Udostępnij za pośrednictwem


Magazyny Microsoft.KeyVault 2015-06-01

Uwagi

Aby uzyskać wskazówki dotyczące używania magazynów kluczy do zabezpieczania wartości, zobacz Manage secrets by using Bicep.

Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia wpisu tajnego, zobacz Szybki start: ustawianie i pobieranie wpisu tajnego z usługi Azure Key Vault przy użyciu szablonu usługi ARM.

Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia klucza, zobacz Szybki start: tworzenie magazynu kluczy platformy Azure i klucza przy użyciu szablonu usługi ARM.

Definicja zasobu Bicep

Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Format zasobu

Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący kod Bicep do szablonu.

resource symbolicname 'Microsoft.KeyVault/vaults@2015-06-01' = {
  location: 'string'
  name: 'string'
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enableSoftDelete: bool
    sku: {
      family: 'string'
      name: 'string'
    }
    tenantId: 'string'
    vaultUri: 'string'
  }
  tags: {
    {customized property}: 'string'
  }
}

Wartości właściwości

AccessPolicyEntry

Nazwa Opis Wartość
applicationId Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. ciąg (wymagany)
Uprawnienia Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. Uprawnienia (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)

Microsoft.KeyVault/vaults

Nazwa Opis Wartość
lokalizacja Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. ciąg (wymagany)
nazwa Nazwa zasobu struna

Ograniczenia:
Wzorzec = ^[a-zA-Z0-9-]{3,24}$ (wymagane)
Właściwości Właściwości magazynu VaultWłaściwości (wymagane)
Tagi Tagi zasobów Słownik nazw tagów i wartości. Zobacz tagi w szablonach

Uprawnienia

Nazwa Opis Wartość
Certyfikaty Uprawnienia do certyfikatów Tablica ciągów zawierająca dowolną z:
"wszystko"
"create"
"usuń"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"przeczyszczanie"
"Odzyskaj"
"setissuers"
"update"
Klucze Uprawnienia do kluczy Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"create"
"Odszyfruj"
"usuń"
"szyfruj"
"get"
"import"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"znak"
"unwrapKey"
"update"
"Verify"
"wrapKey"
Tajemnice Uprawnienia do wpisów tajnych Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"usuń"
"get"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"set"

Numer jednostki magazynowej

Nazwa Opis Wartość
rodzina Nazwa rodziny jednostek SKU "A" (wymagane)
nazwa Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. "premium"
"Standardowa" (wymagana)

VaultCreateOrUpdateParametersTags

Nazwa Opis Wartość

Właściwości magazynu

Nazwa Opis Wartość
accessPolicies Tablica od 0 do 16 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. AccessPolicyEntry[] (wymagane)
enabledForDeployment Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. Bool
enabledForDiskEncryption Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. Bool
enabledForTemplateDeployment Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. Bool
enableSoftDelete Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Bool
Numer jednostki magazynowej Szczegóły jednostki SKU sku (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)
vaultUri Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. struna

Przykłady z przewodnika Szybki start

W poniższych przykładach szybkiego startu wdrożono ten typ zasobu.

