你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft.KeyVault 保管库/密钥 2023-07-01

言论

有关使用密钥保管库获取安全值的指南,请参阅 使用 Bicep管理机密。

有关创建机密的快速入门,请参阅 快速入门:使用 ARM 模板设置和检索 Azure Key Vault 中的机密。

有关创建密钥的快速入门,请参阅 快速入门:使用 ARM 模板创建 Azure 密钥保管库和密钥。

Bicep 资源定义

可以使用目标操作部署保管库/密钥资源类型:

有关每个 API 版本中已更改属性的列表,请参阅 更改日志

资源格式

若要创建 Microsoft.KeyVault/vaults/keys 资源,请将以下 Bicep 添加到模板。

resource symbolicname 'Microsoft.KeyVault/vaults/keys@2023-07-01' = {
  parent: resourceSymbolicName
  name: 'string'
  properties: {
    attributes: {
      enabled: bool
      exp: int
      exportable: bool
      nbf: int
    }
    curveName: 'string'
    keyOps: [
      'string'
    ]
    keySize: int
    kty: 'string'
    release_policy: {
      contentType: 'string'
      data: 'string'
    }
    rotationPolicy: {
      attributes: {
        expiryTime: 'string'
      }
      lifetimeActions: [
        {
          action: {
            type: 'string'
          }
          trigger: {
            timeAfterCreate: 'string'
            timeBeforeExpiry: 'string'
          }
        }
      ]
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

属性值

行动

名字 描述 价值
类型 操作的类型。 “notify”
“rotate”

KeyAttributes

名字 描述 价值
启用 确定是否启用对象。 bool
exp 自 1970-01-01T00:00:00Z 起的到期日期(以秒为单位)。 int
出口 指示是否可以导出私钥。 bool
nbf 自 1970-01-01T00:00:00Z 以来的日期不早于秒。 int

KeyCreateParametersTags

名字 描述 价值

KeyProperties

名字 描述 价值
属性 键的属性。 KeyAttributes
curveName 椭圆曲线名称。 有关有效值,请参阅 JsonWebKeyCurveName。 “P-256”
“P-256K”
“P-384”
“P-521”
keyOps 包含任一项的字符串数组:
“decrypt”
“encrypt”
“import”
'release'
“sign”
“unwrapKey”
“verify”
“wrapKey”
keySize 键大小(以位为单位)。 例如:RSA 的 2048、3072 或 4096。 int
kty 键的类型。 有关有效值,请参阅 JsonWebKeyType。 “EC”
“EC-HSM”
“RSA”
“RSA-HSM”
release_policy 响应中的密钥发布策略。 它将用于输出和输入。 如果为空,则省略 KeyReleasePolicy
rotationPolicy 响应中的密钥轮换策略。 它将用于输出和输入。 如果为空,则省略 RotationPolicy

KeyReleasePolicy

名字 描述 价值
contentType 密钥发布策略的内容类型和版本 字符串
数据 Blob 对可释放密钥的策略规则进行编码。 字符串

KeyRotationPolicyAttributes

名字 描述 价值
expiryTime 新密钥版本的过期时间。 它应采用ISO8601格式。 例如:“P90D”、“P1Y”。 字符串

LifetimeAction

名字 描述 价值
行动 密钥轮换策略 lifetimeAction 的操作。 操作
触发 密钥轮换策略 lifetimeAction 的触发器。 触发器

Microsoft.KeyVault/vaults/keys

名字 描述 价值
名字 资源名称 字符串

约束:
模式 = ^[a-zA-Z0-9-]{1,127}$ (必需)
父母 在 Bicep 中,可以为子资源指定父资源。 仅当子资源在父资源外部声明时,才需要添加此属性。

有关详细信息,请参阅 父资源外部的子资源
类型资源的符号名称:保管库
性能 要创建的密钥的属性。 KeyProperties(必需)
标签 资源标记 标记名称和值的字典。 请参阅模板 中的 标记

RotationPolicy

名字 描述 价值
属性 密钥轮换策略的属性。 KeyRotationPolicyAttributes
lifetimeActions 密钥轮换操作的 lifetimeActions。 LifetimeAction[]

触发

名字 描述 价值
timeAfterCreate 创建密钥以轮换密钥后的持续时间。 它仅适用于旋转。 它将采用 ISO 8601 持续时间格式。 例如:“P90D”、“P1Y”。 字符串
timeBeforeExpiry 密钥轮换或通知前的持续时间。 它将采用 ISO 8601 持续时间格式。 例如:“P90D”、“P1Y”。 字符串

