Microsoft.KeyVault-valv 2018-02-14
Bicep-resursdefinition
Resurstypen valv kan distribueras med åtgärder som mål:
- Resursgrupper – Se resursgruppsdistributionskommandon
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Anmärkningar
Vägledning om hur du använder nyckelvalv för säkra värden finns i Hantera hemligheter med hjälp av Bicep.
En snabbstart om hur du skapar en hemlighet finns i Snabbstart: Ange och hämta en hemlighet från Azure Key Vault med hjälp av en ARM-mall.
En snabbstart om hur du skapar en nyckel finns i Snabbstart: Skapa ett Azure-nyckelvalv och en nyckel med hjälp av ARM-mallen.
Resursformat
Om du vill skapa en Microsoft.KeyVault/vaults-resurs lägger du till följande Bicep i mallen.
resource symbolicname 'Microsoft.KeyVault/vaults@2018-02-14' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
}
]
}
sku: {
family: 'A'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
}
Egenskapsvärden
Valv
Namn | Beskrivning | Värde |
---|---|---|
Namn | Resursnamnet | sträng (krävs) Teckengräns: 3–24 Giltiga tecken: Alfanumeriska tecken och bindestreck. Börja med bokstaven. Avsluta med bokstav eller siffra. Får inte innehålla bindestreck i följd. Resursnamnet måste vara unikt i Hela Azure. |
plats | Den Azure-plats som stöds där nyckelvalvet ska skapas. | sträng (krävs) |
Taggar | Taggarna som ska tilldelas till nyckelvalvet. | Ordlista med taggnamn och värden. Se taggar i mallar |
Egenskaper | Egenskaper för valvet | VaultProperties (krävs) |
ValvEgenskaper
Namn | Beskrivning | Värde |
---|---|---|
accessPolicies | En matris med 0 till 1 024 identiteter som har åtkomst till nyckelvalvet. Alla identiteter i matrisen måste använda samma klient-ID som nyckelvalvets klient-ID. När createMode är inställt på recover krävs inte åtkomstprinciper. Annars krävs åtkomstprinciper. |
AccessPolicyEntry[] |
createMode | Valvets skapandeläge för att ange om valvet behöver återställas eller inte. | "standard" "återställa" |
enabledForDeployment | Egenskap för att ange om virtuella Azure-datorer tillåts hämta certifikat som lagras som hemligheter från nyckelvalvet. | Bool |
enabledForDiskEncryption | Egenskap för att ange om Azure Disk Encryption tillåts hämta hemligheter från valvet och packa upp nycklar. | Bool |
enabledForTemplateDeployment | Egenskap för att ange om Azure Resource Manager tillåts hämta hemligheter från nyckelvalvet. | Bool |
enablePurgeProtection | Egenskap som anger om skydd mot rensning är aktiverat för det här valvet. Om du anger den här egenskapen till true aktiveras skydd mot rensning för det här valvet och dess innehåll . Endast Key Vault-tjänsten kan initiera en hård och oåterkallelig borttagning. Inställningen är endast effektiv om mjuk borttagning också är aktiverad. Det går inte att ångra aktiveringen av den här funktionen, dvs. egenskapen accepterar inte false som värde. | Bool |
enableSoftDelete | Egenskap för att ange om funktionen "mjuk borttagning" är aktiverad för det här nyckelvalvet. Det accepterar inte falskt värde. | Bool |
networkAcls | Regler som styr åtkomsten till nyckelvalvet från specifika nätverksplatser. | NetworkRuleSet |
Sku | SKU-information | Sku- (krävs) |
tenantId | Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. | sträng (krävs) Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI:n för valvet för att utföra åtgärder på nycklar och hemligheter. | sträng |
AccessPolicyEntry
Namn | Beskrivning | Värde |
---|---|---|
applicationId | Program-ID för klienten som begär för ett huvudnamn | sträng Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Objekt-ID för en användare, tjänstens huvudnamn eller säkerhetsgrupp i Azure Active Directory-klientorganisationen för valvet. Objekt-ID:t måste vara unikt för listan över åtkomstprinciper. | sträng (krävs) |
Behörigheter | Behörigheter som identiteten har för nycklar, hemligheter och certifikat. | behörigheter (krävs) |
tenantId | Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. | sträng (krävs) Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Behörigheter
Namn | Beskrivning | Värde |
---|---|---|
certifikaten | Behörigheter till certifikat | Strängmatris som innehåller något av: "säkerhetskopiering" "skapa" "ta bort" "deleteissuers" "get" "getissuers" "import" "lista" "listissuers" "managecontacts" "manageissuers" "rensa" "återställa" "återställning" "setissuers" "update" |
Nycklar | Behörigheter till nycklar | Strängmatris som innehåller något av: "säkerhetskopiering" "skapa" "dekryptera" "ta bort" "kryptera" "get" "import" "lista" "rensa" "återställa" "återställning" "sign" "unwrapKey" "update" "verifiera" "wrapKey" |
Hemligheter | Behörigheter till hemligheter | Strängmatris som innehåller något av: "säkerhetskopiering" "ta bort" "get" "lista" "rensa" "återställa" "återställning" "set" |
