Partager via


Coffres Microsoft.KeyVault 2018-02-14

Remarques

Pour obtenir des conseils sur l’utilisation de coffres de clés pour des valeurs sécurisées, consultez Gérer les secrets à l’aide de Bicep.

Pour obtenir un guide de démarrage rapide sur la création d’un secret, consultez Démarrage rapide : Définir et récupérer un secret à partir d’Azure Key Vault à l’aide d’un modèle ARM.

Pour obtenir un guide de démarrage rapide sur la création d’une clé, consultez Démarrage rapide : Créer un coffre de clés Azure et une clé à l’aide d’un modèle ARM.

Définition de ressource Bicep

Le type de ressource des coffres peut être déployé avec des opérations qui ciblent :

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez le bicep suivant à votre modèle.

resource symbolicname 'Microsoft.KeyVault/vaults@2018-02-14' = {
  location: 'string'
  name: 'string'
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
        }
      ]
    }
    sku: {
      family: 'string'
      name: 'string'
    }
    tenantId: 'string'
    vaultUri: 'string'
  }
  tags: {
    {customized property}: 'string'
  }
}

Valeurs de propriété

AccessPolicyEntry

Nom Description Valeur
applicationId ID d’application du client effectuant une demande pour le compte d’un principal corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. L’ID d’objet doit être unique pour la liste des stratégies d’accès. chaîne (obligatoire)
Autorisations Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. autorisations (obligatoire)
tenantId ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire)

IPRule

Nom Description Valeur
valeur Plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses commençant par 124.56.78). chaîne (obligatoire)

Microsoft.KeyVault/vaults

Nom Description Valeur
emplacement Emplacement Azure pris en charge où le coffre de clés doit être créé. chaîne (obligatoire)
nom Nom de la ressource corde

Contraintes:
Modèle = ^[a-zA-Z0-9-]{3,24}$ (obligatoire)
Propriétés Propriétés du coffre VaultProperties (obligatoire)
étiquettes Balises de ressource Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles

NetworkRuleSet

Nom Description Valeur
contourner Indique ce que le trafic peut contourner les règles réseau. Il peut s’agir d'« AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». 'AzureServices'
'None'
defaultAction Action par défaut lorsqu’aucune règle d’ipRules et de virtualNetworkRules ne correspond. Cette opération est utilisée uniquement après l’évaluation de la propriété de contournement. 'Autoriser'
'Refuser'
ipRules Liste des règles d’adresse IP. IPRule []
virtualNetworkRules Liste des règles de réseau virtuel. VirtualNetworkRule[]

Autorisations

Nom Description Valeur
Certificats Autorisations sur les certificats Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'import'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'purge'
'récupérer'
'restore'
'setissuers'
'update'
Clés Autorisations sur les clés Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'create'
'déchiffrer'
'delete'
'chiffrer'
'get'
'import'
'list'
'purge'
'récupérer'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
Secrets Autorisations sur les secrets Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'delete'
'get'
'list'
'purge'
'récupérer'
'restore'
'set'
stockage Autorisations pour les comptes de stockage Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'purge'
'récupérer'
'régénérer la clé'
'restore'
'set'
'setsas'
'update'

Sku

Nom Description Valeur
Famille Nom de la famille de référenceS (SKU) 'A' (obligatoire)
nom Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. 'premium'
'standard' (obligatoire)

VaultCreateOrUpdateParametersTags

Nom Description Valeur

VaultProperties

Nom Description Valeur
accessPolicies Tableau de 0 à 1024 identités qui ont accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover, les stratégies d’accès ne sont pas requises. Sinon, les stratégies d’accès sont requises. AccessPolicyEntry[]
createMode Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. 'default'
'récupérer'
enabledForDeployment Propriété permettant de spécifier si les machines virtuelles Azure sont autorisées à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. Bool
enabledForDiskEncryption Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et des clés de décompressage. Bool
enabledForTemplateDeployment Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. Bool
enablePurgeProtection Propriété spécifiant si la protection contre le vidage est activée pour ce coffre. La définition de cette propriété sur true active la protection contre le vidage pour ce coffre et son contenu . seul le service Key Vault peut lancer une suppression irrécupérable. Le paramètre est effectif uniquement si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. Bool
enableSoftDelete Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. Elle n’accepte pas la valeur false. Bool
networkAcls Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. NetworkRuleSet
Sku Détails de la référence SKU référence SKU (obligatoire)
tenantId ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire)
vaultUri URI du coffre pour effectuer des opérations sur les clés et les secrets. corde

VirtualNetworkRule

Nom Description Valeur
id ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1 ». chaîne (obligatoire)

Exemples de démarrage rapide

Les exemples de démarrage rapide suivants déploient ce type de ressource.

