Microsoft.KeyVault managedHSM
Bicep 資源定義
ManagedHSMs 資源類型可以使用目標作業進行部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄。
資源格式
若要建立 Microsoft.KeyVault/managedHSMs 資源,請將下列 Bicep 新增至您的範本。
resource symbolicname 'Microsoft.KeyVault/managedHSMs@2023-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
sku: {
family: 'B'
name: 'string'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
createMode: 'string'
enablePurgeProtection: bool
enableSoftDelete: bool
initialAdminObjectIds: [
'string'
]
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
}
]
}
publicNetworkAccess: 'string'
regions: [
{
isPrimary: bool
name: 'string'
}
]
softDeleteRetentionInDays: int
tenantId: 'string'
}
}
屬性值
managedHSMs
| 名稱 | 描述 | 值 |
|---|---|---|
| NAME | 資源名稱 | 字串 (必要) |
| location | 應該在其中建立受控 HSM 集區的受支援 Azure 位置。 | 字串 |
| tags | 資源標籤 | 標記名稱和值的字典。 請參閱 範本中的標記 |
| sku | SKU 詳細資料 | ManagedHsmSku |
| 身分識別 | 受控服務識別 (系統指派和/或使用者指派的身分識別) | ManagedServiceIdentity |
| properties | Managed HSM 的屬性 | ManagedHsmProperties |
ManagedServiceIdentity
| 名稱 | 描述 | 值 |
|---|---|---|
| 類型 | (允許 SystemAssigned 和 UserAssigned 類型的受控服務識別類型) 。 | 'None' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (必要) |
| userAssignedIdentities | 與資源相關聯的使用者指派身分識別集。 userAssignedIdentities 字典索引鍵的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}。 字典值可以是要求中 () 的空白物件 {} 。 | UserAssignedIdentities |
UserAssignedIdentities
| 名稱 | 描述 | 值 |
|---|---|---|
| {自定義屬性} | UserAssignedIdentity |
UserAssignedIdentity
此物件不包含部署期間要設定的任何屬性。 所有屬性都是 ReadOnly。
ManagedHsmProperties
| 名稱 | 描述 | 值 |
|---|---|---|
| createMode | 建立模式,指出正在建立資源或正在從已刪除的資源復原。 | 'default' 'recover' |
| enablePurgeProtection | 屬性,指定是否為此受控 HSM 集區啟用清除保護。 將此屬性設定為 true 可啟用保護,以防止清除此受控 HSM 集區和其內容-只有受控 HSM 服務可能會起始硬式且無法復原的刪除。 啟用這項功能無法復原。 | bool |
| enableSoftDelete | 屬性,指定是否為此受控 HSM 集區啟用「虛刪除」功能。 默認會針對所有受控 HSM 啟用虛刪除,而且是不可變的。 | bool |
| initialAdminObjectIds | 這個受控 hsm 集區的初始系統管理員對象標識子陣列。 | string[] |
| networkAcls | 規則,控管來自特定網路位置之密鑰保存庫的存取範圍。 | MhsmNetworkRuleSet |
| publicNetworkAccess | 從公用網路控制受控 HSM 的許可權。 | 'Disabled' 'Enabled' |
| regions | 與受控 hsm 集區相關聯的所有區域清單。 | MhsmGeoReplicatedRegion[] |
| softDeleteRetentionInDays | 虛刪除的數據保留天數。 當您刪除 HSM 或金鑰時,它會在設定的保留期間或預設的 90 天內保持可復原狀態。 它會接受介於 7 到 90 之間的值。 | int |
| tenantId | 應該用來向受控 HSM 集區驗證要求的 Azure Active Directory 租使用者標識碼。 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
MhsmNetworkRuleSet
| 名稱 | 描述 | 值 |
|---|---|---|
| 略過 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | 'AzureServices' 'None' |
