Condividi tramite


Insiemi di credenziali di Microsoft.KeyVault 2021-10-01

Definizione di risorsa Bicep

Il tipo di risorsa insiemi di credenziali può essere distribuito con operazioni destinate a:

  • gruppi di risorse - Vedere i comandi di distribuzione del gruppo di risorse

Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.

Osservazioni

Per indicazioni sull'uso di insiemi di credenziali delle chiavi per i valori sicuri, vedere Gestire i segreti usando Bicep.

Per una guida introduttiva sulla creazione di un segreto, vedere Avvio rapido: Impostare e recuperare un segreto da Azure Key Vault usando un modello di Resource Manager.

Per una guida introduttiva sulla creazione di una chiave, vedere Avvio rapido: Creare un insieme di credenziali delle chiavi di Azure e una chiave usando il modello di Resource Manager.

Formato risorsa

Per creare una risorsa Microsoft.KeyVault/vaults, aggiungere il bicep seguente al modello.

resource symbolicname 'Microsoft.KeyVault/vaults@2021-10-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    publicNetworkAccess: 'string'
    sku: {
      family: 'A'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
}

Valori delle proprietà

Volte

Nome Descrizione Valore
nome Nome della risorsa stringa (obbligatorio)

Limite di caratteri: 3-24

Caratteri validi:
Caratteri alfanumerici e trattini.

Inizia con la lettera. Termina con lettera o cifra. Non può contenere trattini consecutivi.

Il nome della risorsa deve essere univoco in Azure.
ubicazione Percorso di Azure supportato in cui deve essere creato l'insieme di credenziali delle chiavi. stringa (obbligatorio)
Tag Tag che verranno assegnati all'insieme di credenziali delle chiavi. Dizionario di nomi e valori di tag. Vedere tag nei modelli
proprietà Proprietà dell'insieme di credenziali VaultProperties (obbligatorio)

VaultProperties

Nome Descrizione Valore
accessPolicies Matrice da 0 a 1024 identità che hanno accesso all'insieme di credenziali delle chiavi. Tutte le identità nella matrice devono usare lo stesso ID tenant dell'ID tenant dell'insieme di credenziali delle chiavi. Quando createMode è impostato su recover, i criteri di accesso non sono necessari. In caso contrario, sono necessari criteri di accesso. AccessPolicyEntry[]
createMode La modalità di creazione dell'insieme di credenziali per indicare se l'insieme di credenziali deve essere recuperato o meno. 'default'
'recover'
enabledForDeployment Proprietà per specificare se le macchine virtuali di Azure sono autorizzate a recuperare i certificati archiviati come segreti dall'insieme di credenziali delle chiavi. Bool
enabledForDiskEncryption Proprietà per specificare se Crittografia dischi di Azure è autorizzato a recuperare segreti dall'insieme di credenziali e annullare il wrapping delle chiavi. Bool
enabledForTemplateDeployment Proprietà per specificare se Azure Resource Manager è autorizzato a recuperare segreti dall'insieme di credenziali delle chiavi. Bool
enablePurgeProtection Proprietà che specifica se la protezione da ripulitura è abilitata per questo insieme di credenziali. L'impostazione di questa proprietà su true attiva la protezione dall'eliminazione dell'insieme di credenziali e del relativo contenuto. Solo il servizio Key Vault può avviare un'eliminazione irreversibile e dura. L'impostazione è valida solo se è abilitata anche l'eliminazione temporanea. L'abilitazione di questa funzionalità è irreversibile, ovvero la proprietà non accetta false come valore. Bool
enableRbacAuthorization Proprietà che controlla la modalità di autorizzazione delle azioni dei dati. Se true, l'insieme di credenziali delle chiavi userà il controllo degli accessi in base al ruolo per l'autorizzazione delle azioni dei dati e i criteri di accesso specificati nelle proprietà dell'insieme di credenziali verranno ignorati. Se false, l'insieme di credenziali delle chiavi userà i criteri di accesso specificati nelle proprietà dell'insieme di credenziali e tutti i criteri archiviati in Azure Resource Manager verranno ignorati. Se viene specificato o meno null, l'insieme di credenziali viene creato con il valore predefinito false. Si noti che le azioni di gestione sono sempre autorizzate con il controllo degli accessi in base al ruolo. Bool
enableSoftDelete Proprietà per specificare se la funzionalità di eliminazione temporanea è abilitata per questo insieme di credenziali delle chiavi. Se non è impostato su alcun valore (true o false) durante la creazione di un nuovo insieme di credenziali delle chiavi, verrà impostato su true per impostazione predefinita. Una volta impostato su true, non può essere ripristinato su false. Bool
networkAcls Regole che regolano l'accessibilità dell'insieme di credenziali delle chiavi da percorsi di rete specifici. NetworkRuleSet
provisioningState Stato di provisioning dell'insieme di credenziali. 'RegistrazioneDns'
'Succeeded'
publicNetworkAccess Proprietà per specificare se l'insieme di credenziali accetterà il traffico da Internet pubblico. Se impostato su "disabilitato" tutto il traffico, ad eccezione del traffico dell'endpoint privato e che ha origine da servizi attendibili, verrà bloccato. In questo modo verranno ignorate le regole del firewall impostate, ovvero anche se le regole del firewall sono presenti non verranno rispettate. corda
Sku Dettagli SKU sku (obbligatorio)
softDeleteRetentionInDays softDelete i giorni di conservazione dei dati. Accetta >=7 e <=90. Int
tenantId ID tenant di Azure Active Directory da usare per l'autenticazione delle richieste all'insieme di credenziali delle chiavi. stringa (obbligatorio)

Vincoli:
Lunghezza minima = 36
Lunghezza massima = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri URI dell'insieme di credenziali per l'esecuzione di operazioni su chiavi e segreti. corda

AccessPolicyEntry

Nome Descrizione Valore
applicationId ID applicazione del client che effettua una richiesta per conto di un'entità corda

Vincoli:
Lunghezza minima = 36
Lunghezza massima = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID oggetto di un utente, un'entità servizio o un gruppo di sicurezza nel tenant di Azure Active Directory per l'insieme di credenziali. L'ID oggetto deve essere univoco per l'elenco dei criteri di accesso. stringa (obbligatorio)
Autorizzazioni Autorizzazioni per l'identità per chiavi, segreti e certificati. autorizzazioni (obbligatorio)
tenantId ID tenant di Azure Active Directory da usare per l'autenticazione delle richieste all'insieme di credenziali delle chiavi. stringa (obbligatorio)

