Coffres Microsoft.KeyVault 2018-02-14
Remarques
Pour obtenir des conseils sur l’utilisation de coffres de clés pour des valeurs sécurisées, consultez Gérer les secrets à l’aide de Bicep.
Pour obtenir un guide de démarrage rapide sur la création d’un secret, consultez Démarrage rapide : Définir et récupérer un secret à partir d’Azure Key Vault à l’aide d’un modèle ARM.
Pour obtenir un guide de démarrage rapide sur la création d’une clé, consultez Démarrage rapide : Créer un coffre de clés Azure et une clé à l’aide d’un modèle ARM.
Définition de ressource Bicep
Le type de ressource des coffres peut être déployé avec des opérations qui ciblent :
- groupes de ressources - Consultez commandes de déploiement de groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.KeyVault/vaults@2018-02-14' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
}
]
}
sku: {
family: 'string'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
Valeurs de propriété
AccessPolicyEntry
Nom | Description | Valeur |
---|---|---|
applicationId | ID d’application du client effectuant une demande pour le compte d’un principal | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. L’ID d’objet doit être unique pour la liste des stratégies d’accès. | chaîne (obligatoire) |
Autorisations | Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. | autorisations (obligatoire) |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire) |
IPRule
Nom | Description | Valeur |
---|---|---|
valeur | Plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses commençant par 124.56.78). | chaîne (obligatoire) |
Microsoft.KeyVault/vaults
Nom | Description | Valeur |
---|---|---|
emplacement | Emplacement Azure pris en charge où le coffre de clés doit être créé. | chaîne (obligatoire) |
nom | Nom de la ressource | corde Contraintes: Modèle = ^[a-zA-Z0-9-]{3,24}$ (obligatoire) |
Propriétés | Propriétés du coffre | VaultProperties (obligatoire) |
étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
NetworkRuleSet
Nom | Description | Valeur |
---|---|---|
contourner | Indique ce que le trafic peut contourner les règles réseau. Il peut s’agir d'« AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». | 'AzureServices' 'None' |
defaultAction | Action par défaut lorsqu’aucune règle d’ipRules et de virtualNetworkRules ne correspond. Cette opération est utilisée uniquement après l’évaluation de la propriété de contournement. | 'Autoriser' 'Refuser' |
ipRules | Liste des règles d’adresse IP. | IPRule [] |
virtualNetworkRules | Liste des règles de réseau virtuel. | VirtualNetworkRule[] |
Autorisations
Nom | Description | Valeur |
---|---|---|
Certificats | Autorisations sur les certificats | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'récupérer' 'restore' 'setissuers' 'update' |
Clés | Autorisations sur les clés | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'create' 'déchiffrer' 'delete' 'chiffrer' 'get' 'import' 'list' 'purge' 'récupérer' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
Secrets | Autorisations sur les secrets | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'delete' 'get' 'list' 'purge' 'récupérer' 'restore' 'set' |
stockage | Autorisations pour les comptes de stockage | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'récupérer' 'régénérer la clé' 'restore' 'set' 'setsas' 'update' |
Sku
Nom | Description | Valeur |
---|---|---|
Famille | Nom de la famille de référenceS (SKU) | 'A' (obligatoire) |
nom | Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. | 'premium' 'standard' (obligatoire) |
VaultCreateOrUpdateParametersTags
Nom | Description | Valeur |
---|
VaultProperties
Nom | Description | Valeur |
---|---|---|
accessPolicies | Tableau de 0 à 1024 identités qui ont accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover , les stratégies d’accès ne sont pas requises. Sinon, les stratégies d’accès sont requises. |
AccessPolicyEntry[] |
createMode | Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. | 'default' 'récupérer' |
enabledForDeployment | Propriété permettant de spécifier si les machines virtuelles Azure sont autorisées à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. | Bool |
enabledForDiskEncryption | Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et des clés de décompressage. | Bool |
enabledForTemplateDeployment | Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. | Bool |
enablePurgeProtection | Propriété spécifiant si la protection contre le vidage est activée pour ce coffre. La définition de cette propriété sur true active la protection contre le vidage pour ce coffre et son contenu . seul le service Key Vault peut lancer une suppression irrécupérable. Le paramètre est effectif uniquement si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. | Bool |
enableSoftDelete | Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. Elle n’accepte pas la valeur false. | Bool |
networkAcls | Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. | NetworkRuleSet |
Sku | Détails de la référence SKU | référence SKU (obligatoire) |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire) |
vaultUri | URI du coffre pour effectuer des opérations sur les clés et les secrets. | corde |
VirtualNetworkRule
Nom | Description | Valeur |
---|---|---|
id | ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1 ». | chaîne (obligatoire) |
Exemples de démarrage rapide
Les exemples de démarrage rapide suivants déploient ce type de ressource.