Fichier Bicep Description
cluster AKS avec une passerelle NAT et un Application Gateway Cet exemple montre comment déployer un cluster AKS avec NAT Gateway pour les connexions sortantes et une passerelle Application Gateway pour les connexions entrantes.
cluster AKS avec le contrôleur d’entrée Application Gateway Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics et Key Vault
Application Gateway avec gestion des API internes et d’application web Application Gateway achemine le trafic Internet vers une instance de gestion des API de réseau virtuel (mode interne) qui services une API web hébergée dans une application web Azure.
configuration de base d’Azure AI Studio Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA.
configuration de base d’Azure AI Studio Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA.
configuration de base d’Azure AI Studio Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA.
restreint réseau Azure AI Studio Cet ensemble de modèles montre comment configurer Azure AI Studio avec une liaison privée et une sortie désactivées, à l’aide de clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA.
restreint réseau Azure AI Studio Cet ensemble de modèles montre comment configurer Azure AI Studio avec une liaison privée et une sortie désactivées, à l’aide de clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA.
Azure AI Studio avec microsoft Entra ID Authentication Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’authentification Microsoft Entra ID pour les ressources dépendantes, telles qu’Azure AI Services et Stockage Azure.
application de fonction Azure et une fonction déclenchée par HTTP Cet exemple déploie une application de fonction Azure et une fonction déclenchée par HTTP inline dans le modèle. Il déploie également un coffre de clés et remplit un secret avec la clé hôte de l’application de fonction.
configuration sécurisée de bout en bout d’Azure Machine Learning Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché.
configuration sécurisée de bout en bout Azure Machine Learning (hérité) Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché.
chiffrement de compte de stockage Azure avec de clé gérée par le client Ce modèle déploie un compte de stockage avec une clé gérée par le client pour le chiffrement généré et placé dans un coffre de clés.
Créer un coffre de clés et une liste de secrets Ce modèle crée un coffre de clés et une liste de secrets dans le coffre de clés comme transmis avec les paramètres
Créer une cible de calcul AKS avec une adresse IP privée Ce modèle crée une cible de calcul AKS dans un espace de travail azure Machine Learning service donné avec une adresse IP privée.
Créer un service Gestion des API avec SSL à partir de KeyVault Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour récupérer le certificat SSL à partir de KeyVault et le maintient à jour en vérifiant toutes les 4 heures.
Créer un coffre de clés Azure et un secret Ce modèle crée un coffre de clés Azure et un secret.
Créer un coffre de clés Azure avec RBAC et un secret Ce modèle crée un coffre de clés Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets
Créer un espace de travail du service Azure Machine Learning Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble minimal de ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning.
Créer un espace de travail du service Azure Machine Learning (CMK) Ce modèle de déploiement spécifie comment créer un espace de travail Azure Machine Learning avec chiffrement côté service à l’aide de vos clés de chiffrement.
Créer un espace de travail du service Azure Machine Learning (CMK) Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. L’exemple montre comment configurer Azure Machine Learning pour le chiffrement avec une clé de chiffrement gérée par le client.
Créer un espace de travail du service Azure Machine Learning (hérité) Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau.
Créer un espace de travail du service Azure Machine Learning (réseau virtuel) Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau.
créer Application Gateway avec des certificats Ce modèle montre comment générer des certificats auto-signés Key Vault, puis référencer à partir d’Application Gateway.
Créer un coffre de clés avec journalisation activée Ce modèle crée un coffre de clés Azure et un compte de stockage Azure utilisé pour la journalisation. Il crée éventuellement des verrous de ressources pour protéger vos ressources Key Vault et stockage.
Créer un coffre de clés, une identité managée et une attribution de rôle Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle.
crée une ressource de point de terminaison privé interlocataire Ce modèle vous permet de créer une ressource de point de terminaison Priavate dans le même environnement ou interlocataire et d’ajouter une configuration de zone DNS.
Crée une application Dapr pub-sub servicebus à l’aide de Container Apps Créez une application Dapr pub-sub servicebus à l’aide de Container Apps.
Déployer Secure Azure AI Studio avec un réseau virtuel managé Ce modèle crée un environnement Azure AI Studio sécurisé avec des restrictions de sécurité réseau et d’identité robustes.
Déployer sports Analytics sur l’architecture Azure Crée un compte de stockage Azure avec ADLS Gen2 activé, une instance Azure Data Factory avec des services liés pour le compte de stockage (une base de données Azure SQL si déployée) et une instance Azure Databricks. L’identité AAD pour l’utilisateur qui déploie le modèle et l’identité managée pour l’instance ADF reçoivent le rôle Contributeur aux données blob de stockage sur le compte de stockage. Il existe également des options pour déployer une instance Azure Key Vault, une base de données Azure SQL et un Hub d’événements Azure (pour les cas d’utilisation de streaming). Lorsqu’un coffre de clés Azure est déployé, l’identité managée de la fabrique de données et l’identité AAD pour l’utilisateur qui déploie le modèle reçoivent le rôle Utilisateur des secrets Key Vault.
hub FinOps Ce modèle crée une instance de hub FinOps, notamment Data Lake Storage et Data Factory.
environnement de test pour le pare-feu Azure Premium Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web