Vincoli:
Lunghezza minima = 36
Lunghezza massima = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Autorizzazioni

Nome Descrizione Valore
Certificati Autorizzazioni per i certificati Matrice di stringhe contenente uno dei seguenti elementi:
'all'
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'import'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'ripulitura'
'recover'
'restore'
'setissuers'
'update'
Chiavi Autorizzazioni per le chiavi Matrice di stringhe contenente uno dei seguenti elementi:
'all'
'backup'
'create'
'decrypt'
'delete'
'encrypt'
'get'
'import'
'list'
'ripulitura'
'recover'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
segreti Autorizzazioni per i segreti Matrice di stringhe contenente uno dei seguenti elementi:
'all'
'backup'
'delete'
'get'
'list'
'ripulitura'
'recover'
'restore'
'set'
immagazzinamento Autorizzazioni per gli account di archiviazione Matrice di stringhe contenente uno dei seguenti elementi:
'all'
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'ripulitura'
'recover'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

NetworkRuleSet

Nome Descrizione Valore
circonvallazione Indica il traffico che può ignorare le regole di rete. Può trattarsi di "AzureServices" o "None". Se non specificato, il valore predefinito è "AzureServices". 'AzureServices'
'Nessuno'
defaultAction Azione predefinita quando nessuna regola da ipRules e da virtualNetworkRules corrispondono. Questa proprietà viene utilizzata solo dopo la valutazione della proprietà bypass. 'Consenti'
'Deny'
ipRules Elenco delle regole degli indirizzi IP. IPRule[]
virtualNetworkRules Elenco delle regole di rete virtuale. VirtualNetworkRule[]

IPRule

Nome Descrizione Valore
valore Intervallo di indirizzi IPv4 nella notazione CIDR, ad esempio "124.56.78.91" (indirizzo IP semplice) o "124.56.78.0/24" (tutti gli indirizzi che iniziano con 124.56.78). stringa (obbligatorio)

VirtualNetworkRule

Nome Descrizione Valore
Id ID risorsa completo di una subnet di rete virtuale, ad esempio "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". stringa (obbligatorio)
ignoreMissingVnetServiceEndpoint Proprietà per specificare se NRP ignorerà il controllo se la subnet padre ha serviceEndpoints configurato. Bool

Sku

Nome Descrizione Valore
famiglia Nome della famiglia di SKU 'A' (obbligatorio)
nome Nome SKU per specificare se l'insieme di credenziali delle chiavi è un insieme di credenziali standard o un insieme di credenziali Premium. 'Premium'
'standard' (obbligatorio)

Modelli di avvio rapido

I modelli di avvio rapido seguenti distribuiscono questo tipo di risorsa.

Sagoma Descrizione
cluster del servizio Azure Kubernetes con un gateway NAT e un gateway applicazione

Distribuire in Azure
Questo esempio illustra come distribuire un cluster del servizio Azure Kubernetes con il gateway NAT per le connessioni in uscita e un gateway applicazione per le connessioni in ingresso.
Creare un cluster del servizio Azure Kubernetes privato con una zona DNS pubblica

Distribuire in Azure
Questo esempio illustra come distribuire un cluster del servizio Azure Kubernetes privato con una zona DNS pubblica.
Distribuire Sports Analytics nell'architettura di Azure

Distribuire in Azure
Crea un account di archiviazione di Azure con ADLS Gen 2 abilitato, un'istanza di Azure Data Factory con servizi collegati per l'account di archiviazione (un database SQL di Azure se distribuito) e un'istanza di Azure Databricks. All'identità di AAD per l'utente che distribuisce il modello e all'identità gestita per l'istanza di Azure Data Factory verrà concesso il ruolo Collaboratore ai dati del BLOB di archiviazione nell'account di archiviazione. Sono disponibili anche opzioni per distribuire un'istanza di Azure Key Vault, un database SQL di Azure e un hub eventi di Azure (per i casi d'uso di streaming). Quando viene distribuito un insieme di credenziali delle chiavi di Azure, all'identità gestita della data factory e all'identità di AAD per l'utente che distribuisce il modello verrà concesso il ruolo utente Segreti dell'insieme di credenziali delle chiavi.
dell'area di lavoro di Azure Machine Learning

Distribuire in Azure
Questo modello crea una nuova area di lavoro di Azure Machine Learning, insieme a un account di archiviazione crittografato, a KeyVault e alla registrazione di Application Insights
Creare un KeyVault

Distribuire in Azure
Questo modulo crea una risorsa KeyVault con apiVersion 2019-09-01.
Creare un servizio Gestione API con SSL da KeyVault

Distribuire in Azure
Questo modello distribuisce un servizio Gestione API configurato con identità assegnata dall'utente. Usa questa identità per recuperare il certificato SSL da KeyVault e lo mantiene aggiornato controllando ogni 4 ore.
Crea un'app pub-sub-servicebus dapr usando app contenitore

Distribuire in Azure
Creare un'app pub-sub servicebus dapr usando App contenitore.
crea un cluster Azure Stack HCI 23H2

Distribuire in Azure
Questo modello crea un cluster Azure Stack HCI 23H2 usando un modello di Resource Manager.
crea un cluster Azure Stack HCI 23H2

Distribuire in Azure
Questo modello crea un cluster Azure Stack HCI 23H2 usando un modello di Resource Manager usando un indirizzo IP di archiviazione personalizzato
crea un cluster Azure Stack HCI 23H2 in modalità rete a doppio collegamento senza commutatori

Distribuire in Azure
Questo modello crea un cluster Azure Stack HCI 23H2 usando un modello di Resource Manager.
crea un cluster Azure Stack HCI 23H2 in modalità di rete Switchless-SingleLink

Distribuire in Azure
Questo modello crea un cluster Azure Stack HCI 23H2 usando un modello di Resource Manager.
Creare una nuova macchina virtuale Windows crittografata dall'immagine della raccolta

Distribuire in Azure
Questo modello crea una nuova macchina virtuale Windows crittografata usando l'immagine della raccolta server 2k12.
Creare nuovi dischi gestiti crittografati win-vm dall'immagine della raccolta

Distribuire in Azure
Questo modello crea una nuova macchina virtuale windows con dischi gestiti crittografati usando l'immagine della raccolta server 2k12.
Questo modello crittografa un set di scalabilità di macchine virtuali Windows in esecuzione

