次の方法で共有


Microsoft.KeyVault コンテナー 2019-09-01

備考

セキュリティで保護された値にキー コンテナーを使用する方法については、「Bicepを使用してシークレットを管理する」を参照してください。

シークレットの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure Key Vault からシークレットを設定および取得する」を参照してください。

キーの作成に関するクイック スタートについては、「クイックスタート: ARM テンプレートを使用して Azure キー コンテナーとキーを作成する」を参照してください。

Bicep リソース定義

コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。

  • リソース グループの - リソース グループのデプロイ コマンド 参照

各 API バージョンで変更されたプロパティの一覧については、変更ログの参照してください。

リソースの形式

Microsoft.KeyVault/vaults リソースを作成するには、次の Bicep をテンプレートに追加します。

resource symbolicname 'Microsoft.KeyVault/vaults@2019-09-01' = {
  location: 'string'
  name: 'string'
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    sku: {
      family: 'string'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
  tags: {
    {customized property}: 'string'
  }
}

プロパティ値

AccessPolicyEntry

名前 形容 価値
applicationId プリンシパルに代わって要求を行うクライアントのアプリケーション ID

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 string (必須)
権限 キー、シークレット、証明書に対して ID に付与されるアクセス許可。 アクセス許可の (必須)
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須)

IPRule

名前 形容 価値
価値 CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 string (必須)

Microsoft.KeyVault/vaults

名前 形容 価値
場所 キー コンテナーを作成する必要がある、サポートされている Azure の場所。 string (必須)
名前 リソース名

制約:
パターン = ^[a-zA-Z0-9-]{3,24}$ (必須)
プロパティ コンテナーのプロパティ VaultProperties (必須)
タグ リソース タグ タグ名と値のディクショナリ。 テンプレート の タグを参照してください

NetworkRuleSet

名前 形容 価値
バイパス ネットワーク ルールをバイパスできるトラフィックを指定します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 'AzureServices'
'None'
defaultAction ipRules および virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 'Allow'
'Deny'
ipRules IP アドレス規則の一覧。 IPRule[]
virtualNetworkRules 仮想ネットワーク規則の一覧。 VirtualNetworkRule[]

権限

名前 形容 価値
証明 書 証明書へのアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'import'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'purge'
'recover'
'restore'
'setissuers'
'update'
キー キーに対するアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'create'
'decrypt'
'delete'
'encrypt'
'get'
'import'
'list'
'purge'
'recover'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
秘密 シークレットへのアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'delete'
'get'
'list'
'purge'
'recover'
'restore'
'set'
貯蔵 ストレージ アカウントへのアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'purge'
'recover'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

SKU

名前 形容 価値
家族 SKU ファミリ名 'A' (必須)
名前 キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 'premium'
'standard' (必須)

VaultCreateOrUpdateParametersTags

名前 形容 価値

VaultProperties

名前 形容 価値
accessPolicies キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 createModerecoverに設定されている場合、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 AccessPolicyEntry[]
createMode コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 'default'
'recover'
enabledForDeployment キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 bool
enabledForDiskEncryption コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 bool
enabledForTemplateDeployment Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 bool
enablePurgeProtection このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護が有効になります。回復不可能なハード削除を開始できるのは、Key Vault サービスだけです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 bool
enableRbacAuthorization データ アクションの承認方法を制御するプロパティ。 true の場合、キー コンテナーはデータ アクションの承認にロール ベースのアクセス制御 (RBAC) を使用し、コンテナーのプロパティで指定されたアクセス ポリシーは無視されます。 false の場合、キー コンテナーはコンテナーのプロパティで指定されたアクセス ポリシーを使用し、Azure Resource Manager に格納されているポリシーはすべて無視されます。 null を指定しない場合、既定値が false のコンテナーが作成されます。 管理アクションは常に RBAC で承認されることに注意してください。 bool
enableSoftDelete このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 新しいキー コンテナーの作成時に値 (true または false) に設定されていない場合は、既定で true に設定されます。 true に設定すると、false に戻すことはできません。 bool
networkAcls 特定のネットワークの場所からのキー コンテナーのアクセシビリティを制御する規則。 NetworkRuleSet
provisioningState コンテナーのプロビジョニング状態。 'RegisteringDns'
'Succeeded'
sku SKU の詳細 SKU (必須)
softDeleteRetentionInDays softDelete データ保有日数。 >=7 と <=90 を受け入れます。 int
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須)
vaultUri キーとシークレットに対する操作を実行するためのコンテナーの URI。 このプロパティは読み取り時のみ

