你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft.KeyVault vaults/accessPolicies
Bicep 资源定义
可以使用目标操作部署保管库/accessPolicies 资源类型:
- 资源组 - 请参阅 资源组部署命令
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.KeyVault/vaults/accessPolicies 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.KeyVault/vaults/accessPolicies@2024-04-01-preview' = {
parent: resourceSymbolicName
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
}
}
属性值
AccessPolicyEntry
| 名字 | 描述 | 价值 |
|---|---|---|
| applicationId | 代表主体发出请求的客户端的应用程序 ID | 字符串 约束: 最小长度 = 36 最大长度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | 保管库的 Azure Active Directory 租户中用户、服务主体或安全组的对象 ID。 对象 ID 对于访问策略列表必须是唯一的。 | string (必需) |
| 权限 | 标识对密钥、机密和证书的权限。 | 权限(必需) |
| tenantId | 应用于对密钥保管库的请求进行身份验证的 Azure Active Directory 租户 ID。 | 字符串 约束: 最小长度 = 36 最大长度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必需) |
Microsoft.KeyVault/vaults/accessPolicies
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 资源名称 | “add” “remove” “replace”(必需) |
| 父母 | 在 Bicep 中,可以为子资源指定父资源。 仅当子资源在父资源外部声明时,才需要添加此属性。 有关详细信息,请参阅 父资源外部的子资源。 |
类型资源的符号名称:保管库 |
| 性能 | 访问策略的属性 | VaultAccessPolicyProperties (必需) |
权限
| 名字 | 描述 | 价值 |
|---|---|---|
| 证书 | 证书权限 | 包含任一项的字符串数组: “all” “backup” “create” “delete” “deleteissuers” “get” “getissuers” “import” “list” “listissuers” “managecontacts” “manageissuers” “purge” “recover” “restore” “setissuers” “update” |
| 钥匙 | 密钥权限 | 包含任一项的字符串数组: “all” “backup” “create” “decrypt” “delete” “encrypt” “get” “getrotationpolicy” “import” “list” “purge” “recover” 'release' “restore” “rotate” “setrotationpolicy” “sign” “unwrapKey” “update” “verify” “wrapKey” |
| 秘密 | 对机密的权限 | 包含任一项的字符串数组: “all” “backup” “delete” “get” “list” “purge” “recover” “restore” “set” |
| 存储 | 对存储帐户的权限 | 包含任一项的字符串数组: “all” “backup” “delete” “deletesas” “get” “getsas” “list” “listsas” “purge” “recover” “regeneratekey” “restore” “set” “setsas” “update” |
VaultAccessPolicyProperties
| 名字 | 描述 | 价值 |
|---|---|---|
| accessPolicies | 有权访问密钥保管库的 0 到 16 个标识的数组。 数组中的所有标识都必须使用与密钥保管库租户 ID 相同的租户 ID。 | AccessPolicyEntry[] (必需) |
快速入门示例
以下快速入门示例部署此资源类型。
| Bicep 文件 | 描述 |
|---|---|
| 部署包含所有 3 种 CMK 形式的 Azure Databricks 工作区 | 使用此模板,可以使用托管服务和 CMK 和 DBFS 加密创建 Azure Databricks 工作区。 |
| 使用托管磁盘 CMK 部署 Azure Databricks 工作区 | 使用此模板,可以使用托管磁盘 CMK 创建 Azure Databricks 工作区。 |
| 使用 CMK 部署用于 DBFS 加密的 Azure Databricks WS | 使用此模板,可以使用 CMK 为 DBFS 根加密创建 Azure Databricks 工作区 |
| 使用托管服务 CMK 部署 Azure Databricks 工作区 | 使用此模板,可以使用托管服务 CMK 创建 Azure Databricks 工作区。 |
| FinOps 中心 | 此模板创建新的 FinOps 中心实例,包括 Data Lake 存储和数据工厂。 |
ARM 模板资源定义
可以使用目标操作部署保管库/accessPolicies 资源类型:
- 资源组 - 请参阅 资源组部署命令
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.KeyVault/vaults/accessPolicies 资源,请将以下 JSON 添加到模板。
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"apiVersion": "2024-04-01-preview",
"name": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
]
}
}
属性值
AccessPolicyEntry
| 名字 | 描述 | 价值 |
|---|---|---|
| applicationId | 代表主体发出请求的客户端的应用程序 ID | 字符串 约束: 最小长度 = 36 最大长度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | 保管库的 Azure Active Directory 租户中用户、服务主体或安全组的对象 ID。 对象 ID 对于访问策略列表必须是唯一的。 | string (必需) |
| 权限 | 标识对密钥、机密和证书的权限。 | 权限(必需) |
| tenantId | 应用于对密钥保管库的请求进行身份验证的 Azure Active Directory 租户 ID。 | 字符串 约束: 最小长度 = 36 最大长度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必需) |
Microsoft.KeyVault/vaults/accessPolicies
| 名字 | 描述 | 价值 |
|---|---|---|
| apiVersion | API 版本 | '2024-04-01-preview' |
| 名字 | 资源名称 | “add” “remove” “replace”(必需) |
| 性能 | 访问策略的属性 | VaultAccessPolicyProperties (必需) |
| 类型 | 资源类型 | “Microsoft.KeyVault/vaults/accessPolicies” |
权限
| 名字 | 描述 | 价值 |
|---|---|---|
| 证书 | 证书权限 | 包含任一项的字符串数组: “all” “backup” “create” “delete” “deleteissuers” “get” “getissuers” “import” “list” “listissuers” “managecontacts” “manageissuers” “purge” “recover” “restore” “setissuers” “update” |
