Compartilhar via


Cofres Microsoft.KeyVault 2020-04-01-preview

Observações

Para obter diretrizes sobre como usar cofres de chaves para valores seguros, consulte Gerenciar segredos usando o Bicep.

Para obter um início rápido sobre como criar um segredo, consulte Início Rápido: Definir e recuperar um segredo do Azure Key Vault usando um modelo do ARM.

Para obter um início rápido sobre como criar uma chave, consulte Início Rápido: Criar um cofre de chaves do Azure e uma chave usando o modelo do ARM.

Definição de recurso do Bicep

O tipo de recurso de cofres pode ser implantado com operações direcionadas:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.

Formato de recurso

Para criar um recurso Microsoft.KeyVault/vaults, adicione o Bicep a seguir ao seu modelo.

resource symbolicname 'Microsoft.KeyVault/vaults@2020-04-01-preview' = {
  location: 'string'
  name: 'string'
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    sku: {
      family: 'string'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
  tags: {
    {customized property}: 'string'
  }
}

Valores de propriedade

AccessPolicyEntry

Nome Descrição Valor
applicationId ID do aplicativo do cliente que está fazendo solicitação em nome de uma entidade de segurança corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId A ID de objeto de um usuário, entidade de serviço ou grupo de segurança no locatário do Azure Active Directory para o cofre. A ID do objeto deve ser exclusiva para a lista de políticas de acesso. cadeia de caracteres (obrigatório)
Permissões Permissões que a identidade tem para chaves, segredos e certificados. permissões (obrigatório)
tenantId A ID do locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obrigatório)

IPRule

Nome Descrição Valor
valor Um intervalo de endereços IPv4 na notação CIDR, como '124.56.78.91' (endereço IP simples) ou '124.56.78.0/24' (todos os endereços que começam com 124.56.78). cadeia de caracteres (obrigatório)

Microsoft.KeyVault/vaults

Nome Descrição Valor
localização O local do Azure com suporte onde o cofre de chaves deve ser criado. cadeia de caracteres (obrigatório)
nome O nome do recurso corda

Restrições:
Padrão = ^[a-zA-Z0-9-]{3,24}$ (obrigatório)
Propriedades Propriedades do cofre VaultProperties (obrigatório)
Tags Marcas de recurso Dicionário de nomes e valores de marca. Consulte Marcas em modelos

NetworkRuleSet

Nome Descrição Valor
contornar Informa o que o tráfego pode ignorar as regras de rede. Isso pode ser 'AzureServices' ou 'None'. Se não for especificado, o padrão será 'AzureServices'. 'AzureServices'
'None'
defaultAction A ação padrão quando nenhuma regra de ipRules e de virtualNetworkRules corresponder. Isso só é usado depois que a propriedade bypass é avaliada. 'Permitir'
'Negar'
ipRules A lista de regras de endereço IP. IPRule []
virtualNetworkRules A lista de regras de rede virtual. VirtualNetworkRule[]

Permissões

Nome Descrição Valor
Certificados Permissões para certificados Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'importar'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'limpar'
'recuperar'
'restore'
'setissuers'
'update'
Chaves Permissões para chaves Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'create'
'descriptografar'
'delete'
'encrypt'
'get'
'importar'
'list'
'limpar'
'recuperar'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
Segredos Permissões para segredos Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'delete'
'get'
'list'
'limpar'
'recuperar'
'restore'
'set'
armazenamento Permissões para contas de armazenamento Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'limpar'
'recuperar'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

Sku

Nome Descrição Valor
família Nome da família SKU 'A' (obrigatório)
nome Nome da SKU para especificar se o cofre de chaves é um cofre padrão ou um cofre Premium. 'premium'
'standard' (obrigatório)

VaultCreateOrUpdateParametersTags

Nome Descrição Valor

VaultProperties

Nome Descrição Valor
accessPolicies Uma matriz de 0 a 1024 identidades que têm acesso ao cofre de chaves. Todas as identidades na matriz devem usar a mesma ID de locatário que a ID do locatário do cofre de chaves. Quando createMode é definido como recover, as políticas de acesso não são necessárias. Caso contrário, as políticas de acesso são necessárias. AccessPolicyEntry[]
createMode O modo de criação do cofre para indicar se o cofre precisa ser recuperado ou não. 'default'
'recuperar'
enabledForDeployment Propriedade para especificar se as Máquinas Virtuais do Azure têm permissão para recuperar certificados armazenados como segredos do cofre de chaves. Bool
enabledForDiskEncryption Propriedade para especificar se o Azure Disk Encryption tem permissão para recuperar segredos do cofre e desembrulhar chaves. Bool
enabledForTemplateDeployment Propriedade para especificar se o Azure Resource Manager tem permissão para recuperar segredos do cofre de chaves. Bool
enablePurgeProtection Propriedade que especifica se a proteção contra limpeza está habilitada para esse cofre. Definir essa propriedade como true ativa a proteção contra limpeza para esse cofre e seu conteúdo – somente o serviço do Key Vault pode iniciar uma exclusão dura e irrecuperável. A configuração só será efetiva se a exclusão reversível também estiver habilitada. Habilitar essa funcionalidade é irreversível, ou seja, a propriedade não aceita false como seu valor. Bool
enableRbacAuthorization Propriedade que controla como as ações de dados são autorizadas. Quando verdadeiro, o cofre de chaves usará o RBAC (Controle de Acesso Baseado em Função) para autorização de ações de dados e as políticas de acesso especificadas nas propriedades do cofre serão ignoradas. Quando false, o cofre de chaves usará as políticas de acesso especificadas nas propriedades do cofre e qualquer política armazenada no Azure Resource Manager será ignorada. Se for nulo ou não especificado, o cofre será criado com o valor padrão de false. Observe que as ações de gerenciamento são sempre autorizadas com RBAC. Bool
enableSoftDelete Propriedade para especificar se a funcionalidade de "exclusão reversível" está habilitada para esse cofre de chaves. Se ele não estiver definido como nenhum valor (verdadeiro ou falso) ao criar um novo cofre de chaves, ele será definido como true por padrão. Uma vez definido como true, ele não pode ser revertido para false. Bool
networkAcls Regras que regem a acessibilidade do cofre de chaves de locais de rede específicos. NetworkRuleSet
provisioningState Estado de provisionamento do cofre. 'RegisteringDns'
'Bem-sucedido'
Sku Detalhes da SKU de SKU (obrigatório)
softDeleteRetentionInDays dias de retenção de dados softDelete. Ele aceita >=7 e <=90. int
tenantId A ID do locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obrigatório)
vaultUri O URI do cofre para executar operações em chaves e segredos. corda