Distribuire in Azure
Questo modello abilita la crittografia in un set di scalabilità di macchine virtuali Windows in esecuzione
Abilitare la crittografia in una macchina virtuale Windows in esecuzione

Distribuire in Azure
Questo modello abilita la crittografia in una macchina virtuale Windows in esecuzione.
Creare e crittografare un nuovo set di scalabilità di macchine virtuali Windows con jumpbox

Distribuire in Azure
Questo modello consente di distribuire un semplice set di scalabilità di macchine virtuali Windows usando l'ultima versione con patch delle versioni serverali di Windows. Questo modello distribuisce anche un jumpbox con un indirizzo IP pubblico nella stessa rete virtuale. È possibile connettersi al jumpbox tramite questo indirizzo IP pubblico, quindi connettersi da questa posizione alle macchine virtuali nel set di scalabilità tramite indirizzi IP privati. Questo modello abilita la crittografia nel set di scalabilità di macchine virtuali Windows.
Creare un insieme di credenziali delle chiavi di Azure e un segreto

Distribuire in Azure
Questo modello crea un insieme di credenziali delle chiavi di Azure e un segreto.
Creare un'istanza di Azure Key Vault con il controllo degli accessi in base al ruolo e un segreto

Distribuire in Azure
Questo modello crea un insieme di credenziali delle chiavi di Azure e un segreto. Anziché basarsi sui criteri di accesso, usa il controllo degli accessi in base al ruolo di Azure per gestire l'autorizzazione sui segreti
Creare un insieme di credenziali delle chiavi, un'identità gestita e un'assegnazione di ruolo

Distribuire in Azure
Questo modello crea un insieme di credenziali delle chiavi, un'identità gestita e un'assegnazione di ruolo.
Connettersi a un insieme di credenziali delle chiavi tramite un endpoint privato

Distribuire in Azure
Questo esempio illustra come usare la configurazione di una rete virtuale e di una zona DNS privata per accedere a Key Vault tramite endpoint privato.
Creare un insieme di credenziali delle chiavi e un elenco di segreti

Distribuire in Azure
Questo modello crea un insieme di credenziali delle chiavi e un elenco di segreti all'interno dell'insieme di credenziali delle chiavi, come passato insieme ai parametri
Creare un insieme di credenziali delle chiavi con la registrazione abilitata

Distribuire in Azure
Questo modello crea un insieme di credenziali delle chiavi di Azure e un account di archiviazione di Azure usato per la registrazione. Crea facoltativamente blocchi di risorse per proteggere l'insieme di credenziali delle chiavi e le risorse di archiviazione.
configurazione di base di Azure AI Studio

Distribuire in Azure
Questo set di modelli illustra come configurare Azure AI Studio con la configurazione di base, ovvero con l'accesso a Internet pubblico abilitato, le chiavi gestite da Microsoft per la crittografia e la configurazione delle identità gestite da Microsoft per la risorsa di intelligenza artificiale.
configurazione di base di Azure AI Studio

Distribuire in Azure
Questo set di modelli illustra come configurare Azure AI Studio con la configurazione di base, ovvero con l'accesso a Internet pubblico abilitato, le chiavi gestite da Microsoft per la crittografia e la configurazione delle identità gestite da Microsoft per la risorsa di intelligenza artificiale.
Azure AI Studio con l'autenticazione dell'ID di Accesso Microsoft

Distribuire in Azure
Questo set di modelli illustra come configurare Azure AI Studio con l'autenticazione CON ID Entra di Microsoft per le risorse dipendenti, ad esempio Servizi di intelligenza artificiale di Azure e Archiviazione di Azure.
Creare un'area di lavoro AML con più set di dati &

Distribuire in Azure
Questo modello crea un'area di lavoro di Azure Machine Learning con più set di dati & archivi dati.
configurazione sicura end-to-end di Azure Machine Learning

Distribuire in Azure
Questo set di modelli Bicep illustra come configurare l'endpoint end-to-end di Azure Machine Learning in una configurazione sicura. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato.
configurazione sicura end-to-end di Azure Machine Learning (legacy)

Distribuire in Azure
Questo set di modelli Bicep illustra come configurare l'endpoint end-to-end di Azure Machine Learning in una configurazione sicura. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato.
Creare una destinazione di calcolo del servizio Azure Kubernetes con un indirizzo IP privato

Distribuire in Azure
Questo modello crea una destinazione di calcolo del servizio Azure Kubernetes in un'area di lavoro del servizio Azure Machine Learning con un indirizzo IP privato.
Creare un'area di lavoro del servizio Azure Machine Learning

Distribuire in Azure
Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, Azure Application Insights e Registro Azure Container. Questa configurazione descrive il set minimo di risorse necessarie per iniziare a usare Azure Machine Learning.
Creare un'area di lavoro del servizio Azure Machine Learning (CMK)

Distribuire in Azure
Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, Azure Application Insights e Registro Azure Container. L'esempio illustra come configurare Azure Machine Learning per la crittografia con una chiave di crittografia gestita dal cliente.
Creare un'area di lavoro del servizio Azure Machine Learning (CMK)

Distribuire in Azure
Questo modello di distribuzione specifica come creare un'area di lavoro di Azure Machine Learning con la crittografia lato servizio usando le chiavi di crittografia.
Creare un'area di lavoro del servizio Azure Machine Learning (vnet)

Distribuire in Azure
Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, Azure Application Insights e Registro Azure Container. Questa configurazione descrive il set di risorse necessarie per iniziare a usare Azure Machine Learning in una configurazione isolata di rete.
Creare un'area di lavoro del servizio Azure Machine Learning (legacy)

Distribuire in Azure
Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, Azure Application Insights e Registro Azure Container. Questa configurazione descrive il set di risorse necessarie per iniziare a usare Azure Machine Learning in una configurazione isolata di rete.
cluster del servizio Azure Kubernetes con il controller di ingresso del gateway applicazione

Distribuire in Azure
Questo esempio illustra come distribuire un cluster del servizio Azure Kubernetes con il gateway applicazione, il controller di ingresso del gateway applicazione, registro Azure Container, Log Analytics e Key Vault
Creare un gateway applicazione V2 con l'insieme di credenziali delle chiavi

