Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Замечания
Для рекомендаций по использованию хранилищ ключей для безопасных значений см. Управление секретами с помощью Bicep.
Для быстрого старта по созданию секрета см. Quickstart: Set and retrieve a secret from Azure Key Vault using a ARM template.
Для быстрого старта по созданию ключа см. Быстрый старт: Создайте хранилище Azure ключей и ключ с помощью шаблона ARM.
Определение ресурса Bicep
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для следующих операций:
- группы ресурсов . См. команды развертывания группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий Bicep в ваш шаблон.
resource symbolicname 'Microsoft.KeyVault/vaults@2019-09-01' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
sku: {
family: 'string'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
Значения свойств
Microsoft.KeyVault/vaults
| Имя | Описание | Ценность |
|---|---|---|
| местоположение | Поддерживаемое местоположение Azure, где должно быть создано хранилище ключей. | строка (обязательно) |
| имя | Имя ресурса | струна Ограничения целостности: Pattern = ^[a-zA-Z0-9-]{3,24}$ (обязательно) |
| свойства | Свойства хранилища | VaultProperties (обязательно) |
| Теги | Теги ресурсов | Словарь имен и значений тегов. См. теги в шаблонах |
AccessPolicyEntry (Доступ к политике)
| Имя | Описание | Ценность |
|---|---|---|
| applicationId | Идентификатор приложения клиента, выполняющего запрос от имени субъекта | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Идентификатор объекта пользователя, принципала сервиса или группы безопасности в tenant Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
| Разрешения | Разрешения удостоверения имеются для ключей, секретов и сертификатов. | разрешения (обязательно) |
| идентификатор арендатора | Идентификатор арендатора Azure Active Directory, который следует использовать для аутентификации запросов в хранилище ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
IPRule
| Имя | Описание | Ценность |
|---|---|---|
| ценность | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | строка (обязательно) |
Набор сетевых правил
| Имя | Описание | Ценность |
|---|---|---|
| обходить | Указывает, какой трафик может обойти правила сети. Это может быть "AzureServices" или "Нет". Если значение по умолчанию не задано, — AzureServices. | AzureServices "Нет" |
| defaultAction | Действие по умолчанию, если правило из ipRules и из virtualNetworkRules не совпадает. Это используется только после оценки свойства обхода. | "Разрешить" "Запретить" |
| ipRules | Список правил IP-адресов. | IPRule[] |
| virtualNetworkRules | Список правил виртуальной сети. | Правило VirtualNetwork[] |
Разрешения
| Имя | Описание | Ценность |
|---|---|---|
| Сертификаты | Разрешения на сертификаты | Массив строк, содержащий любой из: "все" "Backup" Create "Delete" "deleteissuers" «Получить» 'getissuers' "Import" "list" "listissuers" "managecontacts" "manageissuers" "Очистка" "восстановление" "restore" 'setIssuers' "update" |
| Ключи | Разрешения на ключи | Массив строк, содержащий любой из: "все" "Backup" Create Расшифровка "Delete" "encrypt" «Получить» "Import" "list" "Очистка" "восстановление" "restore" Знак UnwrapKey "update" "проверка" "wrapKey" |
| Секреты | Разрешения на секреты | Массив строк, содержащий любой из: "все" "Backup" "Delete" «Получить» "list" "Очистка" "восстановление" "restore" «Набор» |
| хранение | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: "все" "Backup" "Delete" Deletesas «Получить» "getsas" "list" "listsas" "Очистка" "восстановление" "регенерировать ключ" "restore" «Набор» "setsas" "update" |
Артикул
| Имя | Описание | Ценность |
|---|---|---|
| семья | Имя семейства SKU | "A" (обязательно) |
| имя | Имя SKU, указывающее, является ли хранилище ключей стандартным хранилищем или хранилищем класса Premium. | "Премиум" "Стандартный" (обязательный) |
VaultCreateOrUpdateParametersTags
| Имя | Описание | Ценность |
|---|
Свойства хранилища
| Имя | Описание | Ценность |
|---|---|---|
| Политики доступа | Массив 0–1024 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode задано значение recover, политики доступа не требуются. В противном случае требуются политики доступа. |
AccessPolicyEntry[] |
| createMode | Режим создания хранилища, указывающий, требуется ли восстановить хранилище. | "по умолчанию" "восстановление" |
| enabledForDeployment | Свойство для указания, разрешено ли Azure Virtual Machines получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. | булевая переменная (bool) |
| enabledForDiskEncryption | Свойство для указания, разрешено ли Azure Disk Encryption извлекать секреты из хранилища и распаковывать ключи. | булевая переменная (bool) |
| enabledForTemplateDeployment | Свойство для указания, разрешено ли Azure Resource Manager извлекать секреты из хранилища ключей. | булевая переменная (bool) |
| enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Установка этого свойства в true активирует защиту от очистки для этого хранилища и его содержимого — только сервис Key Vault может инициировать жёсткое, необратимое удаление. Параметр действует только в том случае, если обратимое удаление также включено. Включение этой функции необратимо. Т. е. свойство не принимает значение false в качестве значения. | булевая переменная (bool) |
| enableRbacАвторизация | Свойство, определяющее, как разрешены действия с данными. Если это верно, хранилище ключей будет использовать Role Based Access Control (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, игнорируются. Если это ошибка, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, а любая политика, хранящаяся в Azure Resource Manager, будет игнорирована. Если значение NULL или не указано, хранилище создается со значением false по умолчанию. Обратите внимание, что действия управления всегда авторизованы с помощью RBAC. | булевая переменная (bool) |
| enableSoftDelete | Свойство, указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию оно будет иметь значение true. Если задано значение true, его нельзя вернуть к false. | булевая переменная (bool) |
| networkAcls | Правила, управляющие специальными возможностями хранилища ключей из определенных сетевых расположений. | Набор сетевых правил |
| Состояние обеспечения | Состояние подготовки хранилища. | RegisteringDns "Успешно" |
| SKU | Сведения о номере SKU | Sku (обязательно) |
| softDeleteRetentionInDays | Дни хранения данных softDelete. Он принимает >=7 и <=90. | инт |
| идентификатор арендатора | Идентификатор арендатора Azure Active Directory, который следует использовать для аутентификации запросов в хранилище ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
| vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. Это свойство доступно для чтения | струна |
Правило VirtualNetworkRule (Правило VirtualNetwork)
| Имя | Описание | Ценность |
|---|---|---|
| идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | строка (обязательно) |
| ignoreMissingVnetServiceEndpoint | Свойство, указываемое, будет ли NRP игнорировать проверку, настроена ли родительская подсеть serviceEndpoints. | булевая переменная (bool) |
Примеры использования
Примеры Bicep
Базовый пример развертывания Key Vault.