VirtualNetworkRule

Nome Descrição Valor
id ID de recurso completa de uma sub-rede de rede virtual, como '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. cadeia de caracteres (obrigatório)
ignoreMissingVnetServiceEndpoint Propriedade para especificar se o NRP ignorará a verificação se a sub-rede pai tem serviceEndpoints configurados. Bool

Exemplos de início rápido

Os exemplos de início rápido a seguir implantam esse tipo de recurso.

Arquivo Bicep Descrição
cluster do AKS com um Gateway nat e um gateway de aplicativo Este exemplo mostra como implantar um cluster do AKS com o Gateway de NAT para conexões de saída e um Gateway de Aplicativo para conexões de entrada.
cluster do AKS com o Controlador de Entrada do Gateway de Aplicativo Este exemplo mostra como implantar um cluster do AKS com o Gateway de Aplicativo, o Controlador de Entrada do Gateway de Aplicativo, o Registro de Contêiner do Azure, o Log Analytics e o Key Vault
Gateway de Aplicativo com gerenciamento de API interno e de aplicativo Web Gateway de Aplicativo roteando o tráfego da Internet para uma instância de Gerenciamento de API de rede virtual (modo interno), que atende a uma API Web hospedada em um Aplicativo Web do Azure.
configuração básica do Azure AI Studio Esse conjunto de modelos demonstra como configurar o Azure AI Studio com a configuração básica, ou seja, com acesso à Internet público habilitado, chaves gerenciadas pela Microsoft para criptografia e configuração de identidade gerenciada pela Microsoft para o recurso de IA.
configuração básica do Azure AI Studio Esse conjunto de modelos demonstra como configurar o Azure AI Studio com a configuração básica, ou seja, com acesso à Internet público habilitado, chaves gerenciadas pela Microsoft para criptografia e configuração de identidade gerenciada pela Microsoft para o recurso de IA.
configuração básica do Azure AI Studio Esse conjunto de modelos demonstra como configurar o Azure AI Studio com a configuração básica, ou seja, com acesso à Internet público habilitado, chaves gerenciadas pela Microsoft para criptografia e configuração de identidade gerenciada pela Microsoft para o recurso de IA.
restrito de rede do Azure AI Studio Esse conjunto de modelos demonstra como configurar o Azure AI Studio com o link privado e a saída desabilitados, usando chaves gerenciadas pela Microsoft para criptografia e configuração de identidade gerenciada pela Microsoft para o recurso de IA.
restrito de rede do Azure AI Studio Esse conjunto de modelos demonstra como configurar o Azure AI Studio com o link privado e a saída desabilitados, usando chaves gerenciadas pela Microsoft para criptografia e configuração de identidade gerenciada pela Microsoft para o recurso de IA.
Azure AI Studio com o Microsoft Entra ID Authentication Esse conjunto de modelos demonstra como configurar o Azure AI Studio com a autenticação de ID do Microsoft Entra para recursos dependentes, como os Serviços de IA do Azure e o Armazenamento do Azure.
aplicativo de funções do Azure e uma função disparada por HTTP Este exemplo implanta um aplicativo de funções do Azure e uma função disparada por HTTP embutida no modelo. Ele também implanta um Key Vault e preenche um segredo com a chave de host do aplicativo de funções.
configuração segura de ponta a ponta do Azure Machine Learning Esse conjunto de modelos do Bicep demonstra como configurar o Azure Machine Learning de ponta a ponta em uma configuração segura. Essa implementação de referência inclui o Workspace, um cluster de computação, uma instância de computação e um cluster do AKS privado anexado.
configuração segura de ponta a ponta do Azure Machine Learning (herdada) Esse conjunto de modelos do Bicep demonstra como configurar o Azure Machine Learning de ponta a ponta em uma configuração segura. Essa implementação de referência inclui o Workspace, um cluster de computação, uma instância de computação e um cluster do AKS privado anexado.
a Criptografia da Conta de Armazenamento do Azure com de chave gerenciada pelo cliente Esse modelo implanta uma conta de armazenamento com uma chave gerenciada pelo cliente para criptografia gerada e colocada dentro de um Key Vault.
criar um Key Vault e uma lista de segredos Esse modelo cria um Key Vault e uma lista de segredos dentro do cofre de chaves, conforme passado junto com os parâmetros
Criar um destino de computação do AKS com um endereço IP privado Esse modelo cria um destino de computação do AKS em determinado workspace de serviço do Azure Machine Learning com um endereço IP privado.
