Хранилища Microsoft.KeyVault 2022-07-01
Определение ресурсов Bicep
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для следующих операций:
- группы ресурсов . См. команды развертывания группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Замечания
Рекомендации по использованию хранилищ ключей для безопасных значений см. в статье Управление секретами с помощью Bicep.
Краткое руководство по созданию секрета см. в кратком руководстве по . Настройка и извлечение секрета из Azure Key Vault с помощьюшаблона ARM.
Краткое руководство по созданию ключа см. в кратком руководстве по . Создание хранилища ключей Azure и ключа с помощью шаблона ARM.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.KeyVault/vaults@2022-07-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
Значения свойств
Хранилища
Имя | Описание | Ценность |
---|---|---|
имя | Имя ресурса | строка (обязательно) Ограничение символов: 3–24 Допустимые символы: Буквенно-цифровые и дефисы. Начните с буквы. Заканчивается буквой или цифрой. Не может содержать последовательные дефисы. Имя ресурса должно быть уникальным в Azure. |
местоположение | Поддерживаемом расположении Azure, в котором необходимо создать хранилище ключей. | строка (обязательно) |
Теги | Теги, которые будут назначены хранилищу ключей. | Словарь имен и значений тегов. См. теги в шаблонах |
свойства | Свойства хранилища | VaultProperties (обязательно) |
VaultProperties
Имя | Описание | Ценность |
---|---|---|
accessPolicies | Массив 0–1024 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode задано значение recover , политики доступа не требуются. В противном случае требуются политики доступа. |
AccessPolicyEntry[] |
createMode | Режим создания хранилища, указывающий, требуется ли восстановить хранилище. | "по умолчанию" "восстановление" |
enabledForDeployment | Свойство, указываемое, разрешены ли виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов из хранилища ключей. | bool |
enabledForDiskEncryption | Свойство, указываемое, разрешено ли шифрование дисков Azure извлекать секреты из хранилища и распаковывать ключи. | bool |
enabledForTemplateDeployment | Свойство, указываемое, разрешено ли Azure Resource Manager получать секреты из хранилища ключей. | bool |
enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Установка этого свойства на значение true активирует защиту от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, безвозвратное удаление. Параметр действует только в том случае, если обратимое удаление также включено. Включение этой функции необратимо. Т. е. свойство не принимает значение false в качестве значения. | bool |
enableRbacAuthorization | Свойство, определяющее, как разрешены действия с данными. Если значение true, хранилище ключей будет использовать управление доступом на основе ролей (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, будут игнорироваться. Если значение false, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, и любые политики, хранящиеся в Azure Resource Manager, будут игнорироваться. Если значение NULL или не указано, хранилище создается со значением false по умолчанию. Обратите внимание, что действия управления всегда авторизованы с помощью RBAC. | bool |
enableSoftDelete | Свойство, указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию оно будет иметь значение true. Если задано значение true, его нельзя вернуть к false. | bool |
networkAcls | Правила, управляющие специальными возможностями хранилища ключей из определенных сетевых расположений. | NetworkRuleSet |
provisioningState | Состояние подготовки хранилища. | RegisteringDns "Успешно" |
publicNetworkAccess | Свойство, указываемое, будет ли хранилище принимать трафик из общедоступного Интернета. Если задано значение "отключено" весь трафик, кроме трафика частной конечной точки, и то, что происходит из доверенных служб, будет заблокировано. Это переопределит установленные правила брандмауэра, что означает, что даже если правила брандмауэра присутствуют, мы не будем учитывать правила. | струна |
SKU | Сведения о номере SKU | Sku (обязательно) |
softDeleteRetentionInDays | Дни хранения данных softDelete. Он принимает >=7 и <=90. | int |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | струна |
AccessPolicyEntry
Имя | Описание | Ценность |
---|---|---|
applicationId | Идентификатор приложения клиента, выполняющего запрос от имени субъекта | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
Разрешения | Разрешения удостоверения имеются для ключей, секретов и сертификатов. | разрешения (обязательно) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Разрешения
Имя | Описание | Ценность |
---|---|---|
Сертификаты | Разрешения на сертификаты | Массив строк, содержащий любой из: "все" "Backup" Create "Delete" "deleteissuers" 'get' 'getissuers' "Import" "list" "listissuers" "managecontacts" "manageissuers" "Очистка" "восстановление" "restore" 'setissuers' "update" |
