Microsoft.StorageAccounts
Definicja zasobu Bicep
Typ zasobu storageAccounts można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Storage/storageAccounts, dodaj następujący kod Bicep do szablonu.
resource symbolicname 'Microsoft.Storage/storageAccounts@2023-05-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
sku: {
name: 'string'
}
kind: 'string'
extendedLocation: {
name: 'string'
type: 'EdgeZone'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
accessTier: 'string'
allowBlobPublicAccess: bool
allowCrossTenantReplication: bool
allowedCopyScope: 'string'
allowSharedKeyAccess: bool
azureFilesIdentityBasedAuthentication: {
activeDirectoryProperties: {
accountType: 'string'
azureStorageSid: 'string'
domainGuid: 'string'
domainName: 'string'
domainSid: 'string'
forestName: 'string'
netBiosDomainName: 'string'
samAccountName: 'string'
}
defaultSharePermission: 'string'
directoryServiceOptions: 'string'
}
customDomain: {
name: 'string'
useSubDomainName: bool
}
defaultToOAuthAuthentication: bool
dnsEndpointType: 'string'
enableExtendedGroups: bool
encryption: {
identity: {
federatedIdentityClientId: 'string'
userAssignedIdentity: 'string'
}
keySource: 'string'
keyvaultproperties: {
keyname: 'string'
keyvaulturi: 'string'
keyversion: 'string'
}
requireInfrastructureEncryption: bool
services: {
blob: {
enabled: bool
keyType: 'string'
}
file: {
enabled: bool
keyType: 'string'
}
queue: {
enabled: bool
keyType: 'string'
}
table: {
enabled: bool
keyType: 'string'
}
}
}
immutableStorageWithVersioning: {
enabled: bool
immutabilityPolicy: {
allowProtectedAppendWrites: bool
immutabilityPeriodSinceCreationInDays: int
state: 'string'
}
}
isHnsEnabled: bool
isLocalUserEnabled: bool
isNfsV3Enabled: bool
isSftpEnabled: bool
keyPolicy: {
keyExpirationPeriodInDays: int
}
largeFileSharesState: 'string'
minimumTlsVersion: 'string'
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
action: 'Allow'
value: 'string'
}
]
resourceAccessRules: [
{
resourceId: 'string'
tenantId: 'string'
}
]
virtualNetworkRules: [
{
action: 'Allow'
id: 'string'
state: 'string'
}
]
}
publicNetworkAccess: 'string'
routingPreference: {
publishInternetEndpoints: bool
publishMicrosoftEndpoints: bool
routingChoice: 'string'
}
sasPolicy: {
expirationAction: 'string'
sasExpirationPeriod: 'string'
}
supportsHttpsTrafficOnly: bool
}
}
Wartości właściwości
storageAccounts
Nazwa | Opis | Wartość |
---|---|---|
nazwa | Nazwa zasobu | ciąg (wymagany) Limit znaków: 3–24 Prawidłowe znaki: Małe litery i cyfry. Nazwa zasobu musi być unikatowa na platformie Azure. |
lokalizacja | Wymagane. Pobiera lub ustawia lokalizację zasobu. Będzie to jeden z obsługiwanych i zarejestrowanych regionów geograficznych platformy Azure (np. Zachodnie stany USA, Wschodnie stany USA, Azja Południowo-Wschodnia itp.). Nie można zmienić regionu geograficznego zasobu po jego utworzeniu, ale jeśli zostanie określony identyczny region geograficzny podczas aktualizacji, żądanie zakończy się pomyślnie. | ciąg (wymagany) |
Tagi | Pobiera lub ustawia listę par klucz-wartość, które opisują zasób. Te tagi mogą służyć do wyświetlania i grupowania tego zasobu (między grupami zasobów). Dla zasobu można podać maksymalnie 15 tagów. Każdy tag musi mieć klucz o długości nie większej niż 128 znaków i wartości o długości nie większej niż 256 znaków. | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
Numer jednostki magazynowej | Wymagane. Pobiera lub ustawia nazwę jednostki SKU. | sku (wymagane) |
rodzaj | Wymagane. Wskazuje typ konta magazynu. | "BlobStorage" "BlockBlobStorage" "FileStorage" "Magazyn" "StorageV2" (wymagane) |
extendedLocation | Fakultatywny. Ustaw rozszerzoną lokalizację zasobu. Jeśli nie zostanie ustawiona, konto magazynu zostanie utworzone w głównym regionie świadczenia usługi Azure. W przeciwnym razie zostanie utworzony w określonej lokalizacji rozszerzonej | ExtendedLocation |
tożsamość | Tożsamość zasobu. | Identity |
Właściwości | Parametry używane do tworzenia konta magazynu. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
Nazwa | Opis | Wartość |
---|---|---|
nazwa | Nazwa lokalizacji rozszerzonej. | struna |
typ | Typ lokalizacji rozszerzonej. | "EdgeZone" |
Tożsamość
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ tożsamości. | "Brak" "SystemAssigned" "SystemAssigned,UserAssigned" "UserAssigned" (wymagane) |
userAssignedIdentities | Pobiera lub ustawia listę par klucz-wartość, które opisują zestaw tożsamości przypisanych przez użytkownika, które będą używane z tym kontem magazynu. Kluczem jest identyfikator zasobu usługi ARM tożsamości. W tym miejscu dozwolona jest tylko 1 tożsamość przypisana przez użytkownika. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
Nazwa | Opis | Wartość |
---|---|---|
{niestandardowa właściwość} | UserAssignedIdentity |
UserAssignedIdentity
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
Nazwa | Opis | Wartość |
---|---|---|
accessTier | Wymagane dla kont magazynu, gdzie rodzaj = BlobStorage. Warstwa dostępu jest używana do rozliczeń. Warstwa dostępu "Premium" jest wartością domyślną dla typu konta magazynu blokowych obiektów blob w warstwie Premium i nie można jej zmienić dla typu konta magazynu blokowych obiektów blob w warstwie Premium. | "Zimno" "Chłodna" "Gorąca" "Premium" |
allowBlobPublicAccess | Zezwalaj lub nie zezwalaj na publiczny dostęp do wszystkich obiektów blob lub kontenerów na koncie magazynu. Domyślna interpretacja jest fałszywa dla tej właściwości. | Bool |
allowCrossTenantReplication | Zezwalaj na replikację obiektów dzierżawy usługi AAD lub nie zezwalaj na nie. Ustaw tę właściwość na wartość true dla nowych lub istniejących kont tylko wtedy, gdy zasady replikacji obiektów będą obejmować konta magazynu w różnych dzierżawach usługi AAD. Domyślna interpretacja jest fałszywa dla nowych kont, aby domyślnie przestrzegać najlepszych rozwiązań w zakresie zabezpieczeń. | Bool |
allowedCopyScope | Ogranicz kopiowanie do i z kont magazynu w dzierżawie usługi AAD lub za pomocą linków prywatnych do tej samej sieci wirtualnej. | "AAD" "PrivateLink" |
allowSharedKeyAccess | Wskazuje, czy konto magazynu zezwala na autoryzację żądań przy użyciu klucza dostępu do konta za pośrednictwem klucza współużytkowanego. Jeśli wartość false, wszystkie żądania, w tym sygnatury dostępu współdzielonego, muszą być autoryzowane za pomocą usługi Azure Active Directory (Azure AD). Wartość domyślna to null, która jest równoważna wartości true. | Bool |
azureFilesIdentityBasedAuthentication | Udostępnia ustawienia uwierzytelniania opartego na tożsamościach dla usługi Azure Files. | AzureFilesIdentityBasedAuthentication |
customDomain | Domena użytkownika przypisana do konta magazynu. Nazwa to źródło CNAME. Obecnie na konto magazynu jest obsługiwana tylko jedna domena niestandardowa. Aby wyczyścić istniejącą domenę niestandardową, użyj pustego ciągu dla właściwości niestandardowej nazwy domeny. | |
defaultToOAuthentication | Flaga logiczna wskazująca, czy domyślne uwierzytelnianie to OAuth, czy nie. Domyślna interpretacja jest fałszywa dla tej właściwości. | Bool |
dnsEndpointType | Umożliwia określenie typu punktu końcowego. Ustaw tę wartość na wartość AzureDNSZone, aby utworzyć dużą liczbę kont w jednej subskrypcji, która tworzy konta w strefie DNS platformy Azure, a adres URL punktu końcowego będzie miał alfanumeryczny identyfikator strefy DNS. | "AzureDnsZone" "Standardowa" |