param resourceName string = 'acctest0001'
param location string = 'westeurope'
resource vault 'Microsoft.KeyVault/vaults@2021-10-01' = {
name: resourceName
location: location
properties: {
accessPolicies: [
{
objectId: deployer().objectId
permissions: {
certificates: [
'ManageContacts'
]
keys: [
'Create'
]
secrets: [
'Set'
]
storage: []
}
tenantId: deployer().tenantId
}
]
createMode: 'default'
enableRbacAuthorization: false
enableSoftDelete: true
enabledForDeployment: false
enabledForDiskEncryption: false
enabledForTemplateDeployment: false
publicNetworkAccess: 'Enabled'
sku: {
family: 'A'
name: 'standard'
}
softDeleteRetentionInDays: 7
tenantId: deployer().tenantId
}
}
Проверенные модули Azure
Следующие Azure Проверенные модули могут использоваться для развертывания этого типа ресурсов.
| Модуль | Описание |
|---|---|
| Хранилище ключей | Модуль ресурсов AVM для Key Vault |
Примеры быстрого запуска Azure
Следующие шаблоны Azure Quickstart содержат Bicep образцов для развертывания этого типа ресурсов.
| Bicep-файл | Описание |
|---|---|
| Кластер AKS с NAT шлюзом и шлюзом приложений | В этом примере показано, как развернуть кластер AKS с шлюзом NAT для исходящих подключений и шлюза приложений для входящих подключений. |
| AKS кластер с контроллером входа шлюза приложений | Этот пример показывает, как развернуть кластер AKS с Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics и Key Vault |
| Application Gateway с внутренним управлением API и веб-приложением | Приложенный шлюз, маршрутизирующий интернет-трафик к экземпляру управления API виртуальной сети (внутренний режим), которая обслуживает веб-API, размещённый в веб-приложении Azure. |
| Azure AI Foundry базовая настройка | Этот набор шаблонов демонстрирует, как настроить Azure AI Foundry с базовой конфигурацией, то есть с включенным публичным доступом в интернет, ключами, управляемыми Microsoft для шифрования, и конфигурацией идентификации Microsoft для AI-ресурса. |
| Azure AI Foundry базовая настройка | Этот набор шаблонов демонстрирует, как настроить Azure AI Foundry с базовой конфигурацией, то есть с включенным публичным доступом в интернет, ключами, управляемыми Microsoft для шифрования, и конфигурацией идентификации Microsoft для AI-ресурса. |
| Azure AI Foundry Сеть ограничена | Этот набор шаблонов демонстрирует, как настроить Azure AI Foundry с отключённой приватной линией и выходом, используя ключи, управляемые Microsoft для шифрования, и конфигурацию идентификации Microsoft для AI-ресурса. |
| Azure AI Foundry с Microsoft Entra ID аутентификацией | Этот набор шаблонов демонстрирует, как настроить Azure AI Foundry с аутентификацией Microsoft Entra ID для зависимых ресурсов, таких как Azure AI Services и Azure Storage. |
| Azure базовая настройка AI Studio | Этот набор шаблонов демонстрирует, как настроить Azure AI Studio с базовой конфигурацией, то есть с включенным доступом в публичный интернет, ключами, управляемыми Microsoft для шифрования, и конфигурацией идентификации Microsoft для AI-ресурса. |
| Azure Сеть AI Studio ограничена | Этот набор шаблонов демонстрирует, как настроить Azure AI Studio с отключённым приватным каналом и выходом, используя ключи, управляемые Microsoft для шифрования и управляемую Microsoft идентификацию для AI-ресурса. |
| Azure Функциональное приложение и функция, запускаемая по HTTP | В этом примере используется приложение Azure Function и встроенная функция с помощью HTTP, встроенная в шаблон. Он также развёртает Key Vault и заполняет секрет ключевым ключом функционального приложения. |
| Azure Machine Learning сквозная защищённая установка | Этот набор шаблонов Bicep демонстрирует, как настроить Azure Machine Learning сквозь конец в безопасной системе. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
| Azure Machine Learning сквозная защищённая установка (legacy) | Этот набор шаблонов Bicep демонстрирует, как настроить Azure Machine Learning сквозь конец в безопасной системе. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
| Azure Storage Шифрование аккаунта с ключом, управляемым клиентом | Этот шаблон разгортает аккаунт хранения с ключом, управляемым клиентом, для шифрования, который генерируется и размещается внутри Key Vault. |
| базовая идентификация установки агента | Этот набор шаблонов демонстрирует, как настроить Azure AI Agent Service с базовой настройкой с использованием управляемой аутентификации идентификации для соединения AI Service/AOAI. Агенты используют ресурсы поиска в нескольких клиентах и хранилища, полностью управляемые корпорацией Майкрософт. У вас не ™будет видимости или контроля над этими базовыми ресурсами Azure. |
| Создайте Key Vault и список секретов | Этот шаблон создаёт Key Vault и список секретов внутри key vault вместе с параметрами |
| Создать сетевой периметр безопасности | Этот шаблон создаёт сетевой периметр безопасности и сопутствующий ресурс для защиты хранилища ключей Azure. |
| Создать целевой вычислительный объект AKS с частным IP-адресом | Этот шаблон создаёт вычислительную цель AKS в данном рабочем пространстве сервиса Azure Machine Learning с приватным IP-адресом. |
| Создать сервис управления API с SSL из KeyVault | Этот шаблон развертывает службу управления API, настроенную с удостоверением, назначенным пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и сохраняет его обновление, проверяя каждые 4 часа. |