Fichier Bicep | Description |
---|---|
cluster AKS avec une passerelle NAT et un Application Gateway | Cet exemple montre comment déployer un cluster AKS avec NAT Gateway pour les connexions sortantes et une passerelle Application Gateway pour les connexions entrantes. |
cluster AKS avec le contrôleur d’entrée Application Gateway | Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics et Key Vault |
Application Gateway avec gestion des API internes et d’application web | Application Gateway achemine le trafic Internet vers une instance de gestion des API de réseau virtuel (mode interne) qui services une API web hébergée dans une application web Azure. |
configuration de base d’Azure AI Studio | Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
configuration de base d’Azure AI Studio | Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
configuration de base d’Azure AI Studio | Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
restreint réseau Azure AI Studio | Cet ensemble de modèles montre comment configurer Azure AI Studio avec une liaison privée et une sortie désactivées, à l’aide de clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
restreint réseau Azure AI Studio | Cet ensemble de modèles montre comment configurer Azure AI Studio avec une liaison privée et une sortie désactivées, à l’aide de clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
Azure AI Studio avec microsoft Entra ID Authentication | Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’authentification Microsoft Entra ID pour les ressources dépendantes, telles qu’Azure AI Services et Stockage Azure. |
application de fonction Azure et une fonction déclenchée par HTTP | Cet exemple déploie une application de fonction Azure et une fonction déclenchée par HTTP inline dans le modèle. Il déploie également un coffre de clés et remplit un secret avec la clé hôte de l’application de fonction. |
configuration sécurisée de bout en bout d’Azure Machine Learning | Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché. |
configuration sécurisée de bout en bout Azure Machine Learning (hérité) | Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché. |
chiffrement de compte de stockage Azure avec de clé gérée par le client | Ce modèle déploie un compte de stockage avec une clé gérée par le client pour le chiffrement généré et placé dans un coffre de clés. |
Créer un coffre de clés et une liste de secrets | Ce modèle crée un coffre de clés et une liste de secrets dans le coffre de clés comme transmis avec les paramètres |
Créer une cible de calcul AKS avec une adresse IP privée | Ce modèle crée une cible de calcul AKS dans un espace de travail azure Machine Learning service donné avec une adresse IP privée. |
Créer un service Gestion des API avec SSL à partir de KeyVault | Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour récupérer le certificat SSL à partir de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
Créer un coffre de clés Azure et un secret | Ce modèle crée un coffre de clés Azure et un secret. |
Créer un coffre de clés Azure avec RBAC et un secret | Ce modèle crée un coffre de clés Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
Créer un espace de travail du service Azure Machine Learning | Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble minimal de ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning. |
Créer un espace de travail du service Azure Machine Learning (CMK) | Ce modèle de déploiement spécifie comment créer un espace de travail Azure Machine Learning avec chiffrement côté service à l’aide de vos clés de chiffrement. |
Créer un espace de travail du service Azure Machine Learning (CMK) | Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. L’exemple montre comment configurer Azure Machine Learning pour le chiffrement avec une clé de chiffrement gérée par le client. |
Créer un espace de travail du service Azure Machine Learning (hérité) | Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau. |
Créer un espace de travail du service Azure Machine Learning (réseau virtuel) | Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau. |
créer Application Gateway avec des certificats | Ce modèle montre comment générer des certificats auto-signés Key Vault, puis référencer à partir d’Application Gateway. |