Distribuire in Azure
Questo modello distribuisce un gateway applicazione V2 in una rete virtuale, un'identità definita dall'utente, un insieme di credenziali delle chiavi, un segreto (dati del certificato) e i criteri di accesso in Key Vault e nel gateway applicazione.
ambiente di test di per i Premium di Firewall di Azure

Distribuire in Azure
Questo modello crea criteri firewall e premium di Firewall di Azure con funzionalità premium, ad esempio il rilevamento delle intrusioni (IDPS), l'ispezione TLS e il filtro delle categorie Web
crea una risorsa endpoint privato tra tenant

Distribuire in Azure
Questo modello consente di creare una risorsa endpoint Priavate all'interno dello stesso ambiente o tra tenant e di aggiungere la configurazione della zona DNS.
Creare un gateway applicazione con certificati

Distribuire in Azure
Questo modello illustra come generare certificati autofirmato di Key Vault e quindi fare riferimento al gateway applicazione.
crittografia dell'account di archiviazione di Azure con chiave gestita dal cliente

Distribuire in Azure
Questo modello distribuisce un account di archiviazione con una chiave gestita dal cliente per la crittografia generata e inserita in un insieme di credenziali delle chiavi.
'ambiente del servizio app con back-end SQL di Azure

Distribuire in Azure
Questo modello crea un ambiente del servizio app con un back-end SQL di Azure insieme agli endpoint privati insieme alle risorse associate in genere usate in un ambiente privato/isolato.
'app per le funzioni di Azure e una funzione attivata tramite HTTP

Distribuire in Azure
Questo esempio distribuisce un'app per le funzioni di Azure e una funzione attivata tramite HTTP inline nel modello. Distribuisce anche un insieme di credenziali delle chiavi e popola un segreto con la chiave host dell'app per le funzioni.
gateway applicazione con gestione API interna e app Web

Distribuire in Azure
Il gateway applicazione instrada il traffico Internet a un'istanza di Gestione API di rete virtuale (modalità interna) che supporta un'API Web ospitata in un'app Web di Azure.

Definizione di risorsa del modello di Resource Manager

Il tipo di risorsa insiemi di credenziali può essere distribuito con operazioni destinate a:

  • gruppi di risorse - Vedere i comandi di distribuzione del gruppo di risorse

Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.

Osservazioni

Per indicazioni sull'uso di insiemi di credenziali delle chiavi per i valori sicuri, vedere Gestire i segreti usando Bicep.

Per una guida introduttiva sulla creazione di un segreto, vedere Avvio rapido: Impostare e recuperare un segreto da Azure Key Vault usando un modello di Resource Manager.

Per una guida introduttiva sulla creazione di una chiave, vedere Avvio rapido: Creare un insieme di credenziali delle chiavi di Azure e una chiave usando il modello di Resource Manager.

Formato risorsa

Per creare una risorsa Microsoft.KeyVault/vaults, aggiungere il codice JSON seguente al modello.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2021-10-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "publicNetworkAccess": "string",
    "sku": {
      "family": "A",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  }
}

Valori delle proprietà

Volte

Nome Descrizione Valore
digitare Tipo di risorsa 'Microsoft.KeyVault/vaults'
apiVersion Versione dell'API della risorsa '2021-10-01'
nome Nome della risorsa stringa (obbligatorio)

Limite di caratteri: 3-24

Caratteri validi:
Caratteri alfanumerici e trattini.

Inizia con la lettera. Termina con lettera o cifra. Non può contenere trattini consecutivi.

Il nome della risorsa deve essere univoco in Azure.
ubicazione Percorso di Azure supportato in cui deve essere creato l'insieme di credenziali delle chiavi. stringa (obbligatorio)
Tag Tag che verranno assegnati all'insieme di credenziali delle chiavi. Dizionario di nomi e valori di tag. Vedere tag nei modelli
proprietà Proprietà dell'insieme di credenziali VaultProperties (obbligatorio)

VaultProperties

Nome Descrizione Valore
accessPolicies Matrice da 0 a 1024 identità che hanno accesso all'insieme di credenziali delle chiavi. Tutte le identità nella matrice devono usare lo stesso ID tenant dell'ID tenant dell'insieme di credenziali delle chiavi. Quando createMode è impostato su recover, i criteri di accesso non sono necessari. In caso contrario, sono necessari criteri di accesso. AccessPolicyEntry[]
createMode La modalità di creazione dell'insieme di credenziali per indicare se l'insieme di credenziali deve essere recuperato o meno. 'default'
'recover'
enabledForDeployment Proprietà per specificare se le macchine virtuali di Azure sono autorizzate a recuperare i certificati archiviati come segreti dall'insieme di credenziali delle chiavi. Bool
enabledForDiskEncryption Proprietà per specificare se Crittografia dischi di Azure è autorizzato a recuperare segreti dall'insieme di credenziali e annullare il wrapping delle chiavi. Bool
enabledForTemplateDeployment Proprietà per specificare se Azure Resource Manager è autorizzato a recuperare segreti dall'insieme di credenziali delle chiavi. Bool
enablePurgeProtection Proprietà che specifica se la protezione da ripulitura è abilitata per questo insieme di credenziali. L'impostazione di questa proprietà su true attiva la protezione dall'eliminazione dell'insieme di credenziali e del relativo contenuto. Solo il servizio Key Vault può avviare un'eliminazione irreversibile e dura. L'impostazione è valida solo se è abilitata anche l'eliminazione temporanea. L'abilitazione di questa funzionalità è irreversibile, ovvero la proprietà non accetta false come valore. Bool
enableRbacAuthorization Proprietà che controlla la modalità di autorizzazione delle azioni dei dati. Se true, l'insieme di credenziali delle chiavi userà il controllo degli accessi in base al ruolo per l'autorizzazione delle azioni dei dati e i criteri di accesso specificati nelle proprietà dell'insieme di credenziali verranno ignorati. Se false, l'insieme di credenziali delle chiavi userà i criteri di accesso specificati nelle proprietà dell'insieme di credenziali e tutti i criteri archiviati in Azure Resource Manager verranno ignorati. Se viene specificato o meno null, l'insieme di credenziali viene creato con il valore predefinito false. Si noti che le azioni di gestione sono sempre autorizzate con il controllo degli accessi in base al ruolo. Bool
enableSoftDelete Proprietà per specificare se la funzionalità di eliminazione temporanea è abilitata per questo insieme di credenziali delle chiavi. Se non è impostato su alcun valore (true o false) durante la creazione di un nuovo insieme di credenziali delle chiavi, verrà impostato su true per impostazione predefinita. Una volta impostato su true, non può essere ripristinato su false. Bool
networkAcls Regole che regolano l'accessibilità dell'insieme di credenziali delle chiavi da percorsi di rete specifici. NetworkRuleSet
provisioningState Stato di provisioning dell'insieme di credenziali. 'RegistrazioneDns'
'Succeeded'
publicNetworkAccess Proprietà per specificare se l'insieme di credenziali accetterà il traffico da Internet pubblico. Se impostato su "disabilitato" tutto il traffico, ad eccezione del traffico dell'endpoint privato e che ha origine da servizi attendibili, verrà bloccato. In questo modo verranno ignorate le regole del firewall impostate, ovvero anche se le regole del firewall sono presenti non verranno rispettate. corda
Sku Dettagli SKU sku (obbligatorio)
softDeleteRetentionInDays softDelete i giorni di conservazione dei dati. Accetta >=7 e <=90. Int
tenantId ID tenant di Azure Active Directory da usare per l'autenticazione delle richieste all'insieme di credenziali delle chiavi. stringa (obbligatorio)