VirtualNetworkRule

名前 形容 価値
身分証明書 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 string (必須)
ignoreMissingVnetServiceEndpoint 親サブネットに serviceEndpoints が構成されているかどうかを NRP が無視するかどうかを指定するプロパティ。 bool

クイック スタートのサンプル

次のクイック スタート サンプルでは、このリソースの種類をデプロイします。

Bicep ファイル 形容
NAT ゲートウェイと Application Gateway を使用して AKS クラスターを する このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用の Application Gateway を使用して AKS クラスターをデプロイする方法を示します。
Application Gateway イングレス コントローラー を使用して AKS クラスターを する このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vault を使用して AKS クラスターをデプロイする方法を示します
内部 API Management と Web App を使用した Application Gateway の Azure Web アプリでホストされている Web API にサービスを提供する仮想ネットワーク (内部モード) API Management インスタンスにインターネット トラフィックをルーティングする Application Gateway。
Azure AI Studio の基本的なセットアップ を する この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。
Azure AI Studio の基本的なセットアップ を する この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。
Azure AI Studio の基本的なセットアップ を する この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。
Azure AI Studio ネットワーク制限付き の この一連のテンプレートでは、暗号化に Microsoft マネージド キーを使用し、AI リソースの Microsoft マネージド ID 構成を使用して、プライベート リンクとエグレスを無効にして Azure AI Studio を設定する方法を示します。
Azure AI Studio ネットワーク制限付き の この一連のテンプレートでは、暗号化に Microsoft マネージド キーを使用し、AI リソースの Microsoft マネージド ID 構成を使用して、プライベート リンクとエグレスを無効にして Azure AI Studio を設定する方法を示します。
Microsoft Entra ID 認証 を使用して Azure AI Studio を する この一連のテンプレートは、Azure AI サービスや Azure Storage などの依存リソースに対して Microsoft Entra ID 認証を使用して Azure AI Studio を設定する方法を示しています。
Azure 関数アプリと HTTP によってトリガーされる関数 を する この例では、Azure 関数アプリと HTTP によってトリガーされる関数をテンプレートにインラインでデプロイします。 また、Key Vault をデプロイし、シークレットに関数アプリのホスト キーを設定します。
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ を する この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ (レガシ) を する この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。
カスタマー マネージド キー を使用して Azure Storage アカウント暗号化を する このテンプレートは、Key Vault 内で生成および配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。
Key Vault とシークレットの一覧を作成 このテンプレートでは、パラメーターと共に渡された Key Vault とキー コンテナー内のシークレットの一覧が作成されます。
プライベート IP アドレスを使用して AKS コンピューティング ターゲットを作成 このテンプレートでは、プライベート IP アドレスを使用して、特定の Azure Machine Learning サービス ワークスペースに AKS コンピューティング ターゲットを作成します。
KeyVault から SSL を使用して API Management サービスを作成する このテンプレートは、ユーザー割り当て ID で構成された API Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。
Azure Key Vault とシークレット を作成する このテンプレートでは、Azure Key Vault とシークレットが作成されます。
RBAC とシークレット を使用して Azure Key Vault を作成する このテンプレートでは、Azure Key Vault とシークレットが作成されます。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します
Azure Machine Learning service ワークスペース を作成する このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、Azure Machine Learning の使用を開始するために必要な最小限のリソース セットについて説明します。
Azure Machine Learning Service ワークスペース (CMK) を作成する このデプロイ テンプレートでは、暗号化キーを使用してサービス側の暗号化を使用して Azure Machine Learning ワークスペースを作成する方法を指定します。
Azure Machine Learning Service ワークスペース (CMK) を作成する このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この例では、カスタマー マネージド暗号化キーを使用した暗号化のために Azure Machine Learning を構成する方法を示します。
Azure Machine Learning service ワークスペース (レガシ) を作成する このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。
Azure Machine Learning service ワークスペース (vnet) を作成する このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。
証明書 を使用して Application Gateway を作成する このテンプレートでは、Key Vault の自己署名証明書を生成し、Application Gateway から参照する方法を示します。
ログ記録を有効にした Key Vault の作成 このテンプレートでは、ログ記録に使用される Azure Key Vault と Azure Storage アカウントが作成されます。 必要に応じて、Key Vault とストレージ リソースを保護するためのリソース ロックが作成されます。
キー コンテナー、マネージド ID、ロールの割り当て を作成する このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。
テナント間のプライベート エンドポイント リソース を作成します このテンプレートを使用すると、同じまたはテナント間の環境内に Priavate エンドポイント リソースを作成し、DNS ゾーン構成を追加できます。
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。
マネージド仮想ネットワーク を使用して Secure Azure AI Studio をデプロイする このテンプレートは、堅牢なネットワークと ID のセキュリティ制限を使用して、セキュリティで保護された Azure AI Studio 環境を作成します。
Azure アーキテクチャ に Sports Analytics をデプロイする ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウントのリンクされたサービスを持つ Azure Data Factory インスタンス (デプロイされている場合は Azure SQL Database)、Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントのストレージ BLOB データ共同作成者ロールが付与されます。 Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミングユース ケース用) をデプロイするオプションもあります。 Azure Key Vault がデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に Key Vault シークレット ユーザー ロールが付与されます。
FinOps ハブ の このテンプレートでは、Data Lake ストレージや Data Factory を含む新しい FinOps ハブ インスタンスが作成されます。
Azure Firewall Premium のテスト環境 このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を備えた Azure Firewall Premium とファイアウォール ポリシーを作成します

