Microsoft.KeyVault 保存庫/秘密 2019-09-01
言論
如需針對安全值使用密鑰保存庫的指引,請參閱 使用 Bicep管理秘密。
如需建立秘密的快速入門,請參閱 快速入門:使用ARM樣本從 Azure Key Vault 設定和擷取秘密。
如需建立金鑰的快速入門,請參閱 快速入門:使用 ARM 範本建立 Azure 金鑰保存庫和金鑰。
Bicep 資源定義
儲存庫/秘密資源類型可以使用目標作業來部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/vaults/secrets 資源,請將下列 Bicep 新增至範本。
resource symbolicname 'Microsoft.KeyVault/vaults/secrets@2019-09-01' = {
parent: resourceSymbolicName
name: 'string'
properties: {
attributes: {
enabled: bool
exp: int
nbf: int
}
contentType: 'string'
value: 'string'
}
tags: {
{customized property}: 'string'
}
}
屬性值
Microsoft.KeyVault/vaults/secrets
| 名字 | 描述 | 價值 |
|---|---|---|
| 名字 | 資源名稱 | 字串 約束: 模式 = ^[a-zA-Z0-9-]{1,127}$ (必要) |
| 父母 | 在 Bicep 中,您可以指定子資源的父資源。 只有在父資源外部宣告子資源時,才需要新增這個屬性。 如需詳細資訊,請參閱 父資源外部的子資源。 |
類型資源的符號名稱:保存庫 |
| 性能 | 秘密的屬性 | SecretProperties (必要) |
| 標籤 | 資源標籤 | 標記名稱和值的字典。 請參閱範本中的 標籤 |
SecretAttributes
| 名字 | 描述 | 價值 |
|---|---|---|
| 啟用 | 判斷物件是否已啟用。 | bool |
| exp | 自 1970-01-01T00:00:00Z 起的秒數到期日期。 | int |
| nbf | 不是自 1970-01-01T00:00:00Z 起的秒數。 | int |
SecretCreateOrUpdateParametersTags
| 名字 | 描述 | 價值 |
|---|
SecretProperties
| 名字 | 描述 | 價值 |
|---|---|---|
| 屬性 | 秘密的屬性。 | SecretAttributes |
| contentType | 秘密的內容類型。 | 字串 |
| 價值 | 秘密的值。 注意: 'value' 永遠不會從服務傳回,因為使用此模型的 API 是供 ARM 部署內部使用。 用戶應該使用數據平面 REST 服務來與保存庫秘密互動。 | 字串 |
快速入門範例
下列快速入門範例會部署此資源類型。
| Bicep 檔案 | 描述 |
|---|---|
| 使用內部 API 管理和 Web 應用程式 |
應用程式閘道會將因特網流量路由傳送至虛擬網路(內部模式)API 管理實例,此實例會服務裝載於 Azure Web 應用程式中的 Web API。 |
| Azure 函式應用程式和 HTTP 觸發的函式 | 此範例會在範本中內嵌部署 Azure 函式應用程式和 HTTP 觸發的函式。 它也會部署 Key Vault,並使用函式應用程式的主機密鑰填入秘密。 |
| 建立 Key Vault 和秘密清單 | 此範本會建立金鑰保存庫和金鑰保存庫中的秘密清單,連同參數一起傳遞 |
| 從 KeyVault 建立具有 SSL 的 API 管理服務 | 此範本會部署使用使用者指派身分識別設定的 API 管理服務。 它會使用此身分識別從 KeyVault 擷取 SSL 憑證,並每隔 4 小時檢查一次來保持更新。 |
| 建立 Azure Key Vault 和秘密 | 此範本會建立 Azure Key Vault 和秘密。 |
| 使用 RBAC 建立 Azure Key Vault 和秘密 | 此範本會建立 Azure Key Vault 和秘密。 它不依賴存取原則,而是利用 Azure RBAC 來管理秘密的授權 |
| FinOps 中樞 | 此範本會建立新的 FinOps 中樞實例,包括 Data Lake 記憶體和 Data Factory。 |
| 適用於 Azure 防火牆進階 |
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選 |
ARM 樣本資源定義
儲存庫/秘密資源類型可以使用目標作業來部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/vaults/secrets 資源,請將下列 JSON 新增至範本。
{
"type": "Microsoft.KeyVault/vaults/secrets",
"apiVersion": "2019-09-01",
"name": "string",
"properties": {
"attributes": {
"enabled": "bool",
"exp": "int",
"nbf": "int"
},
"contentType": "string",
"value": "string"
},
"tags": {
"{customized property}": "string"
}
}
屬性值
Microsoft.KeyVault/vaults/secrets
| 名字 | 描述 | 價值 |
|---|---|---|
| apiVersion | API 版本 | '2019-09-01' |
| 名字 | 資源名稱 | 字串 約束: 模式 = ^[a-zA-Z0-9-]{1,127}$ (必要) |
| 性能 | 秘密的屬性 | SecretProperties (必要) |
| 標籤 | 資源標籤 | 標記名稱和值的字典。 請參閱範本中的 標籤 |
| 類型 | 資源類型 | 'Microsoft.KeyVault/vaults/secrets' |
SecretAttributes
| 名字 | 描述 | 價值 |
|---|---|---|
| 啟用 | 判斷物件是否已啟用。 | bool |
| exp | 自 1970-01-01T00:00:00Z 起的秒數到期日期。 | int |
| nbf | 不是自 1970-01-01T00:00:00Z 起的秒數。 | int |
SecretCreateOrUpdateParametersTags
| 名字 | 描述 | 價值 |
