Microsoft.KeyVault 保存庫 2021-11-01-preview
言論
如需針對安全值使用密鑰保存庫的指引,請參閱 使用 Bicep管理秘密。
如需建立秘密的快速入門,請參閱 快速入門:使用ARM樣本從 Azure Key Vault 設定和擷取秘密。
如需建立金鑰的快速入門,請參閱 快速入門:使用 ARM 範本建立 Azure 金鑰保存庫和金鑰。
Bicep 資源定義
儲存庫資源類型可以使用目標作業來部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 Bicep 新增至範本。
resource symbolicname 'Microsoft.KeyVault/vaults@2021-11-01-preview' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'string'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
屬性值
AccessPolicyEntry
名字 | 描述 | 價值 |
---|---|---|
applicationId | 代表主體提出要求的用戶端應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件標識碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別對於金鑰、秘密和憑證的許可權。 | 權限 (必要) |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必要) |
IPRule
名字 | 描述 | 價值 |
---|---|---|
價值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78 的所有位址)。 | 字串 (必要) |
Microsoft.KeyVault/vaults
名字 | 描述 | 價值 |
---|---|---|
位置 | 應該在其中建立金鑰保存庫的支援 Azure 位置。 | 字串 (必要) |
名字 | 資源名稱 | 字串 約束: 模式 = ^[a-zA-Z0-9-]{3,24}$ (必要) |
性能 | 保存庫的屬性 | VaultProperties (必要) |
標籤 | 資源標籤 | 標記名稱和值的字典。 請參閱範本中的 標籤 |
NetworkRuleSet
名字 | 描述 | 價值 |
---|---|---|
旁路 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | 'AzureServices' 'None' |
defaultAction | 沒有來自ipRules和 virtualNetworkRules 相符的規則時的默認動作。 只有在評估略過屬性之後,才會使用此屬性。 | 'Allow' 'Deny' |
ipRules | IP 位址規則的清單。 | IPRule[] |
virtualNetworkRules | 虛擬網路規則的清單。 | VirtualNetworkRule[] |
權限
名字 | 描述 | 價值 |
---|---|---|
證書 | 憑證的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
鑰匙 | 金鑰的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
秘密 | 秘密的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
存儲 | 記憶體帳戶的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
Sku
名字 | 描述 | 價值 |
---|---|---|
家庭 | SKU 系列名稱 | 'A' (必要) |
名字 | 指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | 'premium' 'standard' (必要) |
VaultCreateOrUpdateParametersTags
名字 | 描述 | 價值 |
---|
VaultProperties
名字 | 描述 | 價值 |
---|---|---|
accessPolicies | 具有金鑰保存庫存取權的 0 到 1024 身分識別陣列。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 createMode 設定為 recover 時,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出是否需要復原保存庫。 | 'default' 'recover' |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從密鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否啟用此保存庫的清除保護。 將此屬性設定為 true 會啟用保護以防止清除此保存庫及其內容 - 只有 Key Vault 服務可能會起始難以復原的刪除。 只有在同時啟用虛刪除時,此設定才有效。 啟用這項功能是無法復原的 - 也就是說,屬性不接受 false 作為其值。 | bool |