Ключи | Разрешения на ключи | Массив строк, содержащий любой из: "все" "Backup" Create Расшифровка "Delete" "encrypt" 'get' 'getrotationpolicy' "Import" "list" "Очистка" "восстановление" "выпуск" "restore" "поворот" 'setrotationpolicy' Знак UnwrapKey "update" "проверка" "wrapKey" |
Секреты | Разрешения на секреты | Массив строк, содержащий любой из: "все" "Backup" "Delete" 'get' "list" "Очистка" "восстановление" "restore" 'set' |
хранение | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: "все" "Backup" "Delete" Deletesas 'get' "getsas" "list" "listsas" "Очистка" "восстановление" "регенерировать ключ" "restore" 'set' "setsas" "update" |
NetworkRuleSet
Имя | Описание | Ценность |
---|---|---|
обходить | Указывает, какой трафик может обойти правила сети. Это может быть "AzureServices" или "Нет". Если значение по умолчанию не задано, — AzureServices. | AzureServices "Нет" |
defaultAction | Действие по умолчанию, если правило из ipRules и из virtualNetworkRules не совпадает. Это используется только после оценки свойства обхода. | "Разрешить" "Запретить" |
ipRules | Список правил IP-адресов. | IPRule[] |
virtualNetworkRules | Список правил виртуальной сети. | VirtualNetworkRule[] |
IPRule
Имя | Описание | Ценность |
---|---|---|
ценность | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | строка (обязательно) |
VirtualNetworkRule
Имя | Описание | Ценность |
---|---|---|
идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | строка (обязательно) |
ignoreMissingVnetServiceEndpoint | Свойство, указываемое, будет ли NRP игнорировать проверку, настроена ли родительская подсеть serviceEndpoints. | bool |
Sku
Имя | Описание | Ценность |
---|---|---|
семья | Имя семейства SKU | "A" (обязательно) |
имя | Имя SKU, указывающее, является ли хранилище ключей стандартным хранилищем или хранилищем класса Premium. | "Премиум" "Стандартный" (обязательный) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
кластер AKS с шлюзом NAT и шлюзом приложений развертывание |
В этом примере показано, как развернуть кластер AKS с шлюзом NAT для исходящих подключений и шлюза приложений для входящих подключений. |
создание частного кластера AKS с общедоступной зоны DNS развертывание |
В этом примере показано, как развернуть частный кластер AKS с общедоступной зоной DNS. |
развертывание спортивной аналитики в архитектуре Azure развертывание |
Создает учетную запись хранения Azure с поддержкой ADLS 2-го поколения, экземпляр Фабрики данных Azure со связанными службами для учетной записи хранения (при развертывании базы данных SQL Azure) и экземпляра Azure Databricks. Удостоверение AAD для пользователя, развертывающего шаблон и управляемое удостоверение для экземпляра ADF, будет предоставлено роль участника данных BLOB-объектов хранилища в учетной записи хранения. Существуют также варианты развертывания экземпляра Azure Key Vault, базы данных SQL Azure и Концентратора событий Azure (для вариантов использования потоковой передачи). При развертывании Azure Key Vault управляемое удостоверение фабрики данных и удостоверение AAD для пользователя, развертывающего шаблон, будет предоставлена роль пользователя секретов Key Vault. |
рабочей области машинного обучения Azure развертывание |
Этот шаблон создает новую рабочую область машинного обучения Azure, а также зашифрованную учетную запись хранения, ведение журнала KeyVault и Application Insights |
создание KeyVault развертывание |
Этот модуль создает ресурс KeyVault с apiVersion 2019-09-01. |
Создание службы управления API с помощью SSL из KeyVault развертывание |
Этот шаблон развертывает службу управления API, настроенную с удостоверением, назначенным пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и сохраняет его обновление, проверяя каждые 4 часа. |
Создает приложение dapr pub-sub servicebus с помощью приложений контейнеров развертывание |
Создайте приложение dapr pub-sub servicebus с помощью контейнерных приложений. |
создает кластер Azure Stack HCI 23H2 развертывание |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM. |
создает кластер Azure Stack HCI 23H2 развертывание |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM с помощью пользовательского IP-адреса хранилища. |
создает кластер Azure Stack HCI 23H2 в режиме сети без переключения с двумя ссылками развертывание |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM. |
создает кластер Azure Stack HCI 23H2 в Switchless-SingleLink сетевом режиме развертывание |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM. |
Создание зашифрованной виртуальной машины Windows из образа коллекции развертывание |
Этот шаблон создает новую зашифрованную виртуальную машину Windows с помощью образа коллекции server 2k12. |
Создание зашифрованных управляемых дисков win-vm из образа коллекции развертывание |
Этот шаблон создает виртуальную машину windows с зашифрованными управляемыми дисками с помощью образа коллекции server 2k12. |
Этот шаблон шифрует запущенные виртуальных машин Windows развертывание |
Этот шаблон включает шифрование в работающем масштабируемом наборе виртуальных машин Windows |
