Microsoft.KeyVault 保存庫/accessPolicies
Bicep 資源定義
儲存庫/accessPolicies 資源類型可以使用目標作業來部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/vaults/accessPolicies 資源,請將下列 Bicep 新增至範本。
resource symbolicname 'Microsoft.KeyVault/vaults/accessPolicies@2023-07-01' = {
name: 'string'
parent: resourceSymbolicName
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
}
}
屬性值
vaults/accessPolicies
| 名字 | 描述 | 價值 |
|---|---|---|
| 名字 | 資源名稱 請參閱如何在 Bicep 中設定子資源的名稱和類型。 |
字串 (必要) |
| 父母 | 在 Bicep 中,您可以指定子資源的父資源。 只有在父資源外部宣告子資源時,才需要新增這個屬性。 如需詳細資訊,請參閱 父資源外部的子資源。 |
類型資源的符號名稱:保存庫 |
| 性能 | 存取原則的屬性 | VaultAccessPolicyProperties (必要) |
VaultAccessPolicyProperties
| 名字 | 描述 | 價值 |
|---|---|---|
| accessPolicies | 具有金鑰保存庫存取權的 0 到 16 個身分識別數位。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 | AccessPolicyEntry[] (必要) |
AccessPolicyEntry
| 名字 | 描述 | 價值 |
|---|---|---|
| applicationId | 代表主體提出要求的用戶端應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件標識碼必須是唯一的。 | 字串 (必要) |
| 權限 | 身分識別對於金鑰、秘密和憑證的許可權。 | 權限 (必要) |
| tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
| 名字 | 描述 | 價值 |
|---|---|---|
| 證書 | 憑證的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
| 鑰匙 | 金鑰的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| 秘密 | 秘密的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
| 存儲 | 記憶體帳戶的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
快速入門範本
下列快速入門範本會部署此資源類型。
| 範本 | 描述 |
|---|---|
使用數據加密保護裝置建立 Azure SQL Server
|
此範本會建立 Azure SQL Server,使用儲存在指定 Key Vault 中的指定密鑰來啟動資料加密保護裝置 |
|
使用PE部署 Azure Databricks 工作區,CMK 所有表單
|
此範本可讓您使用 PrivateEndpoint 和受控服務和 CMK 搭配 DBFS 加密來建立 Azure Databricks 工作區。 |
|
具有預設記憶體防火牆的 AzureDatabricks 範本
|
此範本可讓您建立已啟用預設記憶體防火牆的 Azure Databricks 工作區,其中包含 Privateendpoint、這三種形式的 CMK,以及 User-Assigned Access Connector。 |
|
部署所有 3 種 CMK 形式的 Azure Databricks 工作區
|
此範本可讓您使用受控服務和具有 DBFS 加密的 CMK 來建立 Azure Databricks 工作區。 |
|
使用 CMK 部署適用於 DBFS 加密的 Azure Databricks WS
|
此範本可讓您使用 CMK 建立適用於 DBFS 根加密的 Azure Databricks 工作區 |
|
部署具有受控磁碟的 Azure Databricks 工作區 CMK
|
此範本可讓您使用受控磁碟 CMK 建立 Azure Databricks 工作區。 |
|
使用受控服務 CMK 部署 Azure Databricks 工作區
|
此範本可讓您使用受控服務 CMK 建立 Azure Databricks 工作區。 |
|
使用加密部署 Data Lake Store 帳戶(Key Vault)
|
此範本可讓您部署已啟用數據加密的 Azure Data Lake Store 帳戶。 此帳戶會使用 Azure Key Vault 來管理加密密鑰。 |
|
新增 KeyVault 存取原則
|
將存取原則新增至現有的 KeyVault,而不移除現有的原則。 |
|
使用者指派的身分識別角色指派範本
|
範本,在 Azure Machine Learning 工作區相依的資源上建立使用者指派身分識別的角色指派 |
ARM 樣本資源定義
儲存庫/accessPolicies 資源類型可以使用目標作業來部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/vaults/accessPolicies 資源,請將下列 JSON 新增至範本。
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"apiVersion": "2023-07-01",
"name": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
]
}
}
屬性值
vaults/accessPolicies
| 名字 | 描述 | 價值 |
|---|---|---|
| 類型 | 資源類型 | 'Microsoft.KeyVault/vaults/accessPolicies' |
| apiVersion | 資源 API 版本 | '2023-07-01' |
| 名字 | 資源名稱 請參閱如何在 |
字串 (必要) |
| 性能 | 存取原則的屬性 | VaultAccessPolicyProperties (必要) |
VaultAccessPolicyProperties
| 名字 | 描述 | 價值 |
|---|---|---|
| accessPolicies | 具有金鑰保存庫存取權的 0 到 16 個身分識別數位。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 | AccessPolicyEntry[] (必要) |
AccessPolicyEntry
| 名字 | 描述 | 價值 |
|---|---|---|
| applicationId | 代表主體提出要求的用戶端應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件標識碼必須是唯一的。 | 字串 (必要) |