| Создать Azure Key Vault и секрет | Этот шаблон создаёт Azure Key Vault и секрет. |
| Создайте Azure Key Vault с RBAC и секретом | Этот шаблон создаёт Azure Key Vault и секрет. Вместо того чтобы полагаться на политики доступа, он использует Azure RBAC для управления авторизацијей секретов |
| Создать рабочее пространство Azure Machine Learning сервиса | Этот шаблон развертывания указывает рабочее пространство Azure Machine Learning и связанные с ним ресурсы, включая Azure Key Vault, Azure Storage, Azure Application Insights и Azure Container Registry. Эта конфигурация описывает минимальный набор ресурсов, необходимых для начала работы с Azure Machine Learning. |
| Создать рабочее пространство Azure Machine Learning сервиса (CMK) | Этот шаблон развертывания указывает, как создать рабочее пространство Azure Machine Learning с шифрованием на стороне сервиса, используя ваши ключи шифрования. |
| Создать рабочее пространство Azure Machine Learning сервиса (CMK) | Этот шаблон развертывания указывает рабочее пространство Azure Machine Learning и связанные с ним ресурсы, включая Azure Key Vault, Azure Storage, Azure Application Insights и Azure Container Registry. Пример показывает, как настроить Azure Machine Learning для шифрования с помощью ключа шифрования, управляемого клиентом. |
| Создать рабочее пространство Azure Machine Learning сервиса (наследие) | Этот шаблон развертывания указывает рабочее пространство Azure Machine Learning и связанные с ним ресурсы, включая Azure Key Vault, Azure Storage, Azure Application Insights и Azure Container Registry. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Azure Machine Learning в сетевой изоляции. |
| Создать рабочее пространство Azure Machine Learning сервиса (vnet) | Этот шаблон развертывания указывает рабочее пространство Azure Machine Learning и связанные с ним ресурсы, включая Azure Key Vault, Azure Storage, Azure Application Insights и Azure Container Registry. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Azure Machine Learning в сетевой изоляции. |
| Создать шлюз приложений с сертификатами | Этот шаблон показывает, как генерировать самоподписанные сертификаты Key Vault, а затем использовать ссылку из Application Gateway. |
| Create Key Vault с включённым логированием | Этот шаблон создаёт Azure Key Vault и аккаунт Azure Storage, используемый для ведения журнала. По желанию он создаёт блокировки ресурсов для защиты вашего Key Vault и хранилища. |
| Создать хранилище ключей, управляемую идентичность и назначение ролей | Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей. |
| Создаёт частный ресурс для конечных концов | Этот шаблон позволяет создавать ресурс конечной точки Priavate в той же или межтенантной среде и добавлять конфигурацию зоны DNS. |
| Создает приложение Dapr pub-sub servicebus с использованием Container Apps | Создайте приложение dapr pub-sub servicebus с помощью контейнерных приложений. |
| Развернуть Secure AI Foundry с управляемой виртуальной сетью | Этот шаблон создаёт безопасную среду Azure AI Foundry с надёжными ограничениями безопасности сети и идентификации. |
| Развернуть спортивную аналитику на Azure архитектуре | Создаёт Azure хранилище с включённым ADLS Gen 2, экземпляр Azure Data Factory с связанными сервисами для аккаунта хранения (а также Azure SQL Database при развертывании) и экземпляр Azure Databricks. Удостоверение AAD для пользователя, развертывающего шаблон и управляемое удостоверение для экземпляра ADF, будет предоставлено роль участника данных BLOB-объектов хранилища в учетной записи хранения. Также есть варианты развертывания экземпляра Azure Key Vault, Azure SQL Database и Azure Event Hub (для сценариев потокового использования). При развертывании Azure Key Vault идентификатор управляемой фабрикой данных и идентификатор AAD пользователя, развёртывающего шаблон, получают роль пользователя Key Vault Secrets. |
| Концентратор FinOps | Этот шаблон создаёт новый экземпляр хаба FinOps, включая Data Explorer, хранилище Data Lake и Data Factory. |
| Сетевой защищённый агент с управляемой пользовательской идентификацией | Этот набор шаблонов демонстрирует, как настроить Azure AI Agent Service с виртуальной изоляцией сети с использованием аутентификации User Managed Identity для соединения AI Service/AOAI и частных сетевых каналов для подключения агента к вашим защищённым данным. |
| Стандартная настройка агента | Этот набор шаблонов демонстрирует, как настроить Azure AI Agent Service с помощью стандартной настройки, то есть с управляемой аутентификацией идентичности для подключений проектов и хаба, а также с включенным публичным доступом в интернет. Агенты используют ресурсы поиска и хранилища с одним клиентом. С помощью этой настройки вы можете полностью контролировать и просматривать эти ресурсы, но вы будете нести расходы на основе использования. |
| Среда тестирования для Azure Firewall Premium | Этот шаблон создаёт Azure Firewall Premium и Firewall Policy с премиальными функциями, такими как обнаружение инспекции вторжения (IDPS), проверка TLS и фильтрация веб-категорий |
Определение ресурса шаблона ARM
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для следующих операций:
- группы ресурсов . См. команды развертывания группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2019-09-01",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"sku": {
