Trezory Microsoft.KeyVault 2021-04-01-preview

Definice prostředku Bicep

Typ prostředku trezorů je možné nasadit s operacemi, které cílí:

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Poznámky

Pokyny k používání trezorů klíčů pro zabezpečené hodnoty najdete v tématu Správa tajných kódů pomocíBicep .

Rychlý start k vytvoření tajného kódu najdete v tématu Rychlý start: Nastavení a načtení tajného kódu ze služby Azure Key Vault pomocí šablony ARM.

Rychlý start k vytvoření klíče najdete v tématu Rychlý start: Vytvoření trezoru klíčů Azure a klíče pomocí šablony ARM.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující bicep.

resource symbolicname 'Microsoft.KeyVault/vaults@2021-04-01-preview' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    accessPolicies: [
      {
        applicationId: 'string'
        objectId: 'string'
        permissions: {
          certificates: [
            'string'
          ]
          keys: [
            'string'
          ]
          secrets: [
            'string'
          ]
          storage: [
            'string'
          ]
        }
        tenantId: 'string'
      }
    ]
    createMode: 'string'
    enabledForDeployment: bool
    enabledForDiskEncryption: bool
    enabledForTemplateDeployment: bool
    enablePurgeProtection: bool
    enableRbacAuthorization: bool
    enableSoftDelete: bool
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
          ignoreMissingVnetServiceEndpoint: bool
        }
      ]
    }
    provisioningState: 'string'
    sku: {
      family: 'A'
      name: 'string'
    }
    softDeleteRetentionInDays: int
    tenantId: 'string'
    vaultUri: 'string'
  }
}

Hodnoty vlastností

trezory

Jméno Popis Hodnota
Jméno Název prostředku string (povinné)

Limit znaků: 3–24

Platné znaky:
Alfanumerické znaky a spojovníky

Začněte písmenem. Končí písmenem nebo číslicí. Nemůže obsahovat po sobě jdoucí pomlčky.

Název prostředku musí být v Rámci Azure jedinečný.
umístění Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. string (povinné)
visačky Značky, které budou přiřazeny k trezoru klíčů. Slovník názvů a hodnot značek Viz Značky v šablonách
vlastnosti Vlastnosti trezoru VaultProperties (povinné)

VaultProperties

Jméno Popis Hodnota
accessPolicies Pole 0 až 1024 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. Pokud je createMode nastavená na recover, zásady přístupu se nevyžadují. V opačném případě se vyžadují zásady přístupu. AccessPolicyEntry[]
createMode Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. Výchozí
"obnovit"
enabledForDeployment Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. Bool
enabledForDiskEncryption Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. Bool
enabledForTemplateDeployment Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. Bool
enablePurgeProtection Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. Bool
enableRbacAuthorization Vlastnost, která určuje, jak jsou akce dat autorizované. Pokud je hodnota true, trezor klíčů použije řízení přístupu na základě role (RBAC) k autorizaci akcí dat a zásady přístupu zadané ve vlastnostech trezoru budou ignorovány. Pokud je hodnota false, trezor klíčů použije zásady přístupu zadané ve vlastnostech trezoru a všechny zásady uložené v Azure Resource Manageru se budou ignorovat. Pokud není zadána hodnota null nebo není zadána, trezor se vytvoří s výchozí hodnotou false. Mějte na paměti, že akce správy jsou vždy autorizované pomocí RBAC. Bool
enableSoftDelete Vlastnost určující, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Pokud při vytváření nového trezoru klíčů není nastavená na žádnou hodnotu (true nebo false), nastaví se ve výchozím nastavení na hodnotu True. Jakmile nastavíte hodnotu true, nedá se vrátit na hodnotu false. Bool
networkAcls Pravidla, která řídí přístupnost trezoru klíčů z konkrétních síťových umístění. NetworkRuleSet
provisioningState Stav zřizování trezoru RegisteringDns
Úspěch
sku Podrobnosti skladové položky skladové položky (povinné)
softDeleteRetentionInDays softDelete data retention days. Přijímá >=7 a <=90. Int
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. string (povinné)

