Хранилища и ключи Microsoft.KeyVault
Замечания
Рекомендации по использованию хранилищ ключей для безопасных значений см. в статье Управление секретами с помощью Bicep.
Краткое руководство по созданию секрета см. в кратком руководстве по . Настройка и извлечение секрета из Azure Key Vault с помощьюшаблона ARM.
Краткое руководство по созданию ключа см. в кратком руководстве по . Создание хранилища ключей Azure и ключа с помощью шаблона ARM.
Определение ресурсов Bicep
Тип ресурса vaults/key можно развернуть с помощью операций, предназначенных для следующих операций:
- группы ресурсов . См. команды развертывания группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults/key, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.KeyVault/vaults/keys@2024-04-01-preview' = {
parent: resourceSymbolicName
name: 'string'
properties: {
attributes: {
enabled: bool
exp: int
exportable: bool
nbf: int
}
curveName: 'string'
keyOps: [
'string'
]
keySize: int
kty: 'string'
release_policy: {
contentType: 'string'
data: 'string'
}
rotationPolicy: {
attributes: {
expiryTime: 'string'
}
lifetimeActions: [
{
action: {
type: 'string'
}
trigger: {
timeAfterCreate: 'string'
timeBeforeExpiry: 'string'
}
}
]
}
}
tags: {
{customized property}: 'string'
}
}
Значения свойств
Действие
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип действия. | "уведомить" "поворот" |
KeyAttributes
| Имя | Описание | Ценность |
|---|---|---|
| Включен | Определяет, включен ли объект. | bool |
| exp | Дата окончания срока действия в секундах с 1970-01-01T00:00:00Z. | int |
| Экспортируемый | Указывает, можно ли экспортировать закрытый ключ. | bool |
| nbf | Не до даты в секундах с 1970-01-01T00:00:00Z. | int |
KeyCreateParametersTags
| Имя | Описание | Ценность |
|---|
KeyProperties
| Имя | Описание | Ценность |
|---|---|---|
| Атрибуты | Атрибуты ключа. | KeyAttributes |
| имя кривой | Имя эллиптической кривой. Допустимые значения см. в разделе JsonWebKeyCurveName. | "P-256" "P-256K" "P-384" "P-521" |
| keyOps | Массив строк, содержащий любой из: Расшифровка "encrypt" "Import" "выпуск" Знак UnwrapKey "проверка" "wrapKey" |
|
| keySize | Размер ключа в битах. Например: 2048, 3072 или 4096 для RSA. | int |
| kty | Тип ключа. Допустимые значения см. в разделе JsonWebKeyType. | "EC" "EC-HSM" RSA RSA-HSM |
| release_policy | Политика выпуска ключа в ответ. Он будет использоваться как для выходных данных, так и для входных данных. Опущено, если пусто | KeyReleasePolicy |
| rotationPolicy | Политика смены ключей в ответ. Он будет использоваться как для выходных данных, так и для входных данных. Опущено, если пусто | RotationPolicy |
KeyReleasePolicy
| Имя | Описание | Ценность |
|---|---|---|
| contentType | Тип контента и версия политики выпуска ключа | струна |
| данные | Кодирование BLOB-объектов правил политики, в которых можно освободить ключ. | струна |
KeyRotationPolicyAttributes
| Имя | Описание | Ценность |
|---|---|---|
| истечение срока действия | Время окончания срока действия новой версии ключа. Он должен быть в ISO8601 формате. Например: "P90D", "P1Y". | струна |
LifetimeAction
| Имя | Описание | Ценность |
|---|---|---|
| действие | Действие времени существования политики смены ключей. | действия |
| триггер | Триггер времени существования политики смены ключей. | Триггер |
Microsoft.KeyVault/vaults/keys
| Имя | Описание | Ценность |
|---|---|---|
| имя | Имя ресурса | струна Ограничения целостности: Pattern = ^[a-zA-Z0-9-]{1,127}$ (обязательно) |
| родитель | В Bicep можно указать родительский ресурс для дочернего ресурса. Это свойство необходимо добавить, только если дочерний ресурс объявлен за пределами родительского ресурса. Дополнительные сведения см. в разделе Дочерний ресурс за пределами родительского ресурса. |
Символьное имя ресурса типа: хранилища |
| свойства | Свойства создаваемого ключа. | KeyProperties (обязательно) |
| Теги | Теги ресурсов | Словарь имен и значений тегов. См. теги в шаблонах |
RotationPolicy
| Имя | Описание | Ценность |
|---|---|---|
| Атрибуты | Атрибуты политики смены ключей. | KeyRotationPolicyAttributes |
| lifetimeActions | Время существования для действия смены ключей. | LifetimeAction[] |
Триггер
| Имя | Описание | Ценность |
|---|---|---|
| timeAfterCreate | Длительность времени после создания ключа для смены ключа. Она применяется только к повороту. Он будет иметь формат длительности ISO 8601. Например: "P90D", "P1Y". | струна |
| TimeBeforeExpiry | Длительность времени до истечения срока действия ключа для смены или уведомления. Он будет иметь формат длительности ISO 8601. Например: "P90D", "P1Y". | струна |
Примеры краткого руководства
Следующие примеры краткого руководства по развертыванию этого типа ресурса.