Criar um serviço de Gerenciamento de API com SSL do KeyVault Esse modelo implanta um serviço de Gerenciamento de API configurado com a Identidade Atribuída pelo Usuário. Ele usa essa identidade para buscar o certificado SSL do KeyVault e o mantém atualizado verificando a cada 4 horas.
criar um Azure Key Vault e um secreto Esse modelo cria um Azure Key Vault e um segredo.
criar um Azure Key Vault com RBAC e um secreto Esse modelo cria um Azure Key Vault e um segredo. Em vez de depender de políticas de acesso, ele aproveita o RBAC do Azure para gerenciar a autorização em segredos
Criar um workspace do serviço do Azure Machine Learning Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo o Azure Key Vault, o Armazenamento do Azure, o Azure Application Insights e o Registro de Contêiner do Azure. Essa configuração descreve o conjunto mínimo de recursos necessários para começar a usar o Azure Machine Learning.
Criar um CMK (workspace do serviço do Azure Machine Learning) Este modelo de implantação especifica como criar um workspace do Azure Machine Learning com criptografia do lado do serviço usando suas chaves de criptografia.
Criar um CMK (workspace do serviço do Azure Machine Learning) Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo o Azure Key Vault, o Armazenamento do Azure, o Azure Application Insights e o Registro de Contêiner do Azure. O exemplo mostra como configurar o Azure Machine Learning para criptografia com uma chave de criptografia gerenciada pelo cliente.
Criar um workspace do serviço do Azure Machine Learning (herdado) Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo o Azure Key Vault, o Armazenamento do Azure, o Azure Application Insights e o Registro de Contêiner do Azure. Essa configuração descreve o conjunto de recursos necessários para começar a usar o Azure Machine Learning em uma configuração isolada de rede.
Criar um workspace do serviço do Azure Machine Learning (vnet) Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo o Azure Key Vault, o Armazenamento do Azure, o Azure Application Insights e o Registro de Contêiner do Azure. Essa configuração descreve o conjunto de recursos necessários para começar a usar o Azure Machine Learning em uma configuração isolada de rede.
Criar Gateway de Aplicativo com certificados Este modelo mostra como gerar certificados autoassinados do Key Vault e, em seguida, fazer referência do Gateway de Aplicativo.
criar o Key Vault com o registro em log habilitado Esse modelo cria um Azure Key Vault e uma conta de Armazenamento do Azure que é usada para registro em log. Opcionalmente, ele cria bloqueios de recursos para proteger o Key Vault e os recursos de armazenamento.
Criar cofre de chaves, identidade gerenciada e atribuição de função Esse modelo cria um cofre de chaves, uma identidade gerenciada e uma atribuição de função.
cria um recurso de ponto de extremidade privado entre locatários Esse modelo permite que você crie um recurso de ponto de extremidade priavate no mesmo ambiente ou entre locatários e adicione a configuração de zona dns.
Cria um aplicativo dapr pub-sub servicebus usando aplicativos de contêiner Crie um aplicativo dapr pub-sub servicebus usando Aplicativos de Contêiner.
implantar o Azure AI Studio seguro com uma rede virtual gerenciada Esse modelo cria um ambiente seguro do Azure AI Studio com restrições robustas de segurança de identidade e de rede.
implantar a Análise Esportiva no de Arquitetura do Azure Cria uma conta de armazenamento do Azure com o ADLS Gen 2 habilitado, uma instância do Azure Data Factory com serviços vinculados para a conta de armazenamento (um Banco de Dados SQL do Azure, se implantado) e uma instância do Azure Databricks. A identidade do AAD para o usuário que implanta o modelo e a identidade gerenciada para a instância do ADF receberá a função colaborador de dados de blob de armazenamento na conta de armazenamento. Também há opções para implantar uma instância do Azure Key Vault, um Banco de Dados SQL do Azure e um Hub de Eventos do Azure (para casos de uso de streaming). Quando um Azure Key Vault é implantado, a identidade gerenciada do data factory e a identidade do AAD para o usuário que implanta o modelo receberão a função de Usuário de Segredos do Key Vault.
do hub FinOps Esse modelo cria uma nova instância do hub FinOps, incluindo o Data Lake Storage e um Data Factory.
Ambiente de teste de para o Firewall do Azure Premium Este modelo cria um Firewall do Azure Premium e uma Política de Firewall com recursos premium, como IDPS (Detecção de Inspeção de Intrusão), inspeção do TLS e filtragem de Categoria da Web

Definição de recurso de modelo do ARM

O tipo de recurso de cofres pode ser implantado com operações direcionadas:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.

