Udostępnij za pośrednictwem

Magazyny Microsoft.KeyVault 2021-11-01-preview

  • Artykuł

Uwagi

Aby uzyskać wskazówki dotyczące używania magazynów kluczy do zabezpieczania wartości, zobacz Manage secrets by using Bicep.

Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia wpisu tajnego, zobacz Szybki start: ustawianie i pobieranie wpisu tajnego z usługi Azure Key Vault przy użyciu szablonu usługi ARM.

Aby zapoznać się z przewodnikiem Szybki start dotyczącym tworzenia klucza, zobacz Szybki start: tworzenie magazynu kluczy platformy Azure i klucza przy użyciu szablonu usługi ARM.

Definicja zasobu Bicep

Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Format zasobu

Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący kod Bicep do szablonu.

resource symbolicname 'Microsoft.KeyVault/vaults@2021-11-01-preview' = {
  location: 'string'
  name: 'string'
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    publicNetworkAccess: 'string'
    sku: {
      family: 'string'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
  tags: {
    {customized property}: 'string'
  }
}

Wartości właściwości

AccessPolicyEntry

Nazwa Opis Wartość
applicationId Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. ciąg (wymagany)
Uprawnienia Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. Uprawnienia (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)

Adres IPRule

Nazwa Opis Wartość
wartość Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). ciąg (wymagany)

Microsoft.KeyVault/vaults

Nazwa Opis Wartość
lokalizacja Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. ciąg (wymagany)
nazwa Nazwa zasobu struna

Ograniczenia:
Wzorzec = ^[a-zA-Z0-9-]{3,24}$ (wymagane)
Właściwości Właściwości magazynu VaultWłaściwości (wymagane)
Tagi Tagi zasobów Słownik nazw tagów i wartości. Zobacz tagi w szablonach

NetworkRuleSet

Nazwa Opis Wartość
ominąć Informuje, jaki ruch może pomijać reguły sieci. Może to być wartość "AzureServices" lub "None". Jeśli nie określono wartości domyślnej, to "AzureServices". "AzureServices"
"Brak"
defaultAction Domyślna akcja, gdy żadna reguła z reguł ipRules i virtualNetworkRules jest zgodna. Jest to używane tylko po ocenie właściwości obejścia. "Zezwalaj"
"Odmów"
ipRules Lista reguł adresów IP. IPRule []
virtualNetworkRules Lista reguł sieci wirtualnej. VirtualNetworkRule []

Uprawnienia

Nazwa Opis Wartość
Certyfikaty Uprawnienia do certyfikatów Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"create"
"usuń"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"setissuers"
"update"
Klucze Uprawnienia do kluczy Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"create"
"Odszyfruj"
"usuń"
"szyfruj"
"get"
"getrotationpolicy"
"import"
"list"
"przeczyszczanie"
"Odzyskaj"
"release"
"Przywracanie"
"obróć"
"setrotationpolicy"
"znak"
"unwrapKey"
"update"
"Verify"
"wrapKey"
Tajemnice Uprawnienia do wpisów tajnych Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"usuń"
"get"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"set"
składowanie Uprawnienia do kont magazynu Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"usuń"
"deletesas"
"get"
"getsas"
"list"
"listas"
"przeczyszczanie"
"Odzyskaj"
"Regeneratekey"
"Przywracanie"
"set"
"setsas"
"update"

Numer jednostki magazynowej

Nazwa Opis Wartość
rodzina Nazwa rodziny jednostek SKU "A" (wymagane)
nazwa Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. "premium"
"Standardowa" (wymagana)

VaultCreateOrUpdateParametersTags

Nazwa Opis Wartość

Właściwości magazynu

Nazwa Opis Wartość
accessPolicies Tablica z 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Gdy createMode jest ustawiona na recover, zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. AccessPolicyEntry[]
createMode Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. "wartość domyślna"
"Odzyskaj"
enabledForDeployment Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. Bool
enabledForDiskEncryption Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. Bool
enabledForTemplateDeployment Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. Bool
enablePurgeProtection Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na true aktywuje ochronę przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. Bool
enableRbacAuthorization Właściwość, która kontroluje sposób autoryzacji akcji danych. Jeśli to prawda, magazyn kluczy będzie używać kontroli dostępu opartej na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane (ostrzeżenie: jest to funkcja w wersji zapoznawczej). Jeśli wartość false, magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane za pomocą kontroli dostępu opartej na rolach. Bool
enableSoftDelete Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. Bool
networkAcls Reguły regulujące dostępność magazynu kluczy z określonych lokalizacji sieciowych. NetworkRuleSet
provisioningState Stan aprowizacji magazynu. "RegisteringDns"
"Powodzenie"
publicNetworkAccess Właściwość określająca, czy magazyn będzie akceptował ruch z publicznego Internetu. W przypadku ustawienia opcji "disabled" cały ruch z wyjątkiem ruchu prywatnego punktu końcowego i pochodzącego z zaufanych usług zostanie zablokowany. Spowoduje to zastąpienie ustawionych reguł zapory, co oznacza, że nawet jeśli istnieją reguły zapory, nie będziemy przestrzegać reguł. struna
Numer jednostki magazynowej Szczegóły jednostki SKU sku (wymagane)
softDeleteRetentionInDays softDelete data retention days(Dni przechowywania danych softDelete). Akceptuje >=7 i <=90. Int
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)
vaultUri Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. struna