lagring | Behörigheter till lagringskonton | Strängmatris som innehåller något av: "säkerhetskopiering" "ta bort" "deletesas" "get" "getsas" "lista" "listsas" "rensa" "återställa" "regeneratekey" "återställning" "set" "setsas" "update" |
NetworkRuleSet
Namn | Beskrivning | Värde |
---|---|---|
bypass | Talar om för vilken trafik som kan kringgå nätverksregler. Det kan vara "AzureServices" eller "None". Om det inte anges är standardvärdet "AzureServices". | "AzureServices" "Ingen" |
defaultAction | Standardåtgärden när ingen regel från ipRules och från virtualNetworkRules matchar. Detta används endast efter att förbikopplingsegenskapen har utvärderats. | "Tillåt" "Neka" |
ipRules | Listan över IP-adressregler. | IPRule[] |
virtualNetworkRules | Listan över regler för virtuella nätverk. | VirtualNetworkRule[] |
IPRule
Namn | Beskrivning | Värde |
---|---|---|
värde | Ett IPv4-adressintervall i CIDR-notation, till exempel "124.56.78.91" (enkel IP-adress) eller "124.56.78.0/24" (alla adresser som börjar med 124.56.78). | sträng (krävs) |
VirtualNetworkRule
Namn | Beskrivning | Värde |
---|---|---|
Id | Fullständigt resurs-ID för ett vnet-undernät, till exempel "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | sträng (krävs) |
Sku
Namn | Beskrivning | Värde |
---|---|---|
familj | SKU-familjenamn | "A" (krävs) |
Namn | SKU-namn för att ange om nyckelvalvet är ett standardvalv eller ett Premium-valv. | "premium" "standard" (krävs) |
Snabbstartsmallar
Följande snabbstartsmallar distribuerar den här resurstypen.
Mall | Beskrivning |
---|---|
AKS-kluster med en NAT Gateway och en Application Gateway- |
Det här exemplet visar hur du distribuerar ett AKS-kluster med NAT Gateway för utgående anslutningar och en Application Gateway för inkommande anslutningar. |
Skapa ett privat AKS-kluster med en offentlig DNS-zon |
Det här exemplet visar hur du distribuerar ett privat AKS-kluster med en offentlig DNS-zon. |
Distribuera Sports Analytics på Azure Architecture |
Skapar ett Azure Storage-konto med ADLS Gen 2 aktiverat, en Azure Data Factory-instans med länkade tjänster för lagringskontot (en Azure SQL Database om den distribueras) och en Azure Databricks-instans. AAD-identiteten för den användare som distribuerar mallen och den hanterade identiteten för ADF-instansen beviljas rollen Storage Blob Data Contributor för lagringskontot. Det finns också alternativ för att distribuera en Azure Key Vault-instans, en Azure SQL Database och en Azure Event Hub (för användningsfall för direktuppspelning). När ett Azure Key Vault distribueras beviljas den hanterade identiteten för datafabriken och AAD-identiteten för den användare som distribuerar mallen rollen Key Vault-hemligheter. |
Azure Machine Learning-arbetsyta |
Den här mallen skapar en ny Azure Machine Learning-arbetsyta, tillsammans med ett krypterat lagringskonto, KeyVault och Application Insights-loggning |
Skapa en KeyVault- |
Den här modulen skapar en KeyVault-resurs med apiVersion 2019-09-01. |
Skapa en API Management-tjänst med SSL från KeyVault |
Den här mallen distribuerar en API Management-tjänst som konfigurerats med användartilldelad identitet. Den använder den här identiteten för att hämta SSL-certifikat från KeyVault och håller den uppdaterad genom att kontrollera var fjärde timme. |
Skapar en Dapr pub-sub servicebus-app med containerappar |
Skapa en Dapr pub-sub servicebus-app med containerappar. |
skapar ett Azure Stack HCI 23H2-kluster |
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall. |
skapar ett Azure Stack HCI 23H2-kluster |
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall med hjälp av anpassad lagrings-IP |
skapar ett Azure Stack HCI 23H2-kluster i switchless-dual-link-nätverksläge |
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall. |
skapar ett Azure Stack HCI 23H2-kluster i Switchless-SingleLink nätverksläge |
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall. |
Skapa en ny krypterad virtuell Windows-dator från galleriavbildningen |
Den här mallen skapar en ny krypterad virtuell Windows-dator med hjälp av server 2k12-galleriavbildningen. |
Skapa nya krypterade hanterade diskar win-vm från galleriavbildningen |
Den här mallen skapar en ny krypterad hanterad disk windows vm med hjälp av server 2k12-galleriavbildningen. |
Den här mallen krypterar en Windows VMSS- |
Den här mallen aktiverar kryptering på en windows-VM-skalningsuppsättning som körs |
Aktivera kryptering på en virtuell Windows-dator som körs |
Den här mallen aktiverar kryptering på en virtuell Windows-dator som körs. |
Skapa och kryptera en ny Windows VMSS med jumpbox- |
