Udostępnij za pośrednictwem


Magazyny Microsoft.KeyVault 2021-04-01-preview

Definicja zasobu Bicep

Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Uwagi

Aby uzyskać wskazówki dotyczące używania magazynów kluczy do zabezpieczania wartości, zobacz Manage secrets by using Bicep.

Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia wpisu tajnego, zobacz Szybki start: ustawianie i pobieranie wpisu tajnego z usługi Azure Key Vault przy użyciu szablonu usługi ARM.

Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia klucza, zobacz Szybki start: tworzenie magazynu kluczy platformy Azure i klucza przy użyciu szablonu usługi ARM.

Format zasobu

Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący kod Bicep do szablonu.

resource symbolicname 'Microsoft.KeyVault/vaults@2021-04-01-preview' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    sku: {
      family: 'A'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
}

Wartości właściwości

Sklepienia

Nazwa Opis Wartość
nazwa Nazwa zasobu ciąg (wymagany)

Limit znaków: 3–24

Prawidłowe znaki:
Alfanumeryczne i łączniki.

Zacznij od litery. Koniec literą lub cyfrą. Nie można zawierać kolejnych łączników.

Nazwa zasobu musi być unikatowa na platformie Azure.
lokalizacja Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. ciąg (wymagany)
Tagi Tagi, które zostaną przypisane do magazynu kluczy. Słownik nazw tagów i wartości. Zobacz tagi w szablonach
Właściwości Właściwości magazynu VaultWłaściwości (wymagane)

Właściwości magazynu

Nazwa Opis Wartość
accessPolicies Tablica z 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Gdy createMode jest ustawiona na recover, zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. AccessPolicyEntry[]
createMode Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. "wartość domyślna"
"Odzyskaj"
enabledForDeployment Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. Bool
enabledForDiskEncryption Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. Bool
enabledForTemplateDeployment Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. Bool
enablePurgeProtection Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na true aktywuje ochronę przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. Bool
enableRbacAuthorization Właściwość, która kontroluje sposób autoryzacji akcji danych. W przypadku wartości true magazyn kluczy będzie używać kontroli dostępu opartej na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane. Jeśli wartość false, magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane za pomocą kontroli dostępu opartej na rolach. Bool
enableSoftDelete Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. Bool
networkAcls Reguły regulujące dostępność magazynu kluczy z określonych lokalizacji sieciowych. NetworkRuleSet
provisioningState Stan aprowizacji magazynu. "RegisteringDns"
"Powodzenie"
Numer jednostki magazynowej Szczegóły jednostki SKU sku (wymagane)
softDeleteRetentionInDays softDelete data retention days(Dni przechowywania danych softDelete). Akceptuje >=7 i <=90. Int
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. ciąg (wymagany)

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. struna

AccessPolicyEntry

Nazwa Opis Wartość
applicationId Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. ciąg (wymagany)
Uprawnienia Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. Uprawnienia (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. ciąg (wymagany)

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Uprawnienia

Nazwa Opis Wartość
Certyfikaty Uprawnienia do certyfikatów Tablica ciągów zawierająca dowolną z:
"kopia zapasowa"
"create"
"usuń"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"setissuers"
"update"
Klucze Uprawnienia do kluczy Tablica ciągów zawierająca dowolną z:
"kopia zapasowa"
"create"
"Odszyfruj"
"usuń"
"szyfruj"
"get"
"import"
"list"
"przeczyszczanie"
"Odzyskaj"
"release"
"Przywracanie"
"znak"
"unwrapKey"
"update"
"Verify"
"wrapKey"
Tajemnice Uprawnienia do wpisów tajnych Tablica ciągów zawierająca dowolną z:
"kopia zapasowa"
"usuń"
"get"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"set"
składowanie Uprawnienia do kont magazynu Tablica ciągów zawierająca dowolną z:
"kopia zapasowa"
"usuń"
"deletesas"
"get"
"getsas"
"list"
"listas"
"przeczyszczanie"
"Odzyskaj"
"Regeneratekey"
"Przywracanie"
"set"
"setsas"
"update"

NetworkRuleSet

Nazwa Opis Wartość
ominąć Informuje, jaki ruch może pomijać reguły sieci. Może to być wartość "AzureServices" lub "None". Jeśli nie określono wartości domyślnej, to "AzureServices". "AzureServices"
"Brak"
defaultAction Domyślna akcja, gdy żadna reguła z reguł ipRules i virtualNetworkRules jest zgodna. Jest to używane tylko po ocenie właściwości obejścia. "Zezwalaj"
"Odmów"
ipRules Lista reguł adresów IP. IPRule []
virtualNetworkRules Lista reguł sieci wirtualnej. VirtualNetworkRule []