Включить шифрование на работающей виртуальной машине Windows развертывание |
Этот шаблон включает шифрование на работающей виртуальной машине Windows. |
создание и шифрование новой виртуальной машины Windows с помощью развертывание |
Этот шаблон позволяет развернуть простой масштабируемый набор виртуальных машин Windows с помощью последней исправленной версии серверных версий Windows. Этот шаблон также развертывает прыжки с общедоступным IP-адресом в той же виртуальной сети. С помощью этого общедоступного IP-адреса можно подключиться к виртуальным машинам в масштабируемом наборе с помощью частных IP-адресов. Этот шаблон включает шифрование в масштабируемом наборе виртуальных машин Windows. |
Создание Azure Key Vault и секрета развертывание |
Этот шаблон создает Azure Key Vault и секрет. |
создание Azure Key Vault с помощью RBAC и секрета развертывание |
Этот шаблон создает Azure Key Vault и секрет. Вместо того чтобы полагаться на политики доступа, она использует Azure RBAC для управления авторизацией в секретах |
Создание хранилища ключей, управляемого удостоверения и назначения ролей развертывание |
Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей. |
Подключение к Key Vault через частную конечную точку развертывание |
В этом примере показано, как настроить виртуальную сеть и частную зону DNS для доступа к Key Vault через частную конечную точку. |
создание Хранилища ключей и списка секретов развертывание |
Этот шаблон создает Key Vault и список секретов в хранилище ключей, как передано вместе с параметрами. |
создание Key Vault с включенным ведением журнала развертывание |
Этот шаблон создает Azure Key Vault и учетную запись хранения Azure, которая используется для ведения журнала. При необходимости создается блокировка ресурсов для защиты ресурсов Key Vault и ресурсов хранилища. |
базовая настройка Azure AI Studio развертывание |
В этом наборе шаблонов показано, как настроить Azure AI Studio с помощью базовой настройки, то есть с поддержкой общедоступного доступа к Интернету, ключами, управляемыми Корпорацией Майкрософт, для шифрования и конфигурации управляемых корпорацией Майкрософт удостоверений для ресурса ИИ. |
базовая настройка Azure AI Studio развертывание |
В этом наборе шаблонов показано, как настроить Azure AI Studio с помощью базовой настройки, то есть с поддержкой общедоступного доступа к Интернету, ключами, управляемыми Корпорацией Майкрософт, для шифрования и конфигурации управляемых корпорацией Майкрософт удостоверений для ресурса ИИ. |
Azure AI Studio с проверки подлинности идентификатора Microsoft Entra развертывание |
Этот набор шаблонов демонстрирует настройку Azure AI Studio с проверкой подлинности идентификатора Microsoft Entra для зависимых ресурсов, таких как службы ИИ Azure и служба хранилища Azure. |
Создание рабочей области AML с несколькими наборами данных & хранилищами данных развертывание |
Этот шаблон создает рабочую область Машинного обучения Azure с несколькими наборами данных & хранилищами данных. |
сквозной настройке машинного обучения Azure развертывание |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
сквозной настройке машинного обучения Azure (устаревшая версия) развертывание |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
создание целевого объекта вычислений AKS с частным IP-адресом развертывание |
Этот шаблон создает целевой объект вычислений AKS в данной рабочей области службы машинного обучения Azure с частным IP-адресом. |
создание рабочей области службы машинного обучения Azure развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. В этой конфигурации описывается минимальный набор ресурсов, необходимых для начала работы с Машинным обучением Azure. |
Создание рабочей области службы машинного обучения Azure (CMK) развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. В примере показано, как настроить машинное обучение Azure для шифрования с помощью ключа шифрования, управляемого клиентом. |
Создание рабочей области службы машинного обучения Azure (CMK) развертывание |
Этот шаблон развертывания указывает, как создать рабочую область Машинного обучения Azure с шифрованием на стороне службы с помощью ключей шифрования. |
создание рабочей области службы машинного обучения Azure (vnet) развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Машинным обучением Azure в изолированной сети. |
Создание рабочей области службы машинного обучения Azure (устаревшая версия) развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Машинным обучением Azure в изолированной сети. |
кластер AKS с контроллером входящего трафика шлюза приложений развертывание |
В этом примере показано, как развернуть кластер AKS с помощью шлюза приложений, контроллера входящего трафика шлюза приложений, реестра контейнеров Azure, Log Analytics и Key Vault |
Создание шлюза приложений версии 2 с помощью key Vault развертывание |
Этот шаблон развертывает шлюз приложений версии 2 в виртуальной сети, определяемое пользователем удостоверение, Key Vault, секрет (данные сертификата) и политику доступа в Key Vault и шлюзе приложений. |
