Dela via


Microsoft.KeyVault-valv 2018-02-14

Bicep-resursdefinition

Resurstypen valv kan distribueras med åtgärder som mål:

En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.

Anmärkningar

Vägledning om hur du använder nyckelvalv för säkra värden finns i Hantera hemligheter med hjälp av Bicep.

En snabbstart om hur du skapar en hemlighet finns i Snabbstart: Ange och hämta en hemlighet från Azure Key Vault med hjälp av en ARM-mall.

En snabbstart om hur du skapar en nyckel finns i Snabbstart: Skapa ett Azure-nyckelvalv och en nyckel med hjälp av ARM-mallen.

Resursformat

Om du vill skapa en Microsoft.KeyVault/vaults-resurs lägger du till följande Bicep i mallen.

resource symbolicname 'Microsoft.KeyVault/vaults@2018-02-14' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
        }
      ]
    }
    sku: {
      family: 'A'
      name: 'string'
    }
    tenantId: 'string'
    vaultUri: 'string'
  }
}

Egenskapsvärden

Valv

Namn Beskrivning Värde
Namn Resursnamnet sträng (krävs)

Teckengräns: 3–24

Giltiga tecken:
Alfanumeriska tecken och bindestreck.

Börja med bokstaven. Avsluta med bokstav eller siffra. Får inte innehålla bindestreck i följd.

Resursnamnet måste vara unikt i Hela Azure.
plats Den Azure-plats som stöds där nyckelvalvet ska skapas. sträng (krävs)
Taggar Taggarna som ska tilldelas till nyckelvalvet. Ordlista med taggnamn och värden. Se taggar i mallar
Egenskaper Egenskaper för valvet VaultProperties (krävs)

ValvEgenskaper

Namn Beskrivning Värde
accessPolicies En matris med 0 till 1 024 identiteter som har åtkomst till nyckelvalvet. Alla identiteter i matrisen måste använda samma klient-ID som nyckelvalvets klient-ID. När createMode är inställt på recoverkrävs inte åtkomstprinciper. Annars krävs åtkomstprinciper. AccessPolicyEntry[]
createMode Valvets skapandeläge för att ange om valvet behöver återställas eller inte. "standard"
"återställa"
enabledForDeployment Egenskap för att ange om virtuella Azure-datorer tillåts hämta certifikat som lagras som hemligheter från nyckelvalvet. Bool
enabledForDiskEncryption Egenskap för att ange om Azure Disk Encryption tillåts hämta hemligheter från valvet och packa upp nycklar. Bool
enabledForTemplateDeployment Egenskap för att ange om Azure Resource Manager tillåts hämta hemligheter från nyckelvalvet. Bool
enablePurgeProtection Egenskap som anger om skydd mot rensning är aktiverat för det här valvet. Om du anger den här egenskapen till true aktiveras skydd mot rensning för det här valvet och dess innehåll . Endast Key Vault-tjänsten kan initiera en hård och oåterkallelig borttagning. Inställningen är endast effektiv om mjuk borttagning också är aktiverad. Det går inte att ångra aktiveringen av den här funktionen, dvs. egenskapen accepterar inte false som värde. Bool
enableSoftDelete Egenskap för att ange om funktionen "mjuk borttagning" är aktiverad för det här nyckelvalvet. Det accepterar inte falskt värde. Bool
networkAcls Regler som styr åtkomsten till nyckelvalvet från specifika nätverksplatser. NetworkRuleSet
Sku SKU-information Sku- (krävs)
tenantId Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. sträng (krävs)

Begränsningar:
Min längd = 36
Maximal längd = 36
Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri URI:n för valvet för att utföra åtgärder på nycklar och hemligheter. sträng

AccessPolicyEntry

Namn Beskrivning Värde
applicationId Program-ID för klienten som begär för ett huvudnamn sträng

Begränsningar:
Min längd = 36
Maximal längd = 36
Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Objekt-ID för en användare, tjänstens huvudnamn eller säkerhetsgrupp i Azure Active Directory-klientorganisationen för valvet. Objekt-ID:t måste vara unikt för listan över åtkomstprinciper. sträng (krävs)
Behörigheter Behörigheter som identiteten har för nycklar, hemligheter och certifikat. behörigheter (krävs)
tenantId Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. sträng (krävs)

Begränsningar:
Min längd = 36
Maximal längd = 36
Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Behörigheter

Namn Beskrivning Värde
certifikaten Behörigheter till certifikat Strängmatris som innehåller något av:
"säkerhetskopiering"
"skapa"
"ta bort"
"deleteissuers"
"get"
"getissuers"
"import"
"lista"
"listissuers"
"managecontacts"
"manageissuers"
"rensa"
"återställa"
"återställning"
"setissuers"
"update"
Nycklar Behörigheter till nycklar Strängmatris som innehåller något av:
"säkerhetskopiering"
"skapa"
"dekryptera"
"ta bort"
"kryptera"
"get"
"import"
"lista"
"rensa"
"återställa"
"återställning"
"sign"
"unwrapKey"
"update"
"verifiera"
"wrapKey"
Hemligheter Behörigheter till hemligheter Strängmatris som innehåller något av:
"säkerhetskopiering"
"ta bort"
"get"
"lista"
"rensa"
"återställa"
"återställning"
"set"
lagring Behörigheter till lagringskonton Strängmatris som innehåller något av:
"säkerhetskopiering"
"ta bort"
"deletesas"
"get"
"getsas"
"lista"
"listsas"
"rensa"
"återställa"
"regeneratekey"
"återställning"
"set"
"setsas"
"update"