VirtualNetworkRule

Nazwa Opis Wartość
id Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". ciąg (wymagany)
ignoreMissingVnetServiceEndpoint Właściwość określająca, czy nrP zignoruje sprawdzenie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. Bool

Przykłady z przewodnika Szybki start

W poniższych przykładach szybkiego startu wdrożono ten typ zasobu.

Plik Bicep Opis
klastrze usługi AKS z bramą translatora adresów sieciowych i usługą Application Gateway W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS z bramą translatora adresów sieciowych dla połączeń wychodzących i usługę Application Gateway dla połączeń przychodzących.
klastrze usługi AKS z kontrolerem ruchu przychodzącego usługi Application Gateway W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS za pomocą usługi Application Gateway, kontrolera ruchu przychodzącego usługi Application Gateway, usługi Azure Container Registry, usługi Log Analytics i usługi Key Vault
Application Gateway z wewnętrznymi usługami API Management i Web App Usługa Application Gateway routingu ruchu internetowego do wystąpienia usługi API Management sieci wirtualnej (w trybie wewnętrznym), które obsługuje internetowy interfejs API hostowany w aplikacji internetowej platformy Azure.
podstawowa konfiguracja programu Azure AI Studio Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
podstawowa konfiguracja programu Azure AI Studio Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
podstawowa konfiguracja programu Azure AI Studio Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
z ograniczeniami sieci usługi Azure AI Studio Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio z wyłączonym łączem prywatnym i wychodzącym przy użyciu kluczy zarządzanych przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
z ograniczeniami sieci usługi Azure AI Studio Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio z wyłączonym łączem prywatnym i wychodzącym przy użyciu kluczy zarządzanych przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
azure AI Studio z uwierzytelniania identyfikatora entra firmy Microsoft Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft dla zasobów zależnych, takich jak usługi Azure AI Services i Azure Storage.
aplikacji funkcji platformy Azure i funkcji wyzwalanej przez protokół HTTP W tym przykładzie wdrożono aplikację funkcji platformy Azure i funkcję wyzwalaną przez protokół HTTP w tekście w szablonie. Wdraża również usługę Key Vault i wypełnia wpis tajny kluczem hosta aplikacji funkcji.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning (starsza wersja) Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w usłudze Key Vault.
Tworzenie usługi Key Vault i lista wpisów tajnych Ten szablon tworzy usługę Key Vault i listę wpisów tajnych w magazynie kluczy, które są przekazywane wraz z parametrami
Utwórz docelowy obiekt obliczeniowy usługi AKS z prywatnym adresem IP Ten szablon tworzy docelowy obiekt obliczeniowy usługi AKS w danym obszarze roboczym usługi Azure Machine Learning Service z prywatnym adresem IP.
Tworzenie usługi API Management przy użyciu protokołu SSL z usługi KeyVault Ten szablon wdraża usługę API Management skonfigurowaną przy użyciu tożsamości przypisanej przez użytkownika. Używa tej tożsamości do pobierania certyfikatu SSL z usługi KeyVault i aktualizuje go co 4 godziny.
Tworzenie usługi Azure Key Vault i wpisu tajnego Ten szablon tworzy usługę Azure Key Vault i wpis tajny.
Tworzenie usługi Azure Key Vault przy użyciu kontroli dostępu opartej na rolach i klucza tajnego Ten szablon tworzy usługę Azure Key Vault i wpis tajny. Zamiast polegać na zasadach dostępu, korzysta ona z kontroli dostępu opartej na rolach platformy Azure w celu zarządzania autoryzacją wpisów tajnych
Tworzenie obszaru roboczego usługi Azure Machine Learning Service Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje minimalny zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK) Ten szablon wdrażania określa sposób tworzenia obszaru roboczego usługi Azure Machine Learning z szyfrowaniem po stronie usługi przy użyciu kluczy szyfrowania.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK) Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. W przykładzie pokazano, jak skonfigurować usługę Azure Machine Learning na potrzeby szyfrowania przy użyciu klucza szyfrowania zarządzanego przez klienta.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (starsza wersja) Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (sieć wirtualna) Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
tworzenie usługi Application Gateway przy użyciu certyfikatów Ten szablon przedstawia sposób generowania certyfikatów z podpisem własnym usługi Key Vault, a następnie odwołania z usługi Application Gateway.
tworzenie usługi Key Vault z włączonym rejestrowaniem Ten szablon tworzy usługę Azure Key Vault i konto usługi Azure Storage używane do rejestrowania. Opcjonalnie tworzy blokady zasobów w celu ochrony usługi Key Vault i zasobów magazynu.
tworzenie magazynu kluczy, tożsamości zarządzanej i przypisywania ról Ten szablon tworzy magazyn kluczy, tożsamość zarządzaną i przypisanie roli.
Tworzy zasób prywatnego punktu końcowego między dzierżawami Ten szablon umożliwia utworzenie zasobu punktu końcowego Priavate w tym samym środowisku lub między dzierżawami i dodanie konfiguracji strefy DNS.
Tworzy aplikację dapr pub-sub servicebus przy użyciu usługi Container Apps Utwórz aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps.
Wdrażanie bezpiecznego programu Azure AI Studio przy użyciu zarządzanej sieci wirtualnej Ten szablon tworzy bezpieczne środowisko usługi Azure AI Studio z niezawodnymi ograniczeniami zabezpieczeń sieci i tożsamości.
wdrażanie analizy sportowej na platformie Azure Tworzy konto magazynu platformy Azure z włączoną usługą ADLS Gen 2, wystąpieniem usługi Azure Data Factory z połączonymi usługami dla konta magazynu (jeśli została wdrożona usługa Azure SQL Database) i wystąpieniem usługi Azure Databricks. Tożsamość usługi AAD dla użytkownika wdrażającego szablon i tożsamość zarządzana dla wystąpienia usługi ADF otrzymają rolę Współautor danych obiektu blob usługi Storage na koncie magazynu. Dostępne są również opcje wdrażania wystąpienia usługi Azure Key Vault, usługi Azure SQL Database i usługi Azure Event Hub (w przypadku przypadków użycia przesyłania strumieniowego). Po wdrożeniu usługi Azure Key Vault tożsamość zarządzana fabryki danych i tożsamość usługi AAD dla użytkownika wdrażającego szablon otrzymają rolę Użytkownik wpisów tajnych usługi Key Vault.
centrum FinOps Ten szablon tworzy nowe wystąpienie centrum FinOps, w tym usługę Data Lake Storage i usługę Data Factory.
środowisko testowe dla usługi Azure Firewall — wersja Premium Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej

Definicja zasobu szablonu usługi ARM

Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Format zasobu

Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący kod JSON do szablonu.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2021-11-01-preview",
  "name": "string",
  "location": "string",
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "publicNetworkAccess": "string",
    "sku": {
      "family": "string",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  },
  "tags": {
    "{customized property}": "string"
  }
}

Wartości właściwości

AccessPolicyEntry

Nazwa Opis Wartość
applicationId Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. ciąg (wymagany)
Uprawnienia Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. Uprawnienia (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)

Adres IPRule

Nazwa Opis Wartość
wartość Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). ciąg (wymagany)

Microsoft.KeyVault/vaults

Nazwa Opis Wartość
apiVersion Wersja interfejsu API "2021-11-01-preview"
lokalizacja Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. ciąg (wymagany)
nazwa Nazwa zasobu struna

Ograniczenia:
Wzorzec = ^[a-zA-Z0-9-]{3,24}$ (wymagane)
Właściwości Właściwości magazynu VaultWłaściwości (wymagane)
Tagi Tagi zasobów Słownik nazw tagów i wartości. Zobacz tagi w szablonach
typ Typ zasobu "Microsoft.KeyVault/vaults"

NetworkRuleSet

Nazwa Opis Wartość
ominąć Informuje, jaki ruch może pomijać reguły sieci. Może to być wartość "AzureServices" lub "None". Jeśli nie określono wartości domyślnej, to "AzureServices". "AzureServices"
"Brak"
defaultAction Domyślna akcja, gdy żadna reguła z reguł ipRules i virtualNetworkRules jest zgodna. Jest to używane tylko po ocenie właściwości obejścia. "Zezwalaj"
"Odmów"
ipRules Lista reguł adresów IP. IPRule []
virtualNetworkRules Lista reguł sieci wirtualnej. VirtualNetworkRule []

Uprawnienia

Nazwa Opis Wartość
Certyfikaty Uprawnienia do certyfikatów Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"create"
"usuń"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"setissuers"
"update"
Klucze Uprawnienia do kluczy Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"create"
"Odszyfruj"
"usuń"
"szyfruj"
"get"
"getrotationpolicy"
"import"
"list"
"przeczyszczanie"
"Odzyskaj"
"release"
"Przywracanie"
"obróć"
"setrotationpolicy"
"znak"
"unwrapKey"
"update"
"Verify"
"wrapKey"
Tajemnice Uprawnienia do wpisów tajnych Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"usuń"
"get"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"set"
składowanie Uprawnienia do kont magazynu Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"usuń"
"deletesas"
"get"
"getsas"
"list"
"listas"
"przeczyszczanie"
"Odzyskaj"
"Regeneratekey"
"Przywracanie"
"set"
"setsas"
"update"

Numer jednostki magazynowej

Nazwa Opis Wartość
rodzina Nazwa rodziny jednostek SKU "A" (wymagane)
nazwa Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. "premium"
"Standardowa" (wymagana)