ARM テンプレート リソース定義

コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。

  • リソース グループの - リソース グループのデプロイ コマンド 参照

各 API バージョンで変更されたプロパティの一覧については、変更ログの参照してください。

リソースの形式

Microsoft.KeyVault/vaults リソースを作成するには、次の JSON をテンプレートに追加します。

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2019-09-01",
  "name": "string",
  "location": "string",
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "sku": {
      "family": "string",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  },
  "tags": {
    "{customized property}": "string"
  }
}

プロパティ値

AccessPolicyEntry

名前 形容 価値
applicationId プリンシパルに代わって要求を行うクライアントのアプリケーション ID

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 string (必須)
権限 キー、シークレット、証明書に対して ID に付与されるアクセス許可。 アクセス許可の (必須)
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須)

IPRule

名前 形容 価値
価値 CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 string (必須)

Microsoft.KeyVault/vaults

名前 形容 価値
apiVersion API のバージョン '2019-09-01'
場所 キー コンテナーを作成する必要がある、サポートされている Azure の場所。 string (必須)
名前 リソース名

制約:
パターン = ^[a-zA-Z0-9-]{3,24}$ (必須)
プロパティ コンテナーのプロパティ VaultProperties (必須)
タグ リソース タグ タグ名と値のディクショナリ。 テンプレート の タグを参照してください
種類 リソースの種類 'Microsoft.KeyVault/vaults'

NetworkRuleSet

名前 形容 価値
バイパス ネットワーク ルールをバイパスできるトラフィックを指定します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 'AzureServices'
'None'
defaultAction ipRules および virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 'Allow'
'Deny'
ipRules IP アドレス規則の一覧。 IPRule[]
virtualNetworkRules 仮想ネットワーク規則の一覧。 VirtualNetworkRule[]

権限

名前 形容 価値
証明 書 証明書へのアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'import'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'purge'
'recover'
'restore'
'setissuers'
'update'
キー キーに対するアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'create'
'decrypt'
'delete'
'encrypt'
'get'
'import'
'list'
'purge'
'recover'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
秘密 シークレットへのアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'delete'
'get'
'list'
'purge'
'recover'
'restore'
'set'
貯蔵 ストレージ アカウントへのアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'purge'
'recover'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

SKU

名前 形容 価値
家族 SKU ファミリ名 'A' (必須)
名前 キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 'premium'
'standard' (必須)