NetworkRuleSet

Namn Beskrivning Värde
bypass Talar om för vilken trafik som kan kringgå nätverksregler. Det kan vara "AzureServices" eller "None". Om det inte anges är standardvärdet "AzureServices". "AzureServices"
"Ingen"
defaultAction Standardåtgärden när ingen regel från ipRules och från virtualNetworkRules matchar. Detta används endast efter att förbikopplingsegenskapen har utvärderats. "Tillåt"
"Neka"
ipRules Listan över IP-adressregler. IPRule[]
virtualNetworkRules Listan över regler för virtuella nätverk. VirtualNetworkRule[]

IPRule

Namn Beskrivning Värde
värde Ett IPv4-adressintervall i CIDR-notation, till exempel "124.56.78.91" (enkel IP-adress) eller "124.56.78.0/24" (alla adresser som börjar med 124.56.78). sträng (krävs)

VirtualNetworkRule

Namn Beskrivning Värde
Id Fullständigt resurs-ID för ett vnet-undernät, till exempel "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". sträng (krävs)

Sku

Namn Beskrivning Värde
familj SKU-familjenamn "A" (krävs)
Namn SKU-namn för att ange om nyckelvalvet är ett standardvalv eller ett Premium-valv. "premium"
"standard" (krävs)

Snabbstartsmallar

Följande snabbstartsmallar distribuerar den här resurstypen.

Mall Beskrivning
AKS-kluster med en NAT Gateway och en Application Gateway-

Distribuera till Azure
Det här exemplet visar hur du distribuerar ett AKS-kluster med NAT Gateway för utgående anslutningar och en Application Gateway för inkommande anslutningar.
Skapa ett privat AKS-kluster med en offentlig DNS-zon

Distribuera till Azure
Det här exemplet visar hur du distribuerar ett privat AKS-kluster med en offentlig DNS-zon.
Distribuera Sports Analytics på Azure Architecture

Distribuera till Azure
Skapar ett Azure Storage-konto med ADLS Gen 2 aktiverat, en Azure Data Factory-instans med länkade tjänster för lagringskontot (en Azure SQL Database om den distribueras) och en Azure Databricks-instans. AAD-identiteten för den användare som distribuerar mallen och den hanterade identiteten för ADF-instansen beviljas rollen Storage Blob Data Contributor för lagringskontot. Det finns också alternativ för att distribuera en Azure Key Vault-instans, en Azure SQL Database och en Azure Event Hub (för användningsfall för direktuppspelning). När ett Azure Key Vault distribueras beviljas den hanterade identiteten för datafabriken och AAD-identiteten för den användare som distribuerar mallen rollen Key Vault-hemligheter.
Azure Machine Learning-arbetsyta

Distribuera till Azure
Den här mallen skapar en ny Azure Machine Learning-arbetsyta, tillsammans med ett krypterat lagringskonto, KeyVault och Application Insights-loggning
Skapa en KeyVault-

Distribuera till Azure
Den här modulen skapar en KeyVault-resurs med apiVersion 2019-09-01.
Skapa en API Management-tjänst med SSL från KeyVault

Distribuera till Azure
Den här mallen distribuerar en API Management-tjänst som konfigurerats med användartilldelad identitet. Den använder den här identiteten för att hämta SSL-certifikat från KeyVault och håller den uppdaterad genom att kontrollera var fjärde timme.
Skapar en Dapr pub-sub servicebus-app med containerappar

Distribuera till Azure
Skapa en Dapr pub-sub servicebus-app med containerappar.
skapar ett Azure Stack HCI 23H2-kluster

Distribuera till Azure
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall.
skapar ett Azure Stack HCI 23H2-kluster

Distribuera till Azure
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall med hjälp av anpassad lagrings-IP
skapar ett Azure Stack HCI 23H2-kluster i switchless-dual-link-nätverksläge

Distribuera till Azure
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall.
skapar ett Azure Stack HCI 23H2-kluster i Switchless-SingleLink nätverksläge

Distribuera till Azure
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall.
Skapa en ny krypterad virtuell Windows-dator från galleriavbildningen

Distribuera till Azure
Den här mallen skapar en ny krypterad virtuell Windows-dator med hjälp av server 2k12-galleriavbildningen.
Skapa nya krypterade hanterade diskar win-vm från galleriavbildningen

Distribuera till Azure
Den här mallen skapar en ny krypterad hanterad disk windows vm med hjälp av server 2k12-galleriavbildningen.
Den här mallen krypterar en Windows VMSS-

Distribuera till Azure
Den här mallen aktiverar kryptering på en windows-VM-skalningsuppsättning som körs
Aktivera kryptering på en virtuell Windows-dator som körs

Distribuera till Azure
Den här mallen aktiverar kryptering på en virtuell Windows-dator som körs.
Skapa och kryptera en ny Windows VMSS med jumpbox-