快速入门示例

以下快速入门示例部署此资源类型。

Bicep 文件 描述
使用客户管理的密钥 Azure 存储帐户加密 此模板部署一个存储帐户,其中包含客户管理的密钥,用于加密,该密钥生成并放置在 Key Vault 中。

ARM 模板资源定义

可以使用目标操作部署保管库/密钥资源类型:

有关每个 API 版本中已更改属性的列表,请参阅 更改日志

资源格式

若要创建 Microsoft.KeyVault/vaults/keys 资源,请将以下 JSON 添加到模板。

{
  "type": "Microsoft.KeyVault/vaults/keys",
  "apiVersion": "2023-07-01",
  "name": "string",
  "properties": {
    "attributes": {
      "enabled": "bool",
      "exp": "int",
      "exportable": "bool",
      "nbf": "int"
    },
    "curveName": "string",
    "keyOps": [ "string" ],
    "keySize": "int",
    "kty": "string",
    "release_policy": {
      "contentType": "string",
      "data": "string"
    },
    "rotationPolicy": {
      "attributes": {
        "expiryTime": "string"
      },
      "lifetimeActions": [
        {
          "action": {
            "type": "string"
          },
          "trigger": {
            "timeAfterCreate": "string",
            "timeBeforeExpiry": "string"
          }
        }
      ]
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

属性值

行动

名字 描述 价值
类型 操作的类型。 “notify”
“rotate”

KeyAttributes

名字 描述 价值
启用 确定是否启用对象。 bool
exp 自 1970-01-01T00:00:00Z 起的到期日期(以秒为单位)。 int
出口 指示是否可以导出私钥。 bool
nbf 自 1970-01-01T00:00:00Z 以来的日期不早于秒。 int

KeyCreateParametersTags

名字 描述 价值

KeyProperties

名字 描述 价值
属性 键的属性。 KeyAttributes
curveName 椭圆曲线名称。 有关有效值,请参阅 JsonWebKeyCurveName。 “P-256”
“P-256K”
“P-384”
“P-521”
keyOps 包含任一项的字符串数组:
“decrypt”
“encrypt”
“import”
'release'
“sign”
“unwrapKey”
“verify”
“wrapKey”
keySize 键大小(以位为单位)。 例如:RSA 的 2048、3072 或 4096。 int
kty 键的类型。 有关有效值,请参阅 JsonWebKeyType。 “EC”
“EC-HSM”
“RSA”
“RSA-HSM”
release_policy 响应中的密钥发布策略。 它将用于输出和输入。 如果为空,则省略 KeyReleasePolicy
rotationPolicy 响应中的密钥轮换策略。 它将用于输出和输入。 如果为空,则省略 RotationPolicy

KeyReleasePolicy

名字 描述 价值
contentType 密钥发布策略的内容类型和版本 字符串
数据 Blob 对可释放密钥的策略规则进行编码。 字符串

KeyRotationPolicyAttributes

名字 描述 价值
expiryTime 新密钥版本的过期时间。 它应采用ISO8601格式。 例如:“P90D”、“P1Y”。 字符串

LifetimeAction

名字 描述 价值
行动 密钥轮换策略 lifetimeAction 的操作。 操作
触发 密钥轮换策略 lifetimeAction 的触发器。 触发器

Microsoft.KeyVault/vaults/keys

名字 描述 价值
apiVersion API 版本 '2023-07-01'
名字 资源名称 字符串

约束:
模式 = ^[a-zA-Z0-9-]{1,127}$ (必需)
性能 要创建的密钥的属性。 KeyProperties(必需)
标签 资源标记 标记名称和值的字典。 请参阅模板 中的 标记
类型 资源类型 “Microsoft.KeyVault/vaults/keys”

RotationPolicy

名字 描述 价值
属性 密钥轮换策略的属性。 KeyRotationPolicyAttributes
lifetimeActions 密钥轮换操作的 lifetimeActions。 LifetimeAction[]

触发

名字 描述 价值
timeAfterCreate 创建密钥以轮换密钥后的持续时间。 它仅适用于旋转。 它将采用 ISO 8601 持续时间格式。 例如:“P90D”、“P1Y”。 字符串
timeBeforeExpiry 密钥轮换或通知前的持续时间。 它将采用 ISO 8601 持续时间格式。 例如:“P90D”、“P1Y”。 字符串