enableExtendedGroups | Włącza rozszerzoną obsługę grup z funkcją użytkowników lokalnych, jeśli ustawiono wartość true | Bool |
szyfrowanie | Ustawienia szyfrowania do użycia na potrzeby szyfrowania po stronie serwera dla konta magazynu. | Encryption |
niezmienneStorageWithVersioning | Właściwość jest niezmienna i może być ustawiona tylko na wartość true w czasie tworzenia konta. Po ustawieniu wartości true włącza niezmienność na poziomie obiektu dla wszystkich nowych kontenerów na koncie domyślnie. | |
isHnsEnabled | Ustawienie HierarchicalNamespace konta jest włączone, jeśli ustawiono wartość true. | Bool |
isLocalUserEnabled | Włącza funkcję użytkowników lokalnych, jeśli ustawiono wartość true | Bool |
isNfsV3Enabled | Obsługa protokołu NFS 3.0 jest włączona, jeśli ustawiono wartość true. | Bool |
isSftpEnabled | Włącza protokół bezpiecznego transferu plików, jeśli jest ustawiony na wartość true | Bool |
keyPolicy | KeyPolicy przypisana do konta magazynu. | KeyPolicy |
largeFileSharesState | Zezwalaj na duże udziały plików, jeśli zestawy mają wartość Włączone. Nie można go wyłączyć po jej włączeniu. | "Wyłączone" "Włączone" |
minimumTlsVersion | Ustaw minimalną wersję protokołu TLS, która ma być dozwolona dla żądań do magazynu. Domyślna interpretacja to TLS 1.0 dla tej właściwości. | "TLS1_0" "TLS1_1" "TLS1_2" "TLS1_3" |
networkAcls | Zestaw reguł sieci | NetworkRuleSet |
publicNetworkAccess | Zezwalaj, nie zezwalaj na konfigurację obwodu zabezpieczeń sieci lub zezwalaj na ocenę dostępu sieci publicznej do konta magazynu. Wartość jest opcjonalna, ale jeśli została przekazana, musi mieć wartość "Włączone", "Wyłączone" lub "SecuredByPerimeter". | "Wyłączone" "Włączone" "SecuredByPerimeter" |
routingPreference | Utrzymuje informacje o wybranym routingu sieciowym wybranym przez użytkownika na potrzeby transferu danych | RoutingPreference |
sasPolicy | Sygnatura dostępu współdzielonego przypisana do konta magazynu. | |
supportsHttpsTrafficOnly | Zezwala na ruch https tylko do usługi magazynu, jeśli ustawiono wartość true. Wartość domyślna jest prawdziwa od wersji interfejsu API 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
Nazwa | Opis | Wartość |
---|---|---|
activeDirectoryProperties | Wymagane, jeśli katalogServiceOptions to AD, opcjonalnie, jeśli są one AADKERB. | ActiveDirectoryProperties |
defaultSharePermission | Domyślne uprawnienia udziału dla użytkowników korzystających z uwierzytelniania Kerberos, jeśli rola RBAC nie jest przypisana. | "Brak" "StorageFileDataSmbShareContributor" "StorageFileDataSmbShareElevatedContributor" "StorageFileDataSmbShareReader" |
directoryServiceOptions | Wskazuje użytą usługę katalogową. Należy pamiętać, że wyliczenie może zostać rozszerzone w przyszłości. | "AADDS" "AADKERB" "AD" "Brak" (wymagane) |
ActiveDirectoryProperties
Nazwa | Opis | Wartość |
---|---|---|
accountType | Określa typ konta usługi Active Directory dla usługi Azure Storage. | "Komputer" "Użytkownik" |
azureStorageSid | Określa identyfikator zabezpieczeń (SID) dla usługi Azure Storage. | struna |
domainGuid | Określa identyfikator GUID domeny. | ciąg (wymagany) |
nazwa_domeny | Określa domenę podstawową, dla którego serwer DNS usługi AD jest autorytatywny. | ciąg (wymagany) |
domainSid | Określa identyfikator zabezpieczeń (SID). | struna |
forestName | Określa las usługi Active Directory do pobrania. | struna |
netBiosDomainName | Określa nazwę domeny NetBIOS. | struna |
samAccountName | Określa nazwę SAMAccountName usługi Active Directory dla usługi Azure Storage. | struna |
Domena niestandardowa
Nazwa | Opis | Wartość |
---|---|---|
nazwa | Pobiera lub ustawia niestandardową nazwę domeny przypisaną do konta magazynu. Nazwa to źródło CNAME. | ciąg (wymagany) |
useSubDomainName | Wskazuje, czy jest włączona weryfikacja pośredniego rekordu CName. Wartość domyślna to false. Należy to ustawić tylko w przypadku aktualizacji. | Bool |
Szyfrowanie
Nazwa | Opis | Wartość |
---|---|---|
tożsamość | Tożsamość, która ma być używana z szyfrowaniem po stronie usługi magazynowanych. | EncryptionIdentity |
keySource | Klucz szyfrowaniaŹródło (dostawca). Możliwe wartości (bez uwzględniania wielkości liter): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
keyvaultproperties | Właściwości udostępniane przez magazyn kluczy. | KeyVaultProperties |
requireInfrastructureEncryption | Wartość logiczna wskazująca, czy usługa stosuje dodatkową warstwę szyfrowania z kluczami zarządzanymi platformy dla danych magazynowanych. | Bool |
usługi | Lista usług, które obsługują szyfrowanie. | EncryptionServices |
EncryptionIdentity
Nazwa | Opis | Wartość |
---|---|---|
federatedIdentityClientId | ClientId aplikacji wielodostępnej, która ma być używana w połączeniu z tożsamością przypisaną przez użytkownika na potrzeby szyfrowania po stronie serwera kluczy zarządzanych przez klienta między dzierżawami na koncie magazynu. | struna |
userAssignedIdentity | Identyfikator zasobu tożsamości UserAssigned, który ma być skojarzony z szyfrowaniem po stronie serwera na koncie magazynu. | struna |
KeyVaultProperties
Nazwa | Opis | Wartość |
---|---|---|
nazwa klucza | Nazwa klucza usługi KeyVault. | struna |
keyvaulturi | Identyfikator URI usługi KeyVault. | struna |
keyversion | Wersja klucza usługi KeyVault. | struna |
EncryptionServices
Nazwa | Opis | Wartość |
---|---|---|
Blob | Funkcja szyfrowania usługi blob Storage. | EncryptionService |
plik | Funkcja szyfrowania usługi magazynu plików. | EncryptionService |
kolejka | Funkcja szyfrowania usługi queue storage. | EncryptionService |
stół | Funkcja szyfrowania usługi Table Storage. | EncryptionService |
EncryptionService
Nazwa | Opis | Wartość |
---|---|---|
Włączone | Wartość logiczna wskazująca, czy usługa szyfruje dane podczas ich przechowywania. Szyfrowanie magazynowane jest domyślnie włączone i nie można go wyłączyć. | Bool |
keyType | Typ klucza szyfrowania, który ma być używany dla usługi szyfrowania. Typ klucza "Konto" oznacza, że zostanie użyty klucz szyfrowania o zakresie konta. Typ klucza "Usługa" oznacza, że jest używany domyślny klucz usługi. | "Konto" "Usługa" |
NiezmienneKonto magazynu
Nazwa | Opis | Wartość |
---|---|---|
Włączone | Flaga logiczna, która umożliwia niezmienność na poziomie konta. Wszystkie kontenery w ramach takiego konta mają domyślnie włączoną niezmienność na poziomie obiektu. | Bool |
niezmiennośćPolicy | Określa domyślne zasady niezmienności na poziomie konta, które są dziedziczone i stosowane do obiektów, które nie mają jawnych zasad niezmienności na poziomie obiektu. Zasady niezmienności na poziomie obiektu mają wyższy priorytet niż zasady niezmienności na poziomie kontenera, które mają wyższy priorytet niż zasady niezmienności na poziomie konta. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
Nazwa | Opis | Wartość |
---|---|---|
allowProtectedAppendWrites | Tę właściwość można zmienić tylko dla wyłączonych i odblokowanych zasad przechowywania na podstawie czasu. Po włączeniu nowych bloków można zapisywać w uzupełnialnych obiektach blob przy zachowaniu niezmienności i zgodności. Można dodawać tylko nowe bloki i nie można modyfikować ani usuwać żadnych istniejących bloków. | Bool |