enableRbacAuthorization | 控制數據動作授權方式的屬性。 若為 true,金鑰保存庫會使用角色型存取控制 (RBAC) 進行資料動作的授權,而且會忽略保存庫屬性中指定的存取原則(警告:這是預覽功能)。 若為 false,金鑰保存庫將會使用保存庫屬性中指定的存取原則,而且會忽略儲存在 Azure Resource Manager 上的任何原則。 如果為 null 或未指定,則會使用預設值 false 建立保存庫。 請注意,管理動作一律已獲得 RBAC 的授權。 | bool |
enableSoftDelete | 屬性,指定此金鑰保存庫是否啟用「虛刪除」功能。 如果在建立新的密鑰保存庫時未將它設定為任何值(true 或 false),則預設會設定為 true。 設定為 true 之後,就無法將它還原為 false。 | bool |
networkAcls | 管理來自特定網路位置之金鑰保存庫存取範圍的規則。 | NetworkRuleSet |
provisioningState | 保存庫的布建狀態。 | 'RegisteringDns' 'Succeeded' |
publicNetworkAccess | 屬性,指定保存庫是否會接受來自公用因特網的流量。 如果設定為 「已停用」,則私人端點流量以外的所有流量,且源自信任服務的所有流量都會遭到封鎖。 這會覆寫設定的防火牆規則,這表示即使防火牆規則存在,我們也不會遵守規則。 | 字串 |
sku | SKU 詳細數據 | Sku (必要) |
softDeleteRetentionInDays | softDelete 數據保留天數。 它會接受 >=7,<=90。 | int |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必要) |
vaultUri | 保存庫的 URI,用於在金鑰和秘密上執行作業。 | 字串 |
VirtualNetworkRule
名字 | 描述 | 價值 |
---|---|---|
id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 字串 (必要) |
ignoreMissingVnetServiceEndpoint | 屬性,指定 NRP 是否會忽略父子網是否已設定 serviceEndpoints 檢查。 | bool |
快速入門範例
下列快速入門範例會部署此資源類型。
Bicep 檔案 | 描述 |
---|---|
具有 NAT 閘道和應用程式閘道的 AKS 叢集 | 此範例示範如何使用 NAT 閘道部署 AKS 叢集以進行輸出連線,以及用於輸入連線的應用程式閘道。 |
使用應用程式閘道輸入控制器 AKS 叢集 | 此範例示範如何使用應用程式閘道、應用程式閘道輸入控制器、Azure Container Registry、Log Analytics 和 Key Vault 部署 AKS 叢集 |
使用內部 API 管理和 Web 應用程式 |
應用程式閘道會將因特網流量路由傳送至虛擬網路(內部模式)API 管理實例,此實例會服務裝載於 Azure Web 應用程式中的 Web API。 |
Azure AI Studio 基本設定 | 這組範本示範如何使用基本設定來設定 Azure AI Studio,這表示已啟用公用因特網存取、Microsoft受控密鑰進行加密,以及 AI 資源的Microsoft受控識別設定。 |
Azure AI Studio 基本設定 | 這組範本示範如何使用基本設定來設定 Azure AI Studio,這表示已啟用公用因特網存取、Microsoft受控密鑰進行加密,以及 AI 資源的Microsoft受控識別設定。 |
Azure AI Studio 基本設定 | 這組範本示範如何使用基本設定來設定 Azure AI Studio,這表示已啟用公用因特網存取、Microsoft受控密鑰進行加密,以及 AI 資源的Microsoft受控識別設定。 |
Azure AI Studio 網路限制 | 這組範本示範如何使用Microsoft受控密鑰來加密和 AI 資源的 Microsoft 受控識別組態,來設定已停用私人鏈接和輸出的 Azure AI Studio。 |
Azure AI Studio 網路限制 | 這組範本示範如何使用Microsoft受控密鑰來加密和 AI 資源的 Microsoft 受控識別組態,來設定已停用私人鏈接和輸出的 Azure AI Studio。 |
使用 Microsoft Entra ID Authentication Azure AI Studio | 這組範本示範如何使用相依資源的 Microsoft Entra ID 驗證來設定 Azure AI Studio,例如 Azure AI 服務和 Azure 記憶體。 |
Azure 函式應用程式和 HTTP 觸發的函式 | 此範例會在範本中內嵌部署 Azure 函式應用程式和 HTTP 觸發的函式。 它也會部署 Key Vault,並使用函式應用程式的主機密鑰填入秘密。 |
Azure Machine Learning 端對端安全設定 | 這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和附加的私人 AKS 叢集。 |
Azure Machine Learning 端對端安全設定 (舊版) | 這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和附加的私人 AKS 叢集。 |