VaultCreateOrUpdateParametersTags

Nazwa Opis Wartość

Właściwości magazynu

Nazwa Opis Wartość
accessPolicies Tablica z 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Gdy createMode jest ustawiona na recover, zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. AccessPolicyEntry[]
createMode Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. "wartość domyślna"
"Odzyskaj"
enabledForDeployment Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. Bool
enabledForDiskEncryption Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. Bool
enabledForTemplateDeployment Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. Bool
enablePurgeProtection Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na true aktywuje ochronę przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. Bool
enableRbacAuthorization Właściwość, która kontroluje sposób autoryzacji akcji danych. Jeśli to prawda, magazyn kluczy będzie używać kontroli dostępu opartej na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane (ostrzeżenie: jest to funkcja w wersji zapoznawczej). Jeśli wartość false, magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane za pomocą kontroli dostępu opartej na rolach. Bool
enableSoftDelete Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. Bool
networkAcls Reguły regulujące dostępność magazynu kluczy z określonych lokalizacji sieciowych. NetworkRuleSet
provisioningState Stan aprowizacji magazynu. "RegisteringDns"
"Powodzenie"
publicNetworkAccess Właściwość określająca, czy magazyn będzie akceptował ruch z publicznego Internetu. W przypadku ustawienia opcji "disabled" cały ruch z wyjątkiem ruchu prywatnego punktu końcowego i pochodzącego z zaufanych usług zostanie zablokowany. Spowoduje to zastąpienie ustawionych reguł zapory, co oznacza, że nawet jeśli istnieją reguły zapory, nie będziemy przestrzegać reguł. struna
Numer jednostki magazynowej Szczegóły jednostki SKU sku (wymagane)
softDeleteRetentionInDays softDelete data retention days(Dni przechowywania danych softDelete). Akceptuje >=7 i <=90. Int
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)
vaultUri Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. struna

VirtualNetworkRule

Nazwa Opis Wartość
id Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". ciąg (wymagany)
ignoreMissingVnetServiceEndpoint Właściwość określająca, czy nrP zignoruje sprawdzenie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. Bool

Szablony szybkiego startu

Następujące szablony szybkiego startu wdrażają ten typ zasobu.

Szablon Opis
klastrze usługi AKS z bramą translatora adresów sieciowych i usługą Application Gateway

wdrażanie w usłudze Azure		 W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS z bramą translatora adresów sieciowych dla połączeń wychodzących i usługę Application Gateway dla połączeń przychodzących.
klastrze usługi AKS z kontrolerem ruchu przychodzącego usługi Application Gateway

wdrażanie w usłudze Azure		 W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS za pomocą usługi Application Gateway, kontrolera ruchu przychodzącego usługi Application Gateway, usługi Azure Container Registry, usługi Log Analytics i usługi Key Vault
App Service Environment z zapleczem usługi Azure SQL

wdrażanie w usłudze Azure		 Ten szablon tworzy środowisko App Service Environment z zapleczem usługi Azure SQL wraz z prywatnymi punktami końcowymi wraz ze skojarzonymi zasobami zwykle używanymi w środowisku prywatnym/izolowanym.
Application Gateway z wewnętrznymi usługami API Management i Web App

wdrażanie w usłudze Azure		 Usługa Application Gateway routingu ruchu internetowego do wystąpienia usługi API Management sieci wirtualnej (w trybie wewnętrznym), które obsługuje internetowy interfejs API hostowany w aplikacji internetowej platformy Azure.
podstawowa konfiguracja programu Azure AI Studio

wdrażanie w usłudze Azure		 Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
podstawowa konfiguracja programu Azure AI Studio

wdrażanie w usłudze Azure		 Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
podstawowa konfiguracja programu Azure AI Studio

wdrażanie w usłudze Azure		 Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu podstawowej konfiguracji, co oznacza, że publiczny dostęp do Internetu jest włączony, klucze zarządzane przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
z ograniczeniami sieci usługi Azure AI Studio

wdrażanie w usłudze Azure		 Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio z wyłączonym łączem prywatnym i wychodzącym przy użyciu kluczy zarządzanych przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
z ograniczeniami sieci usługi Azure AI Studio

wdrażanie w usłudze Azure		 Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio z wyłączonym łączem prywatnym i wychodzącym przy użyciu kluczy zarządzanych przez firmę Microsoft na potrzeby szyfrowania i konfiguracji tożsamości zarządzanej przez firmę Microsoft dla zasobu sztucznej inteligencji.
azure AI Studio z uwierzytelniania identyfikatora entra firmy Microsoft

wdrażanie w usłudze Azure		 Ten zestaw szablonów pokazuje, jak skonfigurować program Azure AI Studio przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft dla zasobów zależnych, takich jak usługi Azure AI Services i Azure Storage.
aplikacji funkcji platformy Azure i funkcji wyzwalanej przez protokół HTTP