Med den här mallen kan du distribuera en enkel VM-skalningsuppsättning med virtuella Windows-datorer med den senaste korrigerade versionen av serverversioner av Windows. Den här mallen distribuerar också en jumpbox med en offentlig IP-adress i samma virtuella nätverk. Du kan ansluta till jumpboxen via den här offentliga IP-adressen och sedan ansluta därifrån till virtuella datorer i skalningsuppsättningen via privata IP-adresser. Den här mallen aktiverar kryptering på VM-skalningsuppsättningen för virtuella Windows-datorer. |
Skapa ett Azure Key Vault och en hemlig |
Den här mallen skapar ett Azure Key Vault och en hemlighet. |
Skapa ett Azure Key Vault med RBAC och en hemlig |
Den här mallen skapar ett Azure Key Vault och en hemlighet. I stället för att förlita sig på åtkomstprinciper använder den Azure RBAC för att hantera auktorisering för hemligheter |
Skapa nyckelvalv, hanterad identitet och rolltilldelning |
Den här mallen skapar ett nyckelvalv, hanterad identitet och rolltilldelning. |
Anslut till ett Nyckelvalv via privat slutpunkt |
Det här exemplet visar hur du använder konfigurera ett virtuellt nätverk och en privat DNS-zon för åtkomst till Key Vault via en privat slutpunkt. |
Skapa ett nyckelvalv och en lista över hemligheter |
Den här mallen skapar ett Key Vault och en lista över hemligheter i nyckelvalvet som skickats tillsammans med parametrarna |
Skapa nyckelvalv med loggning aktiverat |
Den här mallen skapar ett Azure Key Vault och ett Azure Storage-konto som används för loggning. Du kan också skapa resurslås för att skydda dina Key Vault- och lagringsresurser. |
grundläggande konfiguration av Azure AI Studio |
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med den grundläggande konfigurationen, vilket innebär att offentlig Internetåtkomst är aktiverad, Microsoft-hanterade nycklar för kryptering och Microsoft-hanterad identitetskonfiguration för AI-resursen. |
grundläggande konfiguration av Azure AI Studio |
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med den grundläggande konfigurationen, vilket innebär att offentlig Internetåtkomst är aktiverad, Microsoft-hanterade nycklar för kryptering och Microsoft-hanterad identitetskonfiguration för AI-resursen. |
Azure AI Studio med Microsoft Entra ID Authentication |
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med Microsoft Entra ID-autentisering för beroende resurser, till exempel Azure AI Services och Azure Storage. |
Skapa AML-arbetsyta med flera datauppsättningar & datalager |
Den här mallen skapar En Azure Machine Learning-arbetsyta med flera datauppsättningar & datalager. |
säker installation av Azure Machine Learning från slutpunkt till slutpunkt |
Den här uppsättningen Bicep-mallar visar hur du konfigurerar Azure Machine Learning från slutpunkt till slutpunkt i en säker konfiguration. Den här referensimplementeringen omfattar arbetsytan, ett beräkningskluster, beräkningsinstansen och det anslutna privata AKS-klustret. |
säker installation från slutpunkt till slutpunkt för Azure Machine Learning (äldre) |
Den här uppsättningen Bicep-mallar visar hur du konfigurerar Azure Machine Learning från slutpunkt till slutpunkt i en säker konfiguration. Den här referensimplementeringen omfattar arbetsytan, ett beräkningskluster, beräkningsinstansen och det anslutna privata AKS-klustret. |
Skapa ett AKS-beräkningsmål med en privat IP-adress |
Den här mallen skapar ett AKS-beräkningsmål i en given Azure Machine Learning-tjänstarbetsyta med en privat IP-adress. |
Skapa en Azure Machine Learning-tjänstarbetsyta |
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den minimala uppsättning resurser som du behöver för att komma igång med Azure Machine Learning. |
Skapa en Azure Machine Learning-tjänstarbetsyta (CMK) |
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Exemplet visar hur du konfigurerar Azure Machine Learning för kryptering med en kundhanterad krypteringsnyckel. |
Skapa en Azure Machine Learning-tjänstarbetsyta (CMK) |
Den här distributionsmallen anger hur du skapar en Azure Machine Learning-arbetsyta med kryptering på tjänstsidan med hjälp av dina krypteringsnycklar. |
Skapa en Azure Machine Learning-tjänstarbetsyta (vnet) |
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den uppsättning resurser som du behöver för att komma igång med Azure Machine Learning i en nätverksisolerad konfiguration. |
Skapa en Azure Machine Learning-tjänstarbetsyta (äldre) |
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den uppsättning resurser som du behöver för att komma igång med Azure Machine Learning i en nätverksisolerad konfiguration. |
AKS-kluster med Application Gateway-ingresskontrollanten |
Det här exemplet visar hur du distribuerar ett AKS-kluster med Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics och Key Vault |
Skapa en Application Gateway V2 med Key Vault |