使用客戶管理的金鑰 Azure 記憶體帳戶加密 | 此範本會部署具有客戶自控密鑰的記憶體帳戶,以用於產生並放置在 Key Vault 內的加密。 |
建立 Key Vault 和秘密清單 | 此範本會建立金鑰保存庫和金鑰保存庫中的秘密清單,連同參數一起傳遞 |
建立具有私人IP位址的 AKS 計算目標 | 此範本會在具有私人IP位址的指定 Azure Machine Learning 服務工作區中建立 AKS 計算目標。 |
從 KeyVault 建立具有 SSL 的 API 管理服務 | 此範本會部署使用使用者指派身分識別設定的 API 管理服務。 它會使用此身分識別從 KeyVault 擷取 SSL 憑證,並每隔 4 小時檢查一次來保持更新。 |
建立 Azure Key Vault 和秘密 | 此範本會建立 Azure Key Vault 和秘密。 |
使用 RBAC 建立 Azure Key Vault 和秘密 | 此範本會建立 Azure Key Vault 和秘密。 它不依賴存取原則,而是利用 Azure RBAC 來管理秘密的授權 |
建立 Azure Machine Learning 服務工作區 | 此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態描述開始使用 Azure Machine Learning 所需的最少資源集。 |
建立 Azure Machine Learning 服務工作區 (CMK) | 此部署範本會指定如何使用加密密鑰,建立具有服務端加密的 Azure Machine Learning 工作區。 |
建立 Azure Machine Learning 服務工作區 (CMK) | 此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此範例示範如何使用客戶管理的加密密鑰來設定 Azure Machine Learning 進行加密。 |
建立 Azure Machine Learning 服務工作區 (舊版) | 此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態說明在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
建立 Azure Machine Learning 服務工作區 (vnet) | 此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態說明在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
使用憑證建立應用程式閘道 | 此範本示範如何產生 Key Vault 自我簽署憑證,然後從應用程式閘道參考。 |
建立已啟用記錄功能的 Key Vault | 此範本會建立用於記錄的 Azure Key Vault 和 Azure 記憶體帳戶。 它選擇性地建立資源鎖定來保護您的 Key Vault 和記憶體資源。 |
建立金鑰保存庫、受控識別和角色指派 | 此範本會建立金鑰保存庫、受控識別和角色指派。 |
建立跨租使用者私人端點資源 | 此範本可讓您在相同或跨租用戶環境中建立Priavate端點資源,並新增 DNS 區域設定。 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式 | 使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式。 |
使用受控虛擬網路部署安全的 Azure AI Studio | 此範本會建立安全的 Azure AI Studio 環境,並具有健全的網路和身分識別安全性限制。 |
在 Azure 架構上部署體育分析 | 建立已啟用 ADLS Gen 2 的 Azure 記憶體帳戶、具有記憶體帳戶連結服務的 Azure Data Factory 實例(如果已部署的 Azure SQL Database),以及 Azure Databricks 實例。 部署範本和 ADF 實例受控識別的使用者 AAD 身分識別,將會在記憶體帳戶上授與記憶體 Blob 數據參與者角色。 還有一個選項可用來部署 Azure Key Vault 實例、Azure SQL Database 和 Azure 事件中樞(適用於串流使用案例)。 部署 Azure Key Vault 時,部署範本之使用者的 Data Factory 受控識別和 AAD 身分識別將會獲得 Key Vault 秘密使用者角色。 |
FinOps 中樞 | 此範本會建立新的 FinOps 中樞實例,包括 Data Lake 記憶體和 Data Factory。 |
適用於 Azure 防火牆進階 |
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選 |
ARM 樣本資源定義
儲存庫資源類型可以使用目標作業來部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 JSON 新增至範本。
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2021-11-01-preview",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "string",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