Définition de ressource de modèle ARM

Le type de ressource des coffres peut être déployé avec des opérations qui ciblent :

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez le code JSON suivant à votre modèle.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2018-02-14",
  "name": "string",
  "location": "string",
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string"
        }
      ]
    },
    "sku": {
      "family": "string",
      "name": "string"
    },
    "tenantId": "string",
    "vaultUri": "string"
  },
  "tags": {
    "{customized property}": "string"
  }
}

Valeurs de propriété

AccessPolicyEntry

Nom Description Valeur
applicationId ID d’application du client effectuant une demande pour le compte d’un principal corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. L’ID d’objet doit être unique pour la liste des stratégies d’accès. chaîne (obligatoire)
Autorisations Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. autorisations (obligatoire)
tenantId ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire)

IPRule

Nom Description Valeur
valeur Plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses commençant par 124.56.78). chaîne (obligatoire)

Microsoft.KeyVault/vaults

Nom Description Valeur
apiVersion Version de l’API '2018-02-14'
emplacement Emplacement Azure pris en charge où le coffre de clés doit être créé. chaîne (obligatoire)
nom Nom de la ressource corde

Contraintes:
Modèle = ^[a-zA-Z0-9-]{3,24}$ (obligatoire)
Propriétés Propriétés du coffre VaultProperties (obligatoire)
étiquettes Balises de ressource Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles
type Type de ressource 'Microsoft.KeyVault/vaults'

NetworkRuleSet

Nom Description Valeur
contourner Indique ce que le trafic peut contourner les règles réseau. Il peut s’agir d'« AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». 'AzureServices'
'None'
defaultAction Action par défaut lorsqu’aucune règle d’ipRules et de virtualNetworkRules ne correspond. Cette opération est utilisée uniquement après l’évaluation de la propriété de contournement. 'Autoriser'
'Refuser'
ipRules Liste des règles d’adresse IP. IPRule []
virtualNetworkRules Liste des règles de réseau virtuel. VirtualNetworkRule[]

Autorisations

Nom Description Valeur
Certificats Autorisations sur les certificats Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'import'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'purge'
'récupérer'
'restore'
'setissuers'
'update'
Clés Autorisations sur les clés Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'create'
'déchiffrer'
'delete'
'chiffrer'
'get'
'import'
'list'
'purge'
'récupérer'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
Secrets Autorisations sur les secrets Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'delete'
'get'
'list'
'purge'
'récupérer'
'restore'
'set'
stockage Autorisations pour les comptes de stockage Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'purge'
'récupérer'
'régénérer la clé'
'restore'
'set'
'setsas'
'update'

Sku

Nom Description Valeur
Famille Nom de la famille de référenceS (SKU) 'A' (obligatoire)
nom Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. 'premium'
'standard' (obligatoire)