niezmiennośćPeriodSinceCreationInDays | Okres niezmienności obiektów blob w kontenerze od momentu utworzenia zasad w dniach. | Int Ograniczenia: Minimalna wartość = 1 Wartość maksymalna = 146000 |
stan | Stan ImmutabilityPolicy definiuje tryb zasad. Wyłączony stan wyłącza zasady, Stan odblokowany umożliwia zwiększenie i zmniejszenie czasu przechowywania niezmienności, a także umożliwia przełączenie właściwości allowProtectedAppendWrites, stan Zablokowany zezwala tylko na zwiększenie czasu przechowywania niezmienności. Zasady można utworzyć tylko w stanie Wyłączone lub Odblokowane i można je przełączać między dwoma stanami. Tylko zasady w stanie Odblokowane mogą przejść do stanu Zablokowane, którego nie można przywrócić. | "Wyłączone" "Zablokowane" "Odblokowano" |
KeyPolicy
Nazwa | Opis | Wartość |
---|---|---|
keyExpirationPeriodInDays | Okres wygaśnięcia klucza w dniach. | int (wymagane) |
NetworkRuleSet
Adres IPRule
Nazwa | Opis | Wartość |
---|---|---|
akcja | Akcja reguły listy ACL adresów IP. | "Zezwalaj" |
wartość | Określa adres IP lub zakres adresów IP w formacie CIDR. Dozwolony jest tylko adres IPV4. | ciąg (wymagany) |
ResourceAccessRule
Nazwa | Opis | Wartość |
---|---|---|
resourceId | Identyfikator zasobu | struna |
tenantId | Identyfikator dzierżawy | struna |
VirtualNetworkRule
Nazwa | Opis | Wartość |
---|---|---|
akcja | Akcja reguły sieci wirtualnej. | "Zezwalaj" |
id | Identyfikator zasobu podsieci, na przykład: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | ciąg (wymagany) |
stan | Pobiera stan reguły sieci wirtualnej. | "Anulowanie aprowizacji" "Niepowodzenie" "NetworkSourceDeleted" "Aprowizowanie" "Powodzenie" |
RoutingPreference
Nazwa | Opis | Wartość |
---|---|---|
publishInternetEndpoints | Flaga logiczna wskazująca, czy punkty końcowe magazynu routingu internetowego mają być publikowane | Bool |
publishMicrosoftEndpoints | Flaga logiczna wskazująca, czy punkty końcowe magazynu routingu firmy Microsoft mają być publikowane | Bool |
routingChoice | Wybór routingu definiuje rodzaj routingu sieciowego wybranego przez użytkownika. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
Nazwa | Opis | Wartość |
---|---|---|
expirationAction | Akcja wygaśnięcia sygnatury dostępu współdzielonego definiuje akcję, która ma być wykonywana, gdy naruszono element sasPolicy.sasExpirationPeriod. Akcja "Dziennik" może służyć do celów inspekcji, a akcja "Blokuj" może służyć do blokowania i odmowy użycia tokenów SAS, które nie są zgodne z okresem wygaśnięcia zasad sygnatury dostępu współdzielonego. | "Blokuj" "Dziennik" (wymagany) |
sasExpirationPeriod | Okres wygaśnięcia sygnatury dostępu współdzielonego DD.HH:MM:SS. | ciąg (wymagany) |
Numer jednostki magazynowej
Nazwa | Opis | Wartość |
---|---|---|
nazwa | Nazwa jednostki SKU. Wymagane do utworzenia konta; opcjonalnie do aktualizacji. Należy pamiętać, że w starszych wersjach nazwa jednostki SKU nosiła nazwę accountType. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (wymagane) |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
Szablon | Opis |
---|---|
Nawiązywanie połączenia z kontem magazynu z maszyny wirtualnej za pośrednictwem prywatnego punktu końcowego wdrażanie |
W tym przykładzie pokazano, jak używać sieci wirtualnej do uzyskiwania dostępu do konta magazynu obiektów blob za pośrednictwem prywatnego punktu końcowego. |
nawiązywanie połączenia z udziałem plików platformy Azure za pośrednictwem prywatnego punktu końcowego wdrażanie |
W tym przykładzie pokazano, jak skonfigurować sieć wirtualną i prywatną strefę DNS w celu uzyskania dostępu do udziału plików platformy Azure za pośrednictwem prywatnego punktu końcowego. |
tworzenie konta magazynu w warstwie Standardowa wdrażanie |
Ten szablon tworzy konto magazynu w warstwie Standardowa |
tworzenie konta magazynu przy użyciu SSE wdrażanie |
Ten szablon tworzy konto magazynu z szyfrowaniem usługi Storage dla danych magazynowanych |
konto usługi Storage z usługą Advanced Threat Protection wdrażanie |
Ten szablon umożliwia wdrożenie konta usługi Azure Storage z włączoną usługą Advanced Threat Protection. |
Tworzenie konta usługi Azure Storage i kontenera obiektów blob na platformie Azure wdrażanie |
Ten szablon tworzy konto usługi Azure Storage i kontener obiektów blob. |
konto magazynu z zasadami przechowywania SSE i usuwania obiektów blob wdrażanie |
Ten szablon tworzy konto magazynu z szyfrowaniem usługi Storage i zasadami przechowywania usuwania obiektów blob |
szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta wdrażanie |
Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w usłudze Key Vault. |
Tworzenie konta magazynu z udziałem plików wdrażanie |
Ten szablon tworzy konto usługi Azure Storage i udział plików. |
Tworzenie konta magazynu z wieloma kontenerami obiektów blob wdrażanie |
Tworzy konto usługi Azure Storage i wiele kontenerów obiektów blob. |
Tworzenie konta magazynu z wieloma udziałami plików wdrażanie |
Tworzy konto usługi Azure Storage i wiele udziałów plików. |
tworzenie konta magazynu z włączoną SFTP wdrażanie |
Tworzy konto usługi Azure Storage i kontener obiektów blob, do których można uzyskać dostęp przy użyciu protokołu SFTP. Dostęp może być oparty na hasłach lub kluczach publicznych. |
wdraża statyczną witrynę internetową wdrażanie |
Wdraża statyczną witrynę internetową przy użyciu konta magazynu zapasowego |
Definicja zasobu szablonu usługi ARM
Typ zasobu storageAccounts można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Storage/storageAccounts, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-05-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"sku": {
"name": "string"
},
"kind": "string",
"extendedLocation": {
"name": "string",
"type": "EdgeZone"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"accessTier": "string",
"allowBlobPublicAccess": "bool",
"allowCrossTenantReplication": "bool",
"allowedCopyScope": "string",
"allowSharedKeyAccess": "bool",
"azureFilesIdentityBasedAuthentication": {
"activeDirectoryProperties": {
"accountType": "string",
"azureStorageSid": "string",
"domainGuid": "string",
"domainName": "string",
"domainSid": "string",
"forestName": "string",
"netBiosDomainName": "string",
"samAccountName": "string"
},
"defaultSharePermission": "string",
"directoryServiceOptions": "string"
},
"customDomain": {
"name": "string",
"useSubDomainName": "bool"
},
"defaultToOAuthAuthentication": "bool",
"dnsEndpointType": "string",
"enableExtendedGroups": "bool",
"encryption": {
"identity": {
"federatedIdentityClientId": "string",
"userAssignedIdentity": "string"
},
"keySource": "string",
"keyvaultproperties": {
"keyname": "string",
"keyvaulturi": "string",
"keyversion": "string"
},
"requireInfrastructureEncryption": "bool",
"services": {
"blob": {
"enabled": "bool",
"keyType": "string"
},
"file": {
"enabled": "bool",
"keyType": "string"
},
"queue": {
"enabled": "bool",
"keyType": "string"
},
"table": {
"enabled": "bool",
"keyType": "string"
}
}
},
"immutableStorageWithVersioning": {
"enabled": "bool",
"immutabilityPolicy": {
"allowProtectedAppendWrites": "bool",
"immutabilityPeriodSinceCreationInDays": "int",
"state": "string"
}
},
"isHnsEnabled": "bool",
"isLocalUserEnabled": "bool",