屬性值
AccessPolicyEntry
名字 | 描述 | 價值 |
---|---|---|
applicationId | 代表主體提出要求的用戶端應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件標識碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別對於金鑰、秘密和憑證的許可權。 | 權限 (必要) |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必要) |
IPRule
名字 | 描述 | 價值 |
---|---|---|
價值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78 的所有位址)。 | 字串 (必要) |
Microsoft.KeyVault/vaults
名字 | 描述 | 價值 |
---|---|---|
apiVersion | API 版本 | '2021-11-01-preview' |
位置 | 應該在其中建立金鑰保存庫的支援 Azure 位置。 | 字串 (必要) |
名字 | 資源名稱 | 字串 約束: 模式 = ^[a-zA-Z0-9-]{3,24}$ (必要) |
性能 | 保存庫的屬性 | VaultProperties (必要) |
標籤 | 資源標籤 | 標記名稱和值的字典。 請參閱範本中的 標籤 |
類型 | 資源類型 | 'Microsoft.KeyVault/vaults' |
NetworkRuleSet
名字 | 描述 | 價值 |
---|---|---|
旁路 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | 'AzureServices' 'None' |
defaultAction | 沒有來自ipRules和 virtualNetworkRules 相符的規則時的默認動作。 只有在評估略過屬性之後,才會使用此屬性。 | 'Allow' 'Deny' |
ipRules | IP 位址規則的清單。 | IPRule[] |
virtualNetworkRules | 虛擬網路規則的清單。 | VirtualNetworkRule[] |
權限
名字 | 描述 | 價值 |
---|---|---|
證書 | 憑證的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
鑰匙 | 金鑰的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
秘密 | 秘密的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
存儲 | 記憶體帳戶的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
Sku
名字 | 描述 | 價值 |
---|---|---|
家庭 | SKU 系列名稱 | 'A' (必要) |
名字 | 指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | 'premium' 'standard' (必要) |
VaultCreateOrUpdateParametersTags
名字 | 描述 | 價值 |
---|
VaultProperties
名字 | 描述 | 價值 |
---|---|---|
accessPolicies | 具有金鑰保存庫存取權的 0 到 1024 身分識別陣列。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 createMode 設定為 recover 時,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出是否需要復原保存庫。 | 'default' 'recover' |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從密鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否啟用此保存庫的清除保護。 將此屬性設定為 true 會啟用保護以防止清除此保存庫及其內容 - 只有 Key Vault 服務可能會起始難以復原的刪除。 只有在同時啟用虛刪除時,此設定才有效。 啟用這項功能是無法復原的 - 也就是說,屬性不接受 false 作為其值。 | bool |
enableRbacAuthorization | 控制數據動作授權方式的屬性。 若為 true,金鑰保存庫會使用角色型存取控制 (RBAC) 進行資料動作的授權,而且會忽略保存庫屬性中指定的存取原則(警告:這是預覽功能)。 若為 false,金鑰保存庫將會使用保存庫屬性中指定的存取原則,而且會忽略儲存在 Azure Resource Manager 上的任何原則。 如果為 null 或未指定,則會使用預設值 false 建立保存庫。 請注意,管理動作一律已獲得 RBAC 的授權。 | bool |