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. řetězec

AccessPolicyEntry

Jméno Popis Hodnota
applicationId ID aplikace klienta provádějícího žádost jménem objektu zabezpečení řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. string (povinné)
dovolení Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty oprávnění (povinné)
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. string (povinné)

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Dovolení

Jméno Popis Hodnota
certifikáty Oprávnění k certifikátům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Vytvořit
Odstranit
Deleteissuers
"get"
Getissuers
Import
'list'
'listissuers'
'managecontacts'
Manageissuers
"Vyprázdnit"
"obnovit"
"restore"
"setissuers"
"update"
klíče Oprávnění ke klíčům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Vytvořit
Dešifrování
Odstranit
Šifrovat
"get"
Import
'list'
"Vyprázdnit"
"obnovit"
"release"
"restore"
"sign" (znaménko)
UnwrapKey
"update"
"verify" (ověřit)
WrapKey
tajemství Oprávnění k tajným kódům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Odstranit
"get"
'list'
"Vyprázdnit"
"obnovit"
"restore"
'set'
skladování Oprávnění k účtům úložiště Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Odstranit
Deletesas
"get"
"getsas"
'list'
"listsas"
"Vyprázdnit"
"obnovit"
Znovu vygenerovat klíč
"restore"
'set'
'setsas'
"update"

NetworkRuleSet

Jméno Popis Hodnota
obejít Udává, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud nezadáte výchozí hodnotu AzureServices. AzureServices
None (Žádný)
defaultAction Výchozí akce, pokud se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Tento parametr se použije až po vyhodnocení vlastnosti bypass. Povolit
"Odepřít"
IpRules Seznam pravidel IP adres. IPRule []
VirtualNetworkRules Seznam pravidel virtuální sítě VirtualNetworkRule[]

IpRule

Jméno Popis Hodnota
hodnota Rozsah adres IPv4 v zápisu CIDR, například 124.56.78.91 (jednoduchá IP adresa) nebo 124.56.78.0/24 (všechny adresy začínající 124.56.78). string (povinné)

VirtualNetworkRule

Jméno Popis Hodnota
id Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. string (povinné)
ignoreMissingVnetServiceEndpoint Vlastnost určující, jestli NRP bude ignorovat kontrolu, jestli má nadřazená podsíť nakonfigurované body serviceEndpoints. Bool

Sku

Jméno Popis Hodnota
Rodina Jméno rodiny skladové položky "A" (povinné)
Jméno Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. Premium
"standard" (povinné)

Šablony pro rychlý start

Následující šablony pro rychlý start nasazují tento typ prostředku.

Šablona Popis
clusterU AKS se službou NAT Gateway a služby Application Gateway

nasazení do Azure
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a službu Application Gateway pro příchozí připojení.
vytvoření privátního clusteru AKS s veřejnou zónou DNS

nasazení do Azure
Tato ukázka ukazuje, jak nasadit privátní cluster AKS s veřejnou zónou DNS.
nasazení analýzy sportů v architektuře Azure

nasazení do Azure
Vytvoří účet úložiště Azure s povoleným ADLS Gen2, instancí služby Azure Data Factory s propojenými službami pro účet úložiště (pokud je nasazená služba Azure SQL Database) a instancí Azure Databricks. Identita AAD pro uživatele, který nasazuje šablonu, a spravovanou identitu instance ADF se udělí roli Přispěvatel dat objektů blob služby Storage v účtu úložiště. K dispozici jsou také možnosti nasazení instance služby Azure Key Vault, Azure SQL Database a centra událostí Azure (pro případy použití streamování). Po nasazení služby Azure Key Vault se spravované identitě datové továrny a identitě AAD pro uživatele, který šablonu nasazuje, udělí roli uživatele tajných kódů služby Key Vault.
pracovního prostoru Azure Machine Learning

nasazení do Azure
Tato šablona vytvoří nový pracovní prostor služby Azure Machine Learning společně s šifrovaným účtem úložiště, službou KeyVault a protokolováním Application Insights.
vytvoření služby KeyVault

nasazení do Azure
Tento modul vytvoří prostředek KeyVault s apiVersion 2019-09-01.
vytvoření služby API Management s protokolem SSL ze služby KeyVault

nasazení do Azure
Tato šablona nasadí službu API Management nakonfigurovanou s identitou přiřazenou uživatelem. Tato identita používá k načtení certifikátu SSL ze služby KeyVault a udržuje ji aktualizovanou kontrolou každých 4 hodin.
vytvoří aplikaci Dapr pub-sub servicebus pomocí služby Container Apps

nasazení do Azure
Vytvořte aplikaci Dapr pub-sub servicebus pomocí Container Apps.
vytvoří cluster Azure Stack HCI 23H2