Adres IPRule

Nazwa Opis Wartość
wartość Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). ciąg (wymagany)

VirtualNetworkRule

Nazwa Opis Wartość
id Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". ciąg (wymagany)
ignoreMissingVnetServiceEndpoint Właściwość określająca, czy nrP zignoruje sprawdzenie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. Bool

Numer jednostki magazynowej

Nazwa Opis Wartość
rodzina Nazwa rodziny jednostek SKU "A" (wymagane)
nazwa Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. "premium"
"Standardowa" (wymagana)

Szablony szybkiego startu

Następujące szablony szybkiego startu wdrażają ten typ zasobu.

Szablon Opis
klastrze usługi AKS z bramą translatora adresów sieciowych i usługą Application Gateway

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS z bramą translatora adresów sieciowych dla połączeń wychodzących i usługę Application Gateway dla połączeń przychodzących.
tworzenie prywatnego klastra usługi AKS przy użyciu publicznej strefy DNS

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak wdrożyć prywatny klaster usługi AKS z publiczną strefą DNS.
wdrażanie analizy sportowej na platformie Azure

wdrażanie w usłudze Azure
Tworzy konto magazynu platformy Azure z włączoną usługą ADLS Gen 2, wystąpieniem usługi Azure Data Factory z połączonymi usługami dla konta magazynu (jeśli została wdrożona usługa Azure SQL Database) i wystąpieniem usługi Azure Databricks. Tożsamość usługi AAD dla użytkownika wdrażającego szablon i tożsamość zarządzana dla wystąpienia usługi ADF otrzymają rolę Współautor danych obiektu blob usługi Storage na koncie magazynu. Dostępne są również opcje wdrażania wystąpienia usługi Azure Key Vault, usługi Azure SQL Database i usługi Azure Event Hub (w przypadku przypadków użycia przesyłania strumieniowego). Po wdrożeniu usługi Azure Key Vault tożsamość zarządzana fabryki danych i tożsamość usługi AAD dla użytkownika wdrażającego szablon otrzymają rolę Użytkownik wpisów tajnych usługi Key Vault.
obszar roboczy usługi Azure Machine Learning

wdrażanie w usłudze Azure
Ten szablon tworzy nowy obszar roboczy usługi Azure Machine Learning wraz z zaszyfrowanym kontem magazynu, usługą KeyVault i rejestrowaniem usługi Applications Insights
tworzenie KeyVault

wdrażanie w usłudze Azure
Ten moduł tworzy zasób usługi KeyVault za pomocą interfejsu APIVersion 2019-09-01.
Tworzenie usługi API Management przy użyciu protokołu SSL z usługi KeyVault

wdrażanie w usłudze Azure
Ten szablon wdraża usługę API Management skonfigurowaną przy użyciu tożsamości przypisanej przez użytkownika. Używa tej tożsamości do pobierania certyfikatu SSL z usługi KeyVault i aktualizuje go co 4 godziny.
Tworzy aplikację dapr pub-sub servicebus przy użyciu usługi Container Apps

wdrażanie w usłudze Azure
Utwórz aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps.
tworzy klaster usługi Azure Stack HCI 23H2

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
tworzy klaster usługi Azure Stack HCI 23H2

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM przy użyciu niestandardowego adresu IP magazynu
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieciowym przełącznika bez przełącznika z dwoma łączami

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieci Switchless-SingleLink

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
Tworzenie nowej zaszyfrowanej maszyny wirtualnej z systemem Windows na podstawie obrazu galerii

wdrażanie w usłudze Azure
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows przy użyciu obrazu galerii serwera 2k12.
Tworzenie nowych zaszyfrowanych dysków zarządzanych win-vm z obrazu galerii

wdrażanie w usłudze Azure
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows na dyskach zarządzanych przy użyciu obrazu galerii serwera 2k12.
Ten szablon szyfruje uruchomioną usługę VMSS systemu Windows

wdrażanie w usłudze Azure
Ten szablon umożliwia szyfrowanie w uruchomionym zestawie skalowania maszyn wirtualnych z systemem Windows
Włączanie szyfrowania na uruchomionej maszynie wirtualnej z systemem Windows