среда тестирования для брандмауэра Azure Premium развертывание |
Этот шаблон создает политику брандмауэра Azure premium и брандмауэра с такими функциями, как обнаружение вторжений (IDPS), проверка TLS и фильтрация веб-категорий |
Создание ресурса частной конечной точки между клиентами развертывание |
Этот шаблон позволяет создавать ресурс конечной точки Priavate в той же или межтенантной среде и добавлять конфигурацию зоны DNS. |
создание шлюза приложений с помощью сертификатов развертывание |
В этом шаблоне показано, как создавать самозаверяющие сертификаты Key Vault, а затем ссылаться на нее из шлюза приложений. |
шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом развертывание |
Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, созданного и размещенного в Key Vault. |
среда службы приложений с серверной SQL Azure развертывание |
Этот шаблон создает среду службы приложений с серверной частью SQL Azure вместе с частными конечными точками вместе с связанными ресурсами, обычно используемыми в частной или изолированной среде. |
приложение-функцию Azure и функцию, активированную ПО HTTP, развертывание |
Этот пример развертывает приложение-функцию Azure и встроенную функцию, активированную ПО HTTP, в шаблоне. Он также развертывает Key Vault и заполняет секрет ключом узла приложения-функции. |
Шлюз приложений с внутренним управлением API и веб-приложения развертывание |
Шлюз приложений маршрутизации трафика Интернета в экземпляр управления API виртуальной сети (внутренний режим), который обслуживает веб-API, размещенный в веб-приложении Azure. |
Определение ресурса шаблона ARM
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для следующих операций:
- группы ресурсов . См. команды развертывания группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Замечания
Рекомендации по использованию хранилищ ключей для безопасных значений см. в статье Управление секретами с помощью Bicep.
Краткое руководство по созданию секрета см. в кратком руководстве по . Настройка и извлечение секрета из Azure Key Vault с помощьюшаблона ARM.
Краткое руководство по созданию ключа см. в кратком руководстве по . Создание хранилища ключей Azure и ключа с помощью шаблона ARM.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2022-07-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
Значения свойств
Хранилища
Имя | Описание | Ценность |
---|---|---|
тип | Тип ресурса | Microsoft.KeyVault/vaults |
apiVersion | Версия API ресурсов | '2022-07-01' |
имя | Имя ресурса | строка (обязательно) Ограничение символов: 3–24 Допустимые символы: Буквенно-цифровые и дефисы. Начните с буквы. Заканчивается буквой или цифрой. Не может содержать последовательные дефисы. Имя ресурса должно быть уникальным в Azure. |
местоположение | Поддерживаемом расположении Azure, в котором необходимо создать хранилище ключей. | строка (обязательно) |
Теги | Теги, которые будут назначены хранилищу ключей. | Словарь имен и значений тегов. См. теги в шаблонах |
свойства | Свойства хранилища | VaultProperties (обязательно) |
VaultProperties
Имя | Описание | Ценность |
---|---|---|
accessPolicies | Массив 0–1024 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode задано значение recover , политики доступа не требуются. В противном случае требуются политики доступа. |
AccessPolicyEntry[] |
createMode | Режим создания хранилища, указывающий, требуется ли восстановить хранилище. | "по умолчанию" "восстановление" |
enabledForDeployment | Свойство, указываемое, разрешены ли виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов из хранилища ключей. | bool |
enabledForDiskEncryption | Свойство, указываемое, разрешено ли шифрование дисков Azure извлекать секреты из хранилища и распаковывать ключи. | bool |
enabledForTemplateDeployment | Свойство, указываемое, разрешено ли Azure Resource Manager получать секреты из хранилища ключей. | bool |
enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Установка этого свойства на значение true активирует защиту от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, безвозвратное удаление. Параметр действует только в том случае, если обратимое удаление также включено. Включение этой функции необратимо. Т. е. свойство не принимает значение false в качестве значения. | bool |
enableRbacAuthorization | Свойство, определяющее, как разрешены действия с данными. Если значение true, хранилище ключей будет использовать управление доступом на основе ролей (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, будут игнорироваться. Если значение false, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, и любые политики, хранящиеся в Azure Resource Manager, будут игнорироваться. Если значение NULL или не указано, хранилище создается со значением false по умолчанию. Обратите внимание, что действия управления всегда авторизованы с помощью RBAC. | bool |