Distribuera till Azure
Med den här mallen kan du distribuera en enkel VM-skalningsuppsättning med virtuella Windows-datorer med den senaste korrigerade versionen av serverversioner av Windows. Den här mallen distribuerar också en jumpbox med en offentlig IP-adress i samma virtuella nätverk. Du kan ansluta till jumpboxen via den här offentliga IP-adressen och sedan ansluta därifrån till virtuella datorer i skalningsuppsättningen via privata IP-adresser. Den här mallen aktiverar kryptering på VM-skalningsuppsättningen för virtuella Windows-datorer.
Skapa ett Azure Key Vault och en hemlig

Distribuera till Azure
Den här mallen skapar ett Azure Key Vault och en hemlighet.
Skapa ett Azure Key Vault med RBAC och en hemlig

Distribuera till Azure
Den här mallen skapar ett Azure Key Vault och en hemlighet. I stället för att förlita sig på åtkomstprinciper använder den Azure RBAC för att hantera auktorisering för hemligheter
Skapa nyckelvalv, hanterad identitet och rolltilldelning

Distribuera till Azure
Den här mallen skapar ett nyckelvalv, hanterad identitet och rolltilldelning.
Anslut till ett Nyckelvalv via privat slutpunkt

Distribuera till Azure
Det här exemplet visar hur du använder konfigurera ett virtuellt nätverk och en privat DNS-zon för åtkomst till Key Vault via en privat slutpunkt.
Skapa ett nyckelvalv och en lista över hemligheter

Distribuera till Azure
Den här mallen skapar ett Key Vault och en lista över hemligheter i nyckelvalvet som skickats tillsammans med parametrarna
Skapa nyckelvalv med loggning aktiverat

Distribuera till Azure
Den här mallen skapar ett Azure Key Vault och ett Azure Storage-konto som används för loggning. Du kan också skapa resurslås för att skydda dina Key Vault- och lagringsresurser.
grundläggande konfiguration av Azure AI Studio

Distribuera till Azure
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med den grundläggande konfigurationen, vilket innebär att offentlig Internetåtkomst är aktiverad, Microsoft-hanterade nycklar för kryptering och Microsoft-hanterad identitetskonfiguration för AI-resursen.
grundläggande konfiguration av Azure AI Studio

Distribuera till Azure
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med den grundläggande konfigurationen, vilket innebär att offentlig Internetåtkomst är aktiverad, Microsoft-hanterade nycklar för kryptering och Microsoft-hanterad identitetskonfiguration för AI-resursen.
Azure AI Studio med Microsoft Entra ID Authentication

Distribuera till Azure
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med Microsoft Entra ID-autentisering för beroende resurser, till exempel Azure AI Services och Azure Storage.
Skapa AML-arbetsyta med flera datauppsättningar & datalager

Distribuera till Azure
Den här mallen skapar En Azure Machine Learning-arbetsyta med flera datauppsättningar & datalager.
säker installation av Azure Machine Learning från slutpunkt till slutpunkt

Distribuera till Azure
Den här uppsättningen Bicep-mallar visar hur du konfigurerar Azure Machine Learning från slutpunkt till slutpunkt i en säker konfiguration. Den här referensimplementeringen omfattar arbetsytan, ett beräkningskluster, beräkningsinstansen och det anslutna privata AKS-klustret.
säker installation från slutpunkt till slutpunkt för Azure Machine Learning (äldre)

Distribuera till Azure
Den här uppsättningen Bicep-mallar visar hur du konfigurerar Azure Machine Learning från slutpunkt till slutpunkt i en säker konfiguration. Den här referensimplementeringen omfattar arbetsytan, ett beräkningskluster, beräkningsinstansen och det anslutna privata AKS-klustret.
Skapa ett AKS-beräkningsmål med en privat IP-adress

Distribuera till Azure
Den här mallen skapar ett AKS-beräkningsmål i en given Azure Machine Learning-tjänstarbetsyta med en privat IP-adress.
Skapa en Azure Machine Learning-tjänstarbetsyta

Distribuera till Azure
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den minimala uppsättning resurser som du behöver för att komma igång med Azure Machine Learning.
Skapa en Azure Machine Learning-tjänstarbetsyta (CMK)

Distribuera till Azure
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Exemplet visar hur du konfigurerar Azure Machine Learning för kryptering med en kundhanterad krypteringsnyckel.
Skapa en Azure Machine Learning-tjänstarbetsyta (CMK)

Distribuera till Azure
Den här distributionsmallen anger hur du skapar en Azure Machine Learning-arbetsyta med kryptering på tjänstsidan med hjälp av dina krypteringsnycklar.
Skapa en Azure Machine Learning-tjänstarbetsyta (vnet)

Distribuera till Azure
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den uppsättning resurser som du behöver för att komma igång med Azure Machine Learning i en nätverksisolerad konfiguration.
Skapa en Azure Machine Learning-tjänstarbetsyta (äldre)

Distribuera till Azure
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den uppsättning resurser som du behöver för att komma igång med Azure Machine Learning i en nätverksisolerad konfiguration.
AKS-kluster med Application Gateway-ingresskontrollanten