Plik Bicep Opis
klastrze usługi AKS z bramą translatora adresów sieciowych i usługą Application Gateway W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS z bramą translatora adresów sieciowych dla połączeń wychodzących i usługę Application Gateway dla połączeń przychodzących.
klastrze usługi AKS z kontrolerem ruchu przychodzącego usługi Application Gateway W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS za pomocą usługi Application Gateway, kontrolera ruchu przychodzącego usługi Application Gateway, usługi Azure Container Registry, usługi Log Analytics i usługi Key Vault
Application Gateway z wewnętrznymi usługami API Management i Web App Usługa Application Gateway routingu ruchu internetowego do wystąpienia usługi API Management sieci wirtualnej (w trybie wewnętrznym), które obsługuje internetowy interfejs API hostowany w aplikacji internetowej platformy Azure.
podstawowa konfiguracja programu Azure AI Studio Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
podstawowa konfiguracja programu Azure AI Studio Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
podstawowa konfiguracja programu Azure AI Studio Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
z ograniczeniami sieci usługi Azure AI Studio Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio z wyłączonym łączem prywatnym i wychodzącym przy użyciu kluczy zarządzanych przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
z ograniczeniami sieci usługi Azure AI Studio Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio z wyłączonym łączem prywatnym i wychodzącym przy użyciu kluczy zarządzanych przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
azure AI Studio z uwierzytelniania identyfikatora entra firmy Microsoft Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft dla zasobów zależnych, takich jak usługi Azure AI Services i Azure Storage.
aplikacji funkcji platformy Azure i funkcji wyzwalanej przez protokół HTTP W tym przykładzie wdrożono aplikację funkcji platformy Azure i funkcję wyzwalaną przez protokół HTTP w tekście w szablonie. Wdraża również usługę Key Vault i wypełnia wpis tajny kluczem hosta aplikacji funkcji.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning (starsza wersja) Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w usłudze Key Vault.
Tworzenie usługi Key Vault i lista wpisów tajnych Ten szablon tworzy usługę Key Vault i listę wpisów tajnych w magazynie kluczy, które są przekazywane wraz z parametrami
Utwórz docelowy obiekt obliczeniowy usługi AKS z prywatnym adresem IP Ten szablon tworzy docelowy obiekt obliczeniowy usługi AKS w danym obszarze roboczym usługi Azure Machine Learning Service z prywatnym adresem IP.
Tworzenie usługi API Management przy użyciu protokołu SSL z usługi KeyVault Ten szablon wdraża usługę API Management skonfigurowaną przy użyciu tożsamości przypisanej przez użytkownika. Używa tej tożsamości do pobierania certyfikatu SSL z usługi KeyVault i aktualizuje go co 4 godziny.
Tworzenie usługi Azure Key Vault i wpisu tajnego Ten szablon tworzy usługę Azure Key Vault i wpis tajny.
Tworzenie usługi Azure Key Vault przy użyciu kontroli dostępu opartej na rolach i klucza tajnego Ten szablon tworzy usługę Azure Key Vault i wpis tajny. Zamiast polegać na zasadach dostępu, korzysta ona z kontroli dostępu opartej na rolach platformy Azure w celu zarządzania autoryzacją wpisów tajnych
Tworzenie obszaru roboczego usługi Azure Machine Learning Service Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje minimalny zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK) Ten szablon wdrażania określa sposób tworzenia obszaru roboczego usługi Azure Machine Learning z szyfrowaniem po stronie usługi przy użyciu kluczy szyfrowania.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK) Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. W przykładzie pokazano, jak skonfigurować usługę Azure Machine Learning na potrzeby szyfrowania przy użyciu klucza szyfrowania zarządzanego przez klienta.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (starsza wersja) Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (sieć wirtualna) Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
tworzenie usługi Application Gateway przy użyciu certyfikatów Ten szablon przedstawia sposób generowania certyfikatów z podpisem własnym usługi Key Vault, a następnie odwołania z usługi Application Gateway.
tworzenie usługi Key Vault z włączonym rejestrowaniem Ten szablon tworzy usługę Azure Key Vault i konto usługi Azure Storage używane do rejestrowania. Opcjonalnie tworzy blokady zasobów w celu ochrony usługi Key Vault i zasobów magazynu.
tworzenie magazynu kluczy, tożsamości zarządzanej i przypisywania ról Ten szablon tworzy magazyn kluczy, tożsamość zarządzaną i przypisanie roli.
Tworzy zasób prywatnego punktu końcowego między dzierżawami Ten szablon umożliwia utworzenie zasobu punktu końcowego Priavate w tym samym środowisku lub między dzierżawami i dodanie konfiguracji strefy DNS.
Tworzy aplikację dapr pub-sub servicebus przy użyciu usługi Container Apps Utwórz aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps.
Wdrażanie bezpiecznego programu Azure AI Studio przy użyciu zarządzanej sieci wirtualnej Ten szablon tworzy bezpieczne środowisko usługi Azure AI Studio z niezawodnymi ograniczeniami zabezpieczeń sieci i tożsamości.
wdrażanie analizy sportowej na platformie Azure Tworzy konto magazynu platformy Azure z włączoną usługą ADLS Gen 2, wystąpieniem usługi Azure Data Factory z połączonymi usługami dla konta magazynu (jeśli została wdrożona usługa Azure SQL Database) i wystąpieniem usługi Azure Databricks. Tożsamość usługi AAD dla użytkownika wdrażającego szablon i tożsamość zarządzana dla wystąpienia usługi ADF otrzymają rolę Współautor danych obiektu blob usługi Storage na koncie magazynu. Dostępne są również opcje wdrażania wystąpienia usługi Azure Key Vault, usługi Azure SQL Database i usługi Azure Event Hub (w przypadku przypadków użycia przesyłania strumieniowego). Po wdrożeniu usługi Azure Key Vault tożsamość zarządzana fabryki danych i tożsamość usługi AAD dla użytkownika wdrażającego szablon otrzymają rolę Użytkownik wpisów tajnych usługi Key Vault.
centrum FinOps Ten szablon tworzy nowe wystąpienie centrum FinOps, w tym usługę Data Lake Storage i usługę Data Factory.
środowisko testowe dla usługi Azure Firewall — wersja Premium Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej

Definicja zasobu szablonu usługi ARM

Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Format zasobu

Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący kod JSON do szablonu.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2015-06-01",
  "name": "string",
  "location": "string",
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enableSoftDelete": "bool",
    "sku": {
      "family": "string",
      "name": "string"
    },
    "tenantId": "string",
    "vaultUri": "string"
  },
  "tags": {
    "{customized property}": "string"
  }
}

Wartości właściwości

AccessPolicyEntry

Nazwa Opis Wartość
applicationId Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. ciąg (wymagany)
Uprawnienia Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. Uprawnienia (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)

Microsoft.KeyVault/vaults

Nazwa Opis Wartość
apiVersion Wersja interfejsu API '2015-06-01'
lokalizacja Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. ciąg (wymagany)
nazwa Nazwa zasobu struna

Ograniczenia:
Wzorzec = ^[a-zA-Z0-9-]{3,24}$ (wymagane)
Właściwości Właściwości magazynu VaultWłaściwości (wymagane)
Tagi Tagi zasobów Słownik nazw tagów i wartości. Zobacz tagi w szablonach
typ Typ zasobu "Microsoft.KeyVault/vaults"

Uprawnienia

Nazwa Opis Wartość
Certyfikaty Uprawnienia do certyfikatów Tablica ciągów zawierająca dowolną z:
"wszystko"
"create"
"usuń"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"przeczyszczanie"
"Odzyskaj"
"setissuers"
"update"
Klucze Uprawnienia do kluczy Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"create"
"Odszyfruj"
"usuń"
"szyfruj"
"get"
"import"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"znak"
"unwrapKey"
"update"
"Verify"
"wrapKey"
Tajemnice Uprawnienia do wpisów tajnych Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"usuń"
"get"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"set"

Numer jednostki magazynowej

Nazwa Opis Wartość
rodzina Nazwa rodziny jednostek SKU "A" (wymagane)
nazwa Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. "premium"
"Standardowa" (wymagana)

VaultCreateOrUpdateParametersTags

Nazwa Opis Wartość

Właściwości magazynu

Nazwa Opis Wartość
accessPolicies Tablica od 0 do 16 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. AccessPolicyEntry[] (wymagane)
enabledForDeployment Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. Bool
enabledForDiskEncryption Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. Bool
enabledForTemplateDeployment Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. Bool
enableSoftDelete Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Bool
Numer jednostki magazynowej Szczegóły jednostki SKU sku (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)
vaultUri Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. struna

Szablony szybkiego startu

Następujące szablony szybkiego startu wdrażają ten typ zasobu.

Szablon Opis
klastrze usługi AKS z bramą translatora adresów sieciowych i usługą Application Gateway

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS z bramą translatora adresów sieciowych dla połączeń wychodzących i usługę Application Gateway dla połączeń przychodzących.
klastrze usługi AKS z kontrolerem ruchu przychodzącego usługi Application Gateway