Vincoli:
Lunghezza minima = 36
Lunghezza massima = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri URI dell'insieme di credenziali per l'esecuzione di operazioni su chiavi e segreti. corda

AccessPolicyEntry

Nome Descrizione Valore
applicationId ID applicazione del client che effettua una richiesta per conto di un'entità corda

Vincoli:
Lunghezza minima = 36
Lunghezza massima = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID oggetto di un utente, un'entità servizio o un gruppo di sicurezza nel tenant di Azure Active Directory per l'insieme di credenziali. L'ID oggetto deve essere univoco per l'elenco dei criteri di accesso. stringa (obbligatorio)
Autorizzazioni Autorizzazioni per l'identità per chiavi, segreti e certificati. autorizzazioni (obbligatorio)
tenantId ID tenant di Azure Active Directory da usare per l'autenticazione delle richieste all'insieme di credenziali delle chiavi. stringa (obbligatorio)

Vincoli:
Lunghezza minima = 36
Lunghezza massima = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Autorizzazioni

Nome Descrizione Valore
Certificati Autorizzazioni per i certificati Matrice di stringhe contenente uno dei seguenti elementi:
'all'
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'import'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'ripulitura'
'recover'
'restore'
'setissuers'
'update'
Chiavi Autorizzazioni per le chiavi Matrice di stringhe contenente uno dei seguenti elementi:
'all'
'backup'
'create'
'decrypt'
'delete'
'encrypt'
'get'
'import'
'list'
'ripulitura'
'recover'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
segreti Autorizzazioni per i segreti Matrice di stringhe contenente uno dei seguenti elementi:
'all'
'backup'
'delete'
'get'
'list'
'ripulitura'
'recover'
'restore'
'set'
immagazzinamento Autorizzazioni per gli account di archiviazione Matrice di stringhe contenente uno dei seguenti elementi:
'all'
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'ripulitura'
'recover'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

NetworkRuleSet

Nome Descrizione Valore
circonvallazione Indica il traffico che può ignorare le regole di rete. Può trattarsi di "AzureServices" o "None". Se non specificato, il valore predefinito è "AzureServices". 'AzureServices'
'Nessuno'
defaultAction Azione predefinita quando nessuna regola da ipRules e da virtualNetworkRules corrispondono. Questa proprietà viene utilizzata solo dopo la valutazione della proprietà bypass. 'Consenti'
'Deny'
ipRules Elenco delle regole degli indirizzi IP. IPRule[]
virtualNetworkRules Elenco delle regole di rete virtuale. VirtualNetworkRule[]

IPRule

Nome Descrizione Valore
valore Intervallo di indirizzi IPv4 nella notazione CIDR, ad esempio "124.56.78.91" (indirizzo IP semplice) o "124.56.78.0/24" (tutti gli indirizzi che iniziano con 124.56.78). stringa (obbligatorio)

VirtualNetworkRule

Nome Descrizione Valore
Id ID risorsa completo di una subnet di rete virtuale, ad esempio "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". stringa (obbligatorio)
ignoreMissingVnetServiceEndpoint Proprietà per specificare se NRP ignorerà il controllo se la subnet padre ha serviceEndpoints configurato. Bool

Sku

Nome Descrizione Valore
famiglia Nome della famiglia di SKU 'A' (obbligatorio)
nome Nome SKU per specificare se l'insieme di credenziali delle chiavi è un insieme di credenziali standard o un insieme di credenziali Premium. 'Premium'
'standard' (obbligatorio)

Modelli di avvio rapido

I modelli di avvio rapido seguenti distribuiscono questo tipo di risorsa.

Sagoma Descrizione
cluster del servizio Azure Kubernetes con un gateway NAT e un gateway applicazione

Distribuire in Azure
Questo esempio illustra come distribuire un cluster del servizio Azure Kubernetes con il gateway NAT per le connessioni in uscita e un gateway applicazione per le connessioni in ingresso.
Creare un cluster del servizio Azure Kubernetes privato con una zona DNS pubblica

Distribuire in Azure
Questo esempio illustra come distribuire un cluster del servizio Azure Kubernetes privato con una zona DNS pubblica.
Distribuire Sports Analytics nell'architettura di Azure

Distribuire in Azure
Crea un account di archiviazione di Azure con ADLS Gen 2 abilitato, un'istanza di Azure Data Factory con servizi collegati per l'account di archiviazione (un database SQL di Azure se distribuito) e un'istanza di Azure Databricks. All'identità di AAD per l'utente che distribuisce il modello e all'identità gestita per l'istanza di Azure Data Factory verrà concesso il ruolo Collaboratore ai dati del BLOB di archiviazione nell'account di archiviazione. Sono disponibili anche opzioni per distribuire un'istanza di Azure Key Vault, un database SQL di Azure e un hub eventi di Azure (per i casi d'uso di streaming). Quando viene distribuito un insieme di credenziali delle chiavi di Azure, all'identità gestita della data factory e all'identità di AAD per l'utente che distribuisce il modello verrà concesso il ruolo utente Segreti dell'insieme di credenziali delle chiavi.
dell'area di lavoro di Azure Machine Learning