Den här mallen distribuerar en Application Gateway V2 i ett virtuellt nätverk, en användardefinierad identitet, Key Vault, en hemlighet (certifikatdata) och åtkomstprincip för Key Vault och Application Gateway. |
Testmiljö för Azure Firewall Premium |
Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som Identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering |
Skapar en privat slutpunktsresurs för flera klientorganisationer |
Med den här mallen kan du skapa Priavate Endpoint-resursen i samma miljö eller mellan klientorganisationer och lägga till dns-zonkonfiguration. |
Skapa Application Gateway med certifikat |
Den här mallen visar hur du genererar självsignerade Key Vault-certifikat och sedan refererar till från Application Gateway. |
Azure Storage-kontokryptering med kundhanterad nyckel |
Den här mallen distribuerar ett lagringskonto med en kundhanterad nyckel för kryptering som genereras och placeras i ett Nyckelvalv. |
App Service Environment med Azure SQL-serverdelen |
Den här mallen skapar en App Service-miljö med en Azure SQL-serverdel tillsammans med privata slutpunkter tillsammans med associerade resurser som vanligtvis används i en privat/isolerad miljö. |
Azure-funktionsapp och en HTTP-utlöst funktion |
Det här exemplet distribuerar en Azure-funktionsapp och en HTTP-utlöst funktion infogad i mallen. Den distribuerar också ett Key Vault och fyller i en hemlighet med funktionsappens värdnyckel. |
Application Gateway med intern API Management och Web App |
Application Gateway dirigerar Internettrafik till en API Management-instans för virtuellt nätverk (internt läge) som servar ett webb-API som finns i en Azure-webbapp. |
Resursdefinition för ARM-mall
Resurstypen valv kan distribueras med åtgärder som mål:
- Resursgrupper – Se resursgruppsdistributionskommandon
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Anmärkningar
Vägledning om hur du använder nyckelvalv för säkra värden finns i Hantera hemligheter med hjälp av Bicep.
En snabbstart om hur du skapar en hemlighet finns i Snabbstart: Ange och hämta en hemlighet från Azure Key Vault med hjälp av en ARM-mall.
En snabbstart om hur du skapar en nyckel finns i Snabbstart: Skapa ett Azure-nyckelvalv och en nyckel med hjälp av ARM-mallen.
Resursformat
Om du vill skapa en Microsoft.KeyVault/vaults-resurs lägger du till följande JSON i mallen.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2018-02-14",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string"
}
]
},
"sku": {
"family": "A",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
}
}
Egenskapsvärden
Valv
Namn | Beskrivning | Värde |
---|---|---|
typ | Resurstypen | "Microsoft.KeyVault/vaults" |
apiVersion | Resurs-API-versionen | '2018-02-14' |
Namn | Resursnamnet | sträng (krävs) Teckengräns: 3–24 Giltiga tecken: Alfanumeriska tecken och bindestreck. Börja med bokstaven. Avsluta med bokstav eller siffra. Får inte innehålla bindestreck i följd. Resursnamnet måste vara unikt i Hela Azure. |
plats | Den Azure-plats som stöds där nyckelvalvet ska skapas. | sträng (krävs) |
Taggar | Taggarna som ska tilldelas till nyckelvalvet. | Ordlista med taggnamn och värden. Se taggar i mallar |
Egenskaper | Egenskaper för valvet | VaultProperties (krävs) |
ValvEgenskaper
Namn | Beskrivning | Värde |
---|---|---|
accessPolicies | En matris med 0 till 1 024 identiteter som har åtkomst till nyckelvalvet. Alla identiteter i matrisen måste använda samma klient-ID som nyckelvalvets klient-ID. När createMode är inställt på recover krävs inte åtkomstprinciper. Annars krävs åtkomstprinciper. |
AccessPolicyEntry[] |
createMode | Valvets skapandeläge för att ange om valvet behöver återställas eller inte. | "standard" "återställa" |
enabledForDeployment | Egenskap för att ange om virtuella Azure-datorer tillåts hämta certifikat som lagras som hemligheter från nyckelvalvet. | Bool |
enabledForDiskEncryption | Egenskap för att ange om Azure Disk Encryption tillåts hämta hemligheter från valvet och packa upp nycklar. | Bool |
enabledForTemplateDeployment | Egenskap för att ange om Azure Resource Manager tillåts hämta hemligheter från nyckelvalvet. | Bool |
enablePurgeProtection | Egenskap som anger om skydd mot rensning är aktiverat för det här valvet. Om du anger den här egenskapen till true aktiveras skydd mot rensning för det här valvet och dess innehåll . Endast Key Vault-tjänsten kan initiera en hård och oåterkallelig borttagning. Inställningen är endast effektiv om mjuk borttagning också är aktiverad. Det går inte att ångra aktiveringen av den här funktionen, dvs. egenskapen accepterar inte false som värde. | Bool |
enableSoftDelete | Egenskap för att ange om funktionen "mjuk borttagning" är aktiverad för det här nyckelvalvet. Det accepterar inte falskt värde. | Bool |