enableSoftDelete | 屬性,指定此金鑰保存庫是否啟用「虛刪除」功能。 如果在建立新的密鑰保存庫時未將它設定為任何值(true 或 false),則預設會設定為 true。 設定為 true 之後,就無法將它還原為 false。 | bool |
networkAcls | 管理來自特定網路位置之金鑰保存庫存取範圍的規則。 | NetworkRuleSet |
provisioningState | 保存庫的布建狀態。 | 'RegisteringDns' 'Succeeded' |
publicNetworkAccess | 屬性,指定保存庫是否會接受來自公用因特網的流量。 如果設定為 「已停用」,則私人端點流量以外的所有流量,且源自信任服務的所有流量都會遭到封鎖。 這會覆寫設定的防火牆規則,這表示即使防火牆規則存在,我們也不會遵守規則。 | 字串 |
sku | SKU 詳細數據 | Sku (必要) |
softDeleteRetentionInDays | softDelete 數據保留天數。 它會接受 >=7,<=90。 | int |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必要) |
vaultUri | 保存庫的 URI,用於在金鑰和秘密上執行作業。 | 字串 |
VirtualNetworkRule
名字 | 描述 | 價值 |
---|---|---|
id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 字串 (必要) |
ignoreMissingVnetServiceEndpoint | 屬性,指定 NRP 是否會忽略父子網是否已設定 serviceEndpoints 檢查。 | bool |
快速入門範本
下列快速入門範本會部署此資源類型。
範本 | 描述 |
---|---|
具有 NAT 閘道和應用程式閘道的 AKS 叢集 |
此範例示範如何使用 NAT 閘道部署 AKS 叢集以進行輸出連線,以及用於輸入連線的應用程式閘道。 |
使用應用程式閘道輸入控制器 AKS 叢集 |
此範例示範如何使用應用程式閘道、應用程式閘道輸入控制器、Azure Container Registry、Log Analytics 和 Key Vault 部署 AKS 叢集 |
使用 Azure SQL 後端 |
此範本會建立具有 Azure SQL 後端的 App Service 環境,以及私人端點,以及通常用於私人/隔離環境中的相關聯資源。 |
使用內部 API 管理和 Web 應用程式 |
應用程式閘道會將因特網流量路由傳送至虛擬網路(內部模式)API 管理實例,此實例會服務裝載於 Azure Web 應用程式中的 Web API。 |
Azure AI Studio 基本設定 |
這組範本示範如何使用基本設定來設定 Azure AI Studio,這表示已啟用公用因特網存取、Microsoft受控密鑰進行加密,以及 AI 資源的Microsoft受控識別設定。 |
Azure AI Studio 基本設定 |
這組範本示範如何使用基本設定來設定 Azure AI Studio,這表示已啟用公用因特網存取、Microsoft受控密鑰進行加密,以及 AI 資源的Microsoft受控識別設定。 |
Azure AI Studio 基本設定 |
這組範本示範如何使用基本設定來設定 Azure AI Studio,這表示已啟用公用因特網存取、Microsoft受控密鑰進行加密,以及 AI 資源的Microsoft受控識別設定。 |
Azure AI Studio 網路限制 |
這組範本示範如何使用Microsoft受控密鑰來加密和 AI 資源的 Microsoft 受控識別組態,來設定已停用私人鏈接和輸出的 Azure AI Studio。 |
Azure AI Studio 網路限制 |
這組範本示範如何使用Microsoft受控密鑰來加密和 AI 資源的 Microsoft 受控識別組態,來設定已停用私人鏈接和輸出的 Azure AI Studio。 |
使用 Microsoft Entra ID Authentication Azure AI Studio |
這組範本示範如何使用相依資源的 Microsoft Entra ID 驗證來設定 Azure AI Studio,例如 Azure AI 服務和 Azure 記憶體。 |
Azure 函式應用程式和 HTTP 觸發的函式 |
此範例會在範本中內嵌部署 Azure 函式應用程式和 HTTP 觸發的函式。 它也會部署 Key Vault,並使用函式應用程式的主機密鑰填入秘密。 |
Azure Machine Learning 端對端安全設定 |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和附加的私人 AKS 叢集。 |
Azure Machine Learning 端對端安全設定 (舊版) |
這組 Bicep 範本示範如何在安全設定中設定 Azure Machine Learning 端對端。 此參考實作包括工作區、計算叢集、計算實例和附加的私人 AKS 叢集。 |
Azure Machine Learning 工作區 |
此範本會建立新的 Azure Machine Learning 工作區,以及加密的記憶體帳戶、KeyVault 和 Applications Insights 記錄 |
使用客戶管理的金鑰 Azure 記憶體帳戶加密 |
此範本會部署具有客戶自控密鑰的記憶體帳戶,以用於產生並放置在 Key Vault 內的加密。 |