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS za pomocą usługi Application Gateway, kontrolera ruchu przychodzącego usługi Application Gateway, usługi Azure Container Registry, usługi Log Analytics i usługi Key Vault
App Service Environment z zapleczem usługi Azure SQL

wdrażanie w usłudze Azure
Ten szablon tworzy środowisko App Service Environment z zapleczem usługi Azure SQL wraz z prywatnymi punktami końcowymi wraz ze skojarzonymi zasobami zwykle używanymi w środowisku prywatnym/izolowanym.
Application Gateway z wewnętrznymi usługami API Management i Web App

wdrażanie w usłudze Azure
Usługa Application Gateway routingu ruchu internetowego do wystąpienia usługi API Management sieci wirtualnej (w trybie wewnętrznym), które obsługuje internetowy interfejs API hostowany w aplikacji internetowej platformy Azure.
podstawowa konfiguracja programu Azure AI Studio

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
podstawowa konfiguracja programu Azure AI Studio

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
podstawowa konfiguracja programu Azure AI Studio

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
z ograniczeniami sieci usługi Azure AI Studio

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio z wyłączonym łączem prywatnym i wychodzącym przy użyciu kluczy zarządzanych przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
z ograniczeniami sieci usługi Azure AI Studio

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio z wyłączonym łączem prywatnym i wychodzącym przy użyciu kluczy zarządzanych przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
azure AI Studio z uwierzytelniania identyfikatora entra firmy Microsoft

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft dla zasobów zależnych, takich jak usługi Azure AI Services i Azure Storage.
aplikacji funkcji platformy Azure i funkcji wyzwalanej przez protokół HTTP

wdrażanie w usłudze Azure
W tym przykładzie wdrożono aplikację funkcji platformy Azure i funkcję wyzwalaną przez protokół HTTP w tekście w szablonie. Wdraża również usługę Key Vault i wypełnia wpis tajny kluczem hosta aplikacji funkcji.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning

wdrażanie w usłudze Azure
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning (starsza wersja)

wdrażanie w usłudze Azure
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
obszar roboczy usługi Azure Machine Learning

wdrażanie w usłudze Azure
Ten szablon tworzy nowy obszar roboczy usługi Azure Machine Learning wraz z zaszyfrowanym kontem magazynu, usługą KeyVault i rejestrowaniem usługi Applications Insights
szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta

wdrażanie w usłudze Azure
Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w usłudze Key Vault.
Nawiązywanie połączenia z usługą Key Vault za pośrednictwem prywatnego punktu końcowego

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak skonfigurować sieć wirtualną i prywatną strefę DNS w celu uzyskania dostępu do usługi Key Vault za pośrednictwem prywatnego punktu końcowego.
Tworzenie usługi Key Vault i lista wpisów tajnych

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Key Vault i listę wpisów tajnych w magazynie kluczy, które są przekazywane wraz z parametrami
tworzenie KeyVault

wdrażanie w usłudze Azure
Ten moduł tworzy zasób usługi KeyVault za pomocą interfejsu APIVersion 2019-09-01.
Tworzenie nowej zaszyfrowanej maszyny wirtualnej z systemem Windows na podstawie obrazu galerii

wdrażanie w usłudze Azure
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows przy użyciu obrazu galerii serwera 2k12.
tworzenie prywatnego klastra usługi AKS przy użyciu publicznej strefy DNS

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak wdrożyć prywatny klaster usługi AKS z publiczną strefą DNS.
Tworzenie obszaru roboczego AML z wieloma zestawami danych & Magazyny danych

wdrażanie w usłudze Azure
Ten szablon tworzy obszar roboczy usługi Azure Machine Learning z wieloma zestawami danych & magazynami danych.
Utwórz docelowy obiekt obliczeniowy usługi AKS z prywatnym adresem IP

wdrażanie w usłudze Azure
Ten szablon tworzy docelowy obiekt obliczeniowy usługi AKS w danym obszarze roboczym usługi Azure Machine Learning Service z prywatnym adresem IP.
Tworzenie usługi API Management przy użyciu protokołu SSL z usługi KeyVault

wdrażanie w usłudze Azure
Ten szablon wdraża usługę API Management skonfigurowaną przy użyciu tożsamości przypisanej przez użytkownika. Używa tej tożsamości do pobierania certyfikatu SSL z usługi KeyVault i aktualizuje go co 4 godziny.
tworzenie usługi Application Gateway w wersji 2 przy użyciu usługi Key Vault

wdrażanie w usłudze Azure
Ten szablon wdraża usługę Application Gateway w wersji 2 w sieci wirtualnej, tożsamość zdefiniowaną przez użytkownika, usługę Key Vault, wpis tajny (dane certyfikatu) i zasady dostępu w usłudze Key Vault i usłudze Application Gateway.
Tworzenie usługi Azure Key Vault i wpisu tajnego