VaultCreateOrUpdateParametersTags

Nom Description Valeur

VaultProperties

Nom Description Valeur
accessPolicies Tableau de 0 à 1024 identités qui ont accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover, les stratégies d’accès ne sont pas requises. Sinon, les stratégies d’accès sont requises. AccessPolicyEntry[]
createMode Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. 'default'
'récupérer'
enabledForDeployment Propriété permettant de spécifier si les machines virtuelles Azure sont autorisées à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. Bool
enabledForDiskEncryption Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et des clés de décompressage. Bool
enabledForTemplateDeployment Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. Bool
enablePurgeProtection Propriété spécifiant si la protection contre le vidage est activée pour ce coffre. La définition de cette propriété sur true active la protection contre le vidage pour ce coffre et son contenu . seul le service Key Vault peut lancer une suppression irrécupérable. Le paramètre est effectif uniquement si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. Bool
enableSoftDelete Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. Elle n’accepte pas la valeur false. Bool
networkAcls Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. NetworkRuleSet
Sku Détails de la référence SKU référence SKU (obligatoire)
tenantId ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire)
vaultUri URI du coffre pour effectuer des opérations sur les clés et les secrets. corde

VirtualNetworkRule

Nom Description Valeur
id ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1 ». chaîne (obligatoire)

Modèles de démarrage rapide

Les modèles de démarrage rapide suivants déploient ce type de ressource.

Modèle Description
cluster AKS avec une passerelle NAT et un Application Gateway

Déployer sur Azure
Cet exemple montre comment déployer un cluster AKS avec NAT Gateway pour les connexions sortantes et une passerelle Application Gateway pour les connexions entrantes.
cluster AKS avec le contrôleur d’entrée Application Gateway

Déployer sur Azure
Cet exemple montre comment déployer un cluster AKS avec Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics et Key Vault
App Service Environment avec le serveur principal Azure SQL

Déployer sur Azure
Ce modèle crée un environnement App Service avec un back-end Azure SQL, ainsi que des points de terminaison privés, ainsi que des ressources associées généralement utilisées dans un environnement privé/isolé.
Application Gateway avec gestion des API internes et d’application web

Déployer sur Azure
Application Gateway achemine le trafic Internet vers une instance de gestion des API de réseau virtuel (mode interne) qui services une API web hébergée dans une application web Azure.
configuration de base d’Azure AI Studio

Déployer sur Azure
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA.
configuration de base d’Azure AI Studio

Déployer sur Azure
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA.
configuration de base d’Azure AI Studio

Déployer sur Azure
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’installation de base, ce qui signifie que l’accès à Internet public est activé, les clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA.
restreint réseau Azure AI Studio

Déployer sur Azure
Cet ensemble de modèles montre comment configurer Azure AI Studio avec une liaison privée et une sortie désactivées, à l’aide de clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA.
restreint réseau Azure AI Studio

Déployer sur Azure
Cet ensemble de modèles montre comment configurer Azure AI Studio avec une liaison privée et une sortie désactivées, à l’aide de clés gérées par Microsoft pour le chiffrement et la configuration d’identité managée par Microsoft pour la ressource IA.
Azure AI Studio avec microsoft Entra ID Authentication

Déployer sur Azure
Cet ensemble de modèles montre comment configurer Azure AI Studio avec l’authentification Microsoft Entra ID pour les ressources dépendantes, telles qu’Azure AI Services et Stockage Azure.
application de fonction Azure et une fonction déclenchée par HTTP

Déployer sur Azure
Cet exemple déploie une application de fonction Azure et une fonction déclenchée par HTTP inline dans le modèle. Il déploie également un coffre de clés et remplit un secret avec la clé hôte de l’application de fonction.
configuration sécurisée de bout en bout d’Azure Machine Learning

Déployer sur Azure
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché.
configuration sécurisée de bout en bout Azure Machine Learning (hérité)

Déployer sur Azure
Cet ensemble de modèles Bicep montre comment configurer Azure Machine Learning de bout en bout dans une configuration sécurisée. Cette implémentation de référence inclut l’espace de travail, un cluster de calcul, une instance de calcul et un cluster AKS privé attaché.
espace de travail Azure Machine Learning

Déployer sur Azure
Ce modèle crée un espace de travail Azure Machine Learning, ainsi qu’un compte de stockage chiffré, un coffre de clés et une journalisation Applications Insights
chiffrement de compte de stockage Azure avec de clé gérée par le client

Déployer sur Azure
Ce modèle déploie un compte de stockage avec une clé gérée par le client pour le chiffrement généré et placé dans un coffre de clés.
se connecter à un coffre de clés via un point de terminaison privé

Déployer sur Azure
Cet exemple montre comment utiliser la configuration d’un réseau virtuel et d’une zone DNS privée pour accéder à Key Vault via un point de terminaison privé.
Créer un coffre de clés et une liste de secrets