Créer un coffre de clés avec journalisation activée | Ce modèle crée un coffre de clés Azure et un compte de stockage Azure utilisé pour la journalisation. Il crée éventuellement des verrous de ressources pour protéger vos ressources Key Vault et stockage. |
Créer un coffre de clés, une identité managée et une attribution de rôle | Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle. |
crée une ressource de point de terminaison privé interlocataire | Ce modèle vous permet de créer une ressource de point de terminaison Priavate dans le même environnement ou interlocataire et d’ajouter une configuration de zone DNS. |
Crée une application Dapr pub-sub servicebus à l’aide de Container Apps | Créez une application Dapr pub-sub servicebus à l’aide de Container Apps. |
Déployer Secure Azure AI Studio avec un réseau virtuel managé | Ce modèle crée un environnement Azure AI Studio sécurisé avec des restrictions de sécurité réseau et d’identité robustes. |
Déployer sports Analytics sur l’architecture Azure | Crée un compte de stockage Azure avec ADLS Gen2 activé, une instance Azure Data Factory avec des services liés pour le compte de stockage (une base de données Azure SQL si déployée) et une instance Azure Databricks. L’identité AAD pour l’utilisateur qui déploie le modèle et l’identité managée pour l’instance ADF reçoivent le rôle Contributeur aux données blob de stockage sur le compte de stockage. Il existe également des options pour déployer une instance Azure Key Vault, une base de données Azure SQL et un Hub d’événements Azure (pour les cas d’utilisation de streaming). Lorsqu’un coffre de clés Azure est déployé, l’identité managée de la fabrique de données et l’identité AAD pour l’utilisateur qui déploie le modèle reçoivent le rôle Utilisateur des secrets Key Vault. |
hub FinOps | Ce modèle crée une instance de hub FinOps, notamment Data Lake Storage et Data Factory. |
environnement de test pour le pare-feu Azure Premium | Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
Définition de ressource de modèle ARM
Le type de ressource des coffres peut être déployé avec des opérations qui ciblent :
- groupes de ressources - Consultez commandes de déploiement de groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2018-02-14",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string"
}
]
},
"sku": {
"family": "string",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
Valeurs de propriété
AccessPolicyEntry
Nom | Description | Valeur |
---|---|---|
applicationId | ID d’application du client effectuant une demande pour le compte d’un principal | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. L’ID d’objet doit être unique pour la liste des stratégies d’accès. | chaîne (obligatoire) |
Autorisations | Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. | autorisations (obligatoire) |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire) |
IPRule
Nom | Description | Valeur |
---|---|---|
valeur | Plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses commençant par 124.56.78). | chaîne (obligatoire) |
Microsoft.KeyVault/vaults
Nom | Description | Valeur |
---|---|---|
apiVersion | Version de l’API | '2018-02-14' |
emplacement | Emplacement Azure pris en charge où le coffre de clés doit être créé. | chaîne (obligatoire) |
nom | Nom de la ressource | corde Contraintes: Modèle = ^[a-zA-Z0-9-]{3,24}$ (obligatoire) |
Propriétés | Propriétés du coffre | VaultProperties (obligatoire) |
étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
type | Type de ressource | 'Microsoft.KeyVault/vaults' |
NetworkRuleSet
Nom | Description | Valeur |
---|---|---|
contourner | Indique ce que le trafic peut contourner les règles réseau. Il peut s’agir d'« AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». | 'AzureServices' 'None' |
defaultAction | Action par défaut lorsqu’aucune règle d’ipRules et de virtualNetworkRules ne correspond. Cette opération est utilisée uniquement après l’évaluation de la propriété de contournement. | 'Autoriser' 'Refuser' |
ipRules | Liste des règles d’adresse IP. | IPRule [] |
virtualNetworkRules | Liste des règles de réseau virtuel. | VirtualNetworkRule[] |
Autorisations
Nom | Description | Valeur |
---|---|---|
Certificats | Autorisations sur les certificats | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'récupérer' 'restore' 'setissuers' 'update' |