wdrażanie w usłudze Azure		 W tym przykładzie wdrożono aplikację funkcji platformy Azure i funkcję wyzwalaną przez protokół HTTP w tekście w szablonie. Wdraża również usługę Key Vault i wypełnia wpis tajny kluczem hosta aplikacji funkcji.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning

wdrażanie w usłudze Azure		 Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
kompleksowej konfiguracji bezpiecznej usługi Azure Machine Learning (starsza wersja)

wdrażanie w usłudze Azure		 Ten zestaw szablonów Bicep pokazuje, jak skonfigurować kompleksową konfigurację usługi Azure Machine Learning w bezpiecznej konfiguracji. Ta implementacja referencyjna obejmuje obszar roboczy, klaster obliczeniowy, wystąpienie obliczeniowe i dołączony prywatny klaster usługi AKS.
obszar roboczy usługi Azure Machine Learning

wdrażanie w usłudze Azure		 Ten szablon tworzy nowy obszar roboczy usługi Azure Machine Learning wraz z zaszyfrowanym kontem magazynu, usługą KeyVault i rejestrowaniem usługi Applications Insights
szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta

wdrażanie w usłudze Azure		 Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w usłudze Key Vault.
Nawiązywanie połączenia z usługą Key Vault za pośrednictwem prywatnego punktu końcowego

wdrażanie w usłudze Azure		 W tym przykładzie pokazano, jak skonfigurować sieć wirtualną i prywatną strefę DNS w celu uzyskania dostępu do usługi Key Vault za pośrednictwem prywatnego punktu końcowego.
Tworzenie usługi Key Vault i lista wpisów tajnych

wdrażanie w usłudze Azure		 Ten szablon tworzy usługę Key Vault i listę wpisów tajnych w magazynie kluczy, które są przekazywane wraz z parametrami
tworzenie KeyVault

wdrażanie w usłudze Azure		 Ten moduł tworzy zasób usługi KeyVault za pomocą interfejsu APIVersion 2019-09-01.
Tworzenie nowej zaszyfrowanej maszyny wirtualnej z systemem Windows na podstawie obrazu galerii

wdrażanie w usłudze Azure		 Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows przy użyciu obrazu galerii serwera 2k12.
tworzenie prywatnego klastra usługi AKS przy użyciu publicznej strefy DNS

wdrażanie w usłudze Azure		 W tym przykładzie pokazano, jak wdrożyć prywatny klaster usługi AKS z publiczną strefą DNS.
Tworzenie obszaru roboczego AML z wieloma zestawami danych & Magazyny danych

wdrażanie w usłudze Azure		 Ten szablon tworzy obszar roboczy usługi Azure Machine Learning z wieloma zestawami danych & magazynami danych.
Utwórz docelowy obiekt obliczeniowy usługi AKS z prywatnym adresem IP

wdrażanie w usłudze Azure		 Ten szablon tworzy docelowy obiekt obliczeniowy usługi AKS w danym obszarze roboczym usługi Azure Machine Learning Service z prywatnym adresem IP.
Tworzenie usługi API Management przy użyciu protokołu SSL z usługi KeyVault

wdrażanie w usłudze Azure		 Ten szablon wdraża usługę API Management skonfigurowaną przy użyciu tożsamości przypisanej przez użytkownika. Używa tej tożsamości do pobierania certyfikatu SSL z usługi KeyVault i aktualizuje go co 4 godziny.
tworzenie usługi Application Gateway w wersji 2 przy użyciu usługi Key Vault

wdrażanie w usłudze Azure		 Ten szablon wdraża usługę Application Gateway w wersji 2 w sieci wirtualnej, tożsamość zdefiniowaną przez użytkownika, usługę Key Vault, wpis tajny (dane certyfikatu) i zasady dostępu w usłudze Key Vault i usłudze Application Gateway.
Tworzenie usługi Azure Key Vault i wpisu tajnego

wdrażanie w usłudze Azure		 Ten szablon tworzy usługę Azure Key Vault i wpis tajny.
Tworzenie usługi Azure Key Vault przy użyciu kontroli dostępu opartej na rolach i klucza tajnego

wdrażanie w usłudze Azure		 Ten szablon tworzy usługę Azure Key Vault i wpis tajny. Zamiast polegać na zasadach dostępu, korzysta ona z kontroli dostępu opartej na rolach platformy Azure w celu zarządzania autoryzacją wpisów tajnych
Tworzenie obszaru roboczego usługi Azure Machine Learning Service

wdrażanie w usłudze Azure		 Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje minimalny zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK)

wdrażanie w usłudze Azure		 Ten szablon wdrażania określa sposób tworzenia obszaru roboczego usługi Azure Machine Learning z szyfrowaniem po stronie usługi przy użyciu kluczy szyfrowania.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (CMK)

wdrażanie w usłudze Azure		 Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. W przykładzie pokazano, jak skonfigurować usługę Azure Machine Learning na potrzeby szyfrowania przy użyciu klucza szyfrowania zarządzanego przez klienta.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (starsza wersja)