| defaultAction | 當ipRules和 virtualNetworkRules 沒有規則相符時,默認動作。 這只有在評估略過屬性之後才會使用。 | 'Allow' 'Deny' |
| ipRules | IP 位址規則的清單。 | MhsmipRule[] |
| virtualNetworkRules | 虛擬網路規則的清單。 | MhsmVirtualNetworkRule[] |
MhsmipRule
| 名稱 | 描述 | 值 |
|---|---|---|
| 值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單的 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78) 的所有位址。 | 需要字串 () |
MhsmVirtualNetworkRule
| 名稱 | 描述 | 值 |
|---|---|---|
| id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 需要字串 () |
MhsmGeoReplicatedRegion
| 名稱 | 描述 | 值 |
|---|---|---|
| isPrimary | 布爾值,指出區域是主要區域還是次要區域。 | bool |
| NAME | 異地復寫區域的名稱。 | 字串 |
ManagedHsmSku
| 名稱 | 描述 | 值 |
|---|---|---|
| family | 受控 HSM 集區的 SKU 系列 | 需要 『B' () |
| NAME | 受控 HSM 集區的 SKU | 'Custom_B32' 'Custom_B6' 'Standard_B1' (必要) |
快速入門範本
下列快速入門範本會部署此資源類型。
| 範本 | 描述 |
|---|---|
建立 Azure 金鑰保存庫 受控 HSM
|
此範本會建立 Azure 金鑰保存庫 受控 HSM。 |
ARM 範本資源定義
ManagedHSMs 資源類型可以使用目標作業進行部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/managedHSMs 資源,請將下列 JSON 新增至您的範本。
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2023-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"sku": {
"family": "B",
"name": "string"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"createMode": "string",
"enablePurgeProtection": "bool",
"enableSoftDelete": "bool",
"initialAdminObjectIds": [ "string" ],
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string"
}
]
},
"publicNetworkAccess": "string",
"regions": [
{
"isPrimary": "bool",
"name": "string"
}
],
"softDeleteRetentionInDays": "int",
"tenantId": "string"
}
}
屬性值
managedHSMs
| 名稱 | 描述 | 值 |
|---|---|---|
| 類型 | 資源類型 | 'Microsoft.KeyVault/managedHSMs' |
| apiVersion | 資源 API 版本 | '2023-07-01' |
| NAME | 資源名稱 | 需要字串 () |
| location | 應建立受控 HSM 集區的支援 Azure 位置。 | 字串 |
| tags | 資源標籤 | 標記名稱和值的字典。 請參閱 範本中的標籤 |
| sku | SKU 詳細資料 | ManagedHsmSku |
| 身分識別 | 受控服務識別 (系統指派和/或使用者指派的身分識別) | ManagedServiceIdentity |
| properties | 受控 HSM 的屬性 | ManagedHsmProperties |
ManagedServiceIdentity
| 名稱 | 描述 | 值 |
|---|---|---|
| 類型 | (允許 SystemAssigned 和 UserAssigned 類型的受控服務識別類型) 。 | 'None' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (必要) |
| userAssignedIdentities | 與資源相關聯的使用者指派身分識別集。 userAssignedIdentities 字典索引鍵的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}。 字典值可以是要求中 ({}) 的空白物件。 | UserAssignedIdentities |
UserAssignedIdentities
| 名稱 | 描述 | 值 |
|---|---|---|
| {自定義屬性} | UserAssignedIdentity |
UserAssignedIdentity
此物件不包含部署期間要設定的任何屬性。 所有屬性都是 ReadOnly。
ManagedHsmProperties
| 名稱 | 描述 | 值 |
|---|---|---|