Clés | Autorisations sur les clés | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'create' 'déchiffrer' 'delete' 'chiffrer' 'get' 'import' 'list' 'purge' 'récupérer' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
Secrets | Autorisations sur les secrets | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'delete' 'get' 'list' 'purge' 'récupérer' 'restore' 'set' |
stockage | Autorisations pour les comptes de stockage | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'récupérer' 'régénérer la clé' 'restore' 'set' 'setsas' 'update' |
Sku
Nom | Description | Valeur |
---|---|---|
Famille | Nom de la famille de référenceS (SKU) | 'A' (obligatoire) |
nom | Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. | 'premium' 'standard' (obligatoire) |
VaultCreateOrUpdateParametersTags
Nom | Description | Valeur |
---|
VaultProperties
Nom | Description | Valeur |
---|---|---|
accessPolicies | Tableau de 0 à 1024 identités qui ont accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover , les stratégies d’accès ne sont pas requises. Sinon, les stratégies d’accès sont requises. |
AccessPolicyEntry[] |
createMode | Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. | 'default' 'récupérer' |
enabledForDeployment | Propriété permettant de spécifier si les machines virtuelles Azure sont autorisées à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. | Bool |
enabledForDiskEncryption | Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et des clés de décompressage. | Bool |
enabledForTemplateDeployment | Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. | Bool |
enablePurgeProtection | Propriété spécifiant si la protection contre le vidage est activée pour ce coffre. La définition de cette propriété sur true active la protection contre le vidage pour ce coffre et son contenu . seul le service Key Vault peut lancer une suppression irrécupérable. Le paramètre est effectif uniquement si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. | Bool |
enableSoftDelete | Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. Elle n’accepte pas la valeur false. | Bool |
networkAcls | Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. | NetworkRuleSet |
Sku | Détails de la référence SKU | référence SKU (obligatoire) |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire) |
vaultUri | URI du coffre pour effectuer des opérations sur les clés et les secrets. | corde |
VirtualNetworkRule
Nom | Description | Valeur |
---|---|---|
id | ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1 ». | chaîne (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
Modèle | Description |
---|---|
cluster AKS avec une passerelle NAT et un Application Gateway |
Cet exemple montre comment déployer un cluster AKS avec NAT Gateway pour les connexions sortantes et une passerelle Application Gateway pour les connexions entrantes. |
cluster AKS avec le contrôleur d’entrée Application Gateway |
Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics et Key Vault |
App Service Environment avec le serveur principal Azure SQL |
Ce modèle crée un environnement App Service avec un back-end Azure SQL, ainsi que des points de terminaison privés, ainsi que des ressources associées généralement utilisées dans un environnement privé/isolé. |
Application Gateway avec gestion des API internes et d’application web |
Application Gateway achemine le trafic Internet vers une instance de gestion des API de réseau virtuel (mode interne) qui services une API web hébergée dans une application web Azure. |
configuration de base d’Azure AI Studio |
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
configuration de base d’Azure AI Studio |
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
configuration de base d’Azure AI Studio |
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
restreint réseau Azure AI Studio |
Cet ensemble de modèles montre comment configurer Azure AI Studio avec une liaison privée et une sortie désactivées, à l’aide de clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
restreint réseau Azure AI Studio |
Cet ensemble de modèles montre comment configurer Azure AI Studio avec une liaison privée et une sortie désactivées, à l’aide de clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA. |
Azure AI Studio avec microsoft Entra ID Authentication |