Formato de recurso

Para criar um recurso Microsoft.KeyVault/vaults, adicione o JSON a seguir ao modelo.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2020-04-01-preview",
  "name": "string",
  "location": "string",
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "sku": {
      "family": "string",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  },
  "tags": {
    "{customized property}": "string"
  }
}

Valores de propriedade

AccessPolicyEntry

Nome Descrição Valor
applicationId ID do aplicativo do cliente que está fazendo solicitação em nome de uma entidade de segurança corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId A ID de objeto de um usuário, entidade de serviço ou grupo de segurança no locatário do Azure Active Directory para o cofre. A ID do objeto deve ser exclusiva para a lista de políticas de acesso. cadeia de caracteres (obrigatório)
Permissões Permissões que a identidade tem para chaves, segredos e certificados. permissões (obrigatório)
tenantId A ID do locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obrigatório)

IPRule

Nome Descrição Valor
valor Um intervalo de endereços IPv4 na notação CIDR, como '124.56.78.91' (endereço IP simples) ou '124.56.78.0/24' (todos os endereços que começam com 124.56.78). cadeia de caracteres (obrigatório)

Microsoft.KeyVault/vaults

Nome Descrição Valor
apiVersion A versão da API '2020-04-01-preview'
localização O local do Azure com suporte onde o cofre de chaves deve ser criado. cadeia de caracteres (obrigatório)
nome O nome do recurso corda

Restrições:
Padrão = ^[a-zA-Z0-9-]{3,24}$ (obrigatório)
Propriedades Propriedades do cofre VaultProperties (obrigatório)
Tags Marcas de recurso Dicionário de nomes e valores de marca. Consulte Marcas em modelos
tipo O tipo de recurso 'Microsoft.KeyVault/vaults'

NetworkRuleSet

Nome Descrição Valor
contornar Informa o que o tráfego pode ignorar as regras de rede. Isso pode ser 'AzureServices' ou 'None'. Se não for especificado, o padrão será 'AzureServices'. 'AzureServices'
'None'
defaultAction A ação padrão quando nenhuma regra de ipRules e de virtualNetworkRules corresponder. Isso só é usado depois que a propriedade bypass é avaliada. 'Permitir'
'Negar'
ipRules A lista de regras de endereço IP. IPRule []
virtualNetworkRules A lista de regras de rede virtual. VirtualNetworkRule[]

Permissões

Nome Descrição Valor
Certificados Permissões para certificados Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'importar'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'limpar'
'recuperar'
'restore'
'setissuers'
'update'
Chaves Permissões para chaves Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'create'
'descriptografar'
'delete'
'encrypt'
'get'
'importar'
'list'
'limpar'
'recuperar'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
Segredos Permissões para segredos Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'delete'
'get'
'list'
'limpar'
'recuperar'
'restore'
'set'
armazenamento Permissões para contas de armazenamento Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'limpar'
'recuperar'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

Sku

Nome Descrição Valor
família Nome da família SKU 'A' (obrigatório)
nome Nome da SKU para especificar se o cofre de chaves é um cofre padrão ou um cofre Premium. 'premium'
'standard' (obrigatório)

VaultCreateOrUpdateParametersTags

Nome Descrição Valor

VaultProperties

Nome Descrição Valor
accessPolicies Uma matriz de 0 a 1024 identidades que têm acesso ao cofre de chaves. Todas as identidades na matriz devem usar a mesma ID de locatário que a ID do locatário do cofre de chaves. Quando createMode é definido como recover, as políticas de acesso não são necessárias. Caso contrário, as políticas de acesso são necessárias. AccessPolicyEntry[]
createMode O modo de criação do cofre para indicar se o cofre precisa ser recuperado ou não. 'default'
'recuperar'
enabledForDeployment Propriedade para especificar se as Máquinas Virtuais do Azure têm permissão para recuperar certificados armazenados como segredos do cofre de chaves. Bool
enabledForDiskEncryption Propriedade para especificar se o Azure Disk Encryption tem permissão para recuperar segredos do cofre e desembrulhar chaves. Bool
enabledForTemplateDeployment Propriedade para especificar se o Azure Resource Manager tem permissão para recuperar segredos do cofre de chaves. Bool
enablePurgeProtection Propriedade que especifica se a proteção contra limpeza está habilitada para esse cofre. Definir essa propriedade como true ativa a proteção contra limpeza para esse cofre e seu conteúdo – somente o serviço do Key Vault pode iniciar uma exclusão dura e irrecuperável. A configuração só será efetiva se a exclusão reversível também estiver habilitada. Habilitar essa funcionalidade é irreversível, ou seja, a propriedade não aceita false como seu valor. Bool
enableRbacAuthorization Propriedade que controla como as ações de dados são autorizadas. Quando verdadeiro, o cofre de chaves usará o RBAC (Controle de Acesso Baseado em Função) para autorização de ações de dados e as políticas de acesso especificadas nas propriedades do cofre serão ignoradas. Quando false, o cofre de chaves usará as políticas de acesso especificadas nas propriedades do cofre e qualquer política armazenada no Azure Resource Manager será ignorada. Se for nulo ou não especificado, o cofre será criado com o valor padrão de false. Observe que as ações de gerenciamento são sempre autorizadas com RBAC. Bool
enableSoftDelete Propriedade para especificar se a funcionalidade de "exclusão reversível" está habilitada para esse cofre de chaves. Se ele não estiver definido como nenhum valor (verdadeiro ou falso) ao criar um novo cofre de chaves, ele será definido como true por padrão. Uma vez definido como true, ele não pode ser revertido para false. Bool
networkAcls Regras que regem a acessibilidade do cofre de chaves de locais de rede específicos. NetworkRuleSet
provisioningState Estado de provisionamento do cofre. 'RegisteringDns'
'Bem-sucedido'
Sku Detalhes da SKU de SKU (obrigatório)
softDeleteRetentionInDays dias de retenção de dados softDelete. Ele aceita >=7 e <=90. int
tenantId A ID do locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obrigatório)
vaultUri O URI do cofre para executar operações em chaves e segredos. corda