| createMode | 建立模式,指出正在建立或正在從已刪除的資源復原。 | 'default' 'recover' |
| enablePurgeProtection | 指定是否為此受控 HSM 集區啟用清除保護的屬性。 將此屬性設定為 true 可啟用保護,以防止清除此受控 HSM 集區及其內容 - 只有受控 HSM 服務可能會起始硬式且無法復原的刪除。 啟用這項功能是無法復原的。 | bool |
| enableSoftDelete | 屬性,指定是否為此受控 HSM 集區啟用「虛刪除」功能。 默認會針對所有受控 HSM 啟用虛刪除,且不可變。 | bool |
| initialAdminObjectIds | 這個 Managed hsm 集區的初始系統管理員對象標識碼陣列。 | string[] |
| networkAcls | 從特定網路位置控管金鑰保存庫存取權的規則。 | MhsmNetworkRuleSet |
| publicNetworkAccess | 從公用網路控制受控 HSM 的許可權。 | 'Disabled' 'Enabled' |
| regions | 與受控 hsm 集區相關聯的所有區域清單。 | MhsmGeoReplicatedRegion[] |
| softDeleteRetentionInDays | 虛刪除的數據保留天數。 當您刪除 HSM 或金鑰時,它會在設定的保留期間或預設的 90 天內保持可復原狀態。 它會接受介於 7 到 90 之間的值。 | int |
| tenantId | 應該用來向受控 HSM 集區驗證要求的 Azure Active Directory 租使用者標識碼。 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
MhsmNetworkRuleSet
| 名稱 | 描述 | 值 |
|---|---|---|
| 略過 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | 'AzureServices' 'None' |
| defaultAction | 當ipRules和 virtualNetworkRules 沒有規則相符時,默認動作。 這只有在評估略過屬性之後才會使用。 | 'Allow' 'Deny' |
| ipRules | IP 位址規則的清單。 | MhsmipRule[] |
| virtualNetworkRules | 虛擬網路規則的清單。 | MhsmVirtualNetworkRule[] |
MhsmipRule
| 名稱 | 描述 | 值 |
|---|---|---|
| 值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78 的所有地址) 。 | 字串 (必要) |
MhsmVirtualNetworkRule
| 名稱 | 描述 | 值 |
|---|---|---|
| id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 字串 (必要) |
MhsmGeoReplicatedRegion
| 名稱 | 描述 | 值 |
|---|---|---|
| isPrimary | 布爾值,指出區域是否為主要區域或次要區域。 | bool |
| NAME | 異地復寫區域的名稱。 | 字串 |
ManagedHsmSku
| 名稱 | 描述 | 值 |
|---|---|---|
| family | 受控 HSM 集區的 SKU 系列 | 'B' (必要) |
| NAME | 受控 HSM 集區的 SKU | 'Custom_B32' 'Custom_B6' 需要 『Standard_B1』 () |
快速入門範本
下列快速入門範本會部署此資源類型。
| 範本 | 描述 |
|---|---|
|
建立 Azure 金鑰保存庫 受控 HSM
|
此範本會建立 Azure 金鑰保存庫 受控 HSM。 |
Terraform (AzAPI 提供者) 資源定義
ManagedHSMs 資源類型可以使用目標作業進行部署:
- 資源群組
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄。
資源格式
若要建立 Microsoft.KeyVault/managedHSMs 資源,請將下列 Terraform 新增至您的範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/managedHSMs@2023-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
createMode = "string"
enablePurgeProtection = bool
enableSoftDelete = bool
initialAdminObjectIds = [
"string"
]
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
}
]
}
publicNetworkAccess = "string"
regions = [
{
isPrimary = bool
name = "string"
}
]
softDeleteRetentionInDays = int
tenantId = "string"
}
sku = {
family = "B"
name = "string"
}
})
}
屬性值
managedHSMs
| 名稱 | 描述 | 值 |
|---|---|---|
| 類型 | 資源類型 | “Microsoft.KeyVault/managedHSMs@2023-07-01” |