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’authentification Microsoft Entra ID pour les ressources dépendantes, telles qu’Azure AI Services et Stockage Azure. |
application de fonction Azure et une fonction déclenchée par HTTP |
Cet exemple déploie une application de fonction Azure et une fonction déclenchée par HTTP inline dans le modèle. Il déploie également un coffre de clés et remplit un secret avec la clé hôte de l’application de fonction. |
configuration sécurisée de bout en bout d’Azure Machine Learning |
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché. |
configuration sécurisée de bout en bout Azure Machine Learning (hérité) |
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché. |
espace de travail Azure Machine Learning |
Ce modèle crée un espace de travail Azure Machine Learning, ainsi qu’un compte de stockage chiffré, un coffre de clés et une journalisation Applications Insights |
chiffrement de compte de stockage Azure avec de clé gérée par le client |
Ce modèle déploie un compte de stockage avec une clé gérée par le client pour le chiffrement généré et placé dans un coffre de clés. |
se connecter à un coffre de clés via un point de terminaison privé |
Cet exemple montre comment utiliser la configuration d’un réseau virtuel et d’une zone DNS privée pour accéder à Key Vault via un point de terminaison privé. |
Créer un coffre de clés et une liste de secrets |
Ce modèle crée un coffre de clés et une liste de secrets dans le coffre de clés comme transmis avec les paramètres |
Créer un KeyVault |
Ce module crée une ressource KeyVault avec apiVersion 2019-09-01. |
Créer une machine virtuelle Windows chiffrée à partir d’une image de galerie |
Ce modèle crée une machine virtuelle Windows chiffrée à l’aide de l’image de la galerie server 2k12. |
créer un cluster AKS privé avec une zone DNS publique |
Cet exemple montre comment déployer un cluster AKS privé avec une zone DNS publique. |
Créer un espace de travail AML avec plusieurs jeux de données & magasins de données |
Ce modèle crée un espace de travail Azure Machine Learning avec plusieurs jeux de données & magasins de données. |
Créer une cible de calcul AKS avec une adresse IP privée |
Ce modèle crée une cible de calcul AKS dans un espace de travail azure Machine Learning service donné avec une adresse IP privée. |
Créer un service Gestion des API avec SSL à partir de KeyVault |
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour récupérer le certificat SSL à partir de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
créer une passerelle Application Gateway V2 avec le Key Vault |
Ce modèle déploie une application Gateway V2 dans un réseau virtuel, une identité définie par l’utilisateur, Key Vault, un secret (données de certificat) et une stratégie d’accès sur Key Vault et Application Gateway. |
Créer un coffre de clés Azure et un secret |
Ce modèle crée un coffre de clés Azure et un secret. |
Créer un coffre de clés Azure avec RBAC et un secret |
Ce modèle crée un coffre de clés Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
Créer un espace de travail du service Azure Machine Learning |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble minimal de ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning. |
Créer un espace de travail du service Azure Machine Learning (CMK) |
Ce modèle de déploiement spécifie comment créer un espace de travail Azure Machine Learning avec chiffrement côté service à l’aide de vos clés de chiffrement. |
Créer un espace de travail du service Azure Machine Learning (CMK) |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. L’exemple montre comment configurer Azure Machine Learning pour le chiffrement avec une clé de chiffrement gérée par le client. |
Créer un espace de travail du service Azure Machine Learning (hérité) |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau. |
Créer un espace de travail du service Azure Machine Learning (réseau virtuel) |
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau. |
Créer et chiffrer une nouvelle machine virtuelle Windows avec jumpbox |