"family": "string",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
Значения свойств
Microsoft.KeyVault/vaults
| Имя | Описание | Ценность |
|---|---|---|
| apiVersion | Версия API | '2019-09-01' |
| местоположение | Поддерживаемое местоположение Azure, где должно быть создано хранилище ключей. | строка (обязательно) |
| имя | Имя ресурса | струна Ограничения целостности: Pattern = ^[a-zA-Z0-9-]{3,24}$ (обязательно) |
| свойства | Свойства хранилища | VaultProperties (обязательно) |
| Теги | Теги ресурсов | Словарь имен и значений тегов. См. теги в шаблонах |
| тип | Тип ресурса | Microsoft.KeyVault/vaults |
AccessPolicyEntry (Доступ к политике)
| Имя | Описание | Ценность |
|---|---|---|
| applicationId | Идентификатор приложения клиента, выполняющего запрос от имени субъекта | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Идентификатор объекта пользователя, принципала сервиса или группы безопасности в tenant Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
| Разрешения | Разрешения удостоверения имеются для ключей, секретов и сертификатов. | разрешения (обязательно) |
| идентификатор арендатора | Идентификатор арендатора Azure Active Directory, который следует использовать для аутентификации запросов в хранилище ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
IPRule
| Имя | Описание | Ценность |
|---|---|---|
| ценность | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | строка (обязательно) |
Набор сетевых правил
| Имя | Описание | Ценность |
|---|---|---|
| обходить | Указывает, какой трафик может обойти правила сети. Это может быть "AzureServices" или "Нет". Если значение по умолчанию не задано, — AzureServices. | AzureServices "Нет" |
| defaultAction | Действие по умолчанию, если правило из ipRules и из virtualNetworkRules не совпадает. Это используется только после оценки свойства обхода. | "Разрешить" "Запретить" |
| ipRules | Список правил IP-адресов. | IPRule[] |
| virtualNetworkRules | Список правил виртуальной сети. | Правило VirtualNetwork[] |
Разрешения
| Имя | Описание | Ценность |
|---|---|---|
| Сертификаты | Разрешения на сертификаты | Массив строк, содержащий любой из: "все" "Backup" Create "Delete" "deleteissuers" «Получить» 'getissuers' "Import" "list" "listissuers" "managecontacts" "manageissuers" "Очистка" "восстановление" "restore" 'setIssuers' "update" |
| Ключи | Разрешения на ключи | Массив строк, содержащий любой из: "все" "Backup" Create Расшифровка "Delete" "encrypt" «Получить» "Import" "list" "Очистка" "восстановление" "restore" Знак UnwrapKey "update" "проверка" "wrapKey" |
| Секреты | Разрешения на секреты | Массив строк, содержащий любой из: "все" "Backup" "Delete" «Получить» "list" "Очистка" "восстановление" "restore" «Набор» |
| хранение | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: "все" "Backup" "Delete" Deletesas «Получить» "getsas" "list" "listsas" "Очистка" "восстановление" "регенерировать ключ" "restore" «Набор» "setsas" "update" |
Артикул
| Имя | Описание | Ценность |
|---|---|---|
| семья | Имя семейства SKU | "A" (обязательно) |
| имя | Имя SKU, указывающее, является ли хранилище ключей стандартным хранилищем или хранилищем класса Premium. | "Премиум" "Стандартный" (обязательный) |
VaultCreateOrUpdateParametersTags
| Имя | Описание | Ценность |
|---|
Свойства хранилища
| Имя | Описание | Ценность |
|---|---|---|
| Политики доступа | Массив 0–1024 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode задано значение recover, политики доступа не требуются. В противном случае требуются политики доступа. |
AccessPolicyEntry[] |
| createMode | Режим создания хранилища, указывающий, требуется ли восстановить хранилище. | "по умолчанию" "восстановление" |
| enabledForDeployment | Свойство для указания, разрешено ли Azure Virtual Machines получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. | булевая переменная (bool) |
| enabledForDiskEncryption | Свойство для указания, разрешено ли Azure Disk Encryption извлекать секреты из хранилища и распаковывать ключи. | булевая переменная (bool) |
| enabledForTemplateDeployment | Свойство для указания, разрешено ли Azure Resource Manager извлекать секреты из хранилища ключей. | булевая переменная (bool) |
| enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Установка этого свойства в true активирует защиту от очистки для этого хранилища и его содержимого — только сервис Key Vault может инициировать жёсткое, необратимое удаление. Параметр действует только в том случае, если обратимое удаление также включено. Включение этой функции необратимо. Т. е. свойство не принимает значение false в качестве значения. | булевая переменная (bool) |
| enableRbacАвторизация | Свойство, определяющее, как разрешены действия с данными. Если это верно, хранилище ключей будет использовать Role Based Access Control (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, игнорируются. Если это ошибка, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, а любая политика, хранящаяся в Azure Resource Manager, будет игнорирована. Если значение NULL или не указано, хранилище создается со значением false по умолчанию. Обратите внимание, что действия управления всегда авторизованы с помощью RBAC. | булевая переменная (bool) |