| Bicep-файл | Описание |
|---|---|
| шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом | Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, созданного и размещенного в Key Vault. |
Определение ресурса шаблона ARM
Тип ресурса vaults/key можно развернуть с помощью операций, предназначенных для следующих операций:
- группы ресурсов . См. команды развертывания группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults/key, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2024-04-01-preview",
"name": "string",
"properties": {
"attributes": {
"enabled": "bool",
"exp": "int",
"exportable": "bool",
"nbf": "int"
},
"curveName": "string",
"keyOps": [ "string" ],
"keySize": "int",
"kty": "string",
"release_policy": {
"contentType": "string",
"data": "string"
},
"rotationPolicy": {
"attributes": {
"expiryTime": "string"
},
"lifetimeActions": [
{
"action": {
"type": "string"
},
"trigger": {
"timeAfterCreate": "string",
"timeBeforeExpiry": "string"
}
}
]
}
},
"tags": {
"{customized property}": "string"
}
}
Значения свойств
Действие
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип действия. | "уведомить" "поворот" |
KeyAttributes
| Имя | Описание | Ценность |
|---|---|---|
| Включен | Определяет, включен ли объект. | bool |
| exp | Дата окончания срока действия в секундах с 1970-01-01T00:00:00Z. | int |
| Экспортируемый | Указывает, можно ли экспортировать закрытый ключ. | bool |
| nbf | Не до даты в секундах с 1970-01-01T00:00:00Z. | int |
KeyCreateParametersTags
| Имя | Описание | Ценность |
|---|
KeyProperties
| Имя | Описание | Ценность |
|---|---|---|
| Атрибуты | Атрибуты ключа. | KeyAttributes |
| имя кривой | Имя эллиптической кривой. Допустимые значения см. в разделе JsonWebKeyCurveName. | "P-256" "P-256K" "P-384" "P-521" |
| keyOps | Массив строк, содержащий любой из: Расшифровка "encrypt" "Import" "выпуск" Знак UnwrapKey "проверка" "wrapKey" |
|
| keySize | Размер ключа в битах. Например: 2048, 3072 или 4096 для RSA. | int |
| kty | Тип ключа. Допустимые значения см. в разделе JsonWebKeyType. | "EC" "EC-HSM" RSA RSA-HSM |
| release_policy | Политика выпуска ключа в ответ. Он будет использоваться как для выходных данных, так и для входных данных. Опущено, если пусто | KeyReleasePolicy |
| rotationPolicy | Политика смены ключей в ответ. Он будет использоваться как для выходных данных, так и для входных данных. Опущено, если пусто | RotationPolicy |
KeyReleasePolicy
| Имя | Описание | Ценность |
|---|---|---|
| contentType | Тип контента и версия политики выпуска ключа | струна |
| данные | Кодирование BLOB-объектов правил политики, в которых можно освободить ключ. | струна |
KeyRotationPolicyAttributes
| Имя | Описание | Ценность |
|---|---|---|
| истечение срока действия | Время окончания срока действия новой версии ключа. Он должен быть в ISO8601 формате. Например: "P90D", "P1Y". | струна |
LifetimeAction
| Имя | Описание | Ценность |
|---|---|---|
| действие | Действие времени существования политики смены ключей. | действия |
| триггер | Триггер времени существования политики смены ключей. | Триггер |
Microsoft.KeyVault/vaults/keys
| Имя | Описание | Ценность |
|---|---|---|
| apiVersion | Версия API | '2024-04-01-preview' |
| имя | Имя ресурса | струна Ограничения целостности: Pattern = ^[a-zA-Z0-9-]{1,127}$ (обязательно) |
| свойства | Свойства создаваемого ключа. | KeyProperties (обязательно) |
| Теги | Теги ресурсов | Словарь имен и значений тегов. См. теги в шаблонах |
| тип | Тип ресурса | "Microsoft.KeyVault/vaults/keys" |
RotationPolicy
| Имя | Описание | Ценность |
|---|---|---|
| Атрибуты | Атрибуты политики смены ключей. | KeyRotationPolicyAttributes |
| lifetimeActions | Время существования для действия смены ключей. | LifetimeAction[] |
Триггер
| Имя | Описание | Ценность |
|---|---|---|
| timeAfterCreate | Длительность времени после создания ключа для смены ключа. Она применяется только к повороту. Он будет иметь формат длительности ISO 8601. Например: "P90D", "P1Y". | струна |
| TimeBeforeExpiry | Длительность времени до истечения срока действия ключа для смены или уведомления. Он будет иметь формат длительности ISO 8601. Например: "P90D", "P1Y". | струна |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
|
шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом развертывание  |
Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, созданного и размещенного в Key Vault. |
|
создание ключа в Azure KeyVault развертывание |
Этот модуль позволяет создать ключ в существующем KeyVault. |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса vaults/key можно развернуть с помощью операций, предназначенных для следующих операций:
- групп ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults/key, добавьте следующий объект Terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/keys@2024-04-01-preview"
name = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
attributes = {
enabled = bool
exp = int
exportable = bool
nbf = int
}
curveName = "string"
keyOps = [
"string"
]
keySize = int
kty = "string"
release_policy = {
contentType = "string"
data = "string"
}
rotationPolicy = {
attributes = {
expiryTime = "string"
}
lifetimeActions = [
{
action = {
type = "string"
}
trigger = {
timeAfterCreate = "string"
timeBeforeExpiry = "string"
}
}
]
}
}
})
}
Значения свойств
Действие
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип действия. | "уведомить" "поворот" |
KeyAttributes
| Имя | Описание | Ценность |
|---|---|---|
| Включен | Определяет, включен ли объект. | bool |
| exp | Дата окончания срока действия в секундах с 1970-01-01T00:00:00Z. | int |
| Экспортируемый | Указывает, можно ли экспортировать закрытый ключ. | bool |
| nbf | Не до даты в секундах с 1970-01-01T00:00:00Z. | int |
KeyCreateParametersTags
| Имя | Описание | Ценность |
|---|
KeyProperties
| Имя | Описание | Ценность |
|---|---|---|
| Атрибуты | Атрибуты ключа. | KeyAttributes |
| имя кривой | Имя эллиптической кривой. Допустимые значения см. в разделе JsonWebKeyCurveName. | "P-256" "P-256K" "P-384" "P-521" |
| keyOps | Массив строк, содержащий любой из: Расшифровка "encrypt" "Import" "выпуск" Знак UnwrapKey "проверка" "wrapKey" |
|
| keySize | Размер ключа в битах. Например: 2048, 3072 или 4096 для RSA. | int |
| kty | Тип ключа. Допустимые значения см. в разделе JsonWebKeyType. | "EC" "EC-HSM" RSA RSA-HSM |
| release_policy | Политика выпуска ключа в ответ. Он будет использоваться как для выходных данных, так и для входных данных. Опущено, если пусто | KeyReleasePolicy |
| rotationPolicy | Политика смены ключей в ответ. Он будет использоваться как для выходных данных, так и для входных данных. Опущено, если пусто | RotationPolicy |
KeyReleasePolicy
| Имя | Описание | Ценность |
|---|---|---|
| contentType | Тип контента и версия политики выпуска ключа | струна |
| данные | Кодирование BLOB-объектов правил политики, в которых можно освободить ключ. | струна |
KeyRotationPolicyAttributes
| Имя | Описание | Ценность |
|---|---|---|
| истечение срока действия | Время окончания срока действия новой версии ключа. Он должен быть в ISO8601 формате. Например: "P90D", "P1Y". | струна |
LifetimeAction
| Имя | Описание | Ценность |
|---|---|---|
| действие | Действие времени существования политики смены ключей. | действия |
| триггер | Триггер времени существования политики смены ключей. | Триггер |
Microsoft.KeyVault/vaults/keys
| Имя | Описание | Ценность |
|---|---|---|
| имя | Имя ресурса | струна Ограничения целостности: Pattern = ^[a-zA-Z0-9-]{1,127}$ (обязательно) |
| parent_id | Идентификатор ресурса, который является родительским для этого ресурса. | Идентификатор ресурса типа: хранилища |
| свойства | Свойства создаваемого ключа. | KeyProperties (обязательно) |
| Теги | Теги ресурсов | Словарь имен и значений тегов. |
| тип | Тип ресурса | "Microsoft.KeyVault/vaults/keys@2024-04-01-preview" |
RotationPolicy
| Имя | Описание | Ценность |
|---|---|---|
| Атрибуты | Атрибуты политики смены ключей. | KeyRotationPolicyAttributes |
| lifetimeActions | Время существования для действия смены ключей. | LifetimeAction[] |
Триггер
| Имя | Описание | Ценность |
|---|---|---|
| timeAfterCreate | Длительность времени после создания ключа для смены ключа. Она применяется только к повороту. Он будет иметь формат длительности ISO 8601. Например: "P90D", "P1Y". | струна |
| TimeBeforeExpiry | Длительность времени до истечения срока действия ключа для смены или уведомления. Он будет иметь формат длительности ISO 8601. Например: "P90D", "P1Y". | струна |