KeyVault nasazení |
Tato šablona nasadí službu API Management nakonfigurovanou s identitou přiřazenou uživatelem. Tato identita používá k načtení certifikátu SSL ze služby KeyVault a udržuje ji aktualizovanou kontrolou každých 4 hodin. |
|
vytvoření služby Application Gateway V2 se službou Key Vault nasazení |
Tato šablona nasadí službu Application Gateway V2 ve virtuální síti, identitu definovanou uživatelem, službu Key Vault, tajný klíč (data certifikátu) a zásadu přístupu ve službě Key Vault a službě Application Gateway. |
|
vytvoření služby Azure Key Vault a tajného kódu nasazení |
Tato šablona vytvoří službu Azure Key Vault a tajný klíč. |
|
vytvoření služby Azure Key Vault pomocí RBAC a tajného nasazení |
Tato šablona vytvoří službu Azure Key Vault a tajný klíč. Místo spoléhání na zásady přístupu využívá Azure RBAC ke správě autorizace tajných kódů. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje minimální sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) nasazení |
Tato šablona nasazení určuje, jak vytvořit pracovní prostor Azure Machine Learning s šifrováním na straně služby pomocí šifrovacích klíčů. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK) nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Příklad ukazuje, jak nakonfigurovat Službu Azure Machine Learning pro šifrování pomocí šifrovacího klíče spravovaného zákazníkem. |
|
Vytvoření pracovního prostoru služby Azure Machine Learning Service (starší verze) nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti. |
|
vytvoření pracovního prostoru služby Azure Machine Learning Service (virtuální síť) nasazení |
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti. |
|
Vytvoření a šifrování nové sady VMSS s Windows pomocí jumpboxu nasazení |
Tato šablona umožňuje nasadit jednoduchou škálovací sadu virtuálních počítačů s Windows pomocí nejnovější opravené verze serverových verzí Windows. Tato šablona také nasadí jumpbox s veřejnou IP adresou ve stejné virtuální síti. K jumpboxu se můžete připojit přes tuto veřejnou IP adresu a pak se odtud připojit k virtuálním počítačům ve škálovací sadě prostřednictvím privátních IP adres. Tato šablona umožňuje šifrování na škálovací sadě virtuálních počítačů s Windows. |
|
vytvoření služby Application Gateway s certifikáty nasazení |
Tato šablona ukazuje, jak vygenerovat certifikáty podepsané svým držitelem služby Key Vault a pak odkazovat ze služby Application Gateway. |
|
vytvoření služby Key Vault s povoleným protokolováním nasazení |
Tato šablona vytvoří službu Azure Key Vault a účet služby Azure Storage, který se používá k protokolování. Volitelně vytvoří zámky prostředků pro ochranu prostředků služby Key Vault a prostředků úložiště. |
|
vytvoření trezoru klíčů, spravované identity a přiřazení rolí nasazení |
Tato šablona vytvoří trezor klíčů, spravovanou identitu a přiřazení role. |
|
Vytvoření nových šifrovaných spravovaných disků win-vm z image galerie nasazení |
Tato šablona vytvoří nový šifrovaný virtuální počítač se spravovanými disky s Windows pomocí image galerie serveru 2k12. |
|
vytvoří prostředek privátního koncového bodu mezi tenanty nasazení |
Tato šablona umožňuje vytvořit prostředek koncového bodu Priavate ve stejném prostředí nebo v prostředí mezi tenanty a přidat konfiguraci zóny DNS. |
|
vytvoří aplikaci Dapr pub-sub servicebus pomocí služby Container Apps nasazení |
Vytvořte aplikaci Dapr pub-sub servicebus pomocí Container Apps. |
|
vytvoří cluster Azure Stack HCI 23H2 nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM pomocí vlastní IP adresy úložiště. |
|
vytvoří cluster Azure Stack HCI 23H2 nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
|
vytvoří cluster Azure Stack HCI 23H2 v bezpínacím režimu sítě s duálním propojením nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
|
vytvoří cluster Azure Stack HCI 23H2 v Switchless-SingleLink síťovém režimu nasazení |
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM. |
|
nasazení zabezpečeného nástroje Azure AI Studio se spravovanou virtuální sítí nasazení |
Tato šablona vytvoří zabezpečené prostředí Azure AI Studio s robustními omezeními zabezpečení sítě a identit. |
|
nasazení analýzy sportů v architektuře Azure nasazení |
Vytvoří účet úložiště Azure s povoleným ADLS Gen2, instancí služby Azure Data Factory s propojenými službami pro účet úložiště (pokud je nasazená služba Azure SQL Database) a instancí Azure Databricks. Identita AAD pro uživatele, který nasazuje šablonu, a spravovanou identitu instance ADF se udělí roli Přispěvatel dat objektů blob služby Storage v účtu úložiště. K dispozici jsou také možnosti nasazení instance služby Azure Key Vault, Azure SQL Database a centra událostí Azure (pro případy použití streamování). Po nasazení služby Azure Key Vault se spravované identitě datové továrny a identitě AAD pro uživatele, který šablonu nasazuje, udělí roli uživatele tajných kódů služby Key Vault. |