networkAcls | Regler som styr åtkomsten till nyckelvalvet från specifika nätverksplatser. | NetworkRuleSet |
Sku | SKU-information | Sku- (krävs) |
tenantId | Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. | sträng (krävs) Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI:n för valvet för att utföra åtgärder på nycklar och hemligheter. | sträng |
AccessPolicyEntry
Namn | Beskrivning | Värde |
---|---|---|
applicationId | Program-ID för klienten som begär för ett huvudnamn | sträng Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Objekt-ID för en användare, tjänstens huvudnamn eller säkerhetsgrupp i Azure Active Directory-klientorganisationen för valvet. Objekt-ID:t måste vara unikt för listan över åtkomstprinciper. | sträng (krävs) |
Behörigheter | Behörigheter som identiteten har för nycklar, hemligheter och certifikat. | behörigheter (krävs) |
tenantId | Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. | sträng (krävs) Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Behörigheter
Namn | Beskrivning | Värde |
---|---|---|
certifikaten | Behörigheter till certifikat | Strängmatris som innehåller något av: "säkerhetskopiering" "skapa" "ta bort" "deleteissuers" "get" "getissuers" "import" "lista" "listissuers" "managecontacts" "manageissuers" "rensa" "återställa" "återställning" "setissuers" "update" |
Nycklar | Behörigheter till nycklar | Strängmatris som innehåller något av: "säkerhetskopiering" "skapa" "dekryptera" "ta bort" "kryptera" "get" "import" "lista" "rensa" "återställa" "återställning" "sign" "unwrapKey" "update" "verifiera" "wrapKey" |
Hemligheter | Behörigheter till hemligheter | Strängmatris som innehåller något av: "säkerhetskopiering" "ta bort" "get" "lista" "rensa" "återställa" "återställning" "set" |
lagring | Behörigheter till lagringskonton | Strängmatris som innehåller något av: "säkerhetskopiering" "ta bort" "deletesas" "get" "getsas" "lista" "listsas" "rensa" "återställa" "regeneratekey" "återställning" "set" "setsas" "update" |
NetworkRuleSet
Namn | Beskrivning | Värde |
---|---|---|
bypass | Talar om för vilken trafik som kan kringgå nätverksregler. Det kan vara "AzureServices" eller "None". Om det inte anges är standardvärdet "AzureServices". | "AzureServices" "Ingen" |
defaultAction | Standardåtgärden när ingen regel från ipRules och från virtualNetworkRules matchar. Detta används endast efter att förbikopplingsegenskapen har utvärderats. | "Tillåt" "Neka" |
ipRules | Listan över IP-adressregler. | IPRule[] |
virtualNetworkRules | Listan över regler för virtuella nätverk. | VirtualNetworkRule[] |
IPRule
Namn | Beskrivning | Värde |
---|---|---|
värde | Ett IPv4-adressintervall i CIDR-notation, till exempel "124.56.78.91" (enkel IP-adress) eller "124.56.78.0/24" (alla adresser som börjar med 124.56.78). | sträng (krävs) |
VirtualNetworkRule
Namn | Beskrivning | Värde |
---|---|---|
Id | Fullständigt resurs-ID för ett vnet-undernät, till exempel "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | sträng (krävs) |
Sku
Namn | Beskrivning | Värde |
---|---|---|
familj | SKU-familjenamn | "A" (krävs) |
Namn | SKU-namn för att ange om nyckelvalvet är ett standardvalv eller ett Premium-valv. | "premium" "standard" (krävs) |
Snabbstartsmallar
Följande snabbstartsmallar distribuerar den här resurstypen.
Mall | Beskrivning |
---|---|
AKS-kluster med en NAT Gateway och en Application Gateway- |
Det här exemplet visar hur du distribuerar ett AKS-kluster med NAT Gateway för utgående anslutningar och en Application Gateway för inkommande anslutningar. |
Skapa ett privat AKS-kluster med en offentlig DNS-zon |
Det här exemplet visar hur du distribuerar ett privat AKS-kluster med en offentlig DNS-zon. |
Distribuera Sports Analytics på Azure Architecture |
Skapar ett Azure Storage-konto med ADLS Gen 2 aktiverat, en Azure Data Factory-instans med länkade tjänster för lagringskontot (en Azure SQL Database om den distribueras) och en Azure Databricks-instans. AAD-identiteten för den användare som distribuerar mallen och den hanterade identiteten för ADF-instansen beviljas rollen Storage Blob Data Contributor för lagringskontot. Det finns också alternativ för att distribuera en Azure Key Vault-instans, en Azure SQL Database och en Azure Event Hub (för användningsfall för direktuppspelning). När ett Azure Key Vault distribueras beviljas den hanterade identiteten för datafabriken och AAD-identiteten för den användare som distribuerar mallen rollen Key Vault-hemligheter. |
Azure Machine Learning-arbetsyta |
Den här mallen skapar en ny Azure Machine Learning-arbetsyta, tillsammans med ett krypterat lagringskonto, KeyVault och Application Insights-loggning |
Skapa en KeyVault- |
Den här modulen skapar en KeyVault-resurs med apiVersion 2019-09-01. |
Skapa en API Management-tjänst med SSL från KeyVault |