| enableSoftDelete | Свойство, указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию оно будет иметь значение true. Если задано значение true, его нельзя вернуть к false. | булевая переменная (bool) |
| networkAcls | Правила, управляющие специальными возможностями хранилища ключей из определенных сетевых расположений. | Набор сетевых правил |
| Состояние обеспечения | Состояние подготовки хранилища. | RegisteringDns "Успешно" |
| SKU | Сведения о номере SKU | Sku (обязательно) |
| softDeleteRetentionInDays | Дни хранения данных softDelete. Он принимает >=7 и <=90. | инт |
| идентификатор арендатора | Идентификатор арендатора Azure Active Directory, который следует использовать для аутентификации запросов в хранилище ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
| vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. Это свойство доступно для чтения | струна |
Правило VirtualNetworkRule (Правило VirtualNetwork)
| Имя | Описание | Ценность |
|---|---|---|
| идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | строка (обязательно) |
| ignoreMissingVnetServiceEndpoint | Свойство, указываемое, будет ли NRP игнорировать проверку, настроена ли родительская подсеть serviceEndpoints. | булевая переменная (bool) |
Примеры использования
Шаблоны быстрого запуска Azure
Следующие Azure шаблоны быстрого запуска развёртают этот тип ресурса.
| Шаблон | Описание |
|---|---|
Кластер AKS с NAT шлюзом и шлюзом приложений
|
В этом примере показано, как развернуть кластер AKS с шлюзом NAT для исходящих подключений и шлюза приложений для входящих подключений. |
|
AKS кластер с контроллером входа шлюза приложений
|
Этот пример показывает, как развернуть кластер AKS с Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics и Key Vault |
|
App Service Environment с Azure SQL бэкендом
|
Этот шаблон создаёт App Service Environment с бэкендом Azure SQL, а также с частными конечными точками и соответствующими ресурсами, обычно используемыми в приватной/изолированной среде. |
|
Application Gateway с внутренним управлением API и веб-приложением
|
Приложенный шлюз, маршрутизирующий интернет-трафик к экземпляру управления API виртуальной сети (внутренний режим), которая обслуживает веб-API, размещённый в веб-приложении Azure. |
|
Azure AI Foundry базовая настройка
|
Этот набор шаблонов демонстрирует, как настроить Azure AI Foundry с базовой конфигурацией, то есть с включенным публичным доступом в интернет, ключами, управляемыми Microsoft для шифрования, и конфигурацией идентификации Microsoft для AI-ресурса. |
|
Azure AI Foundry базовая настройка
|
Этот набор шаблонов демонстрирует, как настроить Azure AI Foundry с базовой конфигурацией, то есть с включенным публичным доступом в интернет, ключами, управляемыми Microsoft для шифрования, и конфигурацией идентификации Microsoft для AI-ресурса. |
|
Azure AI Foundry Сеть ограничена
|
Этот набор шаблонов демонстрирует, как настроить Azure AI Foundry с отключённой приватной линией и выходом, используя ключи, управляемые Microsoft для шифрования, и конфигурацию идентификации Microsoft для AI-ресурса. |
|
Azure AI Foundry с Microsoft Entra ID аутентификацией
|
Этот набор шаблонов демонстрирует, как настроить Azure AI Foundry с аутентификацией Microsoft Entra ID для зависимых ресурсов, таких как Azure AI Services и Azure Storage. |
|
Azure базовая настройка AI Studio
|
Этот набор шаблонов демонстрирует, как настроить Azure AI Studio с базовой конфигурацией, то есть с включенным доступом в публичный интернет, ключами, управляемыми Microsoft для шифрования, и конфигурацией идентификации Microsoft для AI-ресурса. |
|
Azure Сеть AI Studio ограничена
|
Этот набор шаблонов демонстрирует, как настроить Azure AI Studio с отключённым приватным каналом и выходом, используя ключи, управляемые Microsoft для шифрования и управляемую Microsoft идентификацию для AI-ресурса. |
|
Azure Функциональное приложение и функция, запускаемая по HTTP
|
В этом примере используется приложение Azure Function и встроенная функция с помощью HTTP, встроенная в шаблон. Он также развёртает Key Vault и заполняет секрет ключевым ключом функционального приложения. |
|
Azure Machine Learning сквозная защищённая установка
|
Этот набор шаблонов Bicep демонстрирует, как настроить Azure Machine Learning сквозь конец в безопасной системе. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
|
Azure Machine Learning сквозная защищённая установка (legacy)
|
Этот набор шаблонов Bicep демонстрирует, как настроить Azure Machine Learning сквозь конец в безопасной системе. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и присоединенный частный кластер AKS. |
|
Azure Machine Learning Рабочее пространство
|
Этот шаблон создаёт новое рабочее пространство Azure Machine Learning, а также зашифрованную учетную запись хранения, KeyVault и логирование приложений Insights |
|
Azure Storage Шифрование аккаунта с ключом, управляемым клиентом
|
Этот шаблон разгортает аккаунт хранения с ключом, управляемым клиентом, для шифрования, который генерируется и размещается внутри Key Vault. |
|
базовая идентификация установки агента
|
Этот набор шаблонов демонстрирует, как настроить Azure AI Agent Service с базовой настройкой с использованием управляемой аутентификации идентификации для соединения AI Service/AOAI. Агенты используют ресурсы поиска в нескольких клиентах и хранилища, полностью управляемые корпорацией Майкрософт. У вас не ™будет видимости или контроля над этими базовыми ресурсами Azure. |