VirtualNetworkRule

Nome Descrição Valor
id ID de recurso completa de uma sub-rede de rede virtual, como '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. cadeia de caracteres (obrigatório)
ignoreMissingVnetServiceEndpoint Propriedade para especificar se o NRP ignorará a verificação se a sub-rede pai tem serviceEndpoints configurados. Bool

Modelos de início rápido

Os modelos de início rápido a seguir implantam esse tipo de recurso.

Modelo Descrição
cluster do AKS com um Gateway nat e um gateway de aplicativo

Implantar no Azure
Este exemplo mostra como implantar um cluster do AKS com o Gateway de NAT para conexões de saída e um Gateway de Aplicativo para conexões de entrada.
cluster do AKS com o Controlador de Entrada do Gateway de Aplicativo

Implantar no Azure
Este exemplo mostra como implantar um cluster do AKS com o Gateway de Aplicativo, o Controlador de Entrada do Gateway de Aplicativo, o Registro de Contêiner do Azure, o Log Analytics e o Key Vault
Ambiente do Serviço de Aplicativo com o back-end do SQL do Azure

Implantar no Azure
Esse modelo cria um Ambiente do Serviço de Aplicativo com um back-end do SQL do Azure junto com pontos de extremidade privados, juntamente com recursos associados normalmente usados em um ambiente privado/isolado.
Gateway de Aplicativo com gerenciamento de API interno e de aplicativo Web

Implantar no Azure
Gateway de Aplicativo roteando o tráfego da Internet para uma instância de Gerenciamento de API de rede virtual (modo interno), que atende a uma API Web hospedada em um Aplicativo Web do Azure.
configuração básica do Azure AI Studio

Implantar no Azure
Esse conjunto de modelos demonstra como configurar o Azure AI Studio com a configuração básica, ou seja, com acesso à Internet público habilitado, chaves gerenciadas pela Microsoft para criptografia e configuração de identidade gerenciada pela Microsoft para o recurso de IA.
configuração básica do Azure AI Studio

Implantar no Azure
Esse conjunto de modelos demonstra como configurar o Azure AI Studio com a configuração básica, ou seja, com acesso à Internet público habilitado, chaves gerenciadas pela Microsoft para criptografia e configuração de identidade gerenciada pela Microsoft para o recurso de IA.
configuração básica do Azure AI Studio

Implantar no Azure
Esse conjunto de modelos demonstra como configurar o Azure AI Studio com a configuração básica, ou seja, com acesso à Internet público habilitado, chaves gerenciadas pela Microsoft para criptografia e configuração de identidade gerenciada pela Microsoft para o recurso de IA.
restrito de rede do Azure AI Studio

Implantar no Azure
Esse conjunto de modelos demonstra como configurar o Azure AI Studio com o link privado e a saída desabilitados, usando chaves gerenciadas pela Microsoft para criptografia e configuração de identidade gerenciada pela Microsoft para o recurso de IA.
restrito de rede do Azure AI Studio

Implantar no Azure
Esse conjunto de modelos demonstra como configurar o Azure AI Studio com o link privado e a saída desabilitados, usando chaves gerenciadas pela Microsoft para criptografia e configuração de identidade gerenciada pela Microsoft para o recurso de IA.
Azure AI Studio com o Microsoft Entra ID Authentication

Implantar no Azure
Esse conjunto de modelos demonstra como configurar o Azure AI Studio com a autenticação de ID do Microsoft Entra para recursos dependentes, como os Serviços de IA do Azure e o Armazenamento do Azure.
aplicativo de funções do Azure e uma função disparada por HTTP

Implantar no Azure
Este exemplo implanta um aplicativo de funções do Azure e uma função disparada por HTTP embutida no modelo. Ele também implanta um Key Vault e preenche um segredo com a chave de host do aplicativo de funções.
configuração segura de ponta a ponta do Azure Machine Learning

Implantar no Azure
Esse conjunto de modelos do Bicep demonstra como configurar o Azure Machine Learning de ponta a ponta em uma configuração segura. Essa implementação de referência inclui o Workspace, um cluster de computação, uma instância de computação e um cluster do AKS privado anexado.
configuração segura de ponta a ponta do Azure Machine Learning (herdada)

Implantar no Azure
Esse conjunto de modelos do Bicep demonstra como configurar o Azure Machine Learning de ponta a ponta em uma configuração segura. Essa implementação de referência inclui o Workspace, um cluster de computação, uma instância de computação e um cluster do AKS privado anexado.
workspace do Azure Machine Learning

Implantar no Azure
Este modelo cria um novo Workspace do Azure Machine Learning, juntamente com uma conta de armazenamento criptografada, keyvault e log do Applications Insights
a Criptografia da Conta de Armazenamento do Azure com de chave gerenciada pelo cliente