Ce modèle vous permet de déployer un groupe de machines virtuelles identiques simple de machines virtuelles Windows à l’aide de la dernière version corrigée des versions de Windows serveral. Ce modèle déploie également une jumpbox avec une adresse IP publique dans le même réseau virtuel. Vous pouvez vous connecter à la jumpbox via cette adresse IP publique, puis vous y connecter aux machines virtuelles du groupe identique via des adresses IP privées. Ce modèle active le chiffrement sur le groupe de machines virtuelles identiques de machines virtuelles Windows. |
créer Application Gateway avec des certificats |
Ce modèle montre comment générer des certificats auto-signés Key Vault, puis référencer à partir d’Application Gateway. |
Créer un coffre de clés avec journalisation activée |
Ce modèle crée un coffre de clés Azure et un compte de stockage Azure utilisé pour la journalisation. Il crée éventuellement des verrous de ressources pour protéger vos ressources Key Vault et stockage. |
Créer un coffre de clés, une identité managée et une attribution de rôle |
Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle. |
Créer des disques managés chiffrés win-vm à partir de l’image de la galerie |
Ce modèle crée une machine virtuelle windows de disques managés chiffrés à l’aide de l’image de la galerie server 2k12. |
crée une ressource de point de terminaison privé interlocataire |
Ce modèle vous permet de créer une ressource de point de terminaison Priavate dans le même environnement ou interlocataire et d’ajouter une configuration de zone DNS. |
Crée une application Dapr pub-sub servicebus à l’aide de Container Apps |
Créez une application Dapr pub-sub servicebus à l’aide de Container Apps. |
crée un cluster Azure Stack HCI 23H2 |
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM, à l’aide d’une adresse IP de stockage personnalisée |
crée un cluster Azure Stack HCI 23H2 |
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
crée un cluster Azure Stack HCI 23H2 en mode réseau switchless-double liaison |
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
crée un cluster Azure Stack HCI 23H2 en mode réseau Switchless-SingleLink |
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM. |
Déployer Secure Azure AI Studio avec un réseau virtuel managé |
Ce modèle crée un environnement Azure AI Studio sécurisé avec des restrictions de sécurité réseau et d’identité robustes. |
Déployer sports Analytics sur l’architecture Azure |
Crée un compte de stockage Azure avec ADLS Gen2 activé, une instance Azure Data Factory avec des services liés pour le compte de stockage (une base de données Azure SQL si déployée) et une instance Azure Databricks. L’identité AAD pour l’utilisateur qui déploie le modèle et l’identité managée pour l’instance ADF reçoivent le rôle Contributeur aux données blob de stockage sur le compte de stockage. Il existe également des options pour déployer une instance Azure Key Vault, une base de données Azure SQL et un Hub d’événements Azure (pour les cas d’utilisation de streaming). Lorsqu’un coffre de clés Azure est déployé, l’identité managée de la fabrique de données et l’identité AAD pour l’utilisateur qui déploie le modèle reçoivent le rôle Utilisateur des secrets Key Vault. |
activer le chiffrement sur une machine virtuelle Windows en cours d’exécution |
Ce modèle active le chiffrement sur une machine virtuelle Windows en cours d’exécution. |
hub FinOps |
Ce modèle crée une instance de hub FinOps, notamment Data Lake Storage et Data Factory. |
environnement de test pour le pare-feu Azure Premium |
Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
Ce modèle chiffre une VMSS Windows en cours d’exécution |
Ce modèle active le chiffrement sur un groupe de machines virtuelles identiques Windows en cours d’exécution |
met à niveau un cluster Azure Stack HCI 22H2 vers un cluster 23H2 |
Ce modèle met à niveau un cluster Azure Stack HCI 22H2 vers un cluster 23H2 à l’aide d’un modèle ARM. |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource des coffres peut être déployé avec des opérations qui ciblent :
- groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2018-02-14"
name = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
}
]
}
sku = {
family = "string"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
})
}
Valeurs de propriété
AccessPolicyEntry
Nom | Description | Valeur |
---|---|---|
applicationId | ID d’application du client effectuant une demande pour le compte d’un principal | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. L’ID d’objet doit être unique pour la liste des stratégies d’accès. | chaîne (obligatoire) |