"isNfsV3Enabled": "bool",
"isSftpEnabled": "bool",
"keyPolicy": {
"keyExpirationPeriodInDays": "int"
},
"largeFileSharesState": "string",
"minimumTlsVersion": "string",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"action": "Allow",
"value": "string"
}
],
"resourceAccessRules": [
{
"resourceId": "string",
"tenantId": "string"
}
],
"virtualNetworkRules": [
{
"action": "Allow",
"id": "string",
"state": "string"
}
]
},
"publicNetworkAccess": "string",
"routingPreference": {
"publishInternetEndpoints": "bool",
"publishMicrosoftEndpoints": "bool",
"routingChoice": "string"
},
"sasPolicy": {
"expirationAction": "string",
"sasExpirationPeriod": "string"
},
"supportsHttpsTrafficOnly": "bool"
}
}
Wartości właściwości
storageAccounts
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ zasobu | "Microsoft.Storage/storageAccounts" |
apiVersion | Wersja interfejsu API zasobów | '2023-05-01' |
nazwa | Nazwa zasobu | ciąg (wymagany) Limit znaków: 3–24 Prawidłowe znaki: Małe litery i cyfry. Nazwa zasobu musi być unikatowa na platformie Azure. |
lokalizacja | Wymagane. Pobiera lub ustawia lokalizację zasobu. Będzie to jeden z obsługiwanych i zarejestrowanych regionów geograficznych platformy Azure (np. Zachodnie stany USA, Wschodnie stany USA, Azja Południowo-Wschodnia itp.). Nie można zmienić regionu geograficznego zasobu po jego utworzeniu, ale jeśli zostanie określony identyczny region geograficzny podczas aktualizacji, żądanie zakończy się pomyślnie. | ciąg (wymagany) |
Tagi | Pobiera lub ustawia listę par klucz-wartość, które opisują zasób. Te tagi mogą służyć do wyświetlania i grupowania tego zasobu (między grupami zasobów). Dla zasobu można podać maksymalnie 15 tagów. Każdy tag musi mieć klucz o długości nie większej niż 128 znaków i wartości o długości nie większej niż 256 znaków. | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
Numer jednostki magazynowej | Wymagane. Pobiera lub ustawia nazwę jednostki SKU. | sku (wymagane) |
rodzaj | Wymagane. Wskazuje typ konta magazynu. | "BlobStorage" "BlockBlobStorage" "FileStorage" "Magazyn" "StorageV2" (wymagane) |
extendedLocation | Fakultatywny. Ustaw rozszerzoną lokalizację zasobu. Jeśli nie zostanie ustawiona, konto magazynu zostanie utworzone w głównym regionie świadczenia usługi Azure. W przeciwnym razie zostanie utworzony w określonej lokalizacji rozszerzonej | ExtendedLocation |
tożsamość | Tożsamość zasobu. | Identity |
Właściwości | Parametry używane do tworzenia konta magazynu. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
Nazwa | Opis | Wartość |
---|---|---|
nazwa | Nazwa lokalizacji rozszerzonej. | struna |
typ | Typ lokalizacji rozszerzonej. | "EdgeZone" |
Tożsamość
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ tożsamości. | "Brak" "SystemAssigned" "SystemAssigned,UserAssigned" "UserAssigned" (wymagane) |
userAssignedIdentities | Pobiera lub ustawia listę par klucz-wartość, które opisują zestaw tożsamości przypisanych przez użytkownika, które będą używane z tym kontem magazynu. Kluczem jest identyfikator zasobu usługi ARM tożsamości. W tym miejscu dozwolona jest tylko 1 tożsamość przypisana przez użytkownika. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
Nazwa | Opis | Wartość |
---|---|---|
{niestandardowa właściwość} | UserAssignedIdentity |
UserAssignedIdentity
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
Nazwa | Opis | Wartość |
---|---|---|
accessTier | Wymagane dla kont magazynu, gdzie rodzaj = BlobStorage. Warstwa dostępu jest używana do rozliczeń. Warstwa dostępu "Premium" jest wartością domyślną dla typu konta magazynu blokowych obiektów blob w warstwie Premium i nie można jej zmienić dla typu konta magazynu blokowych obiektów blob w warstwie Premium. | "Zimno" "Chłodna" "Gorąca" "Premium" |
allowBlobPublicAccess | Zezwalaj lub nie zezwalaj na publiczny dostęp do wszystkich obiektów blob lub kontenerów na koncie magazynu. Domyślna interpretacja jest fałszywa dla tej właściwości. | Bool |
allowCrossTenantReplication | Zezwalaj na replikację obiektów dzierżawy usługi AAD lub nie zezwalaj na nie. Ustaw tę właściwość na wartość true dla nowych lub istniejących kont tylko wtedy, gdy zasady replikacji obiektów będą obejmować konta magazynu w różnych dzierżawach usługi AAD. Domyślna interpretacja jest fałszywa dla nowych kont, aby domyślnie przestrzegać najlepszych rozwiązań w zakresie zabezpieczeń. | Bool |
allowedCopyScope | Ogranicz kopiowanie do i z kont magazynu w dzierżawie usługi AAD lub za pomocą linków prywatnych do tej samej sieci wirtualnej. | "AAD" "PrivateLink" |
allowSharedKeyAccess | Wskazuje, czy konto magazynu zezwala na autoryzację żądań przy użyciu klucza dostępu do konta za pośrednictwem klucza współużytkowanego. Jeśli wartość false, wszystkie żądania, w tym sygnatury dostępu współdzielonego, muszą być autoryzowane za pomocą usługi Azure Active Directory (Azure AD). Wartość domyślna to null, która jest równoważna wartości true. | Bool |
azureFilesIdentityBasedAuthentication | Udostępnia ustawienia uwierzytelniania opartego na tożsamościach dla usługi Azure Files. | AzureFilesIdentityBasedAuthentication |
customDomain | Domena użytkownika przypisana do konta magazynu. Nazwa to źródło CNAME. Obecnie na konto magazynu jest obsługiwana tylko jedna domena niestandardowa. Aby wyczyścić istniejącą domenę niestandardową, użyj pustego ciągu dla właściwości niestandardowej nazwy domeny. | |
defaultToOAuthentication | Flaga logiczna wskazująca, czy domyślne uwierzytelnianie to OAuth, czy nie. Domyślna interpretacja jest fałszywa dla tej właściwości. | Bool |
dnsEndpointType | Umożliwia określenie typu punktu końcowego. Ustaw tę wartość na wartość AzureDNSZone, aby utworzyć dużą liczbę kont w jednej subskrypcji, która tworzy konta w strefie DNS platformy Azure, a adres URL punktu końcowego będzie miał alfanumeryczny identyfikator strefy DNS. | "AzureDnsZone" "Standardowa" |
enableExtendedGroups | Włącza rozszerzoną obsługę grup z funkcją użytkowników lokalnych, jeśli ustawiono wartość true | Bool |
szyfrowanie | Ustawienia szyfrowania do użycia na potrzeby szyfrowania po stronie serwera dla konta magazynu. | Encryption |
niezmienneStorageWithVersioning | Właściwość jest niezmienna i może być ustawiona tylko na wartość true w czasie tworzenia konta. Po ustawieniu wartości true włącza niezmienność na poziomie obiektu dla wszystkich nowych kontenerów na koncie domyślnie. | |
isHnsEnabled | Ustawienie HierarchicalNamespace konta jest włączone, jeśli ustawiono wartość true. | Bool |
isLocalUserEnabled | Włącza funkcję użytkowników lokalnych, jeśli ustawiono wartość true | Bool |
isNfsV3Enabled | Obsługa protokołu NFS 3.0 jest włączona, jeśli ustawiono wartość true. | Bool |
isSftpEnabled | Włącza protokół bezpiecznego transferu plików, jeśli jest ustawiony na wartość true | Bool |
keyPolicy | KeyPolicy przypisana do konta magazynu. | KeyPolicy |
largeFileSharesState | Zezwalaj na duże udziały plików, jeśli zestawy mają wartość Włączone. Nie można go wyłączyć po jej włączeniu. | "Wyłączone" "Włączone" |
minimumTlsVersion | Ustaw minimalną wersję protokołu TLS, która ma być dozwolona dla żądań do magazynu. Domyślna interpretacja to TLS 1.0 dla tej właściwości. | "TLS1_0" "TLS1_1" "TLS1_2" "TLS1_3" |
networkAcls | Zestaw reguł sieci | NetworkRuleSet |