Implantar no Azure
Esse modelo implanta uma conta de armazenamento com uma chave gerenciada pelo cliente para criptografia gerada e colocada dentro de um Key Vault.
Conectar-se a um Key Vault por meio de de ponto de extremidade privado

Implantar no Azure
Este exemplo mostra como usar a configuração de uma rede virtual e uma zona DNS privada para acessar o Key Vault por meio do ponto de extremidade privado.
criar um Key Vault e uma lista de segredos

Implantar no Azure
Esse modelo cria um Key Vault e uma lista de segredos dentro do cofre de chaves, conforme passado junto com os parâmetros
criar um KeyVault

Implantar no Azure
Este módulo cria um recurso KeyVault com apiVersion 2019-09-01.
Criar uma nova VM do Windows criptografada com base na imagem da galeria

Implantar no Azure
Esse modelo cria uma nova VM do Windows criptografada usando a imagem da galeria do servidor 2k12.
criar um cluster AKS privado com uma zona DNS pública

Implantar no Azure
Este exemplo mostra como implantar um cluster do AKS privado com uma Zona DNS Pública.
Criar workspace AML com vários conjuntos de dados &

Implantar no Azure
Esse modelo cria o workspace do Azure Machine Learning com vários conjuntos de dados & armazenamentos de dados.
Criar um destino de computação do AKS com um endereço IP privado

Implantar no Azure
Esse modelo cria um destino de computação do AKS em determinado workspace de serviço do Azure Machine Learning com um endereço IP privado.
Criar um serviço de Gerenciamento de API com SSL do KeyVault

Implantar no Azure
Esse modelo implanta um serviço de Gerenciamento de API configurado com a Identidade Atribuída pelo Usuário. Ele usa essa identidade para buscar o certificado SSL do KeyVault e o mantém atualizado verificando a cada 4 horas.
criar um Gateway de Aplicativo V2 com o Key Vault

Implantar no Azure
Este modelo implanta um Gateway de Aplicativo V2 em uma Rede Virtual, uma identidade definida pelo usuário, Key Vault, um segredo (dados de certificado) e uma política de acesso no Key Vault e no Gateway de Aplicativo.
criar um Azure Key Vault e um secreto

Implantar no Azure
Esse modelo cria um Azure Key Vault e um segredo.
criar um Azure Key Vault com RBAC e um secreto

Implantar no Azure
Esse modelo cria um Azure Key Vault e um segredo. Em vez de depender de políticas de acesso, ele aproveita o RBAC do Azure para gerenciar a autorização em segredos
Criar um workspace do serviço do Azure Machine Learning

Implantar no Azure
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo o Azure Key Vault, o Armazenamento do Azure, o Azure Application Insights e o Registro de Contêiner do Azure. Essa configuração descreve o conjunto mínimo de recursos necessários para começar a usar o Azure Machine Learning.
Criar um CMK (workspace do serviço do Azure Machine Learning)

Implantar no Azure
Este modelo de implantação especifica como criar um workspace do Azure Machine Learning com criptografia do lado do serviço usando suas chaves de criptografia.
Criar um CMK (workspace do serviço do Azure Machine Learning)

Implantar no Azure
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo o Azure Key Vault, o Armazenamento do Azure, o Azure Application Insights e o Registro de Contêiner do Azure. O exemplo mostra como configurar o Azure Machine Learning para criptografia com uma chave de criptografia gerenciada pelo cliente.
Criar um workspace do serviço do Azure Machine Learning (herdado)

Implantar no Azure
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo o Azure Key Vault, o Armazenamento do Azure, o Azure Application Insights e o Registro de Contêiner do Azure. Essa configuração descreve o conjunto de recursos necessários para começar a usar o Azure Machine Learning em uma configuração isolada de rede.
Criar um workspace do serviço do Azure Machine Learning (vnet)

Implantar no Azure
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo o Azure Key Vault, o Armazenamento do Azure, o Azure Application Insights e o Registro de Contêiner do Azure. Essa configuração descreve o conjunto de recursos necessários para começar a usar o Azure Machine Learning em uma configuração isolada de rede.
Criar e criptografar um novo VMSS do Windows com o jumpbox

Implantar no Azure
Esse modelo permite implantar um conjunto de dimensionamento de VM simples de VMs do Windows usando a versão mais recente corrigida das versões do Windows serveral. Esse modelo também implanta um jumpbox com um endereço IP público na mesma rede virtual. Você pode se conectar ao jumpbox por meio desse endereço IP público e, em seguida, conectar-se a ela a VMs no conjunto de dimensionamento por meio de endereços IP privados. Esse modelo habilita a criptografia no Conjunto de Dimensionamento de VMs do Windows.
Criar Gateway de Aplicativo com certificados

Implantar no Azure
Este modelo mostra como gerar certificados autoassinados do Key Vault e, em seguida, fazer referência do Gateway de Aplicativo.
criar o Key Vault com o registro em log habilitado

Implantar no Azure
Esse modelo cria um Azure Key Vault e uma conta de Armazenamento do Azure que é usada para registro em log. Opcionalmente, ele cria bloqueios de recursos para proteger o Key Vault e os recursos de armazenamento.
Criar cofre de chaves, identidade gerenciada e atribuição de função