| 權限 | 身分識別對於金鑰、秘密和憑證的許可權。 | 權限 (必要) |
| tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
| 名字 | 描述 | 價值 |
|---|---|---|
| 證書 | 憑證的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
| 鑰匙 | 金鑰的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| 秘密 | 秘密的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
| 存儲 | 記憶體帳戶的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
快速入門範本
下列快速入門範本會部署此資源類型。
| 範本 | 描述 |
|---|---|
|
使用數據加密保護裝置建立 Azure SQL Server
|
此範本會建立 Azure SQL Server,使用儲存在指定 Key Vault 中的指定密鑰來啟動資料加密保護裝置 |
|
使用PE部署 Azure Databricks 工作區,CMK 所有表單
|
此範本可讓您使用 PrivateEndpoint 和受控服務和 CMK 搭配 DBFS 加密來建立 Azure Databricks 工作區。 |
|
具有預設記憶體防火牆的 AzureDatabricks 範本
|
此範本可讓您建立已啟用預設記憶體防火牆的 Azure Databricks 工作區,其中包含 Privateendpoint、這三種形式的 CMK,以及 User-Assigned Access Connector。 |
|
部署所有 3 種 CMK 形式的 Azure Databricks 工作區
|
此範本可讓您使用受控服務和具有 DBFS 加密的 CMK 來建立 Azure Databricks 工作區。 |
|
使用 CMK 部署適用於 DBFS 加密的 Azure Databricks WS
|
此範本可讓您使用 CMK 建立適用於 DBFS 根加密的 Azure Databricks 工作區 |
|
部署具有受控磁碟的 Azure Databricks 工作區 CMK
|
此範本可讓您使用受控磁碟 CMK 建立 Azure Databricks 工作區。 |
|
使用受控服務 CMK 部署 Azure Databricks 工作區
|
此範本可讓您使用受控服務 CMK 建立 Azure Databricks 工作區。 |
|
使用加密部署 Data Lake Store 帳戶(Key Vault)
|
此範本可讓您部署已啟用數據加密的 Azure Data Lake Store 帳戶。 此帳戶會使用 Azure Key Vault 來管理加密密鑰。 |
|
新增 KeyVault 存取原則
|
將存取原則新增至現有的 KeyVault,而不移除現有的原則。 |
|
使用者指派的身分識別角色指派範本
|
範本,在 Azure Machine Learning 工作區相依的資源上建立使用者指派身分識別的角色指派 |
Terraform (AzAPI 提供者) 資源定義
儲存庫/accessPolicies 資源類型可以使用目標作業來部署:
- 資源群組
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/vaults/accessPolicies 資源,請將下列 Terraform 新增至範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/accessPolicies@2023-07-01"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
}
})
}
屬性值
vaults/accessPolicies
| 名字 | 描述 | 價值 |
|---|---|---|
| 類型 | 資源類型 | “Microsoft.KeyVault/vaults/accessPolicies@2023-07-01” |
| 名字 | 資源名稱 | 字串 (必要) |
| parent_id | 此資源為父系之資源的標識碼。 | 類型的資源標識碼:保存庫 |
| 性能 | 存取原則的屬性 | VaultAccessPolicyProperties (必要) |
VaultAccessPolicyProperties
| 名字 | 描述 | 價值 |
|---|---|---|
| accessPolicies | 具有金鑰保存庫存取權的 0 到 16 個身分識別數位。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 | AccessPolicyEntry[] (必要) |
AccessPolicyEntry
| 名字 | 描述 | 價值 |
|---|---|---|
| applicationId | 代表主體提出要求的用戶端應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件標識碼必須是唯一的。 | 字串 (必要) |
| 權限 | 身分識別對於金鑰、秘密和憑證的許可權。 | 權限 (必要) |
| tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 (必要) 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
權限
| 名字 | 描述 | 價值 |
|---|---|---|
| 證書 | 憑證的許可權 | 包含任何的字串數組: “all” “backup” “create” “delete” “deleteissuers” “get” “getissuers” “import” “list” “listissuers” “managecontacts” “manageissuers” “purge” “recover” “restore” “setissuers” “update” |
| 鑰匙 | 金鑰的許可權 | 包含任何的字串數組: “all” “backup” “create” “decrypt” “delete” “encrypt” “get” “getrotationpolicy” “import” “list” “purge” “recover” “release” “restore” “rotate” “setrotationpolicy” “sign” “unwrapKey” “update” “verify” “wrapKey” |
| 秘密 | 秘密的許可權 | 包含任何的字串數組: “all” “backup” “delete” “get” “list” “purge” “recover” “restore” “set” |
| 存儲 | 記憶體帳戶的許可權 | 包含任何的字串數組: “all” “backup” “delete” “deletesas” “get” “getsas” “list” “listsas” “purge” “recover” “regeneratekey” “restore” “set” “setsas” “update” |