publicNetworkAccess | Zezwalaj, nie zezwalaj na konfigurację obwodu zabezpieczeń sieci lub zezwalaj na ocenę dostępu sieci publicznej do konta magazynu. Wartość jest opcjonalna, ale jeśli została przekazana, musi mieć wartość "Włączone", "Wyłączone" lub "SecuredByPerimeter". | "Wyłączone" "Włączone" "SecuredByPerimeter" |
routingPreference | Utrzymuje informacje o wybranym routingu sieciowym wybranym przez użytkownika na potrzeby transferu danych | RoutingPreference |
sasPolicy | Sygnatura dostępu współdzielonego przypisana do konta magazynu. | |
supportsHttpsTrafficOnly | Zezwala na ruch https tylko do usługi magazynu, jeśli ustawiono wartość true. Wartość domyślna jest prawdziwa od wersji interfejsu API 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
Nazwa | Opis | Wartość |
---|---|---|
activeDirectoryProperties | Wymagane, jeśli katalogServiceOptions to AD, opcjonalnie, jeśli są one AADKERB. | ActiveDirectoryProperties |
defaultSharePermission | Domyślne uprawnienia udziału dla użytkowników korzystających z uwierzytelniania Kerberos, jeśli rola RBAC nie jest przypisana. | "Brak" "StorageFileDataSmbShareContributor" "StorageFileDataSmbShareElevatedContributor" "StorageFileDataSmbShareReader" |
directoryServiceOptions | Wskazuje użytą usługę katalogową. Należy pamiętać, że wyliczenie może zostać rozszerzone w przyszłości. | "AADDS" "AADKERB" "AD" "Brak" (wymagane) |
ActiveDirectoryProperties
Nazwa | Opis | Wartość |
---|---|---|
accountType | Określa typ konta usługi Active Directory dla usługi Azure Storage. | "Komputer" "Użytkownik" |
azureStorageSid | Określa identyfikator zabezpieczeń (SID) dla usługi Azure Storage. | struna |
domainGuid | Określa identyfikator GUID domeny. | ciąg (wymagany) |
nazwa_domeny | Określa domenę podstawową, dla którego serwer DNS usługi AD jest autorytatywny. | ciąg (wymagany) |
domainSid | Określa identyfikator zabezpieczeń (SID). | struna |
forestName | Określa las usługi Active Directory do pobrania. | struna |
netBiosDomainName | Określa nazwę domeny NetBIOS. | struna |
samAccountName | Określa nazwę SAMAccountName usługi Active Directory dla usługi Azure Storage. | struna |
Domena niestandardowa
Nazwa | Opis | Wartość |
---|---|---|
nazwa | Pobiera lub ustawia niestandardową nazwę domeny przypisaną do konta magazynu. Nazwa to źródło CNAME. | ciąg (wymagany) |
useSubDomainName | Wskazuje, czy jest włączona weryfikacja pośredniego rekordu CName. Wartość domyślna to false. Należy to ustawić tylko w przypadku aktualizacji. | Bool |
Szyfrowanie
Nazwa | Opis | Wartość |
---|---|---|
tożsamość | Tożsamość, która ma być używana z szyfrowaniem po stronie usługi magazynowanych. | EncryptionIdentity |
keySource | Klucz szyfrowaniaŹródło (dostawca). Możliwe wartości (bez uwzględniania wielkości liter): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
keyvaultproperties | Właściwości udostępniane przez magazyn kluczy. | KeyVaultProperties |
requireInfrastructureEncryption | Wartość logiczna wskazująca, czy usługa stosuje dodatkową warstwę szyfrowania z kluczami zarządzanymi platformy dla danych magazynowanych. | Bool |
usługi | Lista usług, które obsługują szyfrowanie. | EncryptionServices |
EncryptionIdentity
Nazwa | Opis | Wartość |
---|---|---|
federatedIdentityClientId | ClientId aplikacji wielodostępnej, która ma być używana w połączeniu z tożsamością przypisaną przez użytkownika na potrzeby szyfrowania po stronie serwera kluczy zarządzanych przez klienta między dzierżawami na koncie magazynu. | struna |
userAssignedIdentity | Identyfikator zasobu tożsamości UserAssigned, który ma być skojarzony z szyfrowaniem po stronie serwera na koncie magazynu. | struna |
KeyVaultProperties
Nazwa | Opis | Wartość |
---|---|---|
nazwa klucza | Nazwa klucza usługi KeyVault. | struna |
keyvaulturi | Identyfikator URI usługi KeyVault. | struna |
keyversion | Wersja klucza usługi KeyVault. | struna |
EncryptionServices
Nazwa | Opis | Wartość |
---|---|---|
Blob | Funkcja szyfrowania usługi blob Storage. | EncryptionService |
plik | Funkcja szyfrowania usługi magazynu plików. | EncryptionService |
kolejka | Funkcja szyfrowania usługi queue storage. | EncryptionService |
stół | Funkcja szyfrowania usługi Table Storage. | EncryptionService |
EncryptionService
Nazwa | Opis | Wartość |
---|---|---|
Włączone | Wartość logiczna wskazująca, czy usługa szyfruje dane podczas ich przechowywania. Szyfrowanie magazynowane jest domyślnie włączone i nie można go wyłączyć. | Bool |
keyType | Typ klucza szyfrowania, który ma być używany dla usługi szyfrowania. Typ klucza "Konto" oznacza, że zostanie użyty klucz szyfrowania o zakresie konta. Typ klucza "Usługa" oznacza, że jest używany domyślny klucz usługi. | "Konto" "Usługa" |
NiezmienneKonto magazynu
Nazwa | Opis | Wartość |
---|---|---|
Włączone | Flaga logiczna, która umożliwia niezmienność na poziomie konta. Wszystkie kontenery w ramach takiego konta mają domyślnie włączoną niezmienność na poziomie obiektu. | Bool |
niezmiennośćPolicy | Określa domyślne zasady niezmienności na poziomie konta, które są dziedziczone i stosowane do obiektów, które nie mają jawnych zasad niezmienności na poziomie obiektu. Zasady niezmienności na poziomie obiektu mają wyższy priorytet niż zasady niezmienności na poziomie kontenera, które mają wyższy priorytet niż zasady niezmienności na poziomie konta. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
Nazwa | Opis | Wartość |
---|---|---|
allowProtectedAppendWrites | Tę właściwość można zmienić tylko dla wyłączonych i odblokowanych zasad przechowywania na podstawie czasu. Po włączeniu nowych bloków można zapisywać w uzupełnialnych obiektach blob przy zachowaniu niezmienności i zgodności. Można dodawać tylko nowe bloki i nie można modyfikować ani usuwać żadnych istniejących bloków. | Bool |
niezmiennośćPeriodSinceCreationInDays | Okres niezmienności obiektów blob w kontenerze od momentu utworzenia zasad w dniach. | Int Ograniczenia: Minimalna wartość = 1 Wartość maksymalna = 146000 |
stan | Stan ImmutabilityPolicy definiuje tryb zasad. Wyłączony stan wyłącza zasady, Stan odblokowany umożliwia zwiększenie i zmniejszenie czasu przechowywania niezmienności, a także umożliwia przełączenie właściwości allowProtectedAppendWrites, stan Zablokowany zezwala tylko na zwiększenie czasu przechowywania niezmienności. Zasady można utworzyć tylko w stanie Wyłączone lub Odblokowane i można je przełączać między dwoma stanami. Tylko zasady w stanie Odblokowane mogą przejść do stanu Zablokowane, którego nie można przywrócić. | "Wyłączone" "Zablokowane" "Odblokowano" |
KeyPolicy
Nazwa | Opis | Wartość |
---|---|---|
keyExpirationPeriodInDays | Okres wygaśnięcia klucza w dniach. | int (wymagane) |
NetworkRuleSet
Adres IPRule
Nazwa | Opis | Wartość |
---|---|---|
akcja | Akcja reguły listy ACL adresów IP. | "Zezwalaj" |
wartość | Określa adres IP lub zakres adresów IP w formacie CIDR. Dozwolony jest tylko adres IPV4. | ciąg (wymagany) |
ResourceAccessRule
Nazwa | Opis | Wartość |
---|---|---|
resourceId | Identyfikator zasobu | struna |
tenantId | Identyfikator dzierżawy | struna |
VirtualNetworkRule
Nazwa | Opis | Wartość |
---|---|---|
akcja | Akcja reguły sieci wirtualnej. | "Zezwalaj" |