VaultCreateOrUpdateParametersTags

名前 形容 価値

VaultProperties

名前 形容 価値
accessPolicies キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 createModerecoverに設定されている場合、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 AccessPolicyEntry[]
createMode コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 'default'
'recover'
enabledForDeployment キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 bool
enabledForDiskEncryption コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 bool
enabledForTemplateDeployment Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 bool
enablePurgeProtection このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護が有効になります。回復不可能なハード削除を開始できるのは、Key Vault サービスだけです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 bool
enableRbacAuthorization データ アクションの承認方法を制御するプロパティ。 true の場合、キー コンテナーはデータ アクションの承認にロール ベースのアクセス制御 (RBAC) を使用し、コンテナーのプロパティで指定されたアクセス ポリシーは無視されます。 false の場合、キー コンテナーはコンテナーのプロパティで指定されたアクセス ポリシーを使用し、Azure Resource Manager に格納されているポリシーはすべて無視されます。 null を指定しない場合、既定値が false のコンテナーが作成されます。 管理アクションは常に RBAC で承認されることに注意してください。 bool
enableSoftDelete このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 新しいキー コンテナーの作成時に値 (true または false) に設定されていない場合は、既定で true に設定されます。 true に設定すると、false に戻すことはできません。 bool
networkAcls 特定のネットワークの場所からのキー コンテナーのアクセシビリティを制御する規則。 NetworkRuleSet
provisioningState コンテナーのプロビジョニング状態。 'RegisteringDns'
'Succeeded'
sku SKU の詳細 SKU (必須)
softDeleteRetentionInDays softDelete データ保有日数。 >=7 と <=90 を受け入れます。 int
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須)
vaultUri キーとシークレットに対する操作を実行するためのコンテナーの URI。 このプロパティは読み取り時のみ

VirtualNetworkRule

名前 形容 価値
身分証明書 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 string (必須)
ignoreMissingVnetServiceEndpoint 親サブネットに serviceEndpoints が構成されているかどうかを NRP が無視するかどうかを指定するプロパティ。 bool

クイック スタート テンプレート

次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。

テンプレート 形容
NAT ゲートウェイと Application Gateway を使用して AKS クラスターを する

Azure
にデプロイする
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用の Application Gateway を使用して AKS クラスターをデプロイする方法を示します。
Application Gateway イングレス コントローラー を使用して AKS クラスターを する

Azure
にデプロイする
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vault を使用して AKS クラスターをデプロイする方法を示します
Azure SQL バックエンド を使用した App Service Environment の

Azure
にデプロイする
このテンプレートは、プライベート/分離環境で通常使用される関連リソースと共に、Azure SQL バックエンドとプライベート エンドポイントを含む App Service Environment を作成します。
内部 API Management と Web App を使用した Application Gateway の

Azure
にデプロイする
Azure Web アプリでホストされている Web API にサービスを提供する仮想ネットワーク (内部モード) API Management インスタンスにインターネット トラフィックをルーティングする Application Gateway。
Azure AI Studio の基本的なセットアップ を する

Azure
にデプロイする
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。
Azure AI Studio の基本的なセットアップ を する

Azure
にデプロイする
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。
Azure AI Studio の基本的なセットアップ を する

Azure
にデプロイする
この一連のテンプレートは、基本的なセットアップで Azure AI Studio を設定する方法を示しています。つまり、パブリック インターネット アクセスが有効になっている場合、暗号化用の Microsoft マネージド キーと、AI リソースの Microsoft マネージド ID 構成を使用します。
Azure AI Studio ネットワーク制限付き の

Azure
にデプロイする
この一連のテンプレートでは、暗号化に Microsoft マネージド キーを使用し、AI リソースの Microsoft マネージド ID 構成を使用して、プライベート リンクとエグレスを無効にして Azure AI Studio を設定する方法を示します。
Azure AI Studio ネットワーク制限付き の

Azure
にデプロイする
この一連のテンプレートでは、暗号化に Microsoft マネージド キーを使用し、AI リソースの Microsoft マネージド ID 構成を使用して、プライベート リンクとエグレスを無効にして Azure AI Studio を設定する方法を示します。
Microsoft Entra ID 認証 を使用して Azure AI Studio を する