|---|
SecretProperties
| 名字 | 描述 | 價值 |
|---|---|---|
| 屬性 | 秘密的屬性。 | SecretAttributes |
| contentType | 秘密的內容類型。 | 字串 |
| 價值 | 秘密的值。 注意: 'value' 永遠不會從服務傳回,因為使用此模型的 API 是供 ARM 部署內部使用。 用戶應該使用數據平面 REST 服務來與保存庫秘密互動。 | 字串 |
快速入門範本
下列快速入門範本會部署此資源類型。
| 範本 | 描述 |
|---|---|
使用內部 API 管理和 Web 應用程式 
|
應用程式閘道會將因特網流量路由傳送至虛擬網路(內部模式)API 管理實例,此實例會服務裝載於 Azure Web 應用程式中的 Web API。 |
|
Azure 函式應用程式和 HTTP 觸發的函式
|
此範例會在範本中內嵌部署 Azure 函式應用程式和 HTTP 觸發的函式。 它也會部署 Key Vault,並使用函式應用程式的主機密鑰填入秘密。 |
|
透過私人端點連線到 Key Vault
|
此範例示範如何使用設定虛擬網路和私人 DNS 區域,透過私人端點存取 Key Vault。 |
|
建立 Key Vault 和秘密清單
|
此範本會建立金鑰保存庫和金鑰保存庫中的秘密清單,連同參數一起傳遞 |
|
從 KeyVault 建立具有 SSL 的 API 管理服務
|
此範本會部署使用使用者指派身分識別設定的 API 管理服務。 它會使用此身分識別從 KeyVault 擷取 SSL 憑證,並每隔 4 小時檢查一次來保持更新。 |
|
使用 Key Vault 建立應用程式閘道 V2
|
此範本會在虛擬網路中部署應用程式閘道 V2、使用者定義的身分識別、Key Vault、秘密(憑證數據),以及在 Key Vault 和應用程式閘道上存取原則。 |
|
建立 Azure Key Vault 和秘密
|
此範本會建立 Azure Key Vault 和秘密。 |
|
使用 RBAC 建立 Azure Key Vault 和秘密
|
此範本會建立 Azure Key Vault 和秘密。 它不依賴存取原則,而是利用 Azure RBAC 來管理秘密的授權 |
|
建立儲存在 Azure Key Vault 中的 Azure 地圖服務 SAS 令牌
|
此範本會部署和 Azure 地圖服務帳戶,並根據所提供的使用者指派身分識別來列出 Sas 令牌,以儲存在 Azure Key Vault 秘密中。 |
|
建立 ssh-keys 並儲存在 KeyVault
|
此範本會使用 deploymentScript 資源來產生 ssh 金鑰,並將私鑰儲存在 keyVault 中。 |
|
建立 Azure Stack HCI 23H2 叢集
|
此範本會使用 ARM 範本建立 Azure Stack HCI 23H2 叢集,並使用自定義記憶體 IP |
|
建立 Azure Stack HCI 23H2 叢集
|
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
|
會在無交換器-雙鏈接網路模式中建立 Azure Stack HCI 23H2 叢集
|
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
|
會在 Switchless-SingleLink 網路模式中建立 Azure Stack HCI 23H2 叢集
|
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
|
FinOps 中樞
|
此範本會建立新的 FinOps 中樞實例,包括 Data Lake 記憶體和 Data Factory。 |
| 適用於 Azure 防火牆進階
|
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選 |
|
將 Azure Stack HCI 22H2 叢集升級至 23H2 叢集
|
此範本會使用 ARM 範本,將 Azure Stack HCI 22H2 叢集升級至 23H2 叢集。 |
Terraform (AzAPI 提供者) 資源定義
儲存庫/秘密資源類型可以使用目標作業來部署:
- 資源群組
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/vaults/secrets 資源,請將下列 Terraform 新增至範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/secrets@2019-09-01"
name = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
attributes = {
enabled = bool
exp = int
nbf = int
}
contentType = "string"
value = "string"
}
})
}
屬性值
Microsoft.KeyVault/vaults/secrets
| 名字 | 描述 | 價值 |
|---|---|---|
| 名字 | 資源名稱 | 字串 約束: 模式 = ^[a-zA-Z0-9-]{1,127}$ (必要) |
| parent_id | 此資源為父系之資源的標識碼。 | 類型的資源標識碼:保存庫 |
| 性能 | 秘密的屬性 | SecretProperties (必要) |
| 標籤 | 資源標籤 | 標記名稱和值的字典。 |
| 類型 | 資源類型 | “Microsoft.KeyVault/vaults/secrets@2019-09-01” |
SecretAttributes
| 名字 | 描述 | 價值 |
|---|---|---|
| 啟用 | 判斷物件是否已啟用。 | bool |
| exp | 自 1970-01-01T00:00:00Z 起的秒數到期日期。 | int |
| nbf | 不是自 1970-01-01T00:00:00Z 起的秒數。 | int |
SecretCreateOrUpdateParametersTags
| 名字 | 描述 | 價值 |
|---|
SecretProperties
| 名字 | 描述 | 價值 |
|---|---|---|
| 屬性 | 秘密的屬性。 | SecretAttributes |
| contentType | 秘密的內容類型。 | 字串 |
| 價值 | 秘密的值。 注意: 'value' 永遠不會從服務傳回,因為使用此模型的 API 是供 ARM 部署內部使用。 用戶應該使用數據平面 REST 服務來與保存庫秘密互動。 | 字串 |