wdrażanie w usłudze Azure		 Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
Tworzenie obszaru roboczego usługi Azure Machine Learning Service (sieć wirtualna)

wdrażanie w usłudze Azure		 Ten szablon wdrażania określa obszar roboczy usługi Azure Machine Learning i skojarzone z nim zasoby, w tym usługę Azure Key Vault, usługę Azure Storage, usługę Azure Application Insights i usługę Azure Container Registry. Ta konfiguracja opisuje zestaw zasobów, których potrzebujesz, aby rozpocząć pracę z usługą Azure Machine Learning w konfiguracji izolowanej sieci.
Tworzenie i szyfrowanie nowego zestawu skalowania maszyn wirtualnych z systemem Windows za pomocą serwera przesiadkowego

wdrażanie w usłudze Azure		 Ten szablon umożliwia wdrożenie prostego zestawu skalowania maszyn wirtualnych z systemem Windows przy użyciu najnowszej poprawkowej wersji serwera systemu Windows. Ten szablon wdraża również serwer przesiadkowy z publicznym adresem IP w tej samej sieci wirtualnej. Połączenie z serwerem przesiadkowym można nawiązać za pośrednictwem tego publicznego adresu IP, a następnie nawiązać połączenie z maszynami wirtualnymi w zestawie skalowania za pośrednictwem prywatnych adresów IP. Ten szablon umożliwia szyfrowanie w zestawie skalowania maszyn wirtualnych z systemem Windows.
tworzenie usługi Application Gateway przy użyciu certyfikatów

wdrażanie w usłudze Azure		 Ten szablon przedstawia sposób generowania certyfikatów z podpisem własnym usługi Key Vault, a następnie odwołania z usługi Application Gateway.
tworzenie usługi Key Vault z włączonym rejestrowaniem

wdrażanie w usłudze Azure		 Ten szablon tworzy usługę Azure Key Vault i konto usługi Azure Storage używane do rejestrowania. Opcjonalnie tworzy blokady zasobów w celu ochrony usługi Key Vault i zasobów magazynu.
tworzenie magazynu kluczy, tożsamości zarządzanej i przypisywania ról

wdrażanie w usłudze Azure		 Ten szablon tworzy magazyn kluczy, tożsamość zarządzaną i przypisanie roli.
Tworzenie nowych zaszyfrowanych dysków zarządzanych win-vm z obrazu galerii

wdrażanie w usłudze Azure		 Ten szablon tworzy nową zaszyfrowaną maszynę wirtualną z systemem Windows na dyskach zarządzanych przy użyciu obrazu galerii serwera 2k12.
Tworzy zasób prywatnego punktu końcowego między dzierżawami

wdrażanie w usłudze Azure		 Ten szablon umożliwia utworzenie zasobu punktu końcowego Priavate w tym samym środowisku lub między dzierżawami i dodanie konfiguracji strefy DNS.
Tworzy aplikację dapr pub-sub servicebus przy użyciu usługi Container Apps

wdrażanie w usłudze Azure		 Utwórz aplikację Dapr pub-sub servicebus przy użyciu usługi Container Apps.
tworzy klaster usługi Azure Stack HCI 23H2

wdrażanie w usłudze Azure		 Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM przy użyciu niestandardowego adresu IP magazynu
tworzy klaster usługi Azure Stack HCI 23H2

wdrażanie w usłudze Azure		 Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieciowym przełącznika bez przełącznika z dwoma łączami

wdrażanie w usłudze Azure		 Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
tworzy klaster usługi Azure Stack HCI 23H2 w trybie sieci Switchless-SingleLink

wdrażanie w usłudze Azure		 Ten szablon tworzy klaster usługi Azure Stack HCI 23H2 przy użyciu szablonu usługi ARM.
Wdrażanie bezpiecznego programu Azure AI Studio przy użyciu zarządzanej sieci wirtualnej

wdrażanie w usłudze Azure		 Ten szablon tworzy bezpieczne środowisko usługi Azure AI Studio z niezawodnymi ograniczeniami zabezpieczeń sieci i tożsamości.
wdrażanie analizy sportowej na platformie Azure

wdrażanie w usłudze Azure		 Tworzy konto magazynu platformy Azure z włączoną usługą ADLS Gen 2, wystąpieniem usługi Azure Data Factory z połączonymi usługami dla konta magazynu (jeśli została wdrożona usługa Azure SQL Database) i wystąpieniem usługi Azure Databricks. Tożsamość usługi AAD dla użytkownika wdrażającego szablon i tożsamość zarządzana dla wystąpienia usługi ADF otrzymają rolę Współautor danych obiektu blob usługi Storage na koncie magazynu. Dostępne są również opcje wdrażania wystąpienia usługi Azure Key Vault, usługi Azure SQL Database i usługi Azure Event Hub (w przypadku przypadków użycia przesyłania strumieniowego). Po wdrożeniu usługi Azure Key Vault tożsamość zarządzana fabryki danych i tożsamość usługi AAD dla użytkownika wdrażającego szablon otrzymają rolę Użytkownik wpisów tajnych usługi Key Vault.
Włączanie szyfrowania na uruchomionej maszynie wirtualnej z systemem Windows