Azure
にデプロイする
この一連のテンプレートは、Azure AI サービスや Azure Storage などの依存リソースに対して Microsoft Entra ID 認証を使用して Azure AI Studio を設定する方法を示しています。
Azure 関数アプリと HTTP によってトリガーされる関数 を する

Azure
にデプロイする
この例では、Azure 関数アプリと HTTP によってトリガーされる関数をテンプレートにインラインでデプロイします。 また、Key Vault をデプロイし、シークレットに関数アプリのホスト キーを設定します。
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ を する

Azure
にデプロイする
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。
Azure Machine Learning のエンド ツー エンドのセキュリティで保護されたセットアップ (レガシ) を する

Azure
にデプロイする
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンド ツー エンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。
Azure Machine Learning ワークスペース の

Azure
にデプロイする
このテンプレートでは、暗号化されたストレージ アカウント、KeyVault、Applications Insights のログと共に、新しい Azure Machine Learning ワークスペースが作成されます
カスタマー マネージド キー を使用して Azure Storage アカウント暗号化を する

Azure
にデプロイする
このテンプレートは、Key Vault 内で生成および配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。
プライベート エンドポイントを使用して Key Vault に接続

Azure にデプロイする
このサンプルでは、仮想ネットワークとプライベート DNS ゾーンを構成して、プライベート エンドポイント経由で Key Vault にアクセスする方法を示します。
Key Vault とシークレットの一覧を作成

Azure にデプロイする
このテンプレートでは、パラメーターと共に渡された Key Vault とキー コンテナー内のシークレットの一覧が作成されます。
KeyVault を作成する

Azure にデプロイする
このモジュールでは、apiVersion 2019-09-01 を使用して KeyVault リソースを作成します。
ギャラリー イメージから新しい暗号化された Windows VM を作成

Azure にデプロイする
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化された Windows VM を作成します。
パブリック DNS ゾーン を使用してプライベート AKS クラスターを作成する

Azure
にデプロイする
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。
データストア & 複数のデータセットを含む AML ワークスペースを作成する

Azure にデプロイする
このテンプレートでは、データストア & 複数のデータセットを含む Azure Machine Learning ワークスペースが作成されます。
プライベート IP アドレスを使用して AKS コンピューティング ターゲットを作成

Azure にデプロイする
このテンプレートでは、プライベート IP アドレスを使用して、特定の Azure Machine Learning サービス ワークスペースに AKS コンピューティング ターゲットを作成します。
KeyVault から SSL を使用して API Management サービスを作成する

Azure にデプロイする
このテンプレートは、ユーザー割り当て ID で構成された API Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。
Key Vault を使用して Application Gateway V2 を作成する

Azure
にデプロイする
このテンプレートは、Application Gateway V2 を仮想ネットワークにデプロイし、ユーザー定義 ID、Key Vault、シークレット (証明書データ)、Key Vault と Application Gateway のアクセス ポリシーをデプロイします。
Azure Key Vault とシークレット を作成する

Azure にデプロイする
このテンプレートでは、Azure Key Vault とシークレットが作成されます。
RBAC とシークレット を使用して Azure Key Vault を作成する

Azure にデプロイする
このテンプレートでは、Azure Key Vault とシークレットが作成されます。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します
Azure Machine Learning service ワークスペース を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、Azure Machine Learning の使用を開始するために必要な最小限のリソース セットについて説明します。
Azure Machine Learning Service ワークスペース (CMK) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、暗号化キーを使用してサービス側の暗号化を使用して Azure Machine Learning ワークスペースを作成する方法を指定します。
Azure Machine Learning Service ワークスペース (CMK) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この例では、カスタマー マネージド暗号化キーを使用した暗号化のために Azure Machine Learning を構成する方法を示します。
Azure Machine Learning service ワークスペース (レガシ) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。
Azure Machine Learning service ワークスペース (vnet) を作成する

Azure にデプロイする
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースとそれに関連するリソース (Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registry など) を指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。
ジャンプボックス を使用して新しい Windows VMSS を作成して暗号化する