enableSoftDelete | Свойство, указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию оно будет иметь значение true. Если задано значение true, его нельзя вернуть к false. | bool |
networkAcls | Правила, управляющие специальными возможностями хранилища ключей из определенных сетевых расположений. | NetworkRuleSet |
provisioningState | Состояние подготовки хранилища. | RegisteringDns "Успешно" |
publicNetworkAccess | Свойство, указываемое, будет ли хранилище принимать трафик из общедоступного Интернета. Если задано значение "отключено" весь трафик, кроме трафика частной конечной точки, и то, что происходит из доверенных служб, будет заблокировано. Это переопределит установленные правила брандмауэра, что означает, что даже если правила брандмауэра присутствуют, мы не будем учитывать правила. | струна |
SKU | Сведения о номере SKU | Sku (обязательно) |
softDeleteRetentionInDays | Дни хранения данных softDelete. Он принимает >=7 и <=90. | int |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | струна |
AccessPolicyEntry
Имя | Описание | Ценность |
---|---|---|
applicationId | Идентификатор приложения клиента, выполняющего запрос от имени субъекта | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
Разрешения | Разрешения удостоверения имеются для ключей, секретов и сертификатов. | разрешения (обязательно) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Разрешения
Имя | Описание | Ценность |
---|---|---|
Сертификаты | Разрешения на сертификаты | Массив строк, содержащий любой из: "все" "Backup" Create "Delete" "deleteissuers" 'get' 'getissuers' "Import" "list" "listissuers" "managecontacts" "manageissuers" "Очистка" "восстановление" "restore" 'setissuers' "update" |
Ключи | Разрешения на ключи | Массив строк, содержащий любой из: "все" "Backup" Create Расшифровка "Delete" "encrypt" 'get' 'getrotationpolicy' "Import" "list" "Очистка" "восстановление" "выпуск" "restore" "поворот" 'setrotationpolicy' Знак UnwrapKey "update" "проверка" "wrapKey" |
Секреты | Разрешения на секреты | Массив строк, содержащий любой из: "все" "Backup" "Delete" 'get' "list" "Очистка" "восстановление" "restore" 'set' |
хранение | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: "все" "Backup" "Delete" Deletesas 'get' "getsas" "list" "listsas" "Очистка" "восстановление" "регенерировать ключ" "restore" 'set' "setsas" "update" |
NetworkRuleSet
Имя | Описание | Ценность |
---|---|---|
обходить | Указывает, какой трафик может обойти правила сети. Это может быть "AzureServices" или "Нет". Если значение по умолчанию не задано, — AzureServices. | AzureServices "Нет" |
defaultAction | Действие по умолчанию, если правило из ipRules и из virtualNetworkRules не совпадает. Это используется только после оценки свойства обхода. | "Разрешить" "Запретить" |
ipRules | Список правил IP-адресов. | IPRule[] |
virtualNetworkRules | Список правил виртуальной сети. | VirtualNetworkRule[] |
IPRule
Имя | Описание | Ценность |
---|---|---|
ценность | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | строка (обязательно) |
VirtualNetworkRule
Имя | Описание | Ценность |
---|---|---|
идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | строка (обязательно) |
ignoreMissingVnetServiceEndpoint | Свойство, указываемое, будет ли NRP игнорировать проверку, настроена ли родительская подсеть serviceEndpoints. | bool |
Sku
Имя | Описание | Ценность |
---|---|---|
семья | Имя семейства SKU | "A" (обязательно) |
имя | Имя SKU, указывающее, является ли хранилище ключей стандартным хранилищем или хранилищем класса Premium. | "Премиум" "Стандартный" (обязательный) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
кластер AKS с шлюзом NAT и шлюзом приложений развертывание |
В этом примере показано, как развернуть кластер AKS с шлюзом NAT для исходящих подключений и шлюза приложений для входящих подключений. |
создание частного кластера AKS с общедоступной зоны DNS развертывание |
В этом примере показано, как развернуть частный кластер AKS с общедоступной зоной DNS. |
развертывание спортивной аналитики в архитектуре Azure развертывание |
Создает учетную запись хранения Azure с поддержкой ADLS 2-го поколения, экземпляр Фабрики данных Azure со связанными службами для учетной записи хранения (при развертывании базы данных SQL Azure) и экземпляра Azure Databricks. Удостоверение AAD для пользователя, развертывающего шаблон и управляемое удостоверение для экземпляра ADF, будет предоставлено роль участника данных BLOB-объектов хранилища в учетной записи хранения. Существуют также варианты развертывания экземпляра Azure Key Vault, базы данных SQL Azure и Концентратора событий Azure (для вариантов использования потоковой передачи). При развертывании Azure Key Vault управляемое удостоверение фабрики данных и удостоверение AAD для пользователя, развертывающего шаблон, будет предоставлена роль пользователя секретов Key Vault. |
рабочей области машинного обучения Azure развертывание |
Этот шаблон создает новую рабочую область машинного обучения Azure, а также зашифрованную учетную запись хранения, ведение журнала KeyVault и Application Insights |