Déployer sur Azure
Ce modèle crée un coffre de clés et une liste de secrets dans le coffre de clés comme transmis avec les paramètres
Créer un KeyVault

Déployer sur Azure
Ce module crée une ressource KeyVault avec apiVersion 2019-09-01.
Créer une machine virtuelle Windows chiffrée à partir d’une image de galerie

Déployer sur Azure
Ce modèle crée une machine virtuelle Windows chiffrée à l’aide de l’image de la galerie server 2k12.
créer un cluster AKS privé avec une zone DNS publique

Déployer sur Azure
Cet exemple montre comment déployer un cluster AKS privé avec une zone DNS publique.
Créer un espace de travail AML avec plusieurs jeux de données & magasins de données

Déployer sur Azure
Ce modèle crée un espace de travail Azure Machine Learning avec plusieurs jeux de données & magasins de données.
Créer une cible de calcul AKS avec une adresse IP privée

Déployer sur Azure
Ce modèle crée une cible de calcul AKS dans un espace de travail azure Machine Learning service donné avec une adresse IP privée.
Créer un service Gestion des API avec SSL à partir de KeyVault

Déployer sur Azure
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour récupérer le certificat SSL à partir de KeyVault et le maintient à jour en vérifiant toutes les 4 heures.
créer une passerelle Application Gateway V2 avec le Key Vault

Déployer sur Azure
Ce modèle déploie une application Gateway V2 dans un réseau virtuel, une identité définie par l’utilisateur, Key Vault, un secret (données de certificat) et une stratégie d’accès sur Key Vault et Application Gateway.
Créer un coffre de clés Azure et un secret

Déployer sur Azure
Ce modèle crée un coffre de clés Azure et un secret.
Créer un coffre de clés Azure avec RBAC et un secret

Déployer sur Azure
Ce modèle crée un coffre de clés Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets
Créer un espace de travail du service Azure Machine Learning

Déployer sur Azure
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble minimal de ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning.
Créer un espace de travail du service Azure Machine Learning (CMK)

Déployer sur Azure
Ce modèle de déploiement spécifie comment créer un espace de travail Azure Machine Learning avec chiffrement côté service à l’aide de vos clés de chiffrement.
Créer un espace de travail du service Azure Machine Learning (CMK)

Déployer sur Azure
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. L’exemple montre comment configurer Azure Machine Learning pour le chiffrement avec une clé de chiffrement gérée par le client.
Créer un espace de travail du service Azure Machine Learning (hérité)

Déployer sur Azure
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau.
Créer un espace de travail du service Azure Machine Learning (réseau virtuel)

Déployer sur Azure
Ce modèle de déploiement spécifie un espace de travail Azure Machine Learning et ses ressources associées, notamment Azure Key Vault, Stockage Azure, Azure Application Insights et Azure Container Registry. Cette configuration décrit l’ensemble des ressources dont vous avez besoin pour commencer à utiliser Azure Machine Learning dans une configuration isolée du réseau.
Créer et chiffrer une nouvelle machine virtuelle Windows avec jumpbox

Déployer sur Azure
Ce modèle vous permet de déployer un groupe de machines virtuelles identiques simple de machines virtuelles Windows à l’aide de la dernière version corrigée des versions de Windows serveral. Ce modèle déploie également une jumpbox avec une adresse IP publique dans le même réseau virtuel. Vous pouvez vous connecter à la jumpbox via cette adresse IP publique, puis vous y connecter aux machines virtuelles du groupe identique via des adresses IP privées. Ce modèle active le chiffrement sur le groupe de machines virtuelles identiques de machines virtuelles Windows.
créer Application Gateway avec des certificats

Déployer sur Azure
Ce modèle montre comment générer des certificats auto-signés Key Vault, puis référencer à partir d’Application Gateway.
Créer un coffre de clés avec journalisation activée

Déployer sur Azure
Ce modèle crée un coffre de clés Azure et un compte de stockage Azure utilisé pour la journalisation. Il crée éventuellement des verrous de ressources pour protéger vos ressources Key Vault et stockage.
Créer un coffre de clés, une identité managée et une attribution de rôle

Déployer sur Azure
Ce modèle crée un coffre de clés, une identité managée et une attribution de rôle.
Créer des disques managés chiffrés win-vm à partir de l’image de la galerie