wdrażanie w usłudze Azure
Ten szablon umożliwia szyfrowanie na uruchomionej maszynie wirtualnej z systemem Windows.
Tworzenie i szyfrowanie nowego zestawu skalowania maszyn wirtualnych z systemem Windows za pomocą serwera przesiadkowego

wdrażanie w usłudze Azure
Ten szablon umożliwia wdrożenie prostego zestawu skalowania maszyn wirtualnych z systemem Windows przy użyciu najnowszej poprawkowej wersji serwera systemu Windows. Ten szablon wdraża również serwer przesiadkowy z publicznym adresem IP w tej samej sieci wirtualnej. Połączenie z serwerem przesiadkowym można nawiązać za pośrednictwem tego publicznego adresu IP, a następnie nawiązać połączenie z maszynami wirtualnymi w zestawie skalowania za pośrednictwem prywatnych adresów IP. Ten szablon umożliwia szyfrowanie w zestawie skalowania maszyn wirtualnych z systemem Windows.
Tworzenie usługi Azure Key Vault i wpisu tajnego

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Key Vault i wpis tajny.
Tworzenie usługi Azure Key Vault przy użyciu kontroli dostępu opartej na rolach i klucza tajnego

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Key Vault i wpis tajny. Zamiast polegać na zasadach dostępu, korzysta ona z kontroli dostępu opartej na rolach platformy Azure w celu zarządzania autoryzacją wpisów tajnych
tworzenie magazynu kluczy, tożsamości zarządzanej i przypisywania ról

wdrażanie w usłudze Azure
Ten szablon tworzy magazyn kluczy, tożsamość zarządzaną i przypisanie roli.
Nawiązywanie połączenia z usługą Key Vault za pośrednictwem prywatnego punktu końcowego

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak skonfigurować sieć wirtualną i prywatną strefę DNS w celu uzyskania dostępu do usługi Key Vault za pośrednictwem prywatnego punktu końcowego.
Tworzenie usługi Key Vault i lista wpisów tajnych

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Key Vault i listę wpisów tajnych w magazynie kluczy, które są przekazywane wraz z parametrami
tworzenie usługi Key Vault z włączonym rejestrowaniem

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Key Vault i konto usługi Azure Storage używane do rejestrowania. Opcjonalnie tworzy blokady zasobów w celu ochrony usługi Key Vault i zasobów magazynu.
podstawowa konfiguracja programu Azure AI Studio

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
podstawowa konfiguracja programu Azure AI Studio

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
azure AI Studio z uwierzytelniania identyfikatora entra firmy Microsoft

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft dla zasobów zależnych, takich jak usługi Azure AI Services i Azure Storage.
Tworzenie obszaru roboczego AML z wieloma zestawami danych & Magazyny danych

wdrażanie w usłudze Azure
Ten szablon tworzy obszar roboczy usługi Azure Machine Learning z wieloma zestawami danych & magazynami danych.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning

wdrażanie w usłudze Azure
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning (starsza wersja)

wdrażanie w usłudze Azure
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
Utwórz docelowy obiekt obliczeniowy usługi AKS z prywatnym adresem IP

wdrażanie w usłudze Azure
Ten szablon tworzy docelowy obiekt obliczeniowy usługi AKS w danym obszarze roboczym usługi Azure Machine Learning Service z prywatnym adresem IP.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje minimalny zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. W przykładzie pokazano, jak skonfigurować usługę Azure Machine Learning na potrzeby szyfrowania przy użyciu klucza szyfrowania zarządzanego przez klienta.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa sposób tworzenia obszaru roboczego usługi Azure Machine Learning z szyfrowaniem po stronie usługi przy użyciu kluczy szyfrowania.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (sieć wirtualna)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (starsza wersja)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
klastrze usługi AKS z kontrolerem ruchu przychodzącego usługi Application Gateway

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS za pomocą usługi Application Gateway, kontrolera ruchu przychodzącego usługi Application Gateway, usługi Azure Container Registry, usługi Log Analytics i usługi Key Vault
tworzenie usługi Application Gateway w wersji 2 przy użyciu usługi Key Vault

wdrażanie w usłudze Azure
Ten szablon wdraża usługę Application Gateway w wersji 2 w sieci wirtualnej, tożsamość zdefiniowaną przez użytkownika, usługę Key Vault, wpis tajny (dane certyfikatu) i zasady dostępu w usłudze Key Vault i usłudze Application Gateway.
środowisko testowe dla usługi Azure Firewall — wersja Premium