создание KeyVault развертывание |
Этот модуль создает ресурс KeyVault с apiVersion 2019-09-01. |
Создание службы управления API с помощью SSL из KeyVault развертывание |
Этот шаблон развертывает службу управления API, настроенную с удостоверением, назначенным пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и сохраняет его обновление, проверяя каждые 4 часа. |
Создает приложение dapr pub-sub servicebus с помощью приложений контейнеров развертывание |
Создайте приложение dapr pub-sub servicebus с помощью контейнерных приложений. |
создает кластер Azure Stack HCI 23H2 развертывание |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM. |
создает кластер Azure Stack HCI 23H2 развертывание |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM с помощью пользовательского IP-адреса хранилища. |
создает кластер Azure Stack HCI 23H2 в режиме сети без переключения с двумя ссылками развертывание |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM. |
создает кластер Azure Stack HCI 23H2 в Switchless-SingleLink сетевом режиме развертывание |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM. |
Создание зашифрованной виртуальной машины Windows из образа коллекции развертывание |
Этот шаблон создает новую зашифрованную виртуальную машину Windows с помощью образа коллекции server 2k12. |
Создание зашифрованных управляемых дисков win-vm из образа коллекции развертывание |
Этот шаблон создает виртуальную машину windows с зашифрованными управляемыми дисками с помощью образа коллекции server 2k12. |
Этот шаблон шифрует запущенные виртуальных машин Windows развертывание |
Этот шаблон включает шифрование в работающем масштабируемом наборе виртуальных машин Windows |
Включить шифрование на работающей виртуальной машине Windows развертывание |
Этот шаблон включает шифрование на работающей виртуальной машине Windows. |
создание и шифрование новой виртуальной машины Windows с помощью развертывание |
Этот шаблон позволяет развернуть простой масштабируемый набор виртуальных машин Windows с помощью последней исправленной версии серверных версий Windows. Этот шаблон также развертывает прыжки с общедоступным IP-адресом в той же виртуальной сети. С помощью этого общедоступного IP-адреса можно подключиться к виртуальным машинам в масштабируемом наборе с помощью частных IP-адресов. Этот шаблон включает шифрование в масштабируемом наборе виртуальных машин Windows. |
Создание Azure Key Vault и секрета развертывание |
Этот шаблон создает Azure Key Vault и секрет. |
создание Azure Key Vault с помощью RBAC и секрета развертывание |
Этот шаблон создает Azure Key Vault и секрет. Вместо того чтобы полагаться на политики доступа, она использует Azure RBAC для управления авторизацией в секретах |
Создание хранилища ключей, управляемого удостоверения и назначения ролей развертывание |
Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей. |
Подключение к Key Vault через частную конечную точку развертывание |
В этом примере показано, как настроить виртуальную сеть и частную зону DNS для доступа к Key Vault через частную конечную точку. |
создание Хранилища ключей и списка секретов развертывание |
Этот шаблон создает Key Vault и список секретов в хранилище ключей, как передано вместе с параметрами. |
создание Key Vault с включенным ведением журнала развертывание |
Этот шаблон создает Azure Key Vault и учетную запись хранения Azure, которая используется для ведения журнала. При необходимости создается блокировка ресурсов для защиты ресурсов Key Vault и ресурсов хранилища. |
базовая настройка Azure AI Studio развертывание |
В этом наборе шаблонов показано, как настроить Azure AI Studio с помощью базовой настройки, то есть с поддержкой общедоступного доступа к Интернету, ключами, управляемыми Корпорацией Майкрософт, для шифрования и конфигурации управляемых корпорацией Майкрософт удостоверений для ресурса ИИ. |
базовая настройка Azure AI Studio развертывание |
В этом наборе шаблонов показано, как настроить Azure AI Studio с помощью базовой настройки, то есть с поддержкой общедоступного доступа к Интернету, ключами, управляемыми Корпорацией Майкрософт, для шифрования и конфигурации управляемых корпорацией Майкрософт удостоверений для ресурса ИИ. |
Azure AI Studio с проверки подлинности идентификатора Microsoft Entra развертывание |
Этот набор шаблонов демонстрирует настройку Azure AI Studio с проверкой подлинности идентификатора Microsoft Entra для зависимых ресурсов, таких как службы ИИ Azure и служба хранилища Azure. |
Создание рабочей области AML с несколькими наборами данных & хранилищами данных развертывание |
Этот шаблон создает рабочую область Машинного обучения Azure с несколькими наборами данных & хранилищами данных. |
сквозной настройке машинного обучения Azure развертывание |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
сквозной настройке машинного обучения Azure (устаревшая версия) развертывание |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