Distribuire in Azure
Questo modello crea una nuova area di lavoro di Azure Machine Learning, insieme a un account di archiviazione crittografato, a KeyVault e alla registrazione di Application Insights
Creare un KeyVault

Distribuire in Azure
Questo modulo crea una risorsa KeyVault con apiVersion 2019-09-01.
Creare un servizio Gestione API con SSL da KeyVault

Distribuire in Azure
Questo modello distribuisce un servizio Gestione API configurato con identità assegnata dall'utente. Usa questa identità per recuperare il certificato SSL da KeyVault e lo mantiene aggiornato controllando ogni 4 ore.
Crea un'app pub-sub-servicebus dapr usando app contenitore

Distribuire in Azure
Creare un'app pub-sub servicebus dapr usando App contenitore.
crea un cluster Azure Stack HCI 23H2

Distribuire in Azure
Questo modello crea un cluster Azure Stack HCI 23H2 usando un modello di Resource Manager.
crea un cluster Azure Stack HCI 23H2

Distribuire in Azure
Questo modello crea un cluster Azure Stack HCI 23H2 usando un modello di Resource Manager usando un indirizzo IP di archiviazione personalizzato
crea un cluster Azure Stack HCI 23H2 in modalità rete a doppio collegamento senza commutatori

Distribuire in Azure
Questo modello crea un cluster Azure Stack HCI 23H2 usando un modello di Resource Manager.
crea un cluster Azure Stack HCI 23H2 in modalità di rete Switchless-SingleLink

Distribuire in Azure
Questo modello crea un cluster Azure Stack HCI 23H2 usando un modello di Resource Manager.
Creare una nuova macchina virtuale Windows crittografata dall'immagine della raccolta

Distribuire in Azure
Questo modello crea una nuova macchina virtuale Windows crittografata usando l'immagine della raccolta server 2k12.
Creare nuovi dischi gestiti crittografati win-vm dall'immagine della raccolta

Distribuire in Azure
Questo modello crea una nuova macchina virtuale windows con dischi gestiti crittografati usando l'immagine della raccolta server 2k12.
Questo modello crittografa un set di scalabilità di macchine virtuali Windows in esecuzione

Distribuire in Azure
Questo modello abilita la crittografia in un set di scalabilità di macchine virtuali Windows in esecuzione
Abilitare la crittografia in una macchina virtuale Windows in esecuzione

Distribuire in Azure
Questo modello abilita la crittografia in una macchina virtuale Windows in esecuzione.
Creare e crittografare un nuovo set di scalabilità di macchine virtuali Windows con jumpbox

Distribuire in Azure
Questo modello consente di distribuire un semplice set di scalabilità di macchine virtuali Windows usando l'ultima versione con patch delle versioni serverali di Windows. Questo modello distribuisce anche un jumpbox con un indirizzo IP pubblico nella stessa rete virtuale. È possibile connettersi al jumpbox tramite questo indirizzo IP pubblico, quindi connettersi da questa posizione alle macchine virtuali nel set di scalabilità tramite indirizzi IP privati. Questo modello abilita la crittografia nel set di scalabilità di macchine virtuali Windows.
Creare un insieme di credenziali delle chiavi di Azure e un segreto

Distribuire in Azure
Questo modello crea un insieme di credenziali delle chiavi di Azure e un segreto.
Creare un'istanza di Azure Key Vault con il controllo degli accessi in base al ruolo e un segreto

Distribuire in Azure
Questo modello crea un insieme di credenziali delle chiavi di Azure e un segreto. Anziché basarsi sui criteri di accesso, usa il controllo degli accessi in base al ruolo di Azure per gestire l'autorizzazione sui segreti
Creare un insieme di credenziali delle chiavi, un'identità gestita e un'assegnazione di ruolo

Distribuire in Azure
Questo modello crea un insieme di credenziali delle chiavi, un'identità gestita e un'assegnazione di ruolo.
Connettersi a un insieme di credenziali delle chiavi tramite un endpoint privato

Distribuire in Azure
Questo esempio illustra come usare la configurazione di una rete virtuale e di una zona DNS privata per accedere a Key Vault tramite endpoint privato.
Creare un insieme di credenziali delle chiavi e un elenco di segreti

Distribuire in Azure
Questo modello crea un insieme di credenziali delle chiavi e un elenco di segreti all'interno dell'insieme di credenziali delle chiavi, come passato insieme ai parametri
Creare un insieme di credenziali delle chiavi con la registrazione abilitata

Distribuire in Azure
Questo modello crea un insieme di credenziali delle chiavi di Azure e un account di archiviazione di Azure usato per la registrazione. Crea facoltativamente blocchi di risorse per proteggere l'insieme di credenziali delle chiavi e le risorse di archiviazione.
configurazione di base di Azure AI Studio

Distribuire in Azure
Questo set di modelli illustra come configurare Azure AI Studio con la configurazione di base, ovvero con l'accesso a Internet pubblico abilitato, le chiavi gestite da Microsoft per la crittografia e la configurazione delle identità gestite da Microsoft per la risorsa di intelligenza artificiale.
configurazione di base di Azure AI Studio

Distribuire in Azure
Questo set di modelli illustra come configurare Azure AI Studio con la configurazione di base, ovvero con l'accesso a Internet pubblico abilitato, le chiavi gestite da Microsoft per la crittografia e la configurazione delle identità gestite da Microsoft per la risorsa di intelligenza artificiale.
Azure AI Studio con l'autenticazione dell'ID di Accesso Microsoft

Distribuire in Azure
Questo set di modelli illustra come configurare Azure AI Studio con l'autenticazione CON ID Entra di Microsoft per le risorse dipendenti, ad esempio Servizi di intelligenza artificiale di Azure e Archiviazione di Azure.
Creare un'area di lavoro AML con più set di dati &

Distribuire in Azure
Questo modello crea un'area di lavoro di Azure Machine Learning con più set di dati & archivi dati.
configurazione sicura end-to-end di Azure Machine Learning

Distribuire in Azure
Questo set di modelli Bicep illustra come configurare l'endpoint end-to-end di Azure Machine Learning in una configurazione sicura. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato.
configurazione sicura end-to-end di Azure Machine Learning (legacy)

Distribuire in Azure
Questo set di modelli Bicep illustra come configurare l'endpoint end-to-end di Azure Machine Learning in una configurazione sicura. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato.
Creare una destinazione di calcolo del servizio Azure Kubernetes con un indirizzo IP privato