Distribuera till Azure
Det här exemplet visar hur du distribuerar ett AKS-kluster med Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics och Key Vault
Skapa en Application Gateway V2 med Key Vault

Distribuera till Azure
Den här mallen distribuerar en Application Gateway V2 i ett virtuellt nätverk, en användardefinierad identitet, Key Vault, en hemlighet (certifikatdata) och åtkomstprincip för Key Vault och Application Gateway.
Testmiljö för Azure Firewall Premium

Distribuera till Azure
Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som Identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering
Skapar en privat slutpunktsresurs för flera klientorganisationer

Distribuera till Azure
Med den här mallen kan du skapa Priavate Endpoint-resursen i samma miljö eller mellan klientorganisationer och lägga till dns-zonkonfiguration.
Skapa Application Gateway med certifikat

Distribuera till Azure
Den här mallen visar hur du genererar självsignerade Key Vault-certifikat och sedan refererar till från Application Gateway.
Azure Storage-kontokryptering med kundhanterad nyckel

Distribuera till Azure
Den här mallen distribuerar ett lagringskonto med en kundhanterad nyckel för kryptering som genereras och placeras i ett Nyckelvalv.
App Service Environment med Azure SQL-serverdelen

Distribuera till Azure
Den här mallen skapar en App Service-miljö med en Azure SQL-serverdel tillsammans med privata slutpunkter tillsammans med associerade resurser som vanligtvis används i en privat/isolerad miljö.
Azure-funktionsapp och en HTTP-utlöst funktion

Distribuera till Azure
Det här exemplet distribuerar en Azure-funktionsapp och en HTTP-utlöst funktion infogad i mallen. Den distribuerar också ett Key Vault och fyller i en hemlighet med funktionsappens värdnyckel.
Application Gateway med intern API Management och Web App

Distribuera till Azure
Application Gateway dirigerar Internettrafik till en API Management-instans för virtuellt nätverk (internt läge) som servar ett webb-API som finns i en Azure-webbapp.

Resursdefinition för ARM-mall

Resurstypen valv kan distribueras med åtgärder som mål:

En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.

Anmärkningar

Vägledning om hur du använder nyckelvalv för säkra värden finns i Hantera hemligheter med hjälp av Bicep.

En snabbstart om hur du skapar en hemlighet finns i Snabbstart: Ange och hämta en hemlighet från Azure Key Vault med hjälp av en ARM-mall.

En snabbstart om hur du skapar en nyckel finns i Snabbstart: Skapa ett Azure-nyckelvalv och en nyckel med hjälp av ARM-mallen.

Resursformat

Om du vill skapa en Microsoft.KeyVault/vaults-resurs lägger du till följande JSON i mallen.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2018-02-14",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string"
        }
      ]
    },
    "sku": {
      "family": "A",
      "name": "string"
    },
    "tenantId": "string",
    "vaultUri": "string"
  }
}

Egenskapsvärden

Valv

Namn Beskrivning Värde
typ Resurstypen "Microsoft.KeyVault/vaults"
apiVersion Resurs-API-versionen '2018-02-14'
Namn Resursnamnet sträng (krävs)

Teckengräns: 3–24

Giltiga tecken:
Alfanumeriska tecken och bindestreck.

Börja med bokstaven. Avsluta med bokstav eller siffra. Får inte innehålla bindestreck i följd.

Resursnamnet måste vara unikt i Hela Azure.
plats Den Azure-plats som stöds där nyckelvalvet ska skapas. sträng (krävs)
Taggar Taggarna som ska tilldelas till nyckelvalvet. Ordlista med taggnamn och värden. Se taggar i mallar
Egenskaper Egenskaper för valvet VaultProperties (krävs)

ValvEgenskaper

Namn Beskrivning Värde
accessPolicies En matris med 0 till 1 024 identiteter som har åtkomst till nyckelvalvet. Alla identiteter i matrisen måste använda samma klient-ID som nyckelvalvets klient-ID. När createMode är inställt på recoverkrävs inte åtkomstprinciper. Annars krävs åtkomstprinciper. AccessPolicyEntry[]
createMode Valvets skapandeläge för att ange om valvet behöver återställas eller inte. "standard"
"återställa"
enabledForDeployment Egenskap för att ange om virtuella Azure-datorer tillåts hämta certifikat som lagras som hemligheter från nyckelvalvet. Bool
enabledForDiskEncryption Egenskap för att ange om Azure Disk Encryption tillåts hämta hemligheter från valvet och packa upp nycklar. Bool
enabledForTemplateDeployment Egenskap för att ange om Azure Resource Manager tillåts hämta hemligheter från nyckelvalvet. Bool
enablePurgeProtection Egenskap som anger om skydd mot rensning är aktiverat för det här valvet. Om du anger den här egenskapen till true aktiveras skydd mot rensning för det här valvet och dess innehåll . Endast Key Vault-tjänsten kan initiera en hård och oåterkallelig borttagning. Inställningen är endast effektiv om mjuk borttagning också är aktiverad. Det går inte att ångra aktiveringen av den här funktionen, dvs. egenskapen accepterar inte false som värde. Bool
enableSoftDelete Egenskap för att ange om funktionen "mjuk borttagning" är aktiverad för det här nyckelvalvet. Det accepterar inte falskt värde. Bool
networkAcls Regler som styr åtkomsten till nyckelvalvet från specifika nätverksplatser. NetworkRuleSet
Sku SKU-information Sku- (krävs)
tenantId Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. sträng (krävs)