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Key Vault i wpis tajny.
Tworzenie usługi Azure Key Vault przy użyciu kontroli dostępu opartej na rolach i klucza tajnego

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Key Vault i wpis tajny. Zamiast polegać na zasadach dostępu, korzysta ona z kontroli dostępu opartej na rolach platformy Azure w celu zarządzania autoryzacją wpisów tajnych
Tworzenie obszaru roboczego usługi Azure Machine Learning Service

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje minimalny zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa sposób tworzenia obszaru roboczego usługi Azure Machine Learning z szyfrowaniem po stronie usługi przy użyciu kluczy szyfrowania.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. W przykładzie pokazano, jak skonfigurować usługę Azure Machine Learning na potrzeby szyfrowania przy użyciu klucza szyfrowania zarządzanego przez klienta.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (starsza wersja)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (sieć wirtualna)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
Tworzenie i szyfrowanie nowego zestawu skalowania maszyn wirtualnych z systemem Windows za pomocą serwera przesiadkowego

wdrażanie w usłudze Azure
Ten szablon umożliwia wdrożenie prostego zestawu skalowania maszyn wirtualnych z systemem Windows przy użyciu najnowszej poprawkowej wersji serwera systemu Windows. Ten szablon wdraża również serwer przesiadkowy z publicznym adresem IP w tej samej sieci wirtualnej. Połączenie z serwerem przesiadkowym można nawiązać za pośrednictwem tego publicznego adresu IP, a następnie nawiązać połączenie z maszynami wirtualnymi w zestawie skalowania za pośrednictwem prywatnych adresów IP. Ten szablon umożliwia szyfrowanie w zestawie skalowania maszyn wirtualnych z systemem Windows.
tworzenie usługi Application Gateway przy użyciu certyfikatów

wdrażanie w usłudze Azure
Ten szablon przedstawia sposób generowania certyfikatów z podpisem własnym usługi Key Vault, a następnie odwołania z usługi Application Gateway.
tworzenie usługi Key Vault z włączonym rejestrowaniem

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Key Vault i konto usługi Azure Storage używane do rejestrowania. Opcjonalnie tworzy blokady zasobów w celu ochrony usługi Key Vault i zasobów magazynu.
tworzenie magazynu kluczy, tożsamości zarządzanej i przypisywania ról

wdrażanie w usłudze Azure
Ten szablon tworzy magazyn kluczy, tożsamość zarządzaną i przypisanie roli.
Tworzenie nowych zaszyfrowanych dysków zarządzanych win-vm z obrazu galerii

wdrażanie w usłudze Azure
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows na dyskach zarządzanych przy użyciu obrazu galerii serwera 2k12.
Tworzy zasób prywatnego punktu końcowego między dzierżawami

wdrażanie w usłudze Azure
Ten szablon umożliwia utworzenie zasobu punktu końcowego Priavate w tym samym środowisku lub między dzierżawami i dodanie konfiguracji strefy DNS.
Tworzy aplikację dapr pub-sub servicebus przy użyciu usługi Container Apps

wdrażanie w usłudze Azure
Utwórz aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps.
tworzy klaster usługi Azure Stack HCI 23H2

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM przy użyciu niestandardowego adresu IP magazynu
tworzy klaster usługi Azure Stack HCI 23H2

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieciowym przełącznika bez przełącznika z dwoma łączami