快速入门模板

以下快速入门模板部署此资源类型。

模板 描述
使用客户管理的密钥 Azure 存储帐户加密

部署到 Azure
此模板部署一个存储帐户,其中包含客户管理的密钥,用于加密,该密钥生成并放置在 Key Vault 中。
在 Azure KeyVault 中创建密钥

部署到 Azure
此模块允许在现有 KeyVault 中创建密钥。

Terraform (AzAPI 提供程序)资源定义

可以使用目标操作部署保管库/密钥资源类型:

  • 资源组

有关每个 API 版本中已更改属性的列表,请参阅 更改日志

资源格式

若要创建 Microsoft.KeyVault/vaults/keys 资源,请将以下 Terraform 添加到模板。

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults/keys@2023-07-01"
  name = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      attributes = {
        enabled = bool
        exp = int
        exportable = bool
        nbf = int
      }
      curveName = "string"
      keyOps = [
        "string"
      ]
      keySize = int
      kty = "string"
      release_policy = {
        contentType = "string"
        data = "string"
      }
      rotationPolicy = {
        attributes = {
          expiryTime = "string"
        }
        lifetimeActions = [
          {
            action = {
              type = "string"
            }
            trigger = {
              timeAfterCreate = "string"
              timeBeforeExpiry = "string"
            }
          }
        ]
      }
    }
  })
}

属性值

行动

名字 描述 价值
类型 操作的类型。 “notify”
“rotate”

KeyAttributes

名字 描述 价值
启用 确定是否启用对象。 bool
exp 自 1970-01-01T00:00:00Z 起的到期日期(以秒为单位)。 int
出口 指示是否可以导出私钥。 bool
nbf 自 1970-01-01T00:00:00Z 以来的日期不早于秒。 int

KeyCreateParametersTags

名字 描述 价值

KeyProperties

名字 描述 价值
属性 键的属性。 KeyAttributes
curveName 椭圆曲线名称。 有关有效值,请参阅 JsonWebKeyCurveName。 “P-256”
“P-256K”
“P-384”
“P-521”
keyOps 包含任一项的字符串数组:
“decrypt”
“encrypt”
“import”
'release'
“sign”
“unwrapKey”
“verify”
“wrapKey”
keySize 键大小(以位为单位)。 例如:RSA 的 2048、3072 或 4096。 int
kty 键的类型。 有关有效值,请参阅 JsonWebKeyType。 “EC”
“EC-HSM”
“RSA”
“RSA-HSM”
release_policy 响应中的密钥发布策略。 它将用于输出和输入。 如果为空,则省略 KeyReleasePolicy
rotationPolicy 响应中的密钥轮换策略。 它将用于输出和输入。 如果为空,则省略 RotationPolicy

KeyReleasePolicy

名字 描述 价值
contentType 密钥发布策略的内容类型和版本 字符串
数据 Blob 对可释放密钥的策略规则进行编码。 字符串

KeyRotationPolicyAttributes

名字 描述 价值
expiryTime 新密钥版本的过期时间。 它应采用ISO8601格式。 例如:“P90D”、“P1Y”。 字符串

LifetimeAction

名字 描述 价值
行动 密钥轮换策略 lifetimeAction 的操作。 操作
触发 密钥轮换策略 lifetimeAction 的触发器。 触发器

Microsoft.KeyVault/vaults/keys

名字 描述 价值
名字 资源名称 字符串

约束:
模式 = ^[a-zA-Z0-9-]{1,127}$ (必需)
parent_id 此资源的父资源的 ID。 类型资源的 ID:保管库
性能 要创建的密钥的属性。 KeyProperties(必需)
标签 资源标记 标记名称和值的字典。
类型 资源类型 “Microsoft.KeyVault/vaults/keys@2023-07-01”

RotationPolicy

名字 描述 价值
属性 密钥轮换策略的属性。 KeyRotationPolicyAttributes
lifetimeActions 密钥轮换操作的 lifetimeActions。 LifetimeAction[]

触发

名字 描述 价值
timeAfterCreate 创建密钥以轮换密钥后的持续时间。 它仅适用于旋转。 它将采用 ISO 8601 持续时间格式。 例如:“P90D”、“P1Y”。 字符串
timeBeforeExpiry 密钥轮换或通知前的持续时间。 它将采用 ISO 8601 持续时间格式。 例如:“P90D”、“P1Y”。 字符串