Déployer sur Azure
Ce modèle crée une machine virtuelle windows de disques managés chiffrés à l’aide de l’image de la galerie server 2k12.
crée une ressource de point de terminaison privé interlocataire

Déployer sur Azure
Ce modèle vous permet de créer une ressource de point de terminaison Priavate dans le même environnement ou interlocataire et d’ajouter une configuration de zone DNS.
Crée une application Dapr pub-sub servicebus à l’aide de Container Apps

Déployer sur Azure
Créez une application Dapr pub-sub servicebus à l’aide de Container Apps.
crée un cluster Azure Stack HCI 23H2

Déployer sur Azure
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM, à l’aide d’une adresse IP de stockage personnalisée
crée un cluster Azure Stack HCI 23H2

Déployer sur Azure
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM.
crée un cluster Azure Stack HCI 23H2 en mode réseau switchless-double liaison

Déployer sur Azure
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM.
crée un cluster Azure Stack HCI 23H2 en mode réseau Switchless-SingleLink

Déployer sur Azure
Ce modèle crée un cluster Azure Stack HCI 23H2 à l’aide d’un modèle ARM.
Déployer Secure Azure AI Studio avec un réseau virtuel managé

Déployer sur Azure
Ce modèle crée un environnement Azure AI Studio sécurisé avec des restrictions de sécurité réseau et d’identité robustes.
Déployer sports Analytics sur l’architecture Azure

Déployer sur Azure
Crée un compte de stockage Azure avec ADLS Gen2 activé, une instance Azure Data Factory avec des services liés pour le compte de stockage (une base de données Azure SQL si déployée) et une instance Azure Databricks. L’identité AAD pour l’utilisateur qui déploie le modèle et l’identité managée pour l’instance ADF reçoivent le rôle Contributeur aux données blob de stockage sur le compte de stockage. Il existe également des options pour déployer une instance Azure Key Vault, une base de données Azure SQL et un Hub d’événements Azure (pour les cas d’utilisation de streaming). Lorsqu’un coffre de clés Azure est déployé, l’identité managée de la fabrique de données et l’identité AAD pour l’utilisateur qui déploie le modèle reçoivent le rôle Utilisateur des secrets Key Vault.
activer le chiffrement sur une machine virtuelle Windows en cours d’exécution

Déployer sur Azure
Ce modèle active le chiffrement sur une machine virtuelle Windows en cours d’exécution.
hub FinOps

Déployer sur Azure
Ce modèle crée une instance de hub FinOps, notamment Data Lake Storage et Data Factory.
environnement de test pour le pare-feu Azure Premium

Déployer sur Azure
Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web
Ce modèle chiffre une VMSS Windows en cours d’exécution

Déployer sur Azure
Ce modèle active le chiffrement sur un groupe de machines virtuelles identiques Windows en cours d’exécution
met à niveau un cluster Azure Stack HCI 22H2 vers un cluster 23H2

Déployer sur Azure
Ce modèle met à niveau un cluster Azure Stack HCI 22H2 vers un cluster 23H2 à l’aide d’un modèle ARM.

Définition de ressource Terraform (fournisseur AzAPI)

Le type de ressource des coffres peut être déployé avec des opérations qui ciblent :

  • groupes de ressources

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.KeyVault/vaults, ajoutez terraform suivant à votre modèle.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2018-02-14"
  name = "string"
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
          }
        ]
      }
      sku = {
        family = "string"
        name = "string"
      }
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Valeurs de propriété

AccessPolicyEntry

Nom Description Valeur
applicationId ID d’application du client effectuant une demande pour le compte d’un principal corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID d’objet d’un utilisateur, d’un principal de service ou d’un groupe de sécurité dans le locataire Azure Active Directory pour le coffre. L’ID d’objet doit être unique pour la liste des stratégies d’accès. chaîne (obligatoire)
Autorisations Autorisations dont dispose l’identité pour les clés, les secrets et les certificats. autorisations (obligatoire)
tenantId ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire)

IPRule

Nom Description Valeur
valeur Plage d’adresses IPv4 en notation CIDR, telle que « 124.56.78.91 » (adresse IP simple) ou « 124.56.78.0/24 » (toutes les adresses commençant par 124.56.78). chaîne (obligatoire)

Microsoft.KeyVault/vaults

Nom Description Valeur
emplacement Emplacement Azure pris en charge où le coffre de clés doit être créé. chaîne (obligatoire)
nom Nom de la ressource corde