Autorisations | Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. | autorisations (obligatoire) |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire) |
IPRule
Nom | Description | Valeur |
---|---|---|
valeur | Plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses commençant par 124.56.78). | chaîne (obligatoire) |
Microsoft.KeyVault/vaults
Nom | Description | Valeur |
---|---|---|
emplacement | Emplacement Azure pris en charge où le coffre de clés doit être créé. | chaîne (obligatoire) |
nom | Nom de la ressource | corde Contraintes: Modèle = ^[a-zA-Z0-9-]{3,24}$ (obligatoire) |
Propriétés | Propriétés du coffre | VaultProperties (obligatoire) |
étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. |
type | Type de ressource | « Microsoft.KeyVault/vaults@2018-02-14 » |
NetworkRuleSet
Nom | Description | Valeur |
---|---|---|
contourner | Indique ce que le trafic peut contourner les règles réseau. Il peut s’agir d'« AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». | 'AzureServices' 'None' |
defaultAction | Action par défaut lorsqu’aucune règle d’ipRules et de virtualNetworkRules ne correspond. Cette opération est utilisée uniquement après l’évaluation de la propriété de contournement. | 'Autoriser' 'Refuser' |
ipRules | Liste des règles d’adresse IP. | IPRule [] |
virtualNetworkRules | Liste des règles de réseau virtuel. | VirtualNetworkRule[] |
Autorisations
Nom | Description | Valeur |
---|---|---|
Certificats | Autorisations sur les certificats | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'récupérer' 'restore' 'setissuers' 'update' |
Clés | Autorisations sur les clés | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'create' 'déchiffrer' 'delete' 'chiffrer' 'get' 'import' 'list' 'purge' 'récupérer' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
Secrets | Autorisations sur les secrets | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'delete' 'get' 'list' 'purge' 'récupérer' 'restore' 'set' |
stockage | Autorisations pour les comptes de stockage | Tableau de chaînes contenant l’un des éléments suivants : 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'récupérer' 'régénérer la clé' 'restore' 'set' 'setsas' 'update' |
Sku
Nom | Description | Valeur |
---|---|---|
Famille | Nom de la famille de référenceS (SKU) | 'A' (obligatoire) |
nom | Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. | 'premium' 'standard' (obligatoire) |
VaultCreateOrUpdateParametersTags
Nom | Description | Valeur |
---|
VaultProperties
Nom | Description | Valeur |
---|---|---|
accessPolicies | Tableau de 0 à 1024 identités qui ont accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover , les stratégies d’accès ne sont pas requises. Sinon, les stratégies d’accès sont requises. |
AccessPolicyEntry[] |
createMode | Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. | 'default' 'récupérer' |
enabledForDeployment | Propriété permettant de spécifier si les machines virtuelles Azure sont autorisées à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. | Bool |
enabledForDiskEncryption | Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et des clés de décompressage. | Bool |
enabledForTemplateDeployment | Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. | Bool |
enablePurgeProtection | Propriété spécifiant si la protection contre le vidage est activée pour ce coffre. La définition de cette propriété sur true active la protection contre le vidage pour ce coffre et son contenu . seul le service Key Vault peut lancer une suppression irrécupérable. Le paramètre est effectif uniquement si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. | Bool |
enableSoftDelete | Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. Elle n’accepte pas la valeur false. | Bool |
networkAcls | Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. | NetworkRuleSet |
Sku | Détails de la référence SKU | référence SKU (obligatoire) |
tenantId | ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire) |
vaultUri | URI du coffre pour effectuer des opérations sur les clés et les secrets. | corde |
VirtualNetworkRule
Nom | Description | Valeur |
---|---|---|
id | ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1 ». | chaîne (obligatoire) |