Den här mallen distribuerar en API Management-tjänst som konfigurerats med användartilldelad identitet. Den använder den här identiteten för att hämta SSL-certifikat från KeyVault och håller den uppdaterad genom att kontrollera var fjärde timme. |
Skapar en Dapr pub-sub servicebus-app med containerappar |
Skapa en Dapr pub-sub servicebus-app med containerappar. |
skapar ett Azure Stack HCI 23H2-kluster |
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall. |
skapar ett Azure Stack HCI 23H2-kluster |
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall med hjälp av anpassad lagrings-IP |
skapar ett Azure Stack HCI 23H2-kluster i switchless-dual-link-nätverksläge |
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall. |
skapar ett Azure Stack HCI 23H2-kluster i Switchless-SingleLink nätverksläge |
Den här mallen skapar ett Azure Stack HCI 23H2-kluster med hjälp av en ARM-mall. |
Skapa en ny krypterad virtuell Windows-dator från galleriavbildningen |
Den här mallen skapar en ny krypterad virtuell Windows-dator med hjälp av server 2k12-galleriavbildningen. |
Skapa nya krypterade hanterade diskar win-vm från galleriavbildningen |
Den här mallen skapar en ny krypterad hanterad disk windows vm med hjälp av server 2k12-galleriavbildningen. |
Den här mallen krypterar en Windows VMSS- |
Den här mallen aktiverar kryptering på en windows-VM-skalningsuppsättning som körs |
Aktivera kryptering på en virtuell Windows-dator som körs |
Den här mallen aktiverar kryptering på en virtuell Windows-dator som körs. |
Skapa och kryptera en ny Windows VMSS med jumpbox- |
Med den här mallen kan du distribuera en enkel VM-skalningsuppsättning med virtuella Windows-datorer med den senaste korrigerade versionen av serverversioner av Windows. Den här mallen distribuerar också en jumpbox med en offentlig IP-adress i samma virtuella nätverk. Du kan ansluta till jumpboxen via den här offentliga IP-adressen och sedan ansluta därifrån till virtuella datorer i skalningsuppsättningen via privata IP-adresser. Den här mallen aktiverar kryptering på VM-skalningsuppsättningen för virtuella Windows-datorer. |
Skapa ett Azure Key Vault och en hemlig |
Den här mallen skapar ett Azure Key Vault och en hemlighet. |
Skapa ett Azure Key Vault med RBAC och en hemlig |
Den här mallen skapar ett Azure Key Vault och en hemlighet. I stället för att förlita sig på åtkomstprinciper använder den Azure RBAC för att hantera auktorisering för hemligheter |
Skapa nyckelvalv, hanterad identitet och rolltilldelning |
Den här mallen skapar ett nyckelvalv, hanterad identitet och rolltilldelning. |
Anslut till ett Nyckelvalv via privat slutpunkt |
Det här exemplet visar hur du använder konfigurera ett virtuellt nätverk och en privat DNS-zon för åtkomst till Key Vault via en privat slutpunkt. |
Skapa ett nyckelvalv och en lista över hemligheter |
Den här mallen skapar ett Key Vault och en lista över hemligheter i nyckelvalvet som skickats tillsammans med parametrarna |
Skapa nyckelvalv med loggning aktiverat |
Den här mallen skapar ett Azure Key Vault och ett Azure Storage-konto som används för loggning. Du kan också skapa resurslås för att skydda dina Key Vault- och lagringsresurser. |
grundläggande konfiguration av Azure AI Studio |
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med den grundläggande konfigurationen, vilket innebär att offentlig Internetåtkomst är aktiverad, Microsoft-hanterade nycklar för kryptering och Microsoft-hanterad identitetskonfiguration för AI-resursen. |
grundläggande konfiguration av Azure AI Studio |
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med den grundläggande konfigurationen, vilket innebär att offentlig Internetåtkomst är aktiverad, Microsoft-hanterade nycklar för kryptering och Microsoft-hanterad identitetskonfiguration för AI-resursen. |
Azure AI Studio med Microsoft Entra ID Authentication |
Den här uppsättningen mallar visar hur du konfigurerar Azure AI Studio med Microsoft Entra ID-autentisering för beroende resurser, till exempel Azure AI Services och Azure Storage. |
Skapa AML-arbetsyta med flera datauppsättningar & datalager |
Den här mallen skapar En Azure Machine Learning-arbetsyta med flera datauppsättningar & datalager. |
säker installation av Azure Machine Learning från slutpunkt till slutpunkt |
Den här uppsättningen Bicep-mallar visar hur du konfigurerar Azure Machine Learning från slutpunkt till slutpunkt i en säker konfiguration. Den här referensimplementeringen omfattar arbetsytan, ett beräkningskluster, beräkningsinstansen och det anslutna privata AKS-klustret. |
säker installation från slutpunkt till slutpunkt för Azure Machine Learning (äldre) |