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM.
vytvoří cluster Azure Stack HCI 23H2

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM pomocí vlastní IP adresy úložiště.
vytvoří cluster Azure Stack HCI 23H2 v bezpínacím režimu sítě s duálním propojením

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM.
vytvoří cluster Azure Stack HCI 23H2 v Switchless-SingleLink síťovém režimu

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM.
Vytvoření nového šifrovaného virtuálního počítače s Windows z image galerie

nasazení do Azure
Tato šablona vytvoří nový šifrovaný virtuální počítač s Windows pomocí image galerie serveru 2k12.
Vytvoření nových šifrovaných spravovaných disků win-vm z image galerie

nasazení do Azure
Tato šablona vytvoří nový šifrovaný virtuální počítač se spravovanými disky s Windows pomocí image galerie serveru 2k12.
Tato šablona šifruje spuštěnou VMSS s Windows.

nasazení do Azure
Tato šablona umožňuje šifrování na spuštěné škálovací sadě virtuálních počítačů s Windows.
Povolení šifrování na spuštěném virtuálním počítači s Windows

nasazení do Azure
Tato šablona umožňuje šifrování na spuštěném virtuálním počítači s Windows.
Vytvoření a šifrování nové sady VMSS s Windows pomocí jumpboxu

nasazení do Azure
Tato šablona umožňuje nasadit jednoduchou škálovací sadu virtuálních počítačů s Windows pomocí nejnovější opravené verze serverových verzí Windows. Tato šablona také nasadí jumpbox s veřejnou IP adresou ve stejné virtuální síti. K jumpboxu se můžete připojit přes tuto veřejnou IP adresu a pak se odtud připojit k virtuálním počítačům ve škálovací sadě prostřednictvím privátních IP adres. Tato šablona umožňuje šifrování na škálovací sadě virtuálních počítačů s Windows.
vytvoření služby Azure Key Vault a tajného kódu

nasazení do Azure
Tato šablona vytvoří službu Azure Key Vault a tajný klíč.
vytvoření služby Azure Key Vault pomocí RBAC a tajného

nasazení do Azure
Tato šablona vytvoří službu Azure Key Vault a tajný klíč. Místo spoléhání na zásady přístupu využívá Azure RBAC ke správě autorizace tajných kódů.
vytvoření trezoru klíčů, spravované identity a přiřazení rolí

nasazení do Azure
Tato šablona vytvoří trezor klíčů, spravovanou identitu a přiřazení role.
připojení ke službě Key Vault prostřednictvím privátního koncového bodu

nasazení do Azure
Tato ukázka ukazuje, jak použít konfiguraci virtuální sítě a privátní zóny DNS pro přístup ke službě Key Vault prostřednictvím privátního koncového bodu.
Vytvoření služby Key Vault a seznam tajných kódů

nasazení do Azure
Tato šablona vytvoří službu Key Vault a seznam tajných kódů v trezoru klíčů, jak je předáno, spolu s parametry.
vytvoření služby Key Vault s povoleným protokolováním

nasazení do Azure
Tato šablona vytvoří službu Azure Key Vault a účet služby Azure Storage, který se používá k protokolování. Volitelně vytvoří zámky prostředků pro ochranu prostředků služby Key Vault a prostředků úložiště.
základní nastavení sady Azure AI Studio

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
základní nastavení sady Azure AI Studio

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
Azure AI Studio s ověřováním Microsoft Entra ID