透過私人端點連線到 Key Vault |
此範例示範如何使用設定虛擬網路和私人 DNS 區域,透過私人端點存取 Key Vault。 |
建立 Key Vault 和秘密清單 |
此範本會建立金鑰保存庫和金鑰保存庫中的秘密清單,連同參數一起傳遞 |
建立 KeyVault |
本課程模組會使用 apiVersion 2019-09-01 建立 KeyVault 資源。 |
從資源庫映射建立新的加密 Windows vm |
此範本會使用伺服器 2k12 資源庫映像來建立新的加密 Windows VM。 |
使用公用 DNS 區域建立私人 AKS 叢集 |
此範例示範如何使用公用 DNS 區域部署私人 AKS 叢集。 |
使用多個數據集建立 AML 工作區 & 資料存放區 |
此範本會建立具有多個數據集的 Azure Machine Learning 工作區,& 數據存放區。 |
建立具有私人IP位址的 AKS 計算目標 |
此範本會在具有私人IP位址的指定 Azure Machine Learning 服務工作區中建立 AKS 計算目標。 |
從 KeyVault 建立具有 SSL 的 API 管理服務 |
此範本會部署使用使用者指派身分識別設定的 API 管理服務。 它會使用此身分識別從 KeyVault 擷取 SSL 憑證,並每隔 4 小時檢查一次來保持更新。 |
使用 Key Vault 建立應用程式閘道 V2 |
此範本會在虛擬網路中部署應用程式閘道 V2、使用者定義的身分識別、Key Vault、秘密(憑證數據),以及在 Key Vault 和應用程式閘道上存取原則。 |
建立 Azure Key Vault 和秘密 |
此範本會建立 Azure Key Vault 和秘密。 |
使用 RBAC 建立 Azure Key Vault 和秘密 |
此範本會建立 Azure Key Vault 和秘密。 它不依賴存取原則,而是利用 Azure RBAC 來管理秘密的授權 |
建立 Azure Machine Learning 服務工作區 |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態描述開始使用 Azure Machine Learning 所需的最少資源集。 |
建立 Azure Machine Learning 服務工作區 (CMK) |
此部署範本會指定如何使用加密密鑰,建立具有服務端加密的 Azure Machine Learning 工作區。 |
建立 Azure Machine Learning 服務工作區 (CMK) |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此範例示範如何使用客戶管理的加密密鑰來設定 Azure Machine Learning 進行加密。 |
建立 Azure Machine Learning 服務工作區 (舊版) |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態說明在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
建立 Azure Machine Learning 服務工作區 (vnet) |
此部署範本會指定 Azure Machine Learning 工作區及其相關聯的資源,包括 Azure Key Vault、Azure 儲存體、Azure Application Insights 和 Azure Container Registry。 此組態說明在網路隔離設定中開始使用 Azure Machine Learning 所需的資源集。 |
使用 jumpbox 建立和加密新的 Windows VMSS |
此範本可讓您使用最新修補版本的伺服器 Windows 版本來部署簡單的 Windows VM 擴展集。 此範本也會在相同的虛擬網路中部署具有公用IP位址的 Jumpbox。 您可以透過此公用IP位址連線到 jumpbox,然後透過私人IP位址從該處連線到擴展集中的 VM。此範本會在 WINDOWS VM 的 VM 擴展集上啟用加密。 |
使用憑證建立應用程式閘道 |
此範本示範如何產生 Key Vault 自我簽署憑證,然後從應用程式閘道參考。 |
建立已啟用記錄功能的 Key Vault |
此範本會建立用於記錄的 Azure Key Vault 和 Azure 記憶體帳戶。 它選擇性地建立資源鎖定來保護您的 Key Vault 和記憶體資源。 |
建立金鑰保存庫、受控識別和角色指派 |
此範本會建立金鑰保存庫、受控識別和角色指派。 |
從資源庫映射建立新的加密受控磁碟 win-vm |
此範本會使用伺服器 2k12 資源庫映像來建立新的加密受控磁碟 Windows VM。 |
建立跨租使用者私人端點資源 |
此範本可讓您在相同或跨租用戶環境中建立Priavate端點資源,並新增 DNS 區域設定。 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式 |
使用 Container Apps 建立 Dapr pub-sub servicebus 應用程式。 |
建立 Azure Stack HCI 23H2 叢集 |
此範本會使用 ARM 範本建立 Azure Stack HCI 23H2 叢集,並使用自定義記憶體 IP |
建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