Den här uppsättningen Bicep-mallar visar hur du konfigurerar Azure Machine Learning från slutpunkt till slutpunkt i en säker konfiguration. Den här referensimplementeringen omfattar arbetsytan, ett beräkningskluster, beräkningsinstansen och det anslutna privata AKS-klustret. |
Skapa ett AKS-beräkningsmål med en privat IP-adress |
Den här mallen skapar ett AKS-beräkningsmål i en given Azure Machine Learning-tjänstarbetsyta med en privat IP-adress. |
Skapa en Azure Machine Learning-tjänstarbetsyta |
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den minimala uppsättning resurser som du behöver för att komma igång med Azure Machine Learning. |
Skapa en Azure Machine Learning-tjänstarbetsyta (CMK) |
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Exemplet visar hur du konfigurerar Azure Machine Learning för kryptering med en kundhanterad krypteringsnyckel. |
Skapa en Azure Machine Learning-tjänstarbetsyta (CMK) |
Den här distributionsmallen anger hur du skapar en Azure Machine Learning-arbetsyta med kryptering på tjänstsidan med hjälp av dina krypteringsnycklar. |
Skapa en Azure Machine Learning-tjänstarbetsyta (vnet) |
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den uppsättning resurser som du behöver för att komma igång med Azure Machine Learning i en nätverksisolerad konfiguration. |
Skapa en Azure Machine Learning-tjänstarbetsyta (äldre) |
Den här distributionsmallen anger en Azure Machine Learning-arbetsyta och dess associerade resurser, inklusive Azure Key Vault, Azure Storage, Azure Application Insights och Azure Container Registry. Den här konfigurationen beskriver den uppsättning resurser som du behöver för att komma igång med Azure Machine Learning i en nätverksisolerad konfiguration. |
AKS-kluster med Application Gateway-ingresskontrollanten |
Det här exemplet visar hur du distribuerar ett AKS-kluster med Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics och Key Vault |
Skapa en Application Gateway V2 med Key Vault |
Den här mallen distribuerar en Application Gateway V2 i ett virtuellt nätverk, en användardefinierad identitet, Key Vault, en hemlighet (certifikatdata) och åtkomstprincip för Key Vault och Application Gateway. |
Testmiljö för Azure Firewall Premium |
Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som Identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering |
Skapar en privat slutpunktsresurs för flera klientorganisationer |
Med den här mallen kan du skapa Priavate Endpoint-resursen i samma miljö eller mellan klientorganisationer och lägga till dns-zonkonfiguration. |
Skapa Application Gateway med certifikat |
Den här mallen visar hur du genererar självsignerade Key Vault-certifikat och sedan refererar till från Application Gateway. |
Azure Storage-kontokryptering med kundhanterad nyckel |
Den här mallen distribuerar ett lagringskonto med en kundhanterad nyckel för kryptering som genereras och placeras i ett Nyckelvalv. |
App Service Environment med Azure SQL-serverdelen |
Den här mallen skapar en App Service-miljö med en Azure SQL-serverdel tillsammans med privata slutpunkter tillsammans med associerade resurser som vanligtvis används i en privat/isolerad miljö. |
Azure-funktionsapp och en HTTP-utlöst funktion |
Det här exemplet distribuerar en Azure-funktionsapp och en HTTP-utlöst funktion infogad i mallen. Den distribuerar också ett Key Vault och fyller i en hemlighet med funktionsappens värdnyckel. |
Application Gateway med intern API Management och Web App |
Application Gateway dirigerar Internettrafik till en API Management-instans för virtuellt nätverk (internt läge) som servar ett webb-API som finns i en Azure-webbapp. |
Resursdefinition för Terraform (AzAPI-provider)
Resurstypen valv kan distribueras med åtgärder som mål:
- Resursgrupper
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.KeyVault/vaults-resurs lägger du till följande Terraform i mallen.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2018-02-14"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
}
]
}
sku = {
family = "A"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
})
}
Egenskapsvärden
Valv
Namn | Beskrivning | Värde |
---|---|---|
typ | Resurstypen | "Microsoft.KeyVault/vaults@2018-02-14" |
Namn | Resursnamnet | sträng (krävs) Teckengräns: 3–24 Giltiga tecken: Alfanumeriska tecken och bindestreck. Börja med bokstaven. Avsluta med bokstav eller siffra. Får inte innehålla bindestreck i följd. Resursnamnet måste vara unikt i Hela Azure. |
plats | Den Azure-plats som stöds där nyckelvalvet ska skapas. | sträng (krävs) |
parent_id | Om du vill distribuera till en resursgrupp använder du ID:t för den resursgruppen. | sträng (krävs) |
Taggar | Taggarna som ska tilldelas till nyckelvalvet. | Ordlista med taggnamn och värden. |
Egenskaper | Egenskaper för valvet | VaultProperties (krävs) |
ValvEgenskaper
Namn | Beskrivning | Värde |