Begränsningar:
Min längd = 36
Maximal längd = 36
Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri URI:n för valvet för att utföra åtgärder på nycklar och hemligheter. sträng

AccessPolicyEntry

Namn Beskrivning Värde
applicationId Program-ID för klienten som begär för ett huvudnamn sträng

Begränsningar:
Min längd = 36
Maximal längd = 36
Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Objekt-ID för en användare, tjänstens huvudnamn eller säkerhetsgrupp i Azure Active Directory-klientorganisationen för valvet. Objekt-ID:t måste vara unikt för listan över åtkomstprinciper. sträng (krävs)
Behörigheter Behörigheter som identiteten har för nycklar, hemligheter och certifikat. behörigheter (krävs)
tenantId Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. sträng (krävs)

Begränsningar:
Min längd = 36
Maximal längd = 36
Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Behörigheter

Namn Beskrivning Värde
certifikaten Behörigheter till certifikat Strängmatris som innehåller något av:
"säkerhetskopiering"
"skapa"
"ta bort"
"deleteissuers"
"get"
"getissuers"
"import"
"lista"
"listissuers"
"managecontacts"
"manageissuers"
"rensa"
"återställa"
"återställning"
"setissuers"
"update"
Nycklar Behörigheter till nycklar Strängmatris som innehåller något av:
"säkerhetskopiering"
"skapa"
"dekryptera"
"ta bort"
"kryptera"
"get"
"import"
"lista"
"rensa"
"återställa"
"återställning"
"sign"
"unwrapKey"
"update"
"verifiera"
"wrapKey"
Hemligheter Behörigheter till hemligheter Strängmatris som innehåller något av:
"säkerhetskopiering"
"ta bort"
"get"
"lista"
"rensa"
"återställa"
"återställning"
"set"
lagring Behörigheter till lagringskonton Strängmatris som innehåller något av:
"säkerhetskopiering"
"ta bort"
"deletesas"
"get"
"getsas"
"lista"
"listsas"
"rensa"
"återställa"
"regeneratekey"
"återställning"
"set"
"setsas"
"update"

NetworkRuleSet

Namn Beskrivning Värde
bypass Talar om för vilken trafik som kan kringgå nätverksregler. Det kan vara "AzureServices" eller "None". Om det inte anges är standardvärdet "AzureServices". "AzureServices"
"Ingen"
defaultAction Standardåtgärden när ingen regel från ipRules och från virtualNetworkRules matchar. Detta används endast efter att förbikopplingsegenskapen har utvärderats. "Tillåt"
"Neka"
ipRules Listan över IP-adressregler. IPRule[]
virtualNetworkRules Listan över regler för virtuella nätverk. VirtualNetworkRule[]

IPRule

Namn Beskrivning Värde
värde Ett IPv4-adressintervall i CIDR-notation, till exempel "124.56.78.91" (enkel IP-adress) eller "124.56.78.0/24" (alla adresser som börjar med 124.56.78). sträng (krävs)

VirtualNetworkRule

Namn Beskrivning Värde
Id Fullständigt resurs-ID för ett vnet-undernät, till exempel "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". sträng (krävs)

Sku

Namn Beskrivning Värde
familj SKU-familjenamn "A" (krävs)
Namn SKU-namn för att ange om nyckelvalvet är ett standardvalv eller ett Premium-valv. "premium"
"standard" (krävs)

Snabbstartsmallar

Följande snabbstartsmallar distribuerar den här resurstypen.

Mall Beskrivning
AKS-kluster med en NAT Gateway och en Application Gateway-

Distribuera till Azure
Det här exemplet visar hur du distribuerar ett AKS-kluster med NAT Gateway för utgående anslutningar och en Application Gateway för inkommande anslutningar.
Skapa ett privat AKS-kluster med en offentlig DNS-zon

Distribuera till Azure
Det här exemplet visar hur du distribuerar ett privat AKS-kluster med en offentlig DNS-zon.
Distribuera Sports Analytics på Azure Architecture

Distribuera till Azure
Skapar ett Azure Storage-konto med ADLS Gen 2 aktiverat, en Azure Data Factory-instans med länkade tjänster för lagringskontot (en Azure SQL Database om den distribueras) och en Azure Databricks-instans. AAD-identiteten för den användare som distribuerar mallen och den hanterade identiteten för ADF-instansen beviljas rollen Storage Blob Data Contributor för lagringskontot. Det finns också alternativ för att distribuera en Azure Key Vault-instans, en Azure SQL Database och en Azure Event Hub (för användningsfall för direktuppspelning). När ett Azure Key Vault distribueras beviljas den hanterade identiteten för datafabriken och AAD-identiteten för den användare som distribuerar mallen rollen Key Vault-hemligheter.
Azure Machine Learning-arbetsyta