會在無交換器-雙鏈接網路模式中建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
會在 Switchless-SingleLink 網路模式中建立 Azure Stack HCI 23H2 叢集 |
此範本會使用ARM樣本建立 Azure Stack HCI 23H2 叢集。 |
使用受控虛擬網路部署安全的 Azure AI Studio |
此範本會建立安全的 Azure AI Studio 環境,並具有健全的網路和身分識別安全性限制。 |
在 Azure 架構上部署體育分析 |
建立已啟用 ADLS Gen 2 的 Azure 記憶體帳戶、具有記憶體帳戶連結服務的 Azure Data Factory 實例(如果已部署的 Azure SQL Database),以及 Azure Databricks 實例。 部署範本和 ADF 實例受控識別的使用者 AAD 身分識別,將會在記憶體帳戶上授與記憶體 Blob 數據參與者角色。 還有一個選項可用來部署 Azure Key Vault 實例、Azure SQL Database 和 Azure 事件中樞(適用於串流使用案例)。 部署 Azure Key Vault 時,部署範本之使用者的 Data Factory 受控識別和 AAD 身分識別將會獲得 Key Vault 秘密使用者角色。 |
在執行中的 Windows VM 上啟用加密 |
此範本可在執行中的 Windows VM 上啟用加密。 |
FinOps 中樞 |
此範本會建立新的 FinOps 中樞實例,包括 Data Lake 記憶體和 Data Factory。 |
適用於 Azure 防火牆進階 |
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選 |
此範本會加密執行中的 Windows VMSS |
此範本可在執行中的 Windows VM 擴展集上啟用加密 |
將 Azure Stack HCI 22H2 叢集升級至 23H2 叢集 |
此範本會使用 ARM 範本,將 Azure Stack HCI 22H2 叢集升級至 23H2 叢集。 |
Terraform (AzAPI 提供者) 資源定義
儲存庫資源類型可以使用目標作業來部署:
- 資源群組
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.KeyVault/vaults 資源,請將下列 Terraform 新增至範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2021-11-01-preview"
name = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "string"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
屬性值
AccessPolicyEntry
名字 | 描述 | 價值 |
---|---|---|
applicationId | 代表主體提出要求的用戶端應用程式標識碼 | 字串 約束: 最小長度 = 36 最大長度 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | 保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。 存取原則清單的物件標識碼必須是唯一的。 | 字串 (必要) |
權限 | 身分識別對於金鑰、秘密和憑證的許可權。 | 權限 (必要) |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必要) |
IPRule
名字 | 描述 | 價值 |
---|---|---|
價值 | CIDR 表示法中的 IPv4 位址範圍,例如 '124.56.78.91' (簡單 IP 位址) 或 '124.56.78.0/24' (開頭為 124.56.78 的所有位址)。 | 字串 (必要) |
Microsoft.KeyVault/vaults
名字 | 描述 | 價值 |
---|---|---|
位置 | 應該在其中建立金鑰保存庫的支援 Azure 位置。 | 字串 (必要) |
名字 | 資源名稱 | 字串 約束: 模式 = ^[a-zA-Z0-9-]{3,24}$ (必要) |
性能 | 保存庫的屬性 | VaultProperties (必要) |
標籤 | 資源標籤 | 標記名稱和值的字典。 |
類型 | 資源類型 | “Microsoft.KeyVault/vaults@2021-11-01-preview” |
NetworkRuleSet
名字 | 描述 | 價值 |
---|---|---|
旁路 | 告知哪些流量可以略過網路規則。 這可以是 'AzureServices' 或 'None'。 如果未指定,則預設值為 『AzureServices』。 | 'AzureServices' 'None' |
defaultAction | 沒有來自ipRules和 virtualNetworkRules 相符的規則時的默認動作。 只有在評估略過屬性之後,才會使用此屬性。 | 'Allow' 'Deny' |
ipRules | IP 位址規則的清單。 | IPRule[] |