Implantar no Azure
Esse modelo cria um cofre de chaves, uma identidade gerenciada e uma atribuição de função.
Criar novos discos gerenciados criptografados win-vm da imagem da galeria

Implantar no Azure
Esse modelo cria uma nova VM do Windows de discos gerenciados criptografados usando a imagem da galeria do servidor 2k12.
cria um recurso de ponto de extremidade privado entre locatários

Implantar no Azure
Esse modelo permite que você crie um recurso de ponto de extremidade priavate no mesmo ambiente ou entre locatários e adicione a configuração de zona dns.
Cria um aplicativo dapr pub-sub servicebus usando aplicativos de contêiner

Implantar no Azure
Crie um aplicativo dapr pub-sub servicebus usando Aplicativos de Contêiner.
cria um cluster do Azure Stack HCI 23H2

Implantar no Azure
Este modelo cria um cluster do Azure Stack HCI 23H2 usando um modelo do ARM usando o IP de armazenamento personalizado
cria um cluster do Azure Stack HCI 23H2

Implantar no Azure
Esse modelo cria um cluster Azure Stack HCI 23H2 usando um modelo do ARM.
cria um cluster do Azure Stack HCI 23H2 no modo de rede de link duplo sem alternância

Implantar no Azure
Esse modelo cria um cluster Azure Stack HCI 23H2 usando um modelo do ARM.
cria um cluster do Azure Stack HCI 23H2 no modo de rede Switchless-SingleLink

Implantar no Azure
Esse modelo cria um cluster Azure Stack HCI 23H2 usando um modelo do ARM.
implantar o Azure AI Studio seguro com uma rede virtual gerenciada

Implantar no Azure
Esse modelo cria um ambiente seguro do Azure AI Studio com restrições robustas de segurança de identidade e de rede.
implantar a Análise Esportiva no de Arquitetura do Azure

Implantar no Azure
Cria uma conta de armazenamento do Azure com o ADLS Gen 2 habilitado, uma instância do Azure Data Factory com serviços vinculados para a conta de armazenamento (um Banco de Dados SQL do Azure, se implantado) e uma instância do Azure Databricks. A identidade do AAD para o usuário que implanta o modelo e a identidade gerenciada para a instância do ADF receberá a função colaborador de dados de blob de armazenamento na conta de armazenamento. Também há opções para implantar uma instância do Azure Key Vault, um Banco de Dados SQL do Azure e um Hub de Eventos do Azure (para casos de uso de streaming). Quando um Azure Key Vault é implantado, a identidade gerenciada do data factory e a identidade do AAD para o usuário que implanta o modelo receberão a função de Usuário de Segredos do Key Vault.
Habilitar criptografia em uma VM do Windows em execução

Implantar no Azure
Esse modelo habilita a criptografia em uma VM do Windows em execução.
do hub FinOps

Implantar no Azure
Esse modelo cria uma nova instância do hub FinOps, incluindo o Data Lake Storage e um Data Factory.
Ambiente de teste de para o Firewall do Azure Premium

Implantar no Azure
Este modelo cria um Firewall do Azure Premium e uma Política de Firewall com recursos premium, como IDPS (Detecção de Inspeção de Intrusão), inspeção do TLS e filtragem de Categoria da Web
Este modelo criptografa um do Windows VMSS em execução

Implantar no Azure
Este modelo habilita a criptografia em um Conjunto de Dimensionamento de VMs do Windows em execução
atualiza um cluster do Azure Stack HCI 22H2 para um cluster 23H2

Implantar no Azure
Esse modelo atualiza um cluster Azure Stack HCI 22H2 para um cluster 23H2 usando um modelo do ARM.

Definição de recurso do Terraform (provedor de AzAPI)

O tipo de recurso de cofres pode ser implantado com operações direcionadas:

  • grupos de recursos

Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.

Formato de recurso

Para criar um recurso Microsoft.KeyVault/vaults, adicione o Terraform a seguir ao seu modelo.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2020-04-01-preview"
  name = "string"
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      sku = {
        family = "string"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Valores de propriedade

AccessPolicyEntry

Nome Descrição Valor
applicationId ID do aplicativo do cliente que está fazendo solicitação em nome de uma entidade de segurança corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId A ID de objeto de um usuário, entidade de serviço ou grupo de segurança no locatário do Azure Active Directory para o cofre. A ID do objeto deve ser exclusiva para a lista de políticas de acesso. cadeia de caracteres (obrigatório)
Permissões Permissões que a identidade tem para chaves, segredos e certificados. permissões (obrigatório)
tenantId A ID do locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obrigatório)

IPRule

Nome Descrição Valor
valor Um intervalo de endereços IPv4 na notação CIDR, como '124.56.78.91' (endereço IP simples) ou '124.56.78.0/24' (todos os endereços que começam com 124.56.78). cadeia de caracteres (obrigatório)

Microsoft.KeyVault/vaults

Nome Descrição Valor
localização O local do Azure com suporte onde o cofre de chaves deve ser criado. cadeia de caracteres (obrigatório)
nome O nome do recurso corda

Restrições:
Padrão = ^[a-zA-Z0-9-]{3,24}$ (obrigatório)
Propriedades Propriedades do cofre VaultProperties (obrigatório)
Tags Marcas de recurso Dicionário de nomes e valores de marca.
tipo O tipo de recurso "Microsoft.KeyVault/vaults@2020-04-01-preview"