| 钥匙 | 密钥权限 | 包含任一项的字符串数组: “all” “backup” “create” “decrypt” “delete” “encrypt” “get” “getrotationpolicy” “import” “list” “purge” “recover” 'release' “restore” “rotate” “setrotationpolicy” “sign” “unwrapKey” “update” “verify” “wrapKey” |
| 秘密 | 对机密的权限 | 包含任一项的字符串数组: “all” “backup” “delete” “get” “list” “purge” “recover” “restore” “set” |
| 存储 | 对存储帐户的权限 | 包含任一项的字符串数组: “all” “backup” “delete” “deletesas” “get” “getsas” “list” “listsas” “purge” “recover” “regeneratekey” “restore” “set” “setsas” “update” |
VaultAccessPolicyProperties
| 名字 | 描述 | 价值 |
|---|---|---|
| accessPolicies | 有权访问密钥保管库的 0 到 16 个标识的数组。 数组中的所有标识都必须使用与密钥保管库租户 ID 相同的租户 ID。 | AccessPolicyEntry[] (必需) |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 描述 |
|---|---|
添加 KeyVault 访问策略
|
将访问策略添加到现有 KeyVault,而无需删除现有策略。 |
| 使用默认存储防火墙
|
使用此模板,可以使用 Privateendpoint、所有三种形式的 CMK 和 User-Assigned Access Connector 创建启用了默认存储防火墙的 Azure Databricks 工作区。 |
|
使用数据加密保护程序创建 Azure SQL Server
|
此模板创建 Azure SQL Server,使用存储在给定 Key Vault 中的给定密钥激活数据加密保护程序 |
|
部署包含所有 3 种 CMK 形式的 Azure Databricks 工作区
|
使用此模板,可以使用托管服务和 CMK 和 DBFS 加密创建 Azure Databricks 工作区。 |
|
使用托管磁盘 CMK 部署 Azure Databricks 工作区
|
使用此模板,可以使用托管磁盘 CMK 创建 Azure Databricks 工作区。 |
|
使用 PE 部署 Azure Databricks 工作区,CMK 所有窗体
|
使用此模板,可以使用 PrivateEndpoint 和托管服务和 CMK 和 DBFS 加密创建 Azure Databricks 工作区。 |
|
使用 CMK 部署用于 DBFS 加密的 Azure Databricks WS
|
使用此模板,可以使用 CMK 为 DBFS 根加密创建 Azure Databricks 工作区 |
|
使用托管服务 CMK 部署 Azure Databricks 工作区
|
使用此模板,可以使用托管服务 CMK 创建 Azure Databricks 工作区。 |
|
使用加密(Key Vault) 部署 Data Lake Store 帐户
|
使用此模板,可以部署启用了数据加密的 Azure Data Lake Store 帐户。 此帐户使用 Azure Key Vault 管理加密密钥。 |
|
FinOps 中心
|
此模板创建新的 FinOps 中心实例,包括 Data Lake 存储和数据工厂。 |
|
用户分配的标识角色分配模板
|
一个模板,用于在 Azure 机器学习工作区依赖的资源上创建用户分配的用户分配标识的角色分配 |
Terraform (AzAPI 提供程序)资源定义
可以使用目标操作部署保管库/accessPolicies 资源类型:
- 资源组
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.KeyVault/vaults/accessPolicies 资源,请将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/accessPolicies@2024-04-01-preview"
name = "string"
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
}
})
}
属性值
AccessPolicyEntry
| 名字 | 描述 | 价值 |
|---|---|---|
| applicationId | 代表主体发出请求的客户端的应用程序 ID | 字符串 约束: 最小长度 = 36 最大长度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | 保管库的 Azure Active Directory 租户中用户、服务主体或安全组的对象 ID。 对象 ID 对于访问策略列表必须是唯一的。 | string (必需) |
| 权限 | 标识对密钥、机密和证书的权限。 | 权限(必需) |
| tenantId | 应用于对密钥保管库的请求进行身份验证的 Azure Active Directory 租户 ID。 | 字符串 约束: 最小长度 = 36 最大长度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必需) |
Microsoft.KeyVault/vaults/accessPolicies
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 资源名称 | “add” “remove” “replace”(必需) |
| parent_id | 此资源的父资源的 ID。 | 类型资源的 ID:保管库 |
| 性能 | 访问策略的属性 | VaultAccessPolicyProperties (必需) |
| 类型 | 资源类型 | “Microsoft.KeyVault/vaults/accessPolicies@2024-04-01-preview” |
权限
| 名字 | 描述 | 价值 |
|---|---|---|
| 证书 | 证书权限 | 包含任一项的字符串数组: “all” “backup” “create” “delete” “deleteissuers” “get” “getissuers” “import” “list” “listissuers” “managecontacts” “manageissuers” “purge” “recover” “restore” “setissuers” “update” |
| 钥匙 | 密钥权限 | 包含任一项的字符串数组: “all” “backup” “create” “decrypt” “delete” “encrypt” “get” “getrotationpolicy” “import” “list” “purge” “recover” 'release' “restore” “rotate” “setrotationpolicy” “sign” “unwrapKey” “update” “verify” “wrapKey” |
| 秘密 | 对机密的权限 | 包含任一项的字符串数组: “all” “backup” “delete” “get” “list” “purge” “recover” “restore” “set” |
| 存储 | 对存储帐户的权限 | 包含任一项的字符串数组: “all” “backup” “delete” “deletesas” “get” “getsas” “list” “listsas” “purge” “recover” “regeneratekey” “restore” “set” “setsas” “update” |
VaultAccessPolicyProperties
| 名字 | 描述 | 价值 |
|---|---|---|
| accessPolicies | 有权访问密钥保管库的 0 到 16 个标识的数组。 数组中的所有标识都必须使用与密钥保管库租户 ID 相同的租户 ID。 | AccessPolicyEntry[] (必需) |