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio s ověřováním Microsoft Entra ID pro závislé prostředky, jako jsou služby Azure AI a Azure Storage.
vytvoření pracovního prostoru AML s více datovými sadami & úložiště dat

nasazení do Azure
Tato šablona vytvoří pracovní prostor Azure Machine Learning s více datovými sadami & úložišti dat.
komplexní nastavení služby Azure Machine Learning

nasazení do Azure
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS.
kompletního zabezpečeného nastavení služby Azure Machine Learning (starší verze)

nasazení do Azure
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS.
Vytvoření cílového výpočetního objektu AKS s privátní IP adresou

nasazení do Azure
Tato šablona vytvoří cílový výpočetní objekt AKS v daném pracovním prostoru služby Azure Machine Learning s privátní IP adresou.
vytvoření pracovního prostoru služby Azure Machine Learning Service

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje minimální sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning.
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK)

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Příklad ukazuje, jak nakonfigurovat Službu Azure Machine Learning pro šifrování pomocí šifrovacího klíče spravovaného zákazníkem.
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK)

nasazení do Azure
Tato šablona nasazení určuje, jak vytvořit pracovní prostor Azure Machine Learning s šifrováním na straně služby pomocí šifrovacích klíčů.
vytvoření pracovního prostoru služby Azure Machine Learning Service (virtuální síť)

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti.
Vytvoření pracovního prostoru služby Azure Machine Learning Service (starší verze)

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti.
clusterU AKS s kontrolerem příchozího přenosu dat služby Application Gateway

nasazení do Azure
Tato ukázka ukazuje, jak nasadit cluster AKS se službou Application Gateway, kontrolerem příchozího přenosu dat služby Application Gateway, službou Azure Container Registry, Log Analytics a službou Key Vault.
vytvoření služby Application Gateway V2 se službou Key Vault

nasazení do Azure
Tato šablona nasadí službu Application Gateway V2 ve virtuální síti, identitu definovanou uživatelem, službu Key Vault, tajný klíč (data certifikátu) a zásadu přístupu ve službě Key Vault a službě Application Gateway.
Testovací prostředí pro službu Azure Firewall Premium

nasazení do Azure
Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu.
vytvoří prostředek privátního koncového bodu mezi tenanty

nasazení do Azure
Tato šablona umožňuje vytvořit prostředek koncového bodu Priavate ve stejném prostředí nebo v prostředí mezi tenanty a přidat konfiguraci zóny DNS.
vytvoření služby Application Gateway s certifikáty

nasazení do Azure
Tato šablona ukazuje, jak vygenerovat certifikáty podepsané svým držitelem služby Key Vault a pak odkazovat ze služby Application Gateway.
šifrování účtu služby Azure Storage s využitím klíče spravovaného zákazníkem

nasazení do Azure
Tato šablona nasadí účet úložiště s klíčem spravovaným zákazníkem pro šifrování, které se vygeneruje a umístí do služby Key Vault.
App Service Environment s back-endovým Azure SQL

nasazení do Azure
Tato šablona vytvoří službu App Service Environment s back-endem Azure SQL spolu s privátními koncovými body spolu s přidruženými prostředky, které se obvykle používají v privátním nebo izolovaném prostředí.
aplikaci Funkcí Azure a funkci aktivovanou protokolem HTTP

nasazení do Azure
Tento příklad nasadí aplikaci Funkcí Azure a vloženou funkci aktivovanou protokolem HTTP v šabloně. Nasadí také službu Key Vault a naplní tajný kód klíčem hostitele aplikace funkcí.
Application Gateway s interní službou API Management a webovou aplikací

nasazení do Azure
Služba Application Gateway směruje internetový provoz do instance služby API Management (interní režim), která obsluhuje webové rozhraní API hostované ve webové aplikaci Azure.

Definice prostředku šablony ARM

Typ prostředku trezorů je možné nasadit s operacemi, které cílí:

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Poznámky

Pokyny k používání trezorů klíčů pro zabezpečené hodnoty najdete v tématu Správa tajných kódů pomocíBicep .

Rychlý start k vytvoření tajného kódu najdete v tématu Rychlý start: Nastavení a načtení tajného kódu ze služby Azure Key Vault pomocí šablony ARM.

Rychlý start k vytvoření klíče najdete v tématu Rychlý start: Vytvoření trezoru klíčů Azure a klíče pomocí šablony ARM.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující JSON.