создание целевого объекта вычислений AKS с частным IP-адресом развертывание |
Этот шаблон создает целевой объект вычислений AKS в данной рабочей области службы машинного обучения Azure с частным IP-адресом. |
создание рабочей области службы машинного обучения Azure развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. В этой конфигурации описывается минимальный набор ресурсов, необходимых для начала работы с Машинным обучением Azure. |
Создание рабочей области службы машинного обучения Azure (CMK) развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. В примере показано, как настроить машинное обучение Azure для шифрования с помощью ключа шифрования, управляемого клиентом. |
Создание рабочей области службы машинного обучения Azure (CMK) развертывание |
Этот шаблон развертывания указывает, как создать рабочую область Машинного обучения Azure с шифрованием на стороне службы с помощью ключей шифрования. |
создание рабочей области службы машинного обучения Azure (vnet) развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Машинным обучением Azure в изолированной сети. |
Создание рабочей области службы машинного обучения Azure (устаревшая версия) развертывание |
Этот шаблон развертывания указывает рабочую область машинного обучения Azure и связанные с ней ресурсы, включая Azure Key Vault, службу хранилища Azure, Azure Application Insights и реестр контейнеров Azure. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Машинным обучением Azure в изолированной сети. |
кластер AKS с контроллером входящего трафика шлюза приложений развертывание |
В этом примере показано, как развернуть кластер AKS с помощью шлюза приложений, контроллера входящего трафика шлюза приложений, реестра контейнеров Azure, Log Analytics и Key Vault |
Создание шлюза приложений версии 2 с помощью key Vault развертывание |
Этот шаблон развертывает шлюз приложений версии 2 в виртуальной сети, определяемое пользователем удостоверение, Key Vault, секрет (данные сертификата) и политику доступа в Key Vault и шлюзе приложений. |
среда тестирования для брандмауэра Azure Premium развертывание |
Этот шаблон создает политику брандмауэра Azure premium и брандмауэра с такими функциями, как обнаружение вторжений (IDPS), проверка TLS и фильтрация веб-категорий |
Создание ресурса частной конечной точки между клиентами развертывание |
Этот шаблон позволяет создавать ресурс конечной точки Priavate в той же или межтенантной среде и добавлять конфигурацию зоны DNS. |
создание шлюза приложений с помощью сертификатов развертывание |
В этом шаблоне показано, как создавать самозаверяющие сертификаты Key Vault, а затем ссылаться на нее из шлюза приложений. |
шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом развертывание |
Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, созданного и размещенного в Key Vault. |
среда службы приложений с серверной SQL Azure развертывание |
Этот шаблон создает среду службы приложений с серверной частью SQL Azure вместе с частными конечными точками вместе с связанными ресурсами, обычно используемыми в частной или изолированной среде. |
приложение-функцию Azure и функцию, активированную ПО HTTP, развертывание |
Этот пример развертывает приложение-функцию Azure и встроенную функцию, активированную ПО HTTP, в шаблоне. Он также развертывает Key Vault и заполняет секрет ключом узла приложения-функции. |
Шлюз приложений с внутренним управлением API и веб-приложения развертывание |
Шлюз приложений маршрутизации трафика Интернета в экземпляр управления API виртуальной сети (внутренний режим), который обслуживает веб-API, размещенный в веб-приложении Azure. |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для следующих операций:
- групп ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2022-07-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Значения свойств
Хранилища
Имя | Описание | Ценность |
---|---|---|
тип | Тип ресурса | "Microsoft.KeyVault/vaults@2022-07-01" |
имя | Имя ресурса | строка (обязательно) Ограничение символов: 3–24 Допустимые символы: Буквенно-цифровые и дефисы. Начните с буквы. Заканчивается буквой или цифрой. Не может содержать последовательные дефисы. Имя ресурса должно быть уникальным в Azure. |
местоположение | Поддерживаемом расположении Azure, в котором необходимо создать хранилище ключей. | строка (обязательно) |
parent_id | Чтобы развернуть в группе ресурсов, используйте идентификатор этой группы ресурсов. | строка (обязательно) |
Теги | Теги, которые будут назначены хранилищу ключей. | Словарь имен и значений тегов. |
свойства | Свойства хранилища | VaultProperties (обязательно) |
VaultProperties
Имя | Описание | Ценность |
---|---|---|
accessPolicies | Массив 0–1024 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode задано значение recover , политики доступа не требуются. В противном случае требуются политики доступа. |
AccessPolicyEntry[] |
createMode | Режим создания хранилища, указывающий, требуется ли восстановить хранилище. | "по умолчанию" "восстановление" |