Distribuera till Azure
Den här mallen skapar en ny Azure Machine Learning-arbetsyta, tillsammans med ett krypterat lagringskonto, KeyVault och Application Insights-loggning
Skapa en KeyVault-

Distribuera till Azure
Den här modulen skapar en KeyVault-resurs med apiVersion 2019-09-01.
Skapa en API Management-tjänst med SSL från KeyVault

Distribuera till Azure
Den här mallen distribuerar en API Management-tjänst som konfigurerats med användartilldelad identitet. Den använder den här identiteten för att hämta SSL-certifikat från KeyVault och håller den uppdaterad genom att kontrollera var fjärde timme.
Skapar en Dapr pub-sub servicebus-app med containerappar

Distribuera till Azure
Skapa en Dapr pub-sub servicebus-app med containerappar.
skapar ett Azure Stack HCI 23H2-kluster

Distribuera till Azure
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall.
skapar ett Azure Stack HCI 23H2-kluster

Distribuera till Azure
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall med hjälp av anpassad lagrings-IP
skapar ett Azure Stack HCI 23H2-kluster i switchless-dual-link-nätverksläge

Distribuera till Azure
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall.
skapar ett Azure Stack HCI 23H2-kluster i Switchless-SingleLink nätverksläge

Distribuera till Azure
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall.
Skapa en ny krypterad virtuell Windows-dator från galleriavbildningen

Distribuera till Azure
Den här mallen skapar en ny krypterad virtuell Windows-dator med hjälp av server 2k12-galleriavbildningen.
Skapa nya krypterade hanterade diskar win-vm från galleriavbildningen

Distribuera till Azure
Den här mallen skapar en ny krypterad hanterad disk windows vm med hjälp av server 2k12-galleriavbildningen.
Den här mallen krypterar en Windows VMSS-

Distribuera till Azure
Den här mallen aktiverar kryptering på en windows-VM-skalningsuppsättning som körs
Aktivera kryptering på en virtuell Windows-dator som körs

Distribuera till Azure
Den här mallen aktiverar kryptering på en virtuell Windows-dator som körs.
Skapa och kryptera en ny Windows VMSS med jumpbox-

Distribuera till Azure
Med den här mallen kan du distribuera en enkel VM-skalningsuppsättning med virtuella Windows-datorer med den senaste korrigerade versionen av serverversioner av Windows. Den här mallen distribuerar också en jumpbox med en offentlig IP-adress i samma virtuella nätverk. Du kan ansluta till jumpboxen via den här offentliga IP-adressen och sedan ansluta därifrån till virtuella datorer i skalningsuppsättningen via privata IP-adresser. Den här mallen aktiverar kryptering på VM-skalningsuppsättningen för virtuella Windows-datorer.
Skapa ett Azure Key Vault och en hemlig

Distribuera till Azure
Den här mallen skapar ett Azure Key Vault och en hemlighet.
Skapa ett Azure Key Vault med RBAC och en hemlig

Distribuera till Azure
Den här mallen skapar ett Azure Key Vault och en hemlighet. I stället för att förlita sig på åtkomstprinciper använder den Azure RBAC för att hantera auktorisering för hemligheter
Skapa nyckelvalv, hanterad identitet och rolltilldelning

Distribuera till Azure
Den här mallen skapar ett nyckelvalv, hanterad identitet och rolltilldelning.
Anslut till ett Nyckelvalv via privat slutpunkt

Distribuera till Azure
Det här exemplet visar hur du använder konfigurera ett virtuellt nätverk och en privat DNS-zon för åtkomst till Key Vault via en privat slutpunkt.
Skapa ett nyckelvalv och en lista över hemligheter

Distribuera till Azure
Den här mallen skapar ett Key Vault och en lista över hemligheter i nyckelvalvet som skickats tillsammans med parametrarna
Skapa nyckelvalv med loggning aktiverat

Distribuera till Azure
Den här mallen skapar ett Azure Key Vault och ett Azure Storage-konto som används för loggning. Du kan också skapa resurslås för att skydda dina Key Vault- och lagringsresurser.
grundläggande konfiguration av Azure AI Studio

Distribuera till Azure
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med den grundläggande konfigurationen, vilket innebär att offentlig Internetåtkomst är aktiverad, Microsoft-hanterade nycklar för kryptering och Microsoft-hanterad identitetskonfiguration för AI-resursen.
grundläggande konfiguration av Azure AI Studio

Distribuera till Azure
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med den grundläggande konfigurationen, vilket innebär att offentlig Internetåtkomst är aktiverad, Microsoft-hanterade nycklar för kryptering och Microsoft-hanterad identitetskonfiguration för AI-resursen.
Azure AI Studio med Microsoft Entra ID Authentication

Distribuera till Azure
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med Microsoft Entra ID-autentisering för beroende resurser, till exempel Azure AI Services och Azure Storage.
Skapa AML-arbetsyta med flera datauppsättningar & datalager

Distribuera till Azure
Den här mallen skapar En Azure Machine Learning-arbetsyta med flera datauppsättningar & datalager.
säker installation av Azure Machine Learning från slutpunkt till slutpunkt