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej
Tworzy zasób prywatnego punktu końcowego między dzierżawami

wdrażanie w usłudze Azure
Ten szablon umożliwia utworzenie zasobu punktu końcowego Priavate w tym samym środowisku lub między dzierżawami i dodanie konfiguracji strefy DNS.
tworzenie usługi Application Gateway przy użyciu certyfikatów

wdrażanie w usłudze Azure
Ten szablon przedstawia sposób generowania certyfikatów z podpisem własnym usługi Key Vault, a następnie odwołania z usługi Application Gateway.
szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta

wdrażanie w usłudze Azure
Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w usłudze Key Vault.
App Service Environment z zapleczem usługi Azure SQL

wdrażanie w usłudze Azure
Ten szablon tworzy środowisko App Service Environment z zapleczem usługi Azure SQL wraz z prywatnymi punktami końcowymi wraz ze skojarzonymi zasobami zwykle używanymi w środowisku prywatnym/izolowanym.
aplikacji funkcji platformy Azure i funkcji wyzwalanej przez protokół HTTP

wdrażanie w usłudze Azure
W tym przykładzie wdrożono aplikację funkcji platformy Azure i funkcję wyzwalaną przez protokół HTTP w tekście w szablonie. Wdraża również usługę Key Vault i wypełnia wpis tajny kluczem hosta aplikacji funkcji.
Application Gateway z wewnętrznymi usługami API Management i Web App

wdrażanie w usłudze Azure
Usługa Application Gateway routingu ruchu internetowego do wystąpienia usługi API Management sieci wirtualnej (w trybie wewnętrznym), które obsługuje internetowy interfejs API hostowany w aplikacji internetowej platformy Azure.

Definicja zasobu szablonu usługi ARM

Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Uwagi

Aby uzyskać wskazówki dotyczące używania magazynów kluczy do zabezpieczania wartości, zobacz Manage secrets by using Bicep.

Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia wpisu tajnego, zobacz Szybki start: ustawianie i pobieranie wpisu tajnego z usługi Azure Key Vault przy użyciu szablonu usługi ARM.

Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia klucza, zobacz Szybki start: tworzenie magazynu kluczy platformy Azure i klucza przy użyciu szablonu usługi ARM.

Format zasobu

Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący kod JSON do szablonu.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2021-04-01-preview",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "sku": {
      "family": "A",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  }
}

Wartości właściwości

Sklepienia

Nazwa Opis Wartość
typ Typ zasobu "Microsoft.KeyVault/vaults"
apiVersion Wersja interfejsu API zasobów "2021-04-01-preview"
nazwa Nazwa zasobu ciąg (wymagany)

Limit znaków: 3–24

Prawidłowe znaki:
Alfanumeryczne i łączniki.

Zacznij od litery. Koniec literą lub cyfrą. Nie można zawierać kolejnych łączników.

Nazwa zasobu musi być unikatowa na platformie Azure.
lokalizacja Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. ciąg (wymagany)
Tagi Tagi, które zostaną przypisane do magazynu kluczy. Słownik nazw tagów i wartości. Zobacz tagi w szablonach
Właściwości Właściwości magazynu VaultWłaściwości (wymagane)

Właściwości magazynu

Nazwa Opis Wartość
accessPolicies Tablica z 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Gdy createMode jest ustawiona na recover, zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. AccessPolicyEntry[]
createMode Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. "wartość domyślna"
"Odzyskaj"
enabledForDeployment Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. Bool
enabledForDiskEncryption Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. Bool
enabledForTemplateDeployment Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. Bool
enablePurgeProtection Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na true aktywuje ochronę przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. Bool
enableRbacAuthorization Właściwość, która kontroluje sposób autoryzacji akcji danych. W przypadku wartości true magazyn kluczy będzie używać kontroli dostępu opartej na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane. Jeśli wartość false, magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane za pomocą kontroli dostępu opartej na rolach. Bool
enableSoftDelete Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. Bool
networkAcls Reguły regulujące dostępność magazynu kluczy z określonych lokalizacji sieciowych. NetworkRuleSet
provisioningState Stan aprowizacji magazynu. "RegisteringDns"
"Powodzenie"
Numer jednostki magazynowej Szczegóły jednostki SKU sku (wymagane)
softDeleteRetentionInDays softDelete data retention days(Dni przechowywania danych softDelete). Akceptuje >=7 i <=90. Int
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. ciąg (wymagany)