Distribuire in Azure
Questo modello crea una destinazione di calcolo del servizio Azure Kubernetes in un'area di lavoro del servizio Azure Machine Learning con un indirizzo IP privato.
Creare un'area di lavoro del servizio Azure Machine Learning

Distribuire in Azure
Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, Azure Application Insights e Registro Azure Container. Questa configurazione descrive il set minimo di risorse necessarie per iniziare a usare Azure Machine Learning.
Creare un'area di lavoro del servizio Azure Machine Learning (CMK)

Distribuire in Azure
Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, Azure Application Insights e Registro Azure Container. L'esempio illustra come configurare Azure Machine Learning per la crittografia con una chiave di crittografia gestita dal cliente.
Creare un'area di lavoro del servizio Azure Machine Learning (CMK)

Distribuire in Azure
Questo modello di distribuzione specifica come creare un'area di lavoro di Azure Machine Learning con la crittografia lato servizio usando le chiavi di crittografia.
Creare un'area di lavoro del servizio Azure Machine Learning (vnet)

Distribuire in Azure
Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, Azure Application Insights e Registro Azure Container. Questa configurazione descrive il set di risorse necessarie per iniziare a usare Azure Machine Learning in una configurazione isolata di rete.
Creare un'area di lavoro del servizio Azure Machine Learning (legacy)

Distribuire in Azure
Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, Azure Application Insights e Registro Azure Container. Questa configurazione descrive il set di risorse necessarie per iniziare a usare Azure Machine Learning in una configurazione isolata di rete.
cluster del servizio Azure Kubernetes con il controller di ingresso del gateway applicazione

Distribuire in Azure
Questo esempio illustra come distribuire un cluster del servizio Azure Kubernetes con il gateway applicazione, il controller di ingresso del gateway applicazione, registro Azure Container, Log Analytics e Key Vault
Creare un gateway applicazione V2 con l'insieme di credenziali delle chiavi

Distribuire in Azure
Questo modello distribuisce un gateway applicazione V2 in una rete virtuale, un'identità definita dall'utente, un insieme di credenziali delle chiavi, un segreto (dati del certificato) e i criteri di accesso in Key Vault e nel gateway applicazione.
ambiente di test di per i Premium di Firewall di Azure

Distribuire in Azure
Questo modello crea criteri firewall e premium di Firewall di Azure con funzionalità premium, ad esempio il rilevamento delle intrusioni (IDPS), l'ispezione TLS e il filtro delle categorie Web
crea una risorsa endpoint privato tra tenant

Distribuire in Azure
Questo modello consente di creare una risorsa endpoint Priavate all'interno dello stesso ambiente o tra tenant e di aggiungere la configurazione della zona DNS.
Creare un gateway applicazione con certificati

Distribuire in Azure
Questo modello illustra come generare certificati autofirmato di Key Vault e quindi fare riferimento al gateway applicazione.
crittografia dell'account di archiviazione di Azure con chiave gestita dal cliente

Distribuire in Azure
Questo modello distribuisce un account di archiviazione con una chiave gestita dal cliente per la crittografia generata e inserita in un insieme di credenziali delle chiavi.
'ambiente del servizio app con back-end SQL di Azure

Distribuire in Azure
Questo modello crea un ambiente del servizio app con un back-end SQL di Azure insieme agli endpoint privati insieme alle risorse associate in genere usate in un ambiente privato/isolato.
'app per le funzioni di Azure e una funzione attivata tramite HTTP

Distribuire in Azure
Questo esempio distribuisce un'app per le funzioni di Azure e una funzione attivata tramite HTTP inline nel modello. Distribuisce anche un insieme di credenziali delle chiavi e popola un segreto con la chiave host dell'app per le funzioni.
gateway applicazione con gestione API interna e app Web

Distribuire in Azure
Il gateway applicazione instrada il traffico Internet a un'istanza di Gestione API di rete virtuale (modalità interna) che supporta un'API Web ospitata in un'app Web di Azure.

Definizione di risorsa Terraform (provider AzAPI)

Il tipo di risorsa insiemi di credenziali può essere distribuito con operazioni destinate a:

  • gruppi di risorse

Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.

Formato risorsa

Per creare una risorsa Microsoft.KeyVault/vaults, aggiungere il codice Terraform seguente al modello.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2021-10-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      publicNetworkAccess = "string"
      sku = {
        family = "A"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Valori delle proprietà

Volte

Nome Descrizione Valore
digitare Tipo di risorsa "Microsoft.KeyVault/vaults@2021-10-01"
nome Nome della risorsa stringa (obbligatorio)

Limite di caratteri: 3-24

Caratteri validi:
Caratteri alfanumerici e trattini.

Inizia con la lettera. Termina con lettera o cifra. Non può contenere trattini consecutivi.

Il nome della risorsa deve essere univoco in Azure.
ubicazione Percorso di Azure supportato in cui deve essere creato l'insieme di credenziali delle chiavi. stringa (obbligatorio)
parent_id Per eseguire la distribuzione in un gruppo di risorse, usare l'ID del gruppo di risorse. stringa (obbligatorio)
Tag Tag che verranno assegnati all'insieme di credenziali delle chiavi. Dizionario di nomi e valori di tag.
proprietà Proprietà dell'insieme di credenziali VaultProperties (obbligatorio)