wdrażanie w usłudze Azure		 Ten szablon umożliwia szyfrowanie na uruchomionej maszynie wirtualnej z systemem Windows.
centrum FinOps

wdrażanie w usłudze Azure		 Ten szablon tworzy nowe wystąpienie centrum FinOps, w tym usługę Data Lake Storage i usługę Data Factory.
środowisko testowe dla usługi Azure Firewall — wersja Premium

wdrażanie w usłudze Azure		 Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej
Ten szablon szyfruje uruchomioną usługę VMSS systemu Windows

wdrażanie w usłudze Azure		 Ten szablon umożliwia szyfrowanie w uruchomionym zestawie skalowania maszyn wirtualnych z systemem Windows
uaktualnia klaster azure Stack HCI 22H2 do klastra 23H2

wdrażanie w usłudze Azure		 Ten szablon uaktualnia klaster usługi Azure Stack HCI 22H2 do klastra 23H2 przy użyciu szablonu usługi ARM.

Definicja zasobu narzędzia Terraform (dostawcy AzAPI)

Typ zasobu magazynów można wdrożyć przy użyciu operacji docelowych:

  • grupy zasobów

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Format zasobu

Aby utworzyć zasób Microsoft.KeyVault/vaults, dodaj następujący program Terraform do szablonu.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2021-11-01-preview"
  name = "string"
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      publicNetworkAccess = "string"
      sku = {
        family = "string"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Wartości właściwości

AccessPolicyEntry

Nazwa Opis Wartość
applicationId Identyfikator aplikacji klienta wysyłającego żądanie w imieniu podmiotu zabezpieczeń struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Identyfikator obiektu użytkownika, jednostki usługi lub grupy zabezpieczeń w dzierżawie usługi Azure Active Directory dla magazynu. Identyfikator obiektu musi być unikatowy dla listy zasad dostępu. ciąg (wymagany)
Uprawnienia Uprawnienia tożsamości mają klucze, wpisy tajne i certyfikaty. Uprawnienia (wymagane)
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)

Adres IPRule

Nazwa Opis Wartość
wartość Zakres adresów IPv4 w notacji CIDR, taki jak "124.56.78.91" (prosty adres IP) lub "124.56.78.0/24" (wszystkie adresy rozpoczynające się od 124.56.78). ciąg (wymagany)

Microsoft.KeyVault/vaults

Nazwa Opis Wartość
lokalizacja Obsługiwana lokalizacja platformy Azure, w której ma zostać utworzony magazyn kluczy. ciąg (wymagany)
nazwa Nazwa zasobu struna

Ograniczenia:
Wzorzec = ^[a-zA-Z0-9-]{3,24}$ (wymagane)
Właściwości Właściwości magazynu VaultWłaściwości (wymagane)
Tagi Tagi zasobów Słownik nazw tagów i wartości.
typ Typ zasobu "Microsoft.KeyVault/vaults@2021-11-01-preview"

NetworkRuleSet

Nazwa Opis Wartość
ominąć Informuje, jaki ruch może pomijać reguły sieci. Może to być wartość "AzureServices" lub "None". Jeśli nie określono wartości domyślnej, to "AzureServices". "AzureServices"
"Brak"
defaultAction Domyślna akcja, gdy żadna reguła z reguł ipRules i virtualNetworkRules jest zgodna. Jest to używane tylko po ocenie właściwości obejścia. "Zezwalaj"
"Odmów"
ipRules Lista reguł adresów IP. IPRule []
virtualNetworkRules Lista reguł sieci wirtualnej. VirtualNetworkRule []

Uprawnienia

Nazwa Opis Wartość
Certyfikaty Uprawnienia do certyfikatów Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"create"
"usuń"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"setissuers"
"update"
Klucze Uprawnienia do kluczy Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"create"
"Odszyfruj"
"usuń"
"szyfruj"
"get"
"getrotationpolicy"
"import"
"list"
"przeczyszczanie"
"Odzyskaj"
"release"
"Przywracanie"
"obróć"
"setrotationpolicy"
"znak"
"unwrapKey"
"update"
"Verify"
"wrapKey"
Tajemnice Uprawnienia do wpisów tajnych Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"usuń"
"get"
"list"
"przeczyszczanie"
"Odzyskaj"
"Przywracanie"
"set"
składowanie Uprawnienia do kont magazynu Tablica ciągów zawierająca dowolną z:
"wszystko"
"kopia zapasowa"
"usuń"
"deletesas"
"get"
"getsas"
"list"
"listas"
"przeczyszczanie"
"Odzyskaj"
"Regeneratekey"
"Przywracanie"
"set"
"setsas"
"update"