Contraintes:
Modèle = ^[a-zA-Z0-9-]{3,24}$ (obligatoire)
Propriétés Propriétés du coffre VaultProperties (obligatoire)
étiquettes Balises de ressource Dictionnaire de noms et de valeurs d’étiquettes.
type Type de ressource « Microsoft.KeyVault/vaults@2018-02-14 »

NetworkRuleSet

Nom Description Valeur
contourner Indique ce que le trafic peut contourner les règles réseau. Il peut s’agir d'« AzureServices » ou de « Aucun ». S’il n’est pas spécifié, la valeur par défaut est « AzureServices ». 'AzureServices'
'None'
defaultAction Action par défaut lorsqu’aucune règle d’ipRules et de virtualNetworkRules ne correspond. Cette opération est utilisée uniquement après l’évaluation de la propriété de contournement. 'Autoriser'
'Refuser'
ipRules Liste des règles d’adresse IP. IPRule []
virtualNetworkRules Liste des règles de réseau virtuel. VirtualNetworkRule[]

Autorisations

Nom Description Valeur
Certificats Autorisations sur les certificats Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'import'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'purge'
'récupérer'
'restore'
'setissuers'
'update'
Clés Autorisations sur les clés Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'create'
'déchiffrer'
'delete'
'chiffrer'
'get'
'import'
'list'
'purge'
'récupérer'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
Secrets Autorisations sur les secrets Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'delete'
'get'
'list'
'purge'
'récupérer'
'restore'
'set'
stockage Autorisations pour les comptes de stockage Tableau de chaînes contenant l’un des éléments suivants :
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'purge'
'récupérer'
'régénérer la clé'
'restore'
'set'
'setsas'
'update'

Sku

Nom Description Valeur
Famille Nom de la famille de référenceS (SKU) 'A' (obligatoire)
nom Nom de la référence SKU pour spécifier si le coffre de clés est un coffre standard ou un coffre Premium. 'premium'
'standard' (obligatoire)

VaultCreateOrUpdateParametersTags

Nom Description Valeur

VaultProperties

Nom Description Valeur
accessPolicies Tableau de 0 à 1024 identités qui ont accès au coffre de clés. Toutes les identités du tableau doivent utiliser le même ID de locataire que l’ID de locataire du coffre de clés. Lorsque createMode est défini sur recover, les stratégies d’accès ne sont pas requises. Sinon, les stratégies d’accès sont requises. AccessPolicyEntry[]
createMode Mode de création du coffre pour indiquer si le coffre doit être récupéré ou non. 'default'
'récupérer'
enabledForDeployment Propriété permettant de spécifier si les machines virtuelles Azure sont autorisées à récupérer des certificats stockés en tant que secrets à partir du coffre de clés. Bool
enabledForDiskEncryption Propriété permettant de spécifier si Azure Disk Encryption est autorisé à récupérer des secrets à partir du coffre et des clés de décompressage. Bool
enabledForTemplateDeployment Propriété permettant de spécifier si Azure Resource Manager est autorisé à récupérer des secrets à partir du coffre de clés. Bool
enablePurgeProtection Propriété spécifiant si la protection contre le vidage est activée pour ce coffre. La définition de cette propriété sur true active la protection contre le vidage pour ce coffre et son contenu . seul le service Key Vault peut lancer une suppression irrécupérable. Le paramètre est effectif uniquement si la suppression réversible est également activée. L’activation de cette fonctionnalité est irréversible, c’est-à-dire que la propriété n’accepte pas false comme valeur. Bool
enableSoftDelete Propriété permettant de spécifier si la fonctionnalité « suppression réversible » est activée pour ce coffre de clés. Elle n’accepte pas la valeur false. Bool
networkAcls Règles régissant l’accessibilité du coffre de clés à partir d’emplacements réseau spécifiques. NetworkRuleSet
Sku Détails de la référence SKU référence SKU (obligatoire)
tenantId ID de locataire Azure Active Directory qui doit être utilisé pour authentifier les demandes auprès du coffre de clés. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatoire)
vaultUri URI du coffre pour effectuer des opérations sur les clés et les secrets. corde

VirtualNetworkRule

Nom Description Valeur
id ID de ressource complet d’un sous-réseau de réseau virtuel, tel que « /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1 ». chaîne (obligatoire)