{
  "type": "Microsoft.KeyVault/vaults",
  "apiVersion": "2021-04-01-preview",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "accessPolicies": [
      {
        "applicationId": "string",
        "objectId": "string",
        "permissions": {
          "certificates": [ "string" ],
          "keys": [ "string" ],
          "secrets": [ "string" ],
          "storage": [ "string" ]
        },
        "tenantId": "string"
      }
    ],
    "createMode": "string",
    "enabledForDeployment": "bool",
    "enabledForDiskEncryption": "bool",
    "enabledForTemplateDeployment": "bool",
    "enablePurgeProtection": "bool",
    "enableRbacAuthorization": "bool",
    "enableSoftDelete": "bool",
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string",
          "ignoreMissingVnetServiceEndpoint": "bool"
        }
      ]
    },
    "provisioningState": "string",
    "sku": {
      "family": "A",
      "name": "string"
    },
    "softDeleteRetentionInDays": "int",
    "tenantId": "string",
    "vaultUri": "string"
  }
}

Hodnoty vlastností

trezory

Jméno Popis Hodnota
typ Typ prostředku Microsoft.KeyVault/vaults
apiVersion Verze rozhraní API prostředku 2021-04-01-preview
Jméno Název prostředku string (povinné)

Limit znaků: 3–24

Platné znaky:
Alfanumerické znaky a spojovníky

Začněte písmenem. Končí písmenem nebo číslicí. Nemůže obsahovat po sobě jdoucí pomlčky.

Název prostředku musí být v Rámci Azure jedinečný.
umístění Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. string (povinné)
visačky Značky, které budou přiřazeny k trezoru klíčů. Slovník názvů a hodnot značek Viz Značky v šablonách
vlastnosti Vlastnosti trezoru VaultProperties (povinné)

VaultProperties

Jméno Popis Hodnota
accessPolicies Pole 0 až 1024 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. Pokud je createMode nastavená na recover, zásady přístupu se nevyžadují. V opačném případě se vyžadují zásady přístupu. AccessPolicyEntry[]
createMode Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. Výchozí
"obnovit"
enabledForDeployment Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. Bool
enabledForDiskEncryption Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. Bool
enabledForTemplateDeployment Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. Bool
enablePurgeProtection Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. Bool
enableRbacAuthorization Vlastnost, která určuje, jak jsou akce dat autorizované. Pokud je hodnota true, trezor klíčů použije řízení přístupu na základě role (RBAC) k autorizaci akcí dat a zásady přístupu zadané ve vlastnostech trezoru budou ignorovány. Pokud je hodnota false, trezor klíčů použije zásady přístupu zadané ve vlastnostech trezoru a všechny zásady uložené v Azure Resource Manageru se budou ignorovat. Pokud není zadána hodnota null nebo není zadána, trezor se vytvoří s výchozí hodnotou false. Mějte na paměti, že akce správy jsou vždy autorizované pomocí RBAC. Bool
enableSoftDelete Vlastnost určující, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Pokud při vytváření nového trezoru klíčů není nastavená na žádnou hodnotu (true nebo false), nastaví se ve výchozím nastavení na hodnotu True. Jakmile nastavíte hodnotu true, nedá se vrátit na hodnotu false. Bool
networkAcls Pravidla, která řídí přístupnost trezoru klíčů z konkrétních síťových umístění. NetworkRuleSet
provisioningState Stav zřizování trezoru RegisteringDns
Úspěch
sku Podrobnosti skladové položky skladové položky (povinné)
softDeleteRetentionInDays softDelete data retention days. Přijímá >=7 a <=90. Int
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. string (povinné)

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. řetězec

AccessPolicyEntry

Jméno Popis Hodnota
applicationId ID aplikace klienta provádějícího žádost jménem objektu zabezpečení řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. string (povinné)
dovolení Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty oprávnění (povinné)
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. string (povinné)