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. struna

AccessPolicyEntry

Nazwa Opis Wartość
applicationId Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. ciąg (wymagany)
Uprawnienia Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. Uprawnienia (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. ciąg (wymagany)

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Uprawnienia

Nazwa Opis Wartość
Certyfikaty Uprawnienia do certyfikatów Tablica ciągów zawierająca dowolną z:
"kopia zapasowa"
"create"
"usuń"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"setissuers"
"update"
Klucze Uprawnienia do kluczy Tablica ciągów zawierająca dowolną z:
"kopia zapasowa"
"create"
"Odszyfruj"
"usuń"
"szyfruj"
"get"
"import"
"list"
"przeczyszczanie"
"Odzyskaj"
"release"
"Przywracanie"
"znak"
"unwrapKey"
"update"
"Verify"
"wrapKey"
Tajemnice Uprawnienia do wpisów tajnych Tablica ciągów zawierająca dowolną z:
"kopia zapasowa"
"usuń"
"get"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"set"
składowanie Uprawnienia do kont magazynu Tablica ciągów zawierająca dowolną z:
"kopia zapasowa"
"usuń"
"deletesas"
"get"
"getsas"
"list"
"listas"
"przeczyszczanie"
"Odzyskaj"
"Regeneratekey"
"Przywracanie"
"set"
"setsas"
"update"

NetworkRuleSet

Nazwa Opis Wartość
ominąć Informuje, jaki ruch może pomijać reguły sieci. Może to być wartość "AzureServices" lub "None". Jeśli nie określono wartości domyślnej, to "AzureServices". "AzureServices"
"Brak"
defaultAction Domyślna akcja, gdy żadna reguła z reguł ipRules i virtualNetworkRules jest zgodna. Jest to używane tylko po ocenie właściwości obejścia. "Zezwalaj"
"Odmów"
ipRules Lista reguł adresów IP. IPRule []
virtualNetworkRules Lista reguł sieci wirtualnej. VirtualNetworkRule []

Adres IPRule

Nazwa Opis Wartość
wartość Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). ciąg (wymagany)

VirtualNetworkRule

Nazwa Opis Wartość
id Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". ciąg (wymagany)
ignoreMissingVnetServiceEndpoint Właściwość określająca, czy nrP zignoruje sprawdzenie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. Bool

Numer jednostki magazynowej

Nazwa Opis Wartość
rodzina Nazwa rodziny jednostek SKU "A" (wymagane)
nazwa Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. "premium"
"Standardowa" (wymagana)

Szablony szybkiego startu

Następujące szablony szybkiego startu wdrażają ten typ zasobu.

Szablon Opis
klastrze usługi AKS z bramą translatora adresów sieciowych i usługą Application Gateway

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS z bramą translatora adresów sieciowych dla połączeń wychodzących i usługę Application Gateway dla połączeń przychodzących.
tworzenie prywatnego klastra usługi AKS przy użyciu publicznej strefy DNS

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak wdrożyć prywatny klaster usługi AKS z publiczną strefą DNS.
wdrażanie analizy sportowej na platformie Azure

wdrażanie w usłudze Azure
Tworzy konto magazynu platformy Azure z włączoną usługą ADLS Gen 2, wystąpieniem usługi Azure Data Factory z połączonymi usługami dla konta magazynu (jeśli została wdrożona usługa Azure SQL Database) i wystąpieniem usługi Azure Databricks. Tożsamość usługi AAD dla użytkownika wdrażającego szablon i tożsamość zarządzana dla wystąpienia usługi ADF otrzymają rolę Współautor danych obiektu blob usługi Storage na koncie magazynu. Dostępne są również opcje wdrażania wystąpienia usługi Azure Key Vault, usługi Azure SQL Database i usługi Azure Event Hub (w przypadku przypadków użycia przesyłania strumieniowego). Po wdrożeniu usługi Azure Key Vault tożsamość zarządzana fabryki danych i tożsamość usługi AAD dla użytkownika wdrażającego szablon otrzymają rolę Użytkownik wpisów tajnych usługi Key Vault.
obszar roboczy usługi Azure Machine Learning

wdrażanie w usłudze Azure
Ten szablon tworzy nowy obszar roboczy usługi Azure Machine Learning wraz z zaszyfrowanym kontem magazynu, usługą KeyVault i rejestrowaniem usługi Applications Insights
tworzenie KeyVault