| NAME | 資源名稱 | 字串 (必要) |
| location | 應該在其中建立受控 HSM 集區的受支援 Azure 位置。 | 字串 |
| parent_id | 若要部署至資源群組,請使用該資源群組的標識碼。 | 字串 (必要) |
| tags | 資源標籤 | 標記名稱和值的字典。 |
| sku | SKU 詳細資料 | ManagedHsmSku |
| 身分識別 | 受控服務識別 (系統指派和/或使用者指派的身分識別) | ManagedServiceIdentity |
| properties | Managed HSM 的屬性 | ManagedHsmProperties |
ManagedServiceIdentity
| 名稱 | 描述 | 值 |
|---|---|---|
| 類型 | (允許 SystemAssigned 和 UserAssigned 類型的受控服務識別類型) 。 | “SystemAssigned” “SystemAssigned,UserAssigned” ) 所需的 「UserAssigned」 ( |
| identity_ids | 與資源相關聯的使用者指派身分識別集。 userAssignedIdentities 字典索引鍵的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}。 字典值可以是要求中 () 的空白物件 {} 。 | 使用者身分識別標識碼的陣列。 |
UserAssignedIdentities
| 名稱 | 描述 | 值 |
|---|---|---|
| {自定義屬性} | UserAssignedIdentity |
UserAssignedIdentity
此物件不包含部署期間要設定的任何屬性。 所有屬性都是 ReadOnly。
ManagedHsmProperties
| 名稱 | 描述 | 值 |
|---|---|---|
| createMode | 建立模式,指出正在建立資源或正在從已刪除的資源復原。 | "default" “recover” |
| enablePurgeProtection | 屬性,指定是否為此受控 HSM 集區啟用清除保護。 將此屬性設定為 true 可啟用保護,以防止清除此受控 HSM 集區和其內容-只有受控 HSM 服務可能會起始硬式且無法復原的刪除。 啟用這項功能無法復原。 | bool |
| enableSoftDelete | 屬性,指定是否為此受控 HSM 集區啟用「虛刪除」功能。 默認會針對所有受控 HSM 啟用虛刪除,而且是不可變的。 | bool |
| initialAdminObjectIds | 這個受控 hsm 集區的初始系統管理員對象標識子陣列。 | string[] |
| networkAcls | 規則,控管來自特定網路位置之密鑰保存庫的存取範圍。 | MhsmNetworkRuleSet |
| publicNetworkAccess | 從公用網路控制受控 HSM 的許可權。 | “Disabled” “Enabled” |
| regions | 與受控 hsm 集區相關聯的所有區域清單。 | MhsmGeoReplicatedRegion[] |
| softDeleteRetentionInDays | 虛刪除的數據保留天數。 當您刪除 HSM 或金鑰時,它會在設定的保留期間或預設的 90 天內保持可復原。 它接受介於 7 到 90 之間的值。 | int |
| tenantId | 應該用來向受控 HSM 集區驗證要求的 Azure Active Directory 租使用者標識碼。 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
MhsmNetworkRuleSet
| 名稱 | 描述 | 值 |
|---|---|---|
| 略過 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | “AzureServices” "None" |
| defaultAction | 沒有來自ipRules和 virtualNetworkRules 的規則相符時的預設動作。 這只有在評估略過屬性之後才會使用。 | “Allow” “Deny” |
| ipRules | IP 位址規則的清單。 | MhsmipRule[] |
| virtualNetworkRules | 虛擬網路規則的清單。 | MhsmVirtualNetworkRule[] |
MhsmipRule
| 名稱 | 描述 | 值 |
|---|---|---|
| 值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78 的所有地址) 。 | 字串 (必要) |
MhsmVirtualNetworkRule
| 名稱 | 描述 | 值 |
|---|---|---|
| id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 字串 (必要) |
MhsmGeoReplicatedRegion
| 名稱 | 描述 | 值 |
|---|---|---|
| isPrimary | 布爾值,指出區域是否為主要區域或次要區域。 | bool |
| NAME | 異地復寫區域的名稱。 | 字串 |
ManagedHsmSku
| 名稱 | 描述 | 值 |
|---|---|---|
| family | 受控 HSM 集區的 SKU 系列 | “B” (必要) |
| NAME | 受控 HSM 集區的 SKU | “Custom_B32” “Custom_B6” 必要) (“Standard_B1” |