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieci Switchless-SingleLink

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
Wdrażanie bezpiecznego programu Azure AI Studio przy użyciu zarządzanej sieci wirtualnej

wdrażanie w usłudze Azure
Ten szablon tworzy bezpieczne środowisko usługi Azure AI Studio z niezawodnymi ograniczeniami zabezpieczeń sieci i tożsamości.
wdrażanie analizy sportowej na platformie Azure

wdrażanie w usłudze Azure
Tworzy konto magazynu platformy Azure z włączoną usługą ADLS Gen 2, wystąpieniem usługi Azure Data Factory z połączonymi usługami dla konta magazynu (jeśli została wdrożona usługa Azure SQL Database) i wystąpieniem usługi Azure Databricks. Tożsamość usługi AAD dla użytkownika wdrażającego szablon i tożsamość zarządzana dla wystąpienia usługi ADF otrzymają rolę Współautor danych obiektu blob usługi Storage na koncie magazynu. Dostępne są również opcje wdrażania wystąpienia usługi Azure Key Vault, usługi Azure SQL Database i usługi Azure Event Hub (w przypadku przypadków użycia przesyłania strumieniowego). Po wdrożeniu usługi Azure Key Vault tożsamość zarządzana fabryki danych i tożsamość usługi AAD dla użytkownika wdrażającego szablon otrzymają rolę Użytkownik wpisów tajnych usługi Key Vault.
Włączanie szyfrowania na uruchomionej maszynie wirtualnej z systemem Windows

wdrażanie w usłudze Azure
Ten szablon umożliwia szyfrowanie na uruchomionej maszynie wirtualnej z systemem Windows.
centrum FinOps

wdrażanie w usłudze Azure
Ten szablon tworzy nowe wystąpienie centrum FinOps, w tym usługę Data Lake Storage i usługę Data Factory.
środowisko testowe dla usługi Azure Firewall — wersja Premium

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej
Ten szablon szyfruje uruchomioną usługę VMSS systemu Windows

wdrażanie w usłudze Azure
Ten szablon umożliwia szyfrowanie w uruchomionym zestawie skalowania maszyn wirtualnych z systemem Windows
uaktualnia klaster azure Stack HCI 22H2 do klastra 23H2

wdrażanie w usłudze Azure
Ten szablon uaktualnia klaster usługi Azure Stack HCI 22H2 do klastra 23H2 przy użyciu szablonu usługi ARM.

Definicja zasobu narzędzia Terraform (dostawcy AzAPI)

Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:

  • grupy zasobów

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Format zasobu

Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący program Terraform do szablonu.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2015-06-01"
  name = "string"
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enableSoftDelete = bool
      sku = {
        family = "string"
        name = "string"
      }
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Wartości właściwości

AccessPolicyEntry

Nazwa Opis Wartość
applicationId Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. ciąg (wymagany)
Uprawnienia Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. Uprawnienia (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)

Microsoft.KeyVault/vaults

Nazwa Opis Wartość
lokalizacja Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. ciąg (wymagany)
nazwa Nazwa zasobu struna

Ograniczenia:
Wzorzec = ^[a-zA-Z0-9-]{3,24}$ (wymagane)
Właściwości Właściwości magazynu VaultWłaściwości (wymagane)
Tagi Tagi zasobów Słownik nazw tagów i wartości.
typ Typ zasobu "Microsoft.KeyVault/vaults@2015-06-01"

Uprawnienia

Nazwa Opis Wartość
Certyfikaty Uprawnienia do certyfikatów Tablica ciągów zawierająca dowolną z:
"wszystko"
"create"
"usuń"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"przeczyszczanie"
"Odzyskaj"
"setissuers"
"update"
Klucze Uprawnienia do kluczy Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"create"
"Odszyfruj"
"usuń"
"szyfruj"
"get"
"import"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"znak"
"unwrapKey"
"update"
"Verify"
"wrapKey"
Tajemnice Uprawnienia do wpisów tajnych Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"usuń"
"get"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"set"

Numer jednostki magazynowej

Nazwa Opis Wartość
rodzina Nazwa rodziny jednostek SKU "A" (wymagane)
nazwa Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. "premium"
"Standardowa" (wymagana)

VaultCreateOrUpdateParametersTags

Nazwa Opis Wartość

Właściwości magazynu

Nazwa Opis Wartość
accessPolicies Tablica od 0 do 16 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. AccessPolicyEntry[] (wymagane)
enabledForDeployment Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. Bool
enabledForDiskEncryption Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. Bool
enabledForTemplateDeployment Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. Bool
enableSoftDelete Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Bool
Numer jednostki magazynowej Szczegóły jednostki SKU sku (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)
vaultUri Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. struna