wdrażanie w usłudze Azure
Ten moduł tworzy zasób usługi KeyVault za pomocą interfejsu APIVersion 2019-09-01.
Tworzenie usługi API Management przy użyciu protokołu SSL z usługi KeyVault

wdrażanie w usłudze Azure
Ten szablon wdraża usługę API Management skonfigurowaną przy użyciu tożsamości przypisanej przez użytkownika. Używa tej tożsamości do pobierania certyfikatu SSL z usługi KeyVault i aktualizuje go co 4 godziny.
Tworzy aplikację dapr pub-sub servicebus przy użyciu usługi Container Apps

wdrażanie w usłudze Azure
Utwórz aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps.
tworzy klaster usługi Azure Stack HCI 23H2

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
tworzy klaster usługi Azure Stack HCI 23H2

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM przy użyciu niestandardowego adresu IP magazynu
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieciowym przełącznika bez przełącznika z dwoma łączami

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieci Switchless-SingleLink

wdrażanie w usłudze Azure
Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
Tworzenie nowej zaszyfrowanej maszyny wirtualnej z systemem Windows na podstawie obrazu galerii

wdrażanie w usłudze Azure
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows przy użyciu obrazu galerii serwera 2k12.
Tworzenie nowych zaszyfrowanych dysków zarządzanych win-vm z obrazu galerii

wdrażanie w usłudze Azure
Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows na dyskach zarządzanych przy użyciu obrazu galerii serwera 2k12.
Ten szablon szyfruje uruchomioną usługę VMSS systemu Windows

wdrażanie w usłudze Azure
Ten szablon umożliwia szyfrowanie w uruchomionym zestawie skalowania maszyn wirtualnych z systemem Windows
Włączanie szyfrowania na uruchomionej maszynie wirtualnej z systemem Windows

wdrażanie w usłudze Azure
Ten szablon umożliwia szyfrowanie na uruchomionej maszynie wirtualnej z systemem Windows.
Tworzenie i szyfrowanie nowego zestawu skalowania maszyn wirtualnych z systemem Windows za pomocą serwera przesiadkowego

wdrażanie w usłudze Azure
Ten szablon umożliwia wdrożenie prostego zestawu skalowania maszyn wirtualnych z systemem Windows przy użyciu najnowszej poprawkowej wersji serwera systemu Windows. Ten szablon wdraża również serwer przesiadkowy z publicznym adresem IP w tej samej sieci wirtualnej. Połączenie z serwerem przesiadkowym można nawiązać za pośrednictwem tego publicznego adresu IP, a następnie nawiązać połączenie z maszynami wirtualnymi w zestawie skalowania za pośrednictwem prywatnych adresów IP. Ten szablon umożliwia szyfrowanie w zestawie skalowania maszyn wirtualnych z systemem Windows.
Tworzenie usługi Azure Key Vault i wpisu tajnego

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Key Vault i wpis tajny.
Tworzenie usługi Azure Key Vault przy użyciu kontroli dostępu opartej na rolach i klucza tajnego

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Key Vault i wpis tajny. Zamiast polegać na zasadach dostępu, korzysta ona z kontroli dostępu opartej na rolach platformy Azure w celu zarządzania autoryzacją wpisów tajnych
tworzenie magazynu kluczy, tożsamości zarządzanej i przypisywania ról

wdrażanie w usłudze Azure
Ten szablon tworzy magazyn kluczy, tożsamość zarządzaną i przypisanie roli.
Nawiązywanie połączenia z usługą Key Vault za pośrednictwem prywatnego punktu końcowego

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak skonfigurować sieć wirtualną i prywatną strefę DNS w celu uzyskania dostępu do usługi Key Vault za pośrednictwem prywatnego punktu końcowego.
Tworzenie usługi Key Vault i lista wpisów tajnych

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Key Vault i listę wpisów tajnych w magazynie kluczy, które są przekazywane wraz z parametrami
tworzenie usługi Key Vault z włączonym rejestrowaniem

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Key Vault i konto usługi Azure Storage używane do rejestrowania. Opcjonalnie tworzy blokady zasobów w celu ochrony usługi Key Vault i zasobów magazynu.
podstawowa konfiguracja programu Azure AI Studio

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
podstawowa konfiguracja programu Azure AI Studio