Azure にデプロイする
このテンプレートを使用すると、最新の修正プログラムが適用されたバージョンのサーバー Windows バージョンを使用して、Windows VM の単純な VM スケール セットをデプロイできます。 このテンプレートでは、パブリック IP アドレスを持つジャンプボックスも同じ仮想ネットワークにデプロイされます。 このパブリック IP アドレスを使用してジャンプボックスに接続し、そこからプライベート IP アドレスを介してスケール セット内の VM に接続できます。このテンプレートにより、Windows VM の VM スケール セットでの暗号化が有効になります。
証明書 を使用して Application Gateway を作成する

Azure
にデプロイする
このテンプレートでは、Key Vault の自己署名証明書を生成し、Application Gateway から参照する方法を示します。
ログ記録を有効にした Key Vault の作成

Azure にデプロイする
このテンプレートでは、ログ記録に使用される Azure Key Vault と Azure Storage アカウントが作成されます。 必要に応じて、Key Vault とストレージ リソースを保護するためのリソース ロックが作成されます。
キー コンテナー、マネージド ID、ロールの割り当て を作成する

Azure にデプロイする
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。
ギャラリー イメージから新しい暗号化されたマネージド ディスク win-vm を作成

Azure にデプロイする
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化されたマネージド ディスク Windows VM を作成します。
テナント間のプライベート エンドポイント リソース を作成します

Azure にデプロイする
このテンプレートを使用すると、同じまたはテナント間の環境内に Priavate エンドポイント リソースを作成し、DNS ゾーン構成を追加できます。
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します

Azure にデプロイする
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。
Azure Stack HCI 23H2 クラスター を作成します

Azure にデプロイする
このテンプレートは、カスタム ストレージ IP を使用して ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します
Azure Stack HCI 23H2 クラスター を作成します

Azure にデプロイする
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。
スイッチレス デュアルリンク ネットワーク モードで Azure Stack HCI 23H2 クラスターを作成

Azure にデプロイする
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。
ネットワーク モードで Azure Stack HCI 23H2 クラスター Switchless-SingleLink 作成

Azure にデプロイする
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。
マネージド仮想ネットワーク を使用して Secure Azure AI Studio をデプロイする

Azure
にデプロイする
このテンプレートは、堅牢なネットワークと ID のセキュリティ制限を使用して、セキュリティで保護された Azure AI Studio 環境を作成します。
Azure アーキテクチャ に Sports Analytics をデプロイする

Azure
にデプロイする
ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウントのリンクされたサービスを持つ Azure Data Factory インスタンス (デプロイされている場合は Azure SQL Database)、Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントのストレージ BLOB データ共同作成者ロールが付与されます。 Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミングユース ケース用) をデプロイするオプションもあります。 Azure Key Vault がデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に Key Vault シークレット ユーザー ロールが付与されます。
実行中の Windows VM で暗号化を有効にする

Azure にデプロイする
このテンプレートにより、実行中の Windows VM での暗号化が有効になります。
FinOps ハブ の

Azure
にデプロイする
このテンプレートでは、Data Lake ストレージや Data Factory を含む新しい FinOps ハブ インスタンスが作成されます。
Azure Firewall Premium のテスト環境

Azure にデプロイする
このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を備えた Azure Firewall Premium とファイアウォール ポリシーを作成します
このテンプレートは、実行中の Windows VMSS を暗号化します

Azure にデプロイする
このテンプレートにより、実行中の Windows VM スケール セットでの暗号化が有効になります
、Azure Stack HCI 22H2 クラスターを 23H2 クラスター にアップグレードします

Azure にデプロイする
このテンプレートは、ARM テンプレートを使用して Azure Stack HCI 22H2 クラスターを 23H2 クラスターにアップグレードします。

Terraform (AzAPI プロバイダー) リソース定義

コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。

  • リソース グループの

各 API バージョンで変更されたプロパティの一覧については、変更ログの参照してください。

リソースの形式

Microsoft.KeyVault/vaults リソースを作成するには、次の Terraform をテンプレートに追加します。

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2019-09-01"
  name = "string"
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      sku = {
        family = "string"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