id | Identyfikator zasobu podsieci, na przykład: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | ciąg (wymagany) |
stan | Pobiera stan reguły sieci wirtualnej. | "Anulowanie aprowizacji" "Niepowodzenie" "NetworkSourceDeleted" "Aprowizowanie" "Powodzenie" |
RoutingPreference
Nazwa | Opis | Wartość |
---|---|---|
publishInternetEndpoints | Flaga logiczna wskazująca, czy punkty końcowe magazynu routingu internetowego mają być publikowane | Bool |
publishMicrosoftEndpoints | Flaga logiczna wskazująca, czy punkty końcowe magazynu routingu firmy Microsoft mają być publikowane | Bool |
routingChoice | Wybór routingu definiuje rodzaj routingu sieciowego wybranego przez użytkownika. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
Nazwa | Opis | Wartość |
---|---|---|
expirationAction | Akcja wygaśnięcia sygnatury dostępu współdzielonego definiuje akcję, która ma być wykonywana, gdy naruszono element sasPolicy.sasExpirationPeriod. Akcja "Dziennik" może służyć do celów inspekcji, a akcja "Blokuj" może służyć do blokowania i odmowy użycia tokenów SAS, które nie są zgodne z okresem wygaśnięcia zasad sygnatury dostępu współdzielonego. | "Blokuj" "Dziennik" (wymagany) |
sasExpirationPeriod | Okres wygaśnięcia sygnatury dostępu współdzielonego DD.HH:MM:SS. | ciąg (wymagany) |
Numer jednostki magazynowej
Nazwa | Opis | Wartość |
---|---|---|
nazwa | Nazwa jednostki SKU. Wymagane do utworzenia konta; opcjonalnie do aktualizacji. Należy pamiętać, że w starszych wersjach nazwa jednostki SKU nosiła nazwę accountType. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (wymagane) |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
Szablon | Opis |
---|---|
Nawiązywanie połączenia z kontem magazynu z maszyny wirtualnej za pośrednictwem prywatnego punktu końcowego wdrażanie |
W tym przykładzie pokazano, jak używać sieci wirtualnej do uzyskiwania dostępu do konta magazynu obiektów blob za pośrednictwem prywatnego punktu końcowego. |
nawiązywanie połączenia z udziałem plików platformy Azure za pośrednictwem prywatnego punktu końcowego wdrażanie |
W tym przykładzie pokazano, jak skonfigurować sieć wirtualną i prywatną strefę DNS w celu uzyskania dostępu do udziału plików platformy Azure za pośrednictwem prywatnego punktu końcowego. |
tworzenie konta magazynu w warstwie Standardowa wdrażanie |
Ten szablon tworzy konto magazynu w warstwie Standardowa |
tworzenie konta magazynu przy użyciu SSE wdrażanie |
Ten szablon tworzy konto magazynu z szyfrowaniem usługi Storage dla danych magazynowanych |
konto usługi Storage z usługą Advanced Threat Protection wdrażanie |
Ten szablon umożliwia wdrożenie konta usługi Azure Storage z włączoną usługą Advanced Threat Protection. |
Tworzenie konta usługi Azure Storage i kontenera obiektów blob na platformie Azure wdrażanie |
Ten szablon tworzy konto usługi Azure Storage i kontener obiektów blob. |
konto magazynu z zasadami przechowywania SSE i usuwania obiektów blob wdrażanie |
Ten szablon tworzy konto magazynu z szyfrowaniem usługi Storage i zasadami przechowywania usuwania obiektów blob |
szyfrowanie konta usługi Azure Storage przy użyciu klucza zarządzanego przez klienta wdrażanie |
Ten szablon wdraża konto magazynu z kluczem zarządzanym przez klienta na potrzeby szyfrowania wygenerowanego i umieszczonego w usłudze Key Vault. |
Tworzenie konta magazynu z udziałem plików wdrażanie |
Ten szablon tworzy konto usługi Azure Storage i udział plików. |
Tworzenie konta magazynu z wieloma kontenerami obiektów blob wdrażanie |
Tworzy konto usługi Azure Storage i wiele kontenerów obiektów blob. |
Tworzenie konta magazynu z wieloma udziałami plików wdrażanie |
Tworzy konto usługi Azure Storage i wiele udziałów plików. |
tworzenie konta magazynu z włączoną SFTP wdrażanie |
Tworzy konto usługi Azure Storage i kontener obiektów blob, do których można uzyskać dostęp przy użyciu protokołu SFTP. Dostęp może być oparty na hasłach lub kluczach publicznych. |
wdraża statyczną witrynę internetową wdrażanie |
Wdraża statyczną witrynę internetową przy użyciu konta magazynu zapasowego |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu storageAccounts można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Storage/storageAccounts, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Storage/storageAccounts@2023-05-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
accessTier = "string"
allowBlobPublicAccess = bool
allowCrossTenantReplication = bool
allowedCopyScope = "string"
allowSharedKeyAccess = bool
azureFilesIdentityBasedAuthentication = {
activeDirectoryProperties = {
accountType = "string"
azureStorageSid = "string"
domainGuid = "string"
domainName = "string"
domainSid = "string"
forestName = "string"
netBiosDomainName = "string"
samAccountName = "string"
}
defaultSharePermission = "string"
directoryServiceOptions = "string"
}
customDomain = {
name = "string"
useSubDomainName = bool
}
defaultToOAuthAuthentication = bool
dnsEndpointType = "string"
enableExtendedGroups = bool
encryption = {
identity = {
federatedIdentityClientId = "string"
userAssignedIdentity = "string"
}
keySource = "string"
keyvaultproperties = {
keyname = "string"
keyvaulturi = "string"
keyversion = "string"
}
requireInfrastructureEncryption = bool
services = {
blob = {
enabled = bool
keyType = "string"
}
file = {
enabled = bool
keyType = "string"
}
queue = {
enabled = bool
keyType = "string"
}
table = {
enabled = bool
keyType = "string"
}
}
}
immutableStorageWithVersioning = {
enabled = bool
immutabilityPolicy = {
allowProtectedAppendWrites = bool
immutabilityPeriodSinceCreationInDays = int
state = "string"
}
}
isHnsEnabled = bool
isLocalUserEnabled = bool
isNfsV3Enabled = bool
isSftpEnabled = bool
keyPolicy = {
keyExpirationPeriodInDays = int
}
largeFileSharesState = "string"
minimumTlsVersion = "string"
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
action = "Allow"
value = "string"
}
]
resourceAccessRules = [
{
resourceId = "string"
tenantId = "string"
}
]
virtualNetworkRules = [
{
action = "Allow"
id = "string"
state = "string"
}
]
}
publicNetworkAccess = "string"
routingPreference = {
publishInternetEndpoints = bool
publishMicrosoftEndpoints = bool
routingChoice = "string"
}
sasPolicy = {
expirationAction = "string"
sasExpirationPeriod = "string"
}
supportsHttpsTrafficOnly = bool
}
sku = {
name = "string"
}
kind = "string"
extendedLocation = {
name = "string"
type = "EdgeZone"
}
})
}
Wartości właściwości
storageAccounts
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ zasobu | "Microsoft.Storage/storageAccounts@2023-05-01" |
nazwa | Nazwa zasobu | ciąg (wymagany) Limit znaków: 3–24 Prawidłowe znaki: Małe litery i cyfry. Nazwa zasobu musi być unikatowa na platformie Azure. |
lokalizacja | Wymagane. Pobiera lub ustawia lokalizację zasobu. Będzie to jeden z obsługiwanych i zarejestrowanych regionów geograficznych platformy Azure (np. Zachodnie stany USA, Wschodnie stany USA, Azja Południowo-Wschodnia itp.). Nie można zmienić regionu geograficznego zasobu po jego utworzeniu, ale jeśli zostanie określony identyczny region geograficzny podczas aktualizacji, żądanie zakończy się pomyślnie. | ciąg (wymagany) |
parent_id | Aby wdrożyć w grupie zasobów, użyj identyfikatora tej grupy zasobów. | ciąg (wymagany) |