|
Подключиться к Key Vault через частную конечную точку
|
Этот пример показывает, как настроить виртуальную сеть и приватную DNS-зону для доступа к Key Vault через приватную конечную точку. |
|
Создайте Key Vault и список секретов
|
Этот шаблон создаёт Key Vault и список секретов внутри key vault вместе с параметрами |
|
Создать KeyVault
|
Этот модуль создает ресурс KeyVault с apiVersion 2019-09-01. |
|
Создать сетевой периметр безопасности
|
Этот шаблон создаёт сетевой периметр безопасности и сопутствующий ресурс для защиты хранилища ключей Azure. |
|
Создать новую зашифрованную виртуальную машину Windows из образа галереи
|
Этот шаблон создает новую зашифрованную виртуальную машину Windows с помощью образа коллекции server 2k12. |
|
Создать частный кластер AKS с публичной DNS-зоной
|
В этом примере показано, как развернуть частный кластер AKS с общедоступной зоной DNS. |
|
Создать AML-рабочее пространство с несколькими наборами данных и Хранилища данных
|
Этот шаблон создаёт рабочее пространство Azure Machine Learning с несколькими наборами данных и хранилищами данных. |
|
Создать целевой вычислительный объект AKS с частным IP-адресом
|
Этот шаблон создаёт вычислительную цель AKS в данном рабочем пространстве сервиса Azure Machine Learning с приватным IP-адресом. |
|
Создать сервис управления API с SSL из KeyVault
|
Этот шаблон развертывает службу управления API, настроенную с удостоверением, назначенным пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и сохраняет его обновление, проверяя каждые 4 часа. |
|
Создать шлюз приложений V2 с помощью Key Vault
|
Этот шаблон развёртает Application Gateway V2 в Virtual Network, идентификатор пользователя, Key Vault, секрет (данные сертификата) и политику доступа на Key Vault и Application Gateway. |
|
Создать Azure Key Vault и секрет
|
Этот шаблон создаёт Azure Key Vault и секрет. |
|
Создайте Azure Key Vault с RBAC и секретом
|
Этот шаблон создаёт Azure Key Vault и секрет. Вместо того чтобы полагаться на политики доступа, он использует Azure RBAC для управления авторизацијей секретов |
|
Создать рабочее пространство Azure Machine Learning сервиса
|
Этот шаблон развертывания указывает рабочее пространство Azure Machine Learning и связанные с ним ресурсы, включая Azure Key Vault, Azure Storage, Azure Application Insights и Azure Container Registry. Эта конфигурация описывает минимальный набор ресурсов, необходимых для начала работы с Azure Machine Learning. |
|
Создать рабочее пространство Azure Machine Learning сервиса (CMK)
|
Этот шаблон развертывания указывает, как создать рабочее пространство Azure Machine Learning с шифрованием на стороне сервиса, используя ваши ключи шифрования. |
|
Создать рабочее пространство Azure Machine Learning сервиса (CMK)
|
Этот шаблон развертывания указывает рабочее пространство Azure Machine Learning и связанные с ним ресурсы, включая Azure Key Vault, Azure Storage, Azure Application Insights и Azure Container Registry. Пример показывает, как настроить Azure Machine Learning для шифрования с помощью ключа шифрования, управляемого клиентом. |
|
Создать рабочее пространство Azure Machine Learning сервиса (наследие)
|
Этот шаблон развертывания указывает рабочее пространство Azure Machine Learning и связанные с ним ресурсы, включая Azure Key Vault, Azure Storage, Azure Application Insights и Azure Container Registry. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Azure Machine Learning в сетевой изоляции. |
|
Создать рабочее пространство Azure Machine Learning сервиса (vnet)
|
Этот шаблон развертывания указывает рабочее пространство Azure Machine Learning и связанные с ним ресурсы, включая Azure Key Vault, Azure Storage, Azure Application Insights и Azure Container Registry. Эта конфигурация описывает набор ресурсов, необходимых для начала работы с Azure Machine Learning в сетевой изоляции. |
|
Создать и зашифровать новую Windows VMSS с помощью jumpbox
|
Этот шаблон позволяет развернуть простой набор VM Scale Set для Windows, используя последнюю патчированную версию серверных версий Windows. Этот шаблон также развертывает прыжки с общедоступным IP-адресом в той же виртуальной сети. Вы можете подключиться к джампбоксу через этот публичный IP-адрес, а затем оттуда подключиться к виртуальным машинам в шкале через приватные IP-адреса. Этот шаблон позволяет шифровать набора VM Scale Set Windows. |
|
Создать шлюз приложений с сертификатами
|
Этот шаблон показывает, как генерировать самоподписанные сертификаты Key Vault, а затем использовать ссылку из Application Gateway. |
|
Create Key Vault с включённым логированием
|
Этот шаблон создаёт Azure Key Vault и аккаунт Azure Storage, используемый для ведения журнала. По желанию он создаёт блокировки ресурсов для защиты вашего Key Vault и хранилища. |
|
Создать хранилище ключей, управляемую идентичность и назначение ролей
|
Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей. |
|
Создать новые зашифрованные управляемые диски win-vm из образа галереи
|
Этот шаблон создает виртуальную машину windows с зашифрованными управляемыми дисками с помощью образа коллекции server 2k12. |
|
Создаёт частный ресурс для конечных концов
|
Этот шаблон позволяет создавать ресурс конечной точки Priavate в той же или межтенантной среде и добавлять конфигурацию зоны DNS. |