プロパティ値

AccessPolicyEntry

名前 形容 価値
applicationId プリンシパルに代わって要求を行うクライアントのアプリケーション ID

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 string (必須)
権限 キー、シークレット、証明書に対して ID に付与されるアクセス許可。 アクセス許可の (必須)
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須)

IPRule

名前 形容 価値
価値 CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 string (必須)

Microsoft.KeyVault/vaults

名前 形容 価値
場所 キー コンテナーを作成する必要がある、サポートされている Azure の場所。 string (必須)
名前 リソース名

制約:
パターン = ^[a-zA-Z0-9-]{3,24}$ (必須)
プロパティ コンテナーのプロパティ VaultProperties (必須)
タグ リソース タグ タグ名と値のディクショナリ。
種類 リソースの種類 "Microsoft.KeyVault/vaults@2019-09-01"

NetworkRuleSet

名前 形容 価値
バイパス ネットワーク ルールをバイパスできるトラフィックを指定します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 'AzureServices'
'None'
defaultAction ipRules および virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 'Allow'
'Deny'
ipRules IP アドレス規則の一覧。 IPRule[]
virtualNetworkRules 仮想ネットワーク規則の一覧。 VirtualNetworkRule[]

権限

名前 形容 価値
証明 書 証明書へのアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'import'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'purge'
'recover'
'restore'
'setissuers'
'update'
キー キーに対するアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'create'
'decrypt'
'delete'
'encrypt'
'get'
'import'
'list'
'purge'
'recover'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
秘密 シークレットへのアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'delete'
'get'
'list'
'purge'
'recover'
'restore'
'set'
貯蔵 ストレージ アカウントへのアクセス許可 次のいずれかを含む文字列配列:
'all'
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'purge'
'recover'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

SKU

名前 形容 価値
家族 SKU ファミリ名 'A' (必須)
名前 キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 'premium'
'standard' (必須)

VaultCreateOrUpdateParametersTags

名前 形容 価値

VaultProperties

名前 形容 価値
accessPolicies キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 createModerecoverに設定されている場合、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 AccessPolicyEntry[]
createMode コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 'default'
'recover'
enabledForDeployment キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machines が取得できるかどうかを指定するプロパティ。 bool
enabledForDiskEncryption コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 bool
enabledForTemplateDeployment Azure Resource Manager がキー コンテナーからシークレットを取得できるかどうかを指定するプロパティ。 bool
enablePurgeProtection このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護が有効になります。回復不可能なハード削除を開始できるのは、Key Vault サービスだけです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 bool
enableRbacAuthorization データ アクションの承認方法を制御するプロパティ。 true の場合、キー コンテナーはデータ アクションの承認にロール ベースのアクセス制御 (RBAC) を使用し、コンテナーのプロパティで指定されたアクセス ポリシーは無視されます。 false の場合、キー コンテナーはコンテナーのプロパティで指定されたアクセス ポリシーを使用し、Azure Resource Manager に格納されているポリシーはすべて無視されます。 null を指定しない場合、既定値が false のコンテナーが作成されます。 管理アクションは常に RBAC で承認されることに注意してください。 bool
enableSoftDelete このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 新しいキー コンテナーの作成時に値 (true または false) に設定されていない場合は、既定で true に設定されます。 true に設定すると、false に戻すことはできません。 bool
networkAcls 特定のネットワークの場所からのキー コンテナーのアクセシビリティを制御する規則。 NetworkRuleSet
provisioningState コンテナーのプロビジョニング状態。 'RegisteringDns'
'Succeeded'
sku SKU の詳細 SKU (必須)
softDeleteRetentionInDays softDelete データ保有日数。 >=7 と <=90 を受け入れます。 int
tenantId キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。

制約:
最小長 = 36
最大長 = 36
パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須)
vaultUri キーとシークレットに対する操作を実行するためのコンテナーの URI。 このプロパティは読み取り時のみ

VirtualNetworkRule

名前 形容 価値
身分証明書 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 string (必須)
ignoreMissingVnetServiceEndpoint 親サブネットに serviceEndpoints が構成されているかどうかを NRP が無視するかどうかを指定するプロパティ。 bool