virtualNetworkRules | 虛擬網路規則的清單。 | VirtualNetworkRule[] |
權限
名字 | 描述 | 價值 |
---|---|---|
證書 | 憑證的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
鑰匙 | 金鑰的許可權 | 包含任何的字串數組: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
秘密 | 秘密的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
存儲 | 記憶體帳戶的許可權 | 包含任何的字串數組: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
Sku
名字 | 描述 | 價值 |
---|---|---|
家庭 | SKU 系列名稱 | 'A' (必要) |
名字 | 指定金鑰保存庫是標準保存庫還是進階保存庫的 SKU 名稱。 | 'premium' 'standard' (必要) |
VaultCreateOrUpdateParametersTags
名字 | 描述 | 價值 |
---|
VaultProperties
名字 | 描述 | 價值 |
---|---|---|
accessPolicies | 具有金鑰保存庫存取權的 0 到 1024 身分識別陣列。 陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。 當 createMode 設定為 recover 時,不需要存取原則。 否則,需要存取原則。 |
AccessPolicyEntry[] |
createMode | 保存庫的建立模式,指出是否需要復原保存庫。 | 'default' 'recover' |
enabledForDeployment | 屬性,指定是否允許 Azure 虛擬機從金鑰保存庫擷取儲存為秘密的憑證。 | bool |
enabledForDiskEncryption | 屬性,指定是否允許 Azure 磁碟加密從保存庫擷取秘密和解除包裝密鑰。 | bool |
enabledForTemplateDeployment | 屬性,指定是否允許 Azure Resource Manager 從密鑰保存庫擷取秘密。 | bool |
enablePurgeProtection | 屬性,指定是否啟用此保存庫的清除保護。 將此屬性設定為 true 會啟用保護以防止清除此保存庫及其內容 - 只有 Key Vault 服務可能會起始難以復原的刪除。 只有在同時啟用虛刪除時,此設定才有效。 啟用這項功能是無法復原的 - 也就是說,屬性不接受 false 作為其值。 | bool |
enableRbacAuthorization | 控制數據動作授權方式的屬性。 若為 true,金鑰保存庫會使用角色型存取控制 (RBAC) 進行資料動作的授權,而且會忽略保存庫屬性中指定的存取原則(警告:這是預覽功能)。 若為 false,金鑰保存庫將會使用保存庫屬性中指定的存取原則,而且會忽略儲存在 Azure Resource Manager 上的任何原則。 如果為 null 或未指定,則會使用預設值 false 建立保存庫。 請注意,管理動作一律已獲得 RBAC 的授權。 | bool |
enableSoftDelete | 屬性,指定此金鑰保存庫是否啟用「虛刪除」功能。 如果在建立新的密鑰保存庫時未將它設定為任何值(true 或 false),則預設會設定為 true。 設定為 true 之後,就無法將它還原為 false。 | bool |
networkAcls | 管理來自特定網路位置之金鑰保存庫存取範圍的規則。 | NetworkRuleSet |
provisioningState | 保存庫的布建狀態。 | 'RegisteringDns' 'Succeeded' |
publicNetworkAccess | 屬性,指定保存庫是否會接受來自公用因特網的流量。 如果設定為 「已停用」,則私人端點流量以外的所有流量,且源自信任服務的所有流量都會遭到封鎖。 這會覆寫設定的防火牆規則,這表示即使防火牆規則存在,我們也不會遵守規則。 | 字串 |
sku | SKU 詳細數據 | Sku (必要) |
softDeleteRetentionInDays | softDelete 數據保留天數。 它會接受 >=7,<=90。 | int |
tenantId | 應該用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。 | 字串 約束: 最小長度 = 36 最大長度 = 36 模式 = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必要) |
vaultUri | 保存庫的 URI,用於在金鑰和秘密上執行作業。 | 字串 |
VirtualNetworkRule
名字 | 描述 | 價值 |
---|---|---|
id | vnet 子網的完整資源標識符,例如 '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'。 | 字串 (必要) |
ignoreMissingVnetServiceEndpoint | 屬性,指定 NRP 是否會忽略父子網是否已設定 serviceEndpoints 檢查。 | bool |