Tagi | Pobiera lub ustawia listę par klucz-wartość, które opisują zasób. Te tagi mogą służyć do wyświetlania i grupowania tego zasobu (między grupami zasobów). Dla zasobu można podać maksymalnie 15 tagów. Każdy tag musi mieć klucz o długości nie większej niż 128 znaków i wartości o długości nie większej niż 256 znaków. | Słownik nazw tagów i wartości. |
Numer jednostki magazynowej | Wymagane. Pobiera lub ustawia nazwę jednostki SKU. | sku (wymagane) |
rodzaj | Wymagane. Wskazuje typ konta magazynu. | "BlobStorage" "BlockBlobStorage" "FileStorage" "Magazyn" "StorageV2" (wymagany) |
extendedLocation | Fakultatywny. Ustaw rozszerzoną lokalizację zasobu. Jeśli nie zostanie ustawiona, konto magazynu zostanie utworzone w głównym regionie świadczenia usługi Azure. W przeciwnym razie zostanie utworzony w określonej lokalizacji rozszerzonej | ExtendedLocation |
tożsamość | Tożsamość zasobu. | Identity |
Właściwości | Parametry używane do tworzenia konta magazynu. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
Nazwa | Opis | Wartość |
---|---|---|
nazwa | Nazwa lokalizacji rozszerzonej. | struna |
typ | Typ lokalizacji rozszerzonej. | "EdgeZone" |
Tożsamość
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ tożsamości. | "SystemAssigned" "SystemAssigned,UserAssigned" "UserAssigned" (wymagane) |
identity_ids | Pobiera lub ustawia listę par klucz-wartość, które opisują zestaw tożsamości przypisanych przez użytkownika, które będą używane z tym kontem magazynu. Kluczem jest identyfikator zasobu usługi ARM tożsamości. W tym miejscu dozwolona jest tylko 1 tożsamość przypisana przez użytkownika. | Tablica identyfikatorów tożsamości użytkownika. |
IdentityUserAssignedIdentities
Nazwa | Opis | Wartość |
---|---|---|
{niestandardowa właściwość} | UserAssignedIdentity |
UserAssignedIdentity
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
Nazwa | Opis | Wartość |
---|---|---|
accessTier | Wymagane dla kont magazynu, gdzie rodzaj = BlobStorage. Warstwa dostępu jest używana do rozliczeń. Warstwa dostępu "Premium" jest wartością domyślną dla typu konta magazynu blokowych obiektów blob w warstwie Premium i nie można jej zmienić dla typu konta magazynu blokowych obiektów blob w warstwie Premium. | "Zimno" "Chłodna" "Gorąca" "Premium" |
allowBlobPublicAccess | Zezwalaj lub nie zezwalaj na publiczny dostęp do wszystkich obiektów blob lub kontenerów na koncie magazynu. Domyślna interpretacja jest fałszywa dla tej właściwości. | Bool |
allowCrossTenantReplication | Zezwalaj na replikację obiektów dzierżawy usługi AAD lub nie zezwalaj na nie. Ustaw tę właściwość na wartość true dla nowych lub istniejących kont tylko wtedy, gdy zasady replikacji obiektów będą obejmować konta magazynu w różnych dzierżawach usługi AAD. Domyślna interpretacja jest fałszywa dla nowych kont, aby domyślnie przestrzegać najlepszych rozwiązań w zakresie zabezpieczeń. | Bool |
allowedCopyScope | Ogranicz kopiowanie do i z kont magazynu w dzierżawie usługi AAD lub za pomocą linków prywatnych do tej samej sieci wirtualnej. | "AAD" "PrivateLink" |
allowSharedKeyAccess | Wskazuje, czy konto magazynu zezwala na autoryzację żądań przy użyciu klucza dostępu do konta za pośrednictwem klucza współużytkowanego. Jeśli wartość false, wszystkie żądania, w tym sygnatury dostępu współdzielonego, muszą być autoryzowane za pomocą usługi Azure Active Directory (Azure AD). Wartość domyślna to null, która jest równoważna wartości true. | Bool |
azureFilesIdentityBasedAuthentication | Udostępnia ustawienia uwierzytelniania opartego na tożsamościach dla usługi Azure Files. | AzureFilesIdentityBasedAuthentication |
customDomain | Domena użytkownika przypisana do konta magazynu. Nazwa to źródło CNAME. Obecnie na konto magazynu jest obsługiwana tylko jedna domena niestandardowa. Aby wyczyścić istniejącą domenę niestandardową, użyj pustego ciągu dla właściwości niestandardowej nazwy domeny. | |
defaultToOAuthentication | Flaga logiczna wskazująca, czy domyślne uwierzytelnianie to OAuth, czy nie. Domyślna interpretacja jest fałszywa dla tej właściwości. | Bool |
dnsEndpointType | Umożliwia określenie typu punktu końcowego. Ustaw tę wartość na wartość AzureDNSZone, aby utworzyć dużą liczbę kont w jednej subskrypcji, która tworzy konta w strefie DNS platformy Azure, a adres URL punktu końcowego będzie miał alfanumeryczny identyfikator strefy DNS. | "AzureDnsZone" "Standardowa" |
enableExtendedGroups | Włącza rozszerzoną obsługę grup z funkcją użytkowników lokalnych, jeśli ustawiono wartość true | Bool |
szyfrowanie | Ustawienia szyfrowania do użycia na potrzeby szyfrowania po stronie serwera dla konta magazynu. | Encryption |
niezmienneStorageWithVersioning | Właściwość jest niezmienna i może być ustawiona tylko na wartość true w czasie tworzenia konta. Po ustawieniu wartości true włącza niezmienność na poziomie obiektu dla wszystkich nowych kontenerów na koncie domyślnie. | |
isHnsEnabled | Ustawienie HierarchicalNamespace konta jest włączone, jeśli ustawiono wartość true. | Bool |
isLocalUserEnabled | Włącza funkcję użytkowników lokalnych, jeśli ustawiono wartość true | Bool |
isNfsV3Enabled | Obsługa protokołu NFS 3.0 jest włączona, jeśli ustawiono wartość true. | Bool |
isSftpEnabled | Włącza protokół bezpiecznego transferu plików, jeśli jest ustawiony na wartość true | Bool |
keyPolicy | KeyPolicy przypisana do konta magazynu. | KeyPolicy |
largeFileSharesState | Zezwalaj na duże udziały plików, jeśli zestawy mają wartość Włączone. Nie można go wyłączyć po jej włączeniu. | "Wyłączone" "Włączone" |
minimumTlsVersion | Ustaw minimalną wersję protokołu TLS, która ma być dozwolona dla żądań do magazynu. Domyślna interpretacja to TLS 1.0 dla tej właściwości. | "TLS1_0" "TLS1_1" "TLS1_2" "TLS1_3" |
networkAcls | Zestaw reguł sieci | NetworkRuleSet |
publicNetworkAccess | Zezwalaj, nie zezwalaj na konfigurację obwodu zabezpieczeń sieci lub zezwalaj na ocenę dostępu sieci publicznej do konta magazynu. Wartość jest opcjonalna, ale jeśli została przekazana, musi mieć wartość "Włączone", "Wyłączone" lub "SecuredByPerimeter". | "Wyłączone" "Włączone" "SecuredByPerimeter" |
routingPreference | Utrzymuje informacje o wybranym routingu sieciowym wybranym przez użytkownika na potrzeby transferu danych | RoutingPreference |
sasPolicy | Sygnatura dostępu współdzielonego przypisana do konta magazynu. | |
supportsHttpsTrafficOnly | Zezwala na ruch https tylko do usługi magazynu, jeśli ustawiono wartość true. Wartość domyślna jest prawdziwa od wersji interfejsu API 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
Nazwa | Opis | Wartość |
---|---|---|
activeDirectoryProperties | Wymagane, jeśli katalogServiceOptions to AD, opcjonalnie, jeśli są one AADKERB. | ActiveDirectoryProperties |
defaultSharePermission | Domyślne uprawnienia udziału dla użytkowników korzystających z uwierzytelniania Kerberos, jeśli rola RBAC nie jest przypisana. | "Brak" "StorageFileDataSmbShareContributor" "StorageFileDataSmbShareElevatedContributor" "StorageFileDataSmbShareReader" |
directoryServiceOptions | Wskazuje użytą usługę katalogową. Należy pamiętać, że wyliczenie może zostać rozszerzone w przyszłości. | "AADDS" "AADKERB" "AD" "Brak" (wymagane) |
ActiveDirectoryProperties
Nazwa | Opis | Wartość |
---|---|---|
accountType | Określa typ konta usługi Active Directory dla usługi Azure Storage. | "Komputer" "Użytkownik" |