Numer jednostki magazynowej

Nazwa Opis Wartość
rodzina Nazwa rodziny jednostek SKU "A" (wymagane)
nazwa Nazwa jednostki SKU określająca, czy magazyn kluczy jest magazynem w warstwie Standardowa, czy magazynem w warstwie Premium. "premium"
"Standardowa" (wymagana)

VaultCreateOrUpdateParametersTags

Nazwa Opis Wartość

Właściwości magazynu

Nazwa Opis Wartość
accessPolicies Tablica z 0 do 1024 tożsamości, które mają dostęp do magazynu kluczy. Wszystkie tożsamości w tablicy muszą używać tego samego identyfikatora dzierżawy co identyfikator dzierżawy magazynu kluczy. Gdy createMode jest ustawiona na recover, zasady dostępu nie są wymagane. W przeciwnym razie wymagane są zasady dostępu. AccessPolicyEntry[]
createMode Tryb tworzenia magazynu, aby wskazać, czy magazyn musi zostać odzyskany, czy nie. "wartość domyślna"
"Odzyskaj"
enabledForDeployment Właściwość określająca, czy usługa Azure Virtual Machines może pobierać certyfikaty przechowywane jako wpisy tajne z magazynu kluczy. Bool
enabledForDiskEncryption Właściwość określająca, czy usługa Azure Disk Encryption może pobierać wpisy tajne z magazynu i odpakowywać klucze. Bool
enabledForTemplateDeployment Właściwość określająca, czy usługa Azure Resource Manager może pobierać wpisy tajne z magazynu kluczy. Bool
enablePurgeProtection Właściwość określająca, czy dla tego magazynu jest włączona ochrona przed przeczyszczeniem. Ustawienie tej właściwości na true aktywuje ochronę przed przeczyszczeniem tego magazynu i jego zawartości — tylko usługa Key Vault może zainicjować twarde, nieodwracalne usunięcie. To ustawienie jest skuteczne tylko w przypadku włączenia usuwania nietrwałego. Włączenie tej funkcji jest nieodwracalne — czyli właściwość nie akceptuje wartości false jako jej wartości. Bool
enableRbacAuthorization Właściwość, która kontroluje sposób autoryzacji akcji danych. Jeśli to prawda, magazyn kluczy będzie używać kontroli dostępu opartej na rolach (RBAC) do autoryzacji akcji danych, a zasady dostępu określone we właściwościach magazynu zostaną zignorowane (ostrzeżenie: jest to funkcja w wersji zapoznawczej). Jeśli wartość false, magazyn kluczy będzie używać zasad dostępu określonych we właściwościach magazynu, a wszystkie zasady przechowywane w usłudze Azure Resource Manager zostaną zignorowane. Jeśli wartość null lub nie zostanie określona, magazyn zostanie utworzony z wartością domyślną false. Należy pamiętać, że akcje zarządzania są zawsze autoryzowane za pomocą kontroli dostępu opartej na rolach. Bool
enableSoftDelete Właściwość określająca, czy dla tego magazynu kluczy włączono funkcję usuwania nietrwałego. Jeśli podczas tworzenia nowego magazynu kluczy nie zostanie ustawiona żadna wartość (prawda lub fałsz), zostanie ona domyślnie ustawiona na wartość true. Po ustawieniu wartości true nie można przywrócić wartości false. Bool
networkAcls Reguły regulujące dostępność magazynu kluczy z określonych lokalizacji sieciowych. NetworkRuleSet
provisioningState Stan aprowizacji magazynu. "RegisteringDns"
"Powodzenie"
publicNetworkAccess Właściwość określająca, czy magazyn będzie akceptował ruch z publicznego Internetu. W przypadku ustawienia opcji "disabled" cały ruch z wyjątkiem ruchu prywatnego punktu końcowego i pochodzącego z zaufanych usług zostanie zablokowany. Spowoduje to zastąpienie ustawionych reguł zapory, co oznacza, że nawet jeśli istnieją reguły zapory, nie będziemy przestrzegać reguł. struna
Numer jednostki magazynowej Szczegóły jednostki SKU sku (wymagane)
softDeleteRetentionInDays softDelete data retention days(Dni przechowywania danych softDelete). Akceptuje >=7 i <=90. Int
tenantId Identyfikator dzierżawy usługi Azure Active Directory, który powinien być używany do uwierzytelniania żądań do magazynu kluczy. struna

Ograniczenia:
Minimalna długość = 36
Maksymalna długość = 36
Wzorzec = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (wymagane)
vaultUri Identyfikator URI magazynu do wykonywania operacji na kluczach i wpisach tajnych. struna

VirtualNetworkRule

Nazwa Opis Wartość
id Pełny identyfikator zasobu podsieci sieci wirtualnej, taki jak "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". ciąg (wymagany)
ignoreMissingVnetServiceEndpoint Właściwość określająca, czy nrP zignoruje sprawdzenie, czy podsieć nadrzędna ma skonfigurowane punkty serviceEndpoint. Bool