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Dovolení

Jméno Popis Hodnota
certifikáty Oprávnění k certifikátům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Vytvořit
Odstranit
Deleteissuers
"get"
Getissuers
Import
'list'
'listissuers'
'managecontacts'
Manageissuers
"Vyprázdnit"
"obnovit"
"restore"
"setissuers"
"update"
klíče Oprávnění ke klíčům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Vytvořit
Dešifrování
Odstranit
Šifrovat
"get"
Import
'list'
"Vyprázdnit"
"obnovit"
"release"
"restore"
"sign" (znaménko)
UnwrapKey
"update"
"verify" (ověřit)
WrapKey
tajemství Oprávnění k tajným kódům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Odstranit
"get"
'list'
"Vyprázdnit"
"obnovit"
"restore"
'set'
skladování Oprávnění k účtům úložiště Řetězcové pole obsahující některou z těchto možností:
"zálohování"
Odstranit
Deletesas
"get"
"getsas"
'list'
"listsas"
"Vyprázdnit"
"obnovit"
Znovu vygenerovat klíč
"restore"
'set'
'setsas'
"update"

NetworkRuleSet

Jméno Popis Hodnota
obejít Udává, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud nezadáte výchozí hodnotu AzureServices. AzureServices
None (Žádný)
defaultAction Výchozí akce, pokud se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Tento parametr se použije až po vyhodnocení vlastnosti bypass. Povolit
"Odepřít"
IpRules Seznam pravidel IP adres. IPRule []
VirtualNetworkRules Seznam pravidel virtuální sítě VirtualNetworkRule[]

IpRule

Jméno Popis Hodnota
hodnota Rozsah adres IPv4 v zápisu CIDR, například 124.56.78.91 (jednoduchá IP adresa) nebo 124.56.78.0/24 (všechny adresy začínající 124.56.78). string (povinné)

VirtualNetworkRule

Jméno Popis Hodnota
id Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. string (povinné)
ignoreMissingVnetServiceEndpoint Vlastnost určující, jestli NRP bude ignorovat kontrolu, jestli má nadřazená podsíť nakonfigurované body serviceEndpoints. Bool

Sku

Jméno Popis Hodnota
Rodina Jméno rodiny skladové položky "A" (povinné)
Jméno Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. Premium
"standard" (povinné)

Šablony pro rychlý start

Následující šablony pro rychlý start nasazují tento typ prostředku.

Šablona Popis
clusterU AKS se službou NAT Gateway a služby Application Gateway

nasazení do Azure
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a službu Application Gateway pro příchozí připojení.
vytvoření privátního clusteru AKS s veřejnou zónou DNS

nasazení do Azure
Tato ukázka ukazuje, jak nasadit privátní cluster AKS s veřejnou zónou DNS.
nasazení analýzy sportů v architektuře Azure

nasazení do Azure
Vytvoří účet úložiště Azure s povoleným ADLS Gen2, instancí služby Azure Data Factory s propojenými službami pro účet úložiště (pokud je nasazená služba Azure SQL Database) a instancí Azure Databricks. Identita AAD pro uživatele, který nasazuje šablonu, a spravovanou identitu instance ADF se udělí roli Přispěvatel dat objektů blob služby Storage v účtu úložiště. K dispozici jsou také možnosti nasazení instance služby Azure Key Vault, Azure SQL Database a centra událostí Azure (pro případy použití streamování). Po nasazení služby Azure Key Vault se spravované identitě datové továrny a identitě AAD pro uživatele, který šablonu nasazuje, udělí roli uživatele tajných kódů služby Key Vault.
pracovního prostoru Azure Machine Learning

nasazení do Azure
Tato šablona vytvoří nový pracovní prostor služby Azure Machine Learning společně s šifrovaným účtem úložiště, službou KeyVault a protokolováním Application Insights.
vytvoření služby KeyVault

nasazení do Azure
Tento modul vytvoří prostředek KeyVault s apiVersion 2019-09-01.
vytvoření služby API Management s protokolem SSL ze služby KeyVault

nasazení do Azure
Tato šablona nasadí službu API Management nakonfigurovanou s identitou přiřazenou uživatelem. Tato identita používá k načtení certifikátu SSL ze služby KeyVault a udržuje ji aktualizovanou kontrolou každých 4 hodin.
vytvoří aplikaci Dapr pub-sub servicebus pomocí služby Container Apps

nasazení do Azure
Vytvořte aplikaci Dapr pub-sub servicebus pomocí Container Apps.
vytvoří cluster Azure Stack HCI 23H2

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM.
vytvoří cluster Azure Stack HCI 23H2