NetworkRuleSet

Nome Descrição Valor
contornar Informa o que o tráfego pode ignorar as regras de rede. Isso pode ser 'AzureServices' ou 'None'. Se não for especificado, o padrão será 'AzureServices'. 'AzureServices'
'None'
defaultAction A ação padrão quando nenhuma regra de ipRules e de virtualNetworkRules corresponder. Isso só é usado depois que a propriedade bypass é avaliada. 'Permitir'
'Negar'
ipRules A lista de regras de endereço IP. IPRule []
virtualNetworkRules A lista de regras de rede virtual. VirtualNetworkRule[]

Permissões

Nome Descrição Valor
Certificados Permissões para certificados Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'create'
'delete'
'deleteissuers'
'get'
'getissuers'
'importar'
'list'
'listissuers'
'managecontacts'
'manageissuers'
'limpar'
'recuperar'
'restore'
'setissuers'
'update'
Chaves Permissões para chaves Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'create'
'descriptografar'
'delete'
'encrypt'
'get'
'importar'
'list'
'limpar'
'recuperar'
'restore'
'sign'
'unwrapKey'
'update'
'verify'
'wrapKey'
Segredos Permissões para segredos Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'delete'
'get'
'list'
'limpar'
'recuperar'
'restore'
'set'
armazenamento Permissões para contas de armazenamento Matriz de cadeia de caracteres que contém qualquer um dos:
'backup'
'delete'
'deletesas'
'get'
'getsas'
'list'
'listsas'
'limpar'
'recuperar'
'regeneratekey'
'restore'
'set'
'setsas'
'update'

Sku

Nome Descrição Valor
família Nome da família SKU 'A' (obrigatório)
nome Nome da SKU para especificar se o cofre de chaves é um cofre padrão ou um cofre Premium. 'premium'
'standard' (obrigatório)

VaultCreateOrUpdateParametersTags

Nome Descrição Valor

VaultProperties

Nome Descrição Valor
accessPolicies Uma matriz de 0 a 1024 identidades que têm acesso ao cofre de chaves. Todas as identidades na matriz devem usar a mesma ID de locatário que a ID do locatário do cofre de chaves. Quando createMode é definido como recover, as políticas de acesso não são necessárias. Caso contrário, as políticas de acesso são necessárias. AccessPolicyEntry[]
createMode O modo de criação do cofre para indicar se o cofre precisa ser recuperado ou não. 'default'
'recuperar'
enabledForDeployment Propriedade para especificar se as Máquinas Virtuais do Azure têm permissão para recuperar certificados armazenados como segredos do cofre de chaves. Bool
enabledForDiskEncryption Propriedade para especificar se o Azure Disk Encryption tem permissão para recuperar segredos do cofre e desembrulhar chaves. Bool
enabledForTemplateDeployment Propriedade para especificar se o Azure Resource Manager tem permissão para recuperar segredos do cofre de chaves. Bool
enablePurgeProtection Propriedade que especifica se a proteção contra limpeza está habilitada para esse cofre. Definir essa propriedade como true ativa a proteção contra limpeza para esse cofre e seu conteúdo – somente o serviço do Key Vault pode iniciar uma exclusão dura e irrecuperável. A configuração só será efetiva se a exclusão reversível também estiver habilitada. Habilitar essa funcionalidade é irreversível, ou seja, a propriedade não aceita false como seu valor. Bool
enableRbacAuthorization Propriedade que controla como as ações de dados são autorizadas. Quando verdadeiro, o cofre de chaves usará o RBAC (Controle de Acesso Baseado em Função) para autorização de ações de dados e as políticas de acesso especificadas nas propriedades do cofre serão ignoradas. Quando false, o cofre de chaves usará as políticas de acesso especificadas nas propriedades do cofre e qualquer política armazenada no Azure Resource Manager será ignorada. Se for nulo ou não especificado, o cofre será criado com o valor padrão de false. Observe que as ações de gerenciamento são sempre autorizadas com RBAC. Bool
enableSoftDelete Propriedade para especificar se a funcionalidade de "exclusão reversível" está habilitada para esse cofre de chaves. Se ele não estiver definido como nenhum valor (verdadeiro ou falso) ao criar um novo cofre de chaves, ele será definido como true por padrão. Uma vez definido como true, ele não pode ser revertido para false. Bool
networkAcls Regras que regem a acessibilidade do cofre de chaves de locais de rede específicos. NetworkRuleSet
provisioningState Estado de provisionamento do cofre. 'RegisteringDns'
'Bem-sucedido'
Sku Detalhes da SKU de SKU (obrigatório)
softDeleteRetentionInDays dias de retenção de dados softDelete. Ele aceita >=7 e <=90. int
tenantId A ID do locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obrigatório)
vaultUri O URI do cofre para executar operações em chaves e segredos. corda

VirtualNetworkRule

Nome Descrição Valor
id ID de recurso completa de uma sub-rede de rede virtual, como '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. cadeia de caracteres (obrigatório)
ignoreMissingVnetServiceEndpoint Propriedade para especificar se o NRP ignorará a verificação se a sub-rede pai tem serviceEndpoints configurados. Bool