enabledForDeployment | Свойство, указываемое, разрешены ли виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов из хранилища ключей. | bool |
enabledForDiskEncryption | Свойство, указываемое, разрешено ли шифрование дисков Azure извлекать секреты из хранилища и распаковывать ключи. | bool |
enabledForTemplateDeployment | Свойство, указываемое, разрешено ли Azure Resource Manager получать секреты из хранилища ключей. | bool |
enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Установка этого свойства на значение true активирует защиту от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, безвозвратное удаление. Параметр действует только в том случае, если обратимое удаление также включено. Включение этой функции необратимо. Т. е. свойство не принимает значение false в качестве значения. | bool |
enableRbacAuthorization | Свойство, определяющее, как разрешены действия с данными. Если значение true, хранилище ключей будет использовать управление доступом на основе ролей (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, будут игнорироваться. Если значение false, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, и любые политики, хранящиеся в Azure Resource Manager, будут игнорироваться. Если значение NULL или не указано, хранилище создается со значением false по умолчанию. Обратите внимание, что действия управления всегда авторизованы с помощью RBAC. | bool |
enableSoftDelete | Свойство, указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию оно будет иметь значение true. Если задано значение true, его нельзя вернуть к false. | bool |
networkAcls | Правила, управляющие специальными возможностями хранилища ключей из определенных сетевых расположений. | NetworkRuleSet |
provisioningState | Состояние подготовки хранилища. | RegisteringDns "Успешно" |
publicNetworkAccess | Свойство, указываемое, будет ли хранилище принимать трафик из общедоступного Интернета. Если задано значение "отключено" весь трафик, кроме трафика частной конечной точки, и то, что происходит из доверенных служб, будет заблокировано. Это переопределит установленные правила брандмауэра, что означает, что даже если правила брандмауэра присутствуют, мы не будем учитывать правила. | струна |
SKU | Сведения о номере SKU | Sku (обязательно) |
softDeleteRetentionInDays | Дни хранения данных softDelete. Он принимает >=7 и <=90. | int |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | струна |
AccessPolicyEntry
Имя | Описание | Ценность |
---|---|---|
applicationId | Идентификатор приложения клиента, выполняющего запрос от имени субъекта | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
Разрешения | Разрешения удостоверения имеются для ключей, секретов и сертификатов. | разрешения (обязательно) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Разрешения
Имя | Описание | Ценность |
---|---|---|
Сертификаты | Разрешения на сертификаты | Массив строк, содержащий любой из: "все" "backup" "create" "Delete" "deleteissuers" Get "getissuers" "import" "list" "listissuers" "managecontacts" "manageissuers" "Очистка" "восстановление" "restore" "setissuers" "update" |
Ключи | Разрешения на ключи | Массив строк, содержащий любой из: "все" "backup" "create" Расшифровка "Delete" "encrypt" Get "getrotationpolicy" "import" "list" "Очистка" "восстановление" "выпуск" "restore" "поворот" "setrotationpolicy" "sign" (знак) UnwrapKey "update" "проверить" "wrapKey" |
Секреты | Разрешения на секреты | Массив строк, содержащий любой из: "все" "backup" "Delete" Get "list" "Очистка" "восстановление" "restore" "set" |
хранение | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: "все" "backup" "Delete" "deletesas" Get "getas" "list" "listsas" "Очистка" "восстановление" "регенерировать ключ" "restore" "set" "setsas" "update" |
NetworkRuleSet
Имя | Описание | Ценность |
---|---|---|
обходить | Указывает, какой трафик может обойти правила сети. Это может быть "AzureServices" или "Нет". Если значение по умолчанию не задано, — AzureServices. | "AzureServices" "Нет" |
defaultAction | Действие по умолчанию, если правило из ipRules и из virtualNetworkRules не совпадает. Это используется только после оценки свойства обхода. | "Разрешить" "Запретить" |
ipRules | Список правил IP-адресов. | IPRule[] |
virtualNetworkRules | Список правил виртуальной сети. | VirtualNetworkRule[] |
IPRule
Имя | Описание | Ценность |
---|---|---|
ценность | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | строка (обязательно) |
VirtualNetworkRule
Имя | Описание | Ценность |
---|---|---|
идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | строка (обязательно) |
ignoreMissingVnetServiceEndpoint | Свойство, указываемое, будет ли NRP игнорировать проверку, настроена ли родительская подсеть serviceEndpoints. | bool |
Sku
Имя | Описание | Ценность |
---|---|---|
семья | Имя семейства SKU | "A" (обязательно) |
имя | Имя SKU, указывающее, является ли хранилище ключей стандартным хранилищем или хранилищем класса Premium. | "Премиум" "Стандартный" (обязательный) |