---|---|---|
accessPolicies | En matris med 0 till 1 024 identiteter som har åtkomst till nyckelvalvet. Alla identiteter i matrisen måste använda samma klient-ID som nyckelvalvets klient-ID. När createMode är inställt på recover krävs inte åtkomstprinciper. Annars krävs åtkomstprinciper. |
AccessPolicyEntry[] |
createMode | Valvets skapandeläge för att ange om valvet behöver återställas eller inte. | "standard" "återställa" |
enabledForDeployment | Egenskap för att ange om virtuella Azure-datorer tillåts hämta certifikat som lagras som hemligheter från nyckelvalvet. | Bool |
enabledForDiskEncryption | Egenskap för att ange om Azure Disk Encryption tillåts hämta hemligheter från valvet och packa upp nycklar. | Bool |
enabledForTemplateDeployment | Egenskap för att ange om Azure Resource Manager tillåts hämta hemligheter från nyckelvalvet. | Bool |
enablePurgeProtection | Egenskap som anger om skydd mot rensning är aktiverat för det här valvet. Om du anger den här egenskapen till true aktiveras skydd mot rensning för det här valvet och dess innehåll . Endast Key Vault-tjänsten kan initiera en hård och oåterkallelig borttagning. Inställningen är endast effektiv om mjuk borttagning också är aktiverad. Det går inte att ångra aktiveringen av den här funktionen, dvs. egenskapen accepterar inte false som värde. | Bool |
enableSoftDelete | Egenskap för att ange om funktionen "mjuk borttagning" är aktiverad för det här nyckelvalvet. Det accepterar inte falskt värde. | Bool |
networkAcls | Regler som styr åtkomsten till nyckelvalvet från specifika nätverksplatser. | NetworkRuleSet |
Sku | SKU-information | Sku- (krävs) |
tenantId | Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. | sträng (krävs) Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | URI:n för valvet för att utföra åtgärder på nycklar och hemligheter. | sträng |
AccessPolicyEntry
Namn | Beskrivning | Värde |
---|---|---|
applicationId | Program-ID för klienten som begär för ett huvudnamn | sträng Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Objekt-ID för en användare, tjänstens huvudnamn eller säkerhetsgrupp i Azure Active Directory-klientorganisationen för valvet. Objekt-ID:t måste vara unikt för listan över åtkomstprinciper. | sträng (krävs) |
Behörigheter | Behörigheter som identiteten har för nycklar, hemligheter och certifikat. | behörigheter (krävs) |
tenantId | Det Azure Active Directory-klient-ID som ska användas för att autentisera begäranden till nyckelvalvet. | sträng (krävs) Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Behörigheter
Namn | Beskrivning | Värde |
---|---|---|
certifikaten | Behörigheter till certifikat | Strängmatris som innehåller något av: "säkerhetskopiering" "skapa" "ta bort" "deleteissuers" "get" "getissuers" "import" "list" "listissuers" "managecontacts" "manageissuers" "rensa" "återställa" "återställning" "setissuers" "update" |
Nycklar | Behörigheter till nycklar | Strängmatris som innehåller något av: "säkerhetskopiering" "skapa" "dekryptera" "ta bort" "kryptera" "get" "import" "list" "rensa" "återställa" "återställning" "sign" "unwrapKey" "update" "verifiera" "wrapKey" |
Hemligheter | Behörigheter till hemligheter | Strängmatris som innehåller något av: "säkerhetskopiering" "ta bort" "get" "list" "rensa" "återställa" "återställning" "set" |
lagring | Behörigheter till lagringskonton | Strängmatris som innehåller något av: "säkerhetskopiering" "ta bort" "deletesas" "get" "getsas" "list" "listsas" "rensa" "återställa" "regeneratekey" "återställning" "set" "setsas" "update" |
NetworkRuleSet
Namn | Beskrivning | Värde |
---|---|---|
bypass | Talar om för vilken trafik som kan kringgå nätverksregler. Det kan vara "AzureServices" eller "None". Om det inte anges är standardvärdet "AzureServices". | "AzureServices" "Ingen" |
defaultAction | Standardåtgärden när ingen regel från ipRules och från virtualNetworkRules matchar. Detta används endast efter att förbikopplingsegenskapen har utvärderats. | "Tillåt" "Neka" |
ipRules | Listan över IP-adressregler. | IPRule[] |
virtualNetworkRules | Listan över regler för virtuella nätverk. | VirtualNetworkRule[] |
IPRule
Namn | Beskrivning | Värde |
---|---|---|
värde | Ett IPv4-adressintervall i CIDR-notation, till exempel "124.56.78.91" (enkel IP-adress) eller "124.56.78.0/24" (alla adresser som börjar med 124.56.78). | sträng (krävs) |
VirtualNetworkRule
Namn | Beskrivning | Värde |
---|---|---|
Id | Fullständigt resurs-ID för ett vnet-undernät, till exempel "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | sträng (krävs) |
Sku
Namn | Beskrivning | Värde |
---|---|---|
familj | SKU-familjenamn | "A" (krävs) |
Namn | SKU-namn för att ange om nyckelvalvet är ett standardvalv eller ett Premium-valv. | "premium" "standard" (krävs) |