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM pomocí vlastní IP adresy úložiště.
vytvoří cluster Azure Stack HCI 23H2 v bezpínacím režimu sítě s duálním propojením

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM.
vytvoří cluster Azure Stack HCI 23H2 v Switchless-SingleLink síťovém režimu

nasazení do Azure
Tato šablona vytvoří cluster Azure Stack HCI 23H2 pomocí šablony ARM.
Vytvoření nového šifrovaného virtuálního počítače s Windows z image galerie

nasazení do Azure
Tato šablona vytvoří nový šifrovaný virtuální počítač s Windows pomocí image galerie serveru 2k12.
Vytvoření nových šifrovaných spravovaných disků win-vm z image galerie

nasazení do Azure
Tato šablona vytvoří nový šifrovaný virtuální počítač se spravovanými disky s Windows pomocí image galerie serveru 2k12.
Tato šablona šifruje spuštěnou VMSS s Windows.

nasazení do Azure
Tato šablona umožňuje šifrování na spuštěné škálovací sadě virtuálních počítačů s Windows.
Povolení šifrování na spuštěném virtuálním počítači s Windows

nasazení do Azure
Tato šablona umožňuje šifrování na spuštěném virtuálním počítači s Windows.
Vytvoření a šifrování nové sady VMSS s Windows pomocí jumpboxu

nasazení do Azure
Tato šablona umožňuje nasadit jednoduchou škálovací sadu virtuálních počítačů s Windows pomocí nejnovější opravené verze serverových verzí Windows. Tato šablona také nasadí jumpbox s veřejnou IP adresou ve stejné virtuální síti. K jumpboxu se můžete připojit přes tuto veřejnou IP adresu a pak se odtud připojit k virtuálním počítačům ve škálovací sadě prostřednictvím privátních IP adres. Tato šablona umožňuje šifrování na škálovací sadě virtuálních počítačů s Windows.
vytvoření služby Azure Key Vault a tajného kódu

nasazení do Azure
Tato šablona vytvoří službu Azure Key Vault a tajný klíč.
vytvoření služby Azure Key Vault pomocí RBAC a tajného

nasazení do Azure
Tato šablona vytvoří službu Azure Key Vault a tajný klíč. Místo spoléhání na zásady přístupu využívá Azure RBAC ke správě autorizace tajných kódů.
vytvoření trezoru klíčů, spravované identity a přiřazení rolí

nasazení do Azure
Tato šablona vytvoří trezor klíčů, spravovanou identitu a přiřazení role.
připojení ke službě Key Vault prostřednictvím privátního koncového bodu

nasazení do Azure
Tato ukázka ukazuje, jak použít konfiguraci virtuální sítě a privátní zóny DNS pro přístup ke službě Key Vault prostřednictvím privátního koncového bodu.
Vytvoření služby Key Vault a seznam tajných kódů

nasazení do Azure
Tato šablona vytvoří službu Key Vault a seznam tajných kódů v trezoru klíčů, jak je předáno, spolu s parametry.
vytvoření služby Key Vault s povoleným protokolováním

nasazení do Azure
Tato šablona vytvoří službu Azure Key Vault a účet služby Azure Storage, který se používá k protokolování. Volitelně vytvoří zámky prostředků pro ochranu prostředků služby Key Vault a prostředků úložiště.
základní nastavení sady Azure AI Studio

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
základní nastavení sady Azure AI Studio

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio pomocí základního nastavení, což znamená s povoleným veřejným přístupem k internetu, klíče spravované Microsoftem pro šifrování a konfiguraci identity spravované Microsoftem pro prostředek AI.
Azure AI Studio s ověřováním Microsoft Entra ID

nasazení do Azure
Tato sada šablon ukazuje, jak nastavit Azure AI Studio s ověřováním Microsoft Entra ID pro závislé prostředky, jako jsou služby Azure AI a Azure Storage.
vytvoření pracovního prostoru AML s více datovými sadami & úložiště dat

nasazení do Azure
Tato šablona vytvoří pracovní prostor Azure Machine Learning s více datovými sadami & úložišti dat.
komplexní nastavení služby Azure Machine Learning

nasazení do Azure
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS.
kompletního zabezpečeného