VaultProperties

Nome Descrizione Valore
accessPolicies Matrice da 0 a 1024 identità che hanno accesso all'insieme di credenziali delle chiavi. Tutte le identità nella matrice devono usare lo stesso ID tenant dell'ID tenant dell'insieme di credenziali delle chiavi. Quando createMode è impostato su recover, i criteri di accesso non sono necessari. In caso contrario, sono necessari criteri di accesso. AccessPolicyEntry[]
createMode La modalità di creazione dell'insieme di credenziali per indicare se l'insieme di credenziali deve essere recuperato o meno. "default"
"recover"
enabledForDeployment Proprietà per specificare se le macchine virtuali di Azure sono autorizzate a recuperare i certificati archiviati come segreti dall'insieme di credenziali delle chiavi. Bool
enabledForDiskEncryption Proprietà per specificare se Crittografia dischi di Azure è autorizzato a recuperare segreti dall'insieme di credenziali e annullare il wrapping delle chiavi. Bool
enabledForTemplateDeployment Proprietà per specificare se Azure Resource Manager è autorizzato a recuperare segreti dall'insieme di credenziali delle chiavi. Bool
enablePurgeProtection Proprietà che specifica se la protezione da ripulitura è abilitata per questo insieme di credenziali. L'impostazione di questa proprietà su true attiva la protezione dall'eliminazione dell'insieme di credenziali e del relativo contenuto. Solo il servizio Key Vault può avviare un'eliminazione irreversibile e dura. L'impostazione è valida solo se è abilitata anche l'eliminazione temporanea. L'abilitazione di questa funzionalità è irreversibile, ovvero la proprietà non accetta false come valore. Bool
enableRbacAuthorization Proprietà che controlla la modalità di autorizzazione delle azioni dei dati. Se true, l'insieme di credenziali delle chiavi userà il controllo degli accessi in base al ruolo per l'autorizzazione delle azioni dei dati e i criteri di accesso specificati nelle proprietà dell'insieme di credenziali verranno ignorati. Se false, l'insieme di credenziali delle chiavi userà i criteri di accesso specificati nelle proprietà dell'insieme di credenziali e tutti i criteri archiviati in Azure Resource Manager verranno ignorati. Se viene specificato o meno null, l'insieme di credenziali viene creato con il valore predefinito false. Si noti che le azioni di gestione sono sempre autorizzate con il controllo degli accessi in base al ruolo. Bool
enableSoftDelete Proprietà per specificare se la funzionalità di eliminazione temporanea è abilitata per questo insieme di credenziali delle chiavi. Se non è impostato su alcun valore (true o false) durante la creazione di un nuovo insieme di credenziali delle chiavi, verrà impostato su true per impostazione predefinita. Una volta impostato su true, non può essere ripristinato su false. Bool
networkAcls Regole che regolano l'accessibilità dell'insieme di credenziali delle chiavi da percorsi di rete specifici. NetworkRuleSet
provisioningState Stato di provisioning dell'insieme di credenziali. "RegistrazioneDns"
"Succeeded"
publicNetworkAccess Proprietà per specificare se l'insieme di credenziali accetterà il traffico da Internet pubblico. Se impostato su "disabilitato" tutto il traffico, ad eccezione del traffico dell'endpoint privato e che ha origine da servizi attendibili, verrà bloccato. In questo modo verranno ignorate le regole del firewall impostate, ovvero anche se le regole del firewall sono presenti non verranno rispettate. corda
Sku Dettagli SKU sku (obbligatorio)
softDeleteRetentionInDays softDelete i giorni di conservazione dei dati. Accetta >=7 e <=90. Int
tenantId ID tenant di Azure Active Directory da usare per l'autenticazione delle richieste all'insieme di credenziali delle chiavi. stringa (obbligatorio)

Vincoli:
Lunghezza minima = 36
Lunghezza massima = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri URI dell'insieme di credenziali per l'esecuzione di operazioni su chiavi e segreti. corda

AccessPolicyEntry

Nome Descrizione Valore
applicationId ID applicazione del client che effettua una richiesta per conto di un'entità corda

Vincoli:
Lunghezza minima = 36
Lunghezza massima = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID oggetto di un utente, un'entità servizio o un gruppo di sicurezza nel tenant di Azure Active Directory per l'insieme di credenziali. L'ID oggetto deve essere univoco per l'elenco dei criteri di accesso. stringa (obbligatorio)
Autorizzazioni Autorizzazioni per l'identità per chiavi, segreti e certificati. autorizzazioni (obbligatorio)
tenantId ID tenant di Azure Active Directory da usare per l'autenticazione delle richieste all'insieme di credenziali delle chiavi. stringa (obbligatorio)

Vincoli:
Lunghezza minima = 36
Lunghezza massima = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Autorizzazioni

Nome Descrizione Valore
Certificati Autorizzazioni per i certificati Matrice di stringhe contenente uno dei seguenti elementi:
"all"
"backup"
"create"
"delete"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"ripulitura"
"recover"
"restore"
"setissuers"
"update"
Chiavi Autorizzazioni per le chiavi Matrice di stringhe contenente uno dei seguenti elementi:
"all"
"backup"
"create"
"decrypt"
"delete"
"encrypt"
"get"
"import"
"list"
"ripulitura"
"recover"
"restore"
"sign"
"unwrapKey"
"update"
"verify"
"wrapKey"
segreti Autorizzazioni per i segreti Matrice di stringhe contenente uno dei seguenti elementi:
"all"
"backup"
"delete"
"get"
"list"
"ripulitura"
"recover"
"restore"
"set"
immagazzinamento Autorizzazioni per gli account di archiviazione Matrice di stringhe contenente uno dei seguenti elementi:
"all"
"backup"
"delete"
"deletesas"
"get"
"getsas"
"list"
"listsas"
"ripulitura"
"recover"
"regeneratekey"
"restore"
"set"
"setas"
"update"

NetworkRuleSet

Nome Descrizione Valore
circonvallazione Indica il traffico che può ignorare le regole di rete. Può trattarsi di "AzureServices" o "None". Se non specificato, il valore predefinito è "AzureServices". "AzureServices"
"Nessuno"
defaultAction Azione predefinita quando nessuna regola da ipRules e da virtualNetworkRules corrispondono. Questa proprietà viene utilizzata solo dopo la valutazione della proprietà bypass. "Consenti"
"Nega"
ipRules Elenco delle regole degli indirizzi IP. IPRule[]
virtualNetworkRules Elenco delle regole di rete virtuale. VirtualNetworkRule[]

IPRule

Nome Descrizione Valore
valore Intervallo di indirizzi IPv4 nella notazione CIDR, ad esempio "124.56.78.91" (indirizzo IP semplice) o "124.56.78.0/24" (tutti gli indirizzi che iniziano con 124.56.78). stringa (obbligatorio)

VirtualNetworkRule

Nome Descrizione Valore
Id ID risorsa completo di una subnet di rete virtuale, ad esempio "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". stringa (obbligatorio)
ignoreMissingVnetServiceEndpoint Proprietà per specificare se NRP ignorerà il controllo se la subnet padre ha serviceEndpoints configurato. Bool

Sku

Nome Descrizione Valore
famiglia Nome della famiglia di SKU "A" (obbligatorio)
nome Nome SKU per specificare se l'insieme di credenziali delle chiavi è un insieme di credenziali standard o un insieme di credenziali Premium. "Premium"
"standard" (obbligatorio)