Distribuera till Azure
Den här uppsättningen Bicep-mallar visar hur du konfigurerar Azure Machine Learning från slutpunkt till slutpunkt i en säker konfiguration. Den här referensimplementeringen omfattar arbetsytan, ett beräkningskluster, beräkningsinstansen och det anslutna privata AKS-klustret.
säker installation från slutpunkt till slutpunkt för Azure Machine Learning (äldre)

Distribuera till Azure
Den här uppsättningen Bicep-mallar visar hur du konfigurerar Azure Machine Learning från slutpunkt till slutpunkt i en säker konfiguration. Den här referensimplementeringen omfattar arbetsytan, ett beräkningskluster, beräkningsinstansen och det anslutna privata AKS-klustret.
Skapa ett AKS-beräkningsmål med en privat IP-adress

Distribuera till Azure
Den här mallen skapar ett AKS-beräkningsmål i en given Azure Machine Learning-tjänstarbetsyta med en privat IP-adress.
Skapa en Azure Machine Learning-tjänstarbetsyta

Distribuera till Azure
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den minimala uppsättning resurser som du behöver för att komma igång med Azure Machine Learning.
Skapa en Azure Machine Learning-tjänstarbetsyta (CMK)

Distribuera till Azure
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Exemplet visar hur du konfigurerar Azure Machine Learning för kryptering med en kundhanterad krypteringsnyckel.
Skapa en Azure Machine Learning-tjänstarbetsyta (CMK)

Distribuera till Azure
Den här distributionsmallen anger hur du skapar en Azure Machine Learning-arbetsyta med kryptering på tjänstsidan med hjälp av dina krypteringsnycklar.
Skapa en Azure Machine Learning-tjänstarbetsyta (vnet)

Distribuera till Azure
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den uppsättning resurser som du behöver för att komma igång med Azure Machine Learning i en nätverksisolerad konfiguration.
Skapa en Azure Machine Learning-tjänstarbetsyta (äldre)

Distribuera till Azure
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den uppsättning resurser som du behöver för att komma igång med Azure Machine Learning i en nätverksisolerad konfiguration.
AKS-kluster med Application Gateway-ingresskontrollanten

Distribuera till Azure
Det här exemplet visar hur du distribuerar ett AKS-kluster med Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics och Key Vault
Skapa en Application Gateway V2 med Key Vault

Distribuera till Azure
Den här mallen distribuerar en Application Gateway V2 i ett virtuellt nätverk, en användardefinierad identitet, Key Vault, en hemlighet (certifikatdata) och åtkomstprincip för Key Vault och Application Gateway.
Testmiljö för Azure Firewall Premium

Distribuera till Azure
Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som Identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering
Skapar en privat slutpunktsresurs för flera klientorganisationer

Distribuera till Azure
Med den här mallen kan du skapa Priavate Endpoint-resursen i samma miljö eller mellan klientorganisationer och lägga till dns-zonkonfiguration.
Skapa Application Gateway med certifikat

Distribuera till Azure
Den här mallen visar hur du genererar självsignerade Key Vault-certifikat och sedan refererar till från Application Gateway.
Azure Storage-kontokryptering med kundhanterad nyckel

Distribuera till Azure
Den här mallen distribuerar ett lagringskonto med en kundhanterad nyckel för kryptering som genereras och placeras i ett Nyckelvalv.
App Service Environment med Azure SQL-serverdelen

Distribuera till Azure
Den här mallen skapar en App Service-miljö med en Azure SQL-serverdel tillsammans med privata slutpunkter tillsammans med associerade resurser som vanligtvis används i en privat/isolerad miljö.
Azure-funktionsapp och en HTTP-utlöst funktion

Distribuera till Azure
Det här exemplet distribuerar en Azure-funktionsapp och en HTTP-utlöst funktion infogad i mallen. Den distribuerar också ett Key Vault och fyller i en hemlighet med funktionsappens värdnyckel.
Application Gateway med intern API Management och Web App

Distribuera till Azure
Application Gateway dirigerar Internettrafik till en API Management-instans för virtuellt nätverk (internt läge) som servar ett webb-API som finns i en Azure-webbapp.

Resursdefinition för Terraform (AzAPI-provider)

Resurstypen valv kan distribueras med åtgärder som mål:

  • Resursgrupper

En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.

Resursformat

Om du vill skapa en Microsoft.KeyVault/vaults-resurs lägger du till följande Terraform i mallen.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2018-02-14"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
          }
        ]
      }
      sku = {
        family = "A"
        name = "string"
      }
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Egenskapsvärden

Valv

Namn Beskrivning Värde
typ Resurstypen "Microsoft.KeyVault/vaults@2018-02-14"
Namn Resursnamnet sträng (krävs)

Teckengräns: 3–24

Giltiga tecken:
Alfanumeriska tecken och bindestreck.

Börja med bokstaven. Avsluta med bokstav eller siffra. Får inte innehålla bindestreck i följd.