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
azure AI Studio z uwierzytelniania identyfikatora entra firmy Microsoft

wdrażanie w usłudze Azure
Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft dla zasobów zależnych, takich jak usługi Azure AI Services i Azure Storage.
Tworzenie obszaru roboczego AML z wieloma zestawami danych & Magazyny danych

wdrażanie w usłudze Azure
Ten szablon tworzy obszar roboczy usługi Azure Machine Learning z wieloma zestawami danych & magazynami danych.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning

wdrażanie w usłudze Azure
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning (starsza wersja)

wdrażanie w usłudze Azure
Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
Utwórz docelowy obiekt obliczeniowy usługi AKS z prywatnym adresem IP

wdrażanie w usłudze Azure
Ten szablon tworzy docelowy obiekt obliczeniowy usługi AKS w danym obszarze roboczym usługi Azure Machine Learning Service z prywatnym adresem IP.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje minimalny zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. W przykładzie pokazano, jak skonfigurować usługę Azure Machine Learning na potrzeby szyfrowania przy użyciu klucza szyfrowania zarządzanego przez klienta.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa sposób tworzenia obszaru roboczego usługi Azure Machine Learning z szyfrowaniem po stronie usługi przy użyciu kluczy szyfrowania.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (sieć wirtualna)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (starsza wersja)

wdrażanie w usłudze Azure
Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
klastrze usługi AKS z kontrolerem ruchu przychodzącego usługi Application Gateway

wdrażanie w usłudze Azure
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS za pomocą usługi Application Gateway, kontrolera ruchu przychodzącego usługi Application Gateway, usługi Azure Container Registry, usługi Log Analytics i usługi Key Vault
tworzenie usługi Application Gateway w wersji 2 przy użyciu usługi Key Vault

wdrażanie w usłudze Azure
Ten szablon wdraża usługę Application Gateway w wersji 2 w sieci wirtualnej, tożsamość zdefiniowaną przez użytkownika, usługę Key Vault, wpis tajny (dane certyfikatu) i zasady dostępu w usłudze Key Vault i usłudze Application Gateway.
środowisko testowe dla usługi Azure Firewall — wersja Premium

wdrażanie w usłudze Azure
Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej
Tworzy zasób prywatnego punktu końcowego między dzierżawami

wdrażanie w usłudze Azure
Ten szablon umożliwia utworzenie zasobu punktu końcowego Priavate w tym samym środowisku lub między dzierżawami i dodanie konfiguracji strefy DNS.
tworzenie usługi Application Gateway przy użyciu certyfikatów

wdrażanie w usłudze Azure
Ten szablon przedstawia sposób generowania certyfikatów z podpisem własnym usługi Key Vault, a następnie odwołania z usługi Application Gateway.
szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta

wdrażanie w usłudze Azure
Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w usłudze Key Vault.
App Service Environment z zapleczem usługi Azure SQL

wdrażanie w usłudze Azure
Ten szablon tworzy środowisko App Service Environment z zapleczem usługi Azure SQL wraz z prywatnymi punktami końcowymi wraz ze skojarzonymi zasobami zwykle używanymi w środowisku prywatnym/izolowanym.
aplikacji funkcji platformy Azure i funkcji wyzwalanej przez protokół HTTP

wdrażanie w usłudze Azure
W tym przykładzie wdrożono aplikację funkcji platformy Azure i funkcję wyzwalaną przez protokół HTTP w tekście w szablonie. Wdraża również usługę Key Vault i wypełnia wpis tajny kluczem hosta aplikacji funkcji.
Application Gateway z wewnętrznymi usługami API Management i Web App

wdrażanie w usłudze Azure
Usługa Application Gateway routingu ruchu internetowego do wystąpienia usługi API Management sieci wirtualnej (w trybie wewnętrznym), które obsługuje internetowy interfejs API hostowany w aplikacji internetowej platformy Azure.

Definicja zasobu narzędzia Terraform (dostawcy AzAPI)

Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:

  • grupy zasobów

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Format zasobu

Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący program Terraform do szablonu.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2021-04-01-preview"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      sku = {
        family = "A"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Wartości właściwości

Sklepienia

Nazwa Opis Wartość
typ Typ zasobu "Microsoft.KeyVault/vaults@2021-04-01-preview"
nazwa Nazwa zasobu ciąg (wymagany)

Limit znaków: 3–24

Prawidłowe znaki:
Alfanumeryczne i łączniki.