azureStorageSid | Określa identyfikator zabezpieczeń (SID) dla usługi Azure Storage. | struna |
domainGuid | Określa identyfikator GUID domeny. | ciąg (wymagany) |
nazwa_domeny | Określa domenę podstawową, dla którego serwer DNS usługi AD jest autorytatywny. | ciąg (wymagany) |
domainSid | Określa identyfikator zabezpieczeń (SID). | struna |
forestName | Określa las usługi Active Directory do pobrania. | struna |
netBiosDomainName | Określa nazwę domeny NetBIOS. | struna |
samAccountName | Określa nazwę SAMAccountName usługi Active Directory dla usługi Azure Storage. | struna |
Domena niestandardowa
Nazwa | Opis | Wartość |
---|---|---|
nazwa | Pobiera lub ustawia niestandardową nazwę domeny przypisaną do konta magazynu. Nazwa to źródło CNAME. | ciąg (wymagany) |
useSubDomainName | Wskazuje, czy jest włączona weryfikacja pośredniego rekordu CName. Wartość domyślna to false. Należy to ustawić tylko w przypadku aktualizacji. | Bool |
Szyfrowanie
Nazwa | Opis | Wartość |
---|---|---|
tożsamość | Tożsamość, która ma być używana z szyfrowaniem po stronie usługi magazynowanych. | EncryptionIdentity |
keySource | Klucz szyfrowaniaŹródło (dostawca). Możliwe wartości (bez uwzględniania wielkości liter): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
keyvaultproperties | Właściwości udostępniane przez magazyn kluczy. | KeyVaultProperties |
requireInfrastructureEncryption | Wartość logiczna wskazująca, czy usługa stosuje dodatkową warstwę szyfrowania z kluczami zarządzanymi platformy dla danych magazynowanych. | Bool |
usługi | Lista usług, które obsługują szyfrowanie. | EncryptionServices |
EncryptionIdentity
Nazwa | Opis | Wartość |
---|---|---|
federatedIdentityClientId | ClientId aplikacji wielodostępnej, która ma być używana w połączeniu z tożsamością przypisaną przez użytkownika na potrzeby szyfrowania po stronie serwera kluczy zarządzanych przez klienta między dzierżawami na koncie magazynu. | struna |
userAssignedIdentity | Identyfikator zasobu tożsamości UserAssigned, który ma być skojarzony z szyfrowaniem po stronie serwera na koncie magazynu. | struna |
KeyVaultProperties
Nazwa | Opis | Wartość |
---|---|---|
nazwa klucza | Nazwa klucza usługi KeyVault. | struna |
keyvaulturi | Identyfikator URI usługi KeyVault. | struna |
keyversion | Wersja klucza usługi KeyVault. | struna |
EncryptionServices
Nazwa | Opis | Wartość |
---|---|---|
Blob | Funkcja szyfrowania usługi blob Storage. | EncryptionService |
plik | Funkcja szyfrowania usługi magazynu plików. | EncryptionService |
kolejka | Funkcja szyfrowania usługi queue storage. | EncryptionService |
stół | Funkcja szyfrowania usługi Table Storage. | EncryptionService |
EncryptionService
Nazwa | Opis | Wartość |
---|---|---|
Włączone | Wartość logiczna wskazująca, czy usługa szyfruje dane podczas ich przechowywania. Szyfrowanie magazynowane jest domyślnie włączone i nie można go wyłączyć. | Bool |
keyType | Typ klucza szyfrowania, który ma być używany dla usługi szyfrowania. Typ klucza "Konto" oznacza, że zostanie użyty klucz szyfrowania o zakresie konta. Typ klucza "Usługa" oznacza, że jest używany domyślny klucz usługi. | "Konto" "Usługa" |
NiezmienneKonto magazynu
Nazwa | Opis | Wartość |
---|---|---|
Włączone | Flaga logiczna, która umożliwia niezmienność na poziomie konta. Wszystkie kontenery w ramach takiego konta mają domyślnie włączoną niezmienność na poziomie obiektu. | Bool |
niezmiennośćPolicy | Określa domyślne zasady niezmienności na poziomie konta, które są dziedziczone i stosowane do obiektów, które nie mają jawnych zasad niezmienności na poziomie obiektu. Zasady niezmienności na poziomie obiektu mają wyższy priorytet niż zasady niezmienności na poziomie kontenera, które mają wyższy priorytet niż zasady niezmienności na poziomie konta. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
Nazwa | Opis | Wartość |
---|---|---|
allowProtectedAppendWrites | Tę właściwość można zmienić tylko dla wyłączonych i odblokowanych zasad przechowywania na podstawie czasu. Po włączeniu nowych bloków można zapisywać w uzupełnialnych obiektach blob przy zachowaniu niezmienności i zgodności. Można dodawać tylko nowe bloki i nie można modyfikować ani usuwać żadnych istniejących bloków. | Bool |
niezmiennośćPeriodSinceCreationInDays | Okres niezmienności obiektów blob w kontenerze od momentu utworzenia zasad w dniach. | Int Ograniczenia: Minimalna wartość = 1 Wartość maksymalna = 146000 |
stan | Stan ImmutabilityPolicy definiuje tryb zasad. Wyłączony stan wyłącza zasady, Stan odblokowany umożliwia zwiększenie i zmniejszenie czasu przechowywania niezmienności, a także umożliwia przełączenie właściwości allowProtectedAppendWrites, stan Zablokowany zezwala tylko na zwiększenie czasu przechowywania niezmienności. Zasady można utworzyć tylko w stanie Wyłączone lub Odblokowane i można je przełączać między dwoma stanami. Tylko zasady w stanie Odblokowane mogą przejść do stanu Zablokowane, którego nie można przywrócić. | "Wyłączone" "Zablokowane" "Odblokowano" |
KeyPolicy
Nazwa | Opis | Wartość |
---|---|---|
keyExpirationPeriodInDays | Okres wygaśnięcia klucza w dniach. | int (wymagane) |
NetworkRuleSet
Adres IPRule
Nazwa | Opis | Wartość |
---|---|---|
akcja | Akcja reguły listy ACL adresów IP. | "Zezwalaj" |
wartość | Określa adres IP lub zakres adresów IP w formacie CIDR. Dozwolony jest tylko adres IPV4. | ciąg (wymagany) |
ResourceAccessRule
Nazwa | Opis | Wartość |
---|---|---|
resourceId | Identyfikator zasobu | struna |
tenantId | Identyfikator dzierżawy | struna |
VirtualNetworkRule
Nazwa | Opis | Wartość |
---|---|---|
akcja | Akcja reguły sieci wirtualnej. | "Zezwalaj" |
id | Identyfikator zasobu podsieci, na przykład: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | ciąg (wymagany) |
stan | Pobiera stan reguły sieci wirtualnej. | "Anulowanie aprowizacji" "Niepowodzenie" "NetworkSourceDeleted" "Aprowizowanie" "Powodzenie" |
RoutingPreference
Nazwa | Opis | Wartość |
---|---|---|
publishInternetEndpoints | Flaga logiczna wskazująca, czy punkty końcowe magazynu routingu internetowego mają być publikowane | Bool |
publishMicrosoftEndpoints | Flaga logiczna wskazująca, czy punkty końcowe magazynu routingu firmy Microsoft mają być publikowane | Bool |
routingChoice | Wybór routingu definiuje rodzaj routingu sieciowego wybranego przez użytkownika. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
Nazwa | Opis | Wartość |
---|---|---|
expirationAction | Akcja wygaśnięcia sygnatury dostępu współdzielonego definiuje akcję, która ma być wykonywana, gdy naruszono element sasPolicy.sasExpirationPeriod. Akcja "Dziennik" może służyć do celów inspekcji, a akcja "Blokuj" może służyć do blokowania i odmowy użycia tokenów SAS, które nie są zgodne z okresem wygaśnięcia zasad sygnatury dostępu współdzielonego. | "Blokuj" "Dziennik" (wymagany) |
sasExpirationPeriod | Okres wygaśnięcia sygnatury dostępu współdzielonego DD.HH:MM:SS. | ciąg (wymagany) |
Numer jednostki magazynowej
Nazwa | Opis | Wartość |
---|---|---|
nazwa | Nazwa jednostki SKU. Wymagane do utworzenia konta; opcjonalnie do aktualizacji. Należy pamiętać, że w starszych wersjach nazwa jednostki SKU nosiła nazwę accountType. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (wymagane) |