|
Povolení šifrování na spuštěném virtuálním počítači s Windows nasazení |
Tato šablona umožňuje šifrování na spuštěném virtuálním počítači s Windows. |
| centra nasazení |
Tato šablona vytvoří novou instanci centra FinOps, včetně služby Data Lake Storage a služby Data Factory. |
|
Testovací prostředí pro službu Azure Firewall Premium nasazení |
Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
|
Tato šablona šifruje spuštěnou VMSS s Windows. nasazení |
Tato šablona umožňuje šifrování na spuštěné škálovací sadě virtuálních počítačů s Windows. |
|
upgraduje cluster Azure Stack HCI 22H2 na cluster 23H2 nasazení |
Tato šablona upgraduje cluster Azure Stack HCI 22H2 na cluster 23H2 pomocí šablony ARM. |
Definice prostředku Terraformu (poskytovatel AzAPI)
Typ prostředku trezorů je možné nasadit s operacemi, které cílí:
- skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2018-02-14-preview"
name = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
}
]
}
sku = {
family = "string"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
})
}
Hodnoty vlastností
AccessPolicyEntry
| Jméno | Popis | Hodnota |
|---|---|---|
| applicationId | ID aplikace klienta provádějícího žádost jménem objektu zabezpečení | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. | string (povinné) |
| dovolení | Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty | oprávnění (povinné) |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné) |
IpRule
| Jméno | Popis | Hodnota |
|---|---|---|
| hodnota | Rozsah adres IPv4 v zápisu CIDR, například 124.56.78.91 (jednoduchá IP adresa) nebo 124.56.78.0/24 (všechny adresy začínající 124.56.78). | string (povinné) |
Microsoft.KeyVault/vaults
NetworkRuleSet
| Jméno | Popis | Hodnota |
|---|---|---|
| obejít | Udává, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud nezadáte výchozí hodnotu AzureServices. | AzureServices None (Žádný) |
| defaultAction | Výchozí akce, pokud se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Tento parametr se použije až po vyhodnocení vlastnosti bypass. | Povolit "Odepřít" |
| IpRules | Seznam pravidel IP adres. | IPRule [] |
| VirtualNetworkRules | Seznam pravidel virtuální sítě | VirtualNetworkRule[] |
Dovolení
| Jméno | Popis | Hodnota |
|---|---|---|
| certifikáty | Oprávnění k certifikátům | Řetězcové pole obsahující některou z těchto možností: "zálohování" Vytvořit Odstranit Deleteissuers "get" Getissuers Import 'list' 'listissuers' 'managecontacts' Manageissuers "Vyprázdnit" "obnovit" "restore" "setissuers" "update" |
| klíče | Oprávnění ke klíčům | Řetězcové pole obsahující některou z těchto možností: "zálohování" Vytvořit Dešifrování Odstranit Šifrovat "get" Import 'list' "Vyprázdnit" "obnovit" "restore" "sign" (znaménko) UnwrapKey "update" "verify" (ověřit) WrapKey |
| tajemství | Oprávnění k tajným kódům | Řetězcové pole obsahující některou z těchto možností: "zálohování" Odstranit "get" 'list' "Vyprázdnit" "obnovit" "restore" 'set' |
| skladování | Oprávnění k účtům úložiště | Řetězcové pole obsahující některou z těchto možností: "zálohování" Odstranit Deletesas "get" "getsas" 'list' "listsas" "Vyprázdnit" "obnovit" Znovu vygenerovat klíč "restore" 'set' 'setsas' "update" |
Sku
| Jméno | Popis | Hodnota |
|---|---|---|
| Rodina | Jméno rodiny skladové položky | "A" (povinné) |
| Jméno | Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. | Premium "standard" (povinné) |
VaultCreateOrUpdateParametersTags
| Jméno | Popis | Hodnota |
|---|
VaultProperties
| Jméno | Popis | Hodnota |
|---|---|---|
| accessPolicies | Pole 0 až 1024 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. | AccessPolicyEntry[] |
| createMode | Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. | Výchozí "obnovit" |
| enabledForDeployment | Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. | Bool |
| enabledForDiskEncryption | Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. | Bool |
| enabledForTemplateDeployment | Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. | Bool |
| enablePurgeProtection | Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. | Bool |
| enableSoftDelete | Vlastnost určující, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Nepřijme hodnotu false. | Bool |
| networkAcls | Kolekce pravidel, která řídí přístupnost trezoru z konkrétních síťových umístění. | NetworkRuleSet |
| sku | Podrobnosti skladové položky | skladové položky (povinné) |
| tenantId | ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (povinné) |
| vaultUri | Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. | řetězec |
VirtualNetworkRule
| Jméno | Popis | Hodnota |
|---|---|---|
| id | Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. | string (povinné) |