Resursnamnet måste vara unikt i Hela Azure.
plats Den Azure-plats som stöds där nyckelvalvet ska skapas. sträng (krävs)
parent_id Om du vill distribuera till en resursgrupp använder du ID:t för den resursgruppen. sträng (krävs)
Taggar Taggarna som ska tilldelas till nyckelvalvet. Ordlista med taggnamn och värden.
Egenskaper Egenskaper för valvet VaultProperties (krävs)

ValvEgenskaper

Namn Beskrivning Värde
accessPolicies En matris med 0 till 1 024 identiteter som har åtkomst till nyckelvalvet. Alla identiteter i matrisen måste använda samma klient-ID som nyckelvalvets klient-ID. När createMode är inställt på recoverkrävs inte åtkomstprinciper. Annars krävs åtkomstprinciper. AccessPolicyEntry[]
createMode Valvets skapandeläge för att ange om valvet behöver återställas eller inte. "standard"
"återställa"
enabledForDeployment Egenskap för att ange om virtuella Azure-datorer tillåts hämta certifikat som lagras som hemligheter från nyckelvalvet. Bool
enabledForDiskEncryption Egenskap för att ange om Azure Disk Encryption tillåts hämta hemligheter från valvet och packa upp nycklar. Bool
enabledForTemplateDeployment Egenskap för att ange om Azure Resource Manager tillåts hämta hemligheter från nyckelvalvet. Bool
enablePurgeProtection Egenskap som anger om skydd mot rensning är aktiverat för det här valvet. Om du anger den här egenskapen till true aktiveras skydd mot rensning för det här valvet och dess innehåll . Endast Key Vault-tjänsten kan initiera en hård och oåterkallelig borttagning. Inställningen är endast effektiv om mjuk borttagning också är aktiverad. Det går inte att ångra aktiveringen av den här funktionen, dvs. egenskapen accepterar inte false som värde. Bool
enableSoftDelete Egenskap för att ange om funktionen "mjuk borttagning" är aktiverad för det här nyckelvalvet. Det accepterar inte falskt värde. Bool
networkAcls Regler som styr åtkomsten till nyckelvalvet från specifika nätverksplatser. NetworkRuleSet
Sku SKU-information Sku- (krävs)
tenantId Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. sträng (krävs)

Begränsningar:
Min längd = 36
Maximal längd = 36
Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri URI:n för valvet för att utföra åtgärder på nycklar och hemligheter. sträng

AccessPolicyEntry

Namn Beskrivning Värde
applicationId Program-ID för klienten som begär för ett huvudnamn sträng

Begränsningar:
Min längd = 36
Maximal längd = 36
Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId Objekt-ID för en användare, tjänstens huvudnamn eller säkerhetsgrupp i Azure Active Directory-klientorganisationen för valvet. Objekt-ID:t måste vara unikt för listan över åtkomstprinciper. sträng (krävs)
Behörigheter Behörigheter som identiteten har för nycklar, hemligheter och certifikat. behörigheter (krävs)
tenantId Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. sträng (krävs)

Begränsningar:
Min längd = 36
Maximal längd = 36
Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Behörigheter

Namn Beskrivning Värde
certifikaten Behörigheter till certifikat Strängmatris som innehåller något av:
"säkerhetskopiering"
"skapa"
"ta bort"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"rensa"
"återställa"
"återställning"
"setissuers"
"update"
Nycklar Behörigheter till nycklar Strängmatris som innehåller något av:
"säkerhetskopiering"
"skapa"
"dekryptera"
"ta bort"
"kryptera"
"get"
"import"
"list"
"rensa"
"återställa"
"återställning"
"sign"
"unwrapKey"
"update"
"verifiera"
"wrapKey"
Hemligheter Behörigheter till hemligheter Strängmatris som innehåller något av:
"säkerhetskopiering"
"ta bort"
"get"
"list"
"rensa"
"återställa"
"återställning"
"set"
lagring Behörigheter till lagringskonton Strängmatris som innehåller något av:
"säkerhetskopiering"
"ta bort"
"deletesas"
"get"
"getsas"
"list"
"listsas"
"rensa"
"återställa"
"regeneratekey"
"återställning"
"set"
"setsas"
"update"

NetworkRuleSet

Namn Beskrivning Värde
bypass Talar om för vilken trafik som kan kringgå nätverksregler. Det kan vara "AzureServices" eller "None". Om det inte anges är standardvärdet "AzureServices". "AzureServices"
"Ingen"
defaultAction Standardåtgärden när ingen regel från ipRules och från virtualNetworkRules matchar. Detta används endast efter att förbikopplingsegenskapen har utvärderats. "Tillåt"
"Neka"
ipRules Listan över IP-adressregler. IPRule[]
virtualNetworkRules Listan över regler för virtuella nätverk. VirtualNetworkRule[]

IPRule

Namn Beskrivning Värde
värde Ett IPv4-adressintervall i CIDR-notation, till exempel "124.56.78.91" (enkel IP-adress) eller "124.56.78.0/24" (alla adresser som börjar med 124.56.78). sträng (krävs)

VirtualNetworkRule

Namn Beskrivning Värde
Id Fullständigt resurs-ID för ett vnet-undernät, till exempel "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". sträng (krävs)

Sku

Namn Beskrivning Värde
familj SKU-familjenamn "A" (krävs)
Namn SKU-namn för att ange om nyckelvalvet är ett standardvalv eller ett Premium-valv. "premium"
"standard" (krävs)