Zacznij od litery. Koniec literą lub cyfrą. Nie można zawierać kolejnych łączników.

Nazwa zasobu musi być unikatowa na platformie Azure.
lokalizacja Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. ciąg (wymagany)
parent_id Aby wdrożyć w grupie zasobów, użyj identyfikatora tej grupy zasobów. ciąg (wymagany)
Tagi Tagi, które zostaną przypisane do magazynu kluczy. Słownik nazw tagów i wartości.
Właściwości Właściwości magazynu VaultWłaściwości (wymagane)

Właściwości magazynu

Nazwa Opis Wartość
accessPolicies Tablica z 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Gdy createMode jest ustawiona na recover, zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. AccessPolicyEntry[]
createMode Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. "wartość domyślna"
"Odzyskaj"
enabledForDeployment Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. Bool
enabledForDiskEncryption Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. Bool
enabledForTemplateDeployment Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. Bool
enablePurgeProtection Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na true aktywuje ochronę przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. Bool
enableRbacAuthorization Właściwość, która kontroluje sposób autoryzacji akcji danych. W przypadku wartości true magazyn kluczy będzie używać kontroli dostępu opartej na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane. Jeśli wartość false, magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane za pomocą kontroli dostępu opartej na rolach. Bool
enableSoftDelete Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. Bool
networkAcls Reguły regulujące dostępność magazynu kluczy z określonych lokalizacji sieciowych. NetworkRuleSet
provisioningState Stan aprowizacji magazynu. "RegisteringDns"
"Powodzenie"
Numer jednostki magazynowej Szczegóły jednostki SKU sku (wymagane)
softDeleteRetentionInDays softDelete data retention days(Dni przechowywania danych softDelete). Akceptuje >=7 i <=90. Int
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. ciąg (wymagany)

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. struna

AccessPolicyEntry

Nazwa Opis Wartość
applicationId Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. ciąg (wymagany)
Uprawnienia Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. Uprawnienia (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. ciąg (wymagany)

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Uprawnienia

Nazwa Opis Wartość
Certyfikaty Uprawnienia do certyfikatów Tablica ciągów zawierająca dowolną z:
"Kopia zapasowa"
"utwórz"
"usuń"
"deleteissuers"
"get"
"getissuers"
"import"
"lista"
"listissuers"
"managecontacts"
"manageissuers"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"setissuers"
"update"
Klucze Uprawnienia do kluczy Tablica ciągów zawierająca dowolną z:
"Kopia zapasowa"
"utwórz"
"Odszyfruj"
"usuń"
"Szyfruj"
"get"
"import"
"lista"
"przeczyszczanie"
"Odzyskaj"
"release"
"Przywracanie"
"znak"
"unwrapKey"
"update"
"Verify"
"wrapKey"
Tajemnice Uprawnienia do wpisów tajnych Tablica ciągów zawierająca dowolną z:
"Kopia zapasowa"
"usuń"
"get"
"lista"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"set"
składowanie Uprawnienia do kont magazynu Tablica ciągów zawierająca dowolną z:
"Kopia zapasowa"
"usuń"
"deletesas"
"get"
"getsas"
"lista"
"listas"
"przeczyszczanie"
"Odzyskaj"
"Regeneratekey"
"Przywracanie"
"set"
"setsas"
"update"

NetworkRuleSet

Nazwa Opis Wartość
ominąć Informuje, jaki ruch może pomijać reguły sieci. Może to być wartość "AzureServices" lub "None". Jeśli nie określono wartości domyślnej, to "AzureServices". "AzureServices"
"Brak"
defaultAction Domyślna akcja, gdy żadna reguła z reguł ipRules i virtualNetworkRules jest zgodna. Jest to używane tylko po ocenie właściwości obejścia. "Zezwalaj"
"Odmów"
ipRules Lista reguł adresów IP. IPRule []
virtualNetworkRules Lista reguł sieci wirtualnej. VirtualNetworkRule []

Adres IPRule

Nazwa Opis Wartość
wartość Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). ciąg (wymagany)

VirtualNetworkRule

Nazwa Opis Wartość
id Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". ciąg (wymagany)
ignoreMissingVnetServiceEndpoint Właściwość określająca, czy nrP zignoruje sprawdzenie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. Bool

Numer jednostki magazynowej

Nazwa Opis Wartość
rodzina Nazwa rodziny jednostek SKU "A" (wymagane)
nazwa Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. "Premium"
"Standardowa" (wymagana)