|
Создает приложение Dapr pub-sub servicebus с использованием Container Apps
|
Создайте приложение dapr pub-sub servicebus с помощью контейнерных приложений. |
|
Развернуть Secure AI Foundry с управляемой виртуальной сетью
|
Этот шаблон создаёт безопасную среду Azure AI Foundry с надёжными ограничениями безопасности сети и идентификации. |
|
Развернуть спортивную аналитику на Azure архитектуре
|
Создаёт Azure хранилище с включённым ADLS Gen 2, экземпляр Azure Data Factory с связанными сервисами для аккаунта хранения (а также Azure SQL Database при развертывании) и экземпляр Azure Databricks. Удостоверение AAD для пользователя, развертывающего шаблон и управляемое удостоверение для экземпляра ADF, будет предоставлено роль участника данных BLOB-объектов хранилища в учетной записи хранения. Также есть варианты развертывания экземпляра Azure Key Vault, Azure SQL Database и Azure Event Hub (для сценариев потокового использования). При развертывании Azure Key Vault идентификатор управляемой фабрикой данных и идентификатор AAD пользователя, развёртывающего шаблон, получают роль пользователя Key Vault Secrets. |
|
Включить шифрование на работе Windows VM
|
Этот шаблон включает шифрование на работающей виртуальной машине Windows. |
|
Концентратор FinOps
|
Этот шаблон создаёт новый экземпляр хаба FinOps, включая Data Explorer, хранилище Data Lake и Data Factory. |
|
Сетевой защищённый агент с управляемой пользовательской идентификацией
|
Этот набор шаблонов демонстрирует, как настроить Azure AI Agent Service с виртуальной изоляцией сети с использованием аутентификации User Managed Identity для соединения AI Service/AOAI и частных сетевых каналов для подключения агента к вашим защищённым данным. |
|
Стандартная настройка агента
|
Этот набор шаблонов демонстрирует, как настроить Azure AI Agent Service с помощью стандартной настройки, то есть с управляемой аутентификацией идентичности для подключений проектов и хаба, а также с включенным публичным доступом в интернет. Агенты используют ресурсы поиска и хранилища с одним клиентом. С помощью этой настройки вы можете полностью контролировать и просматривать эти ресурсы, но вы будете нести расходы на основе использования. |
|
Среда тестирования для Azure Firewall Premium
|
Этот шаблон создаёт Azure Firewall Premium и Firewall Policy с премиальными функциями, такими как обнаружение инспекции вторжения (IDPS), проверка TLS и фильтрация веб-категорий |
|
Этот шаблон шифрует работающую Windows VMSS
|
Этот шаблон позволяет шифровать на работе Windows VM Scale Set |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для следующих операций:
- Группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2019-09-01"
name = "string"
parent_id = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
sku = {
family = "string"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
}
}
Значения свойств
Microsoft.KeyVault/vaults
| Имя | Описание | Ценность |
|---|---|---|
| местоположение | Поддерживаемое местоположение Azure, где должно быть создано хранилище ключей. | строка (обязательно) |
| имя | Имя ресурса | струна Ограничения целостности: Pattern = ^[a-zA-Z0-9-]{3,24}$ (обязательно) |
| свойства | Свойства хранилища | VaultProperties (обязательно) |
| Теги | Теги ресурсов | Словарь имен и значений тегов. |
| тип | Тип ресурса | "Microsoft.KeyVault/vaults@2019-09-01" |
AccessPolicyEntry (Доступ к политике)
| Имя | Описание | Ценность |
|---|---|---|
| applicationId | Идентификатор приложения клиента, выполняющего запрос от имени субъекта | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Идентификатор объекта пользователя, принципала сервиса или группы безопасности в tenant Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
| Разрешения | Разрешения удостоверения имеются для ключей, секретов и сертификатов. | разрешения (обязательно) |
| идентификатор арендатора | Идентификатор арендатора Azure Active Directory, который следует использовать для аутентификации запросов в хранилище ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
IPRule
| Имя | Описание | Ценность |
|---|---|---|
| ценность | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | строка (обязательно) |
Набор сетевых правил
| Имя | Описание | Ценность |
|---|---|---|
| обходить | Указывает, какой трафик может обойти правила сети. Это может быть "AzureServices" или "Нет". Если значение по умолчанию не задано, — AzureServices. | AzureServices "Нет" |
| defaultAction | Действие по умолчанию, если правило из ipRules и из virtualNetworkRules не совпадает. Это используется только после оценки свойства обхода. | "Разрешить" "Запретить" |
| ipRules | Список правил IP-адресов. | IPRule[] |
| virtualNetworkRules | Список правил виртуальной сети. | Правило VirtualNetwork[] |
Разрешения
| Имя | Описание | Ценность |
|---|---|---|
| Сертификаты | Разрешения на сертификаты | Массив строк, содержащий любой из: "все" "Backup" Create "Delete" "deleteissuers" «Получить» 'getissuers' "Import" "list" "listissuers" "managecontacts" "manageissuers" "Очистка" "восстановление" "restore" 'setIssuers' "update" |
| Ключи | Разрешения на ключи | Массив строк, содержащий любой из: "все" "Backup" Create Расшифровка "Delete" "encrypt" «Получить» "Import" "list" "Очистка" "восстановление" "restore" Знак UnwrapKey "update" "проверка" "wrapKey" |
| Секреты | Разрешения на секреты | Массив строк, содержащий любой из: "все" "Backup" "Delete" «Получить» "list" "Очистка" "восстановление" "restore" «Набор» |
| хранение | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: "все" "Backup" "Delete" Deletesas «Получить» "getsas" "list" "listsas" "Очистка" "восстановление" "регенерировать ключ" "restore" «Набор» "setsas" "update" |
Артикул
| Имя | Описание | Ценность |
|---|---|---|
| семья | Имя семейства SKU | "A" (обязательно) |
| имя | Имя SKU, указывающее, является ли хранилище ключей стандартным хранилищем или хранилищем класса Premium. | "Премиум" "Стандартный" (обязательный) |
VaultCreateOrUpdateParametersTags
| Имя | Описание | Ценность |
|---|
Свойства хранилища
| Имя | Описание | Ценность |
|---|---|---|
| Политики доступа | Массив 0–1024 удостоверений, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. Если createMode задано значение recover, политики доступа не требуются. В противном случае требуются политики доступа. |
AccessPolicyEntry[] |
| createMode | Режим создания хранилища, указывающий, требуется ли восстановить хранилище. | "по умолчанию" "восстановление" |
| enabledForDeployment | Свойство для указания, разрешено ли Azure Virtual Machines получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. | булевая переменная (bool) |
| enabledForDiskEncryption | Свойство для указания, разрешено ли Azure Disk Encryption извлекать секреты из хранилища и распаковывать ключи. | булевая переменная (bool) |
| enabledForTemplateDeployment | Свойство для указания, разрешено ли Azure Resource Manager извлекать секреты из хранилища ключей. | булевая переменная (bool) |
| enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Установка этого свойства в true активирует защиту от очистки для этого хранилища и его содержимого — только сервис Key Vault может инициировать жёсткое, необратимое удаление. Параметр действует только в том случае, если обратимое удаление также включено. Включение этой функции необратимо. Т. е. свойство не принимает значение false в качестве значения. | булевая переменная (bool) |
| enableRbacАвторизация | Свойство, определяющее, как разрешены действия с данными. Если это верно, хранилище ключей будет использовать Role Based Access Control (RBAC) для авторизации действий с данными, а политики доступа, указанные в свойствах хранилища, игнорируются. Если это ошибка, хранилище ключей будет использовать политики доступа, указанные в свойствах хранилища, а любая политика, хранящаяся в Azure Resource Manager, будет игнорирована. Если значение NULL или не указано, хранилище создается со значением false по умолчанию. Обратите внимание, что действия управления всегда авторизованы с помощью RBAC. | булевая переменная (bool) |
| enableSoftDelete | Свойство, указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Если при создании нового хранилища ключей не задано значение (true или false), по умолчанию оно будет иметь значение true. Если задано значение true, его нельзя вернуть к false. | булевая переменная (bool) |
| networkAcls | Правила, управляющие специальными возможностями хранилища ключей из определенных сетевых расположений. | Набор сетевых правил |
| Состояние обеспечения | Состояние подготовки хранилища. | RegisteringDns "Успешно" |
| SKU | Сведения о номере SKU | Sku (обязательно) |
| softDeleteRetentionInDays | Дни хранения данных softDelete. Он принимает >=7 и <=90. | инт |
| идентификатор арендатора | Идентификатор арендатора Azure Active Directory, который следует использовать для аутентификации запросов в хранилище ключей. | струна Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (обязательно) |
| vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. Это свойство доступно для чтения | струна |
Правило VirtualNetworkRule (Правило VirtualNetwork)
| Имя | Описание | Ценность |
|---|---|---|
| идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | строка (обязательно) |
| ignoreMissingVnetServiceEndpoint | Свойство, указываемое, будет ли NRP игнорировать проверку, настроена ли родительская подсеть serviceEndpoints. | булевая переменная (bool) |
Примеры использования
Примеры Terraform
Базовый пример развертывания Key Vault.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
data "azurerm_client_config" "current" {
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "vault" {
type = "Microsoft.KeyVault/vaults@2021-10-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
accessPolicies = [
{
objectId = data.azurerm_client_config.current.object_id
permissions = {
certificates = [
"ManageContacts",
]
keys = [
"Create",
]
secrets = [
"Set",
]
storage = [
]
}
tenantId = data.azurerm_client_config.current.tenant_id
},
]
createMode = "default"
enableRbacAuthorization = false
enableSoftDelete = true
enabledForDeployment = false
enabledForDiskEncryption = false
enabledForTemplateDeployment = false
publicNetworkAccess = "Enabled"
sku = {
family = "A"
name = "standard"
}
softDeleteRetentionInDays = 7
tenantId = data.azurerm_client_config.current.tenant_id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Проверенные модули Azure
Следующие Azure Проверенные модули могут использоваться для развертывания этого типа ресурсов.
| Модуль | Описание |
|---|---|
| Хранилище ключей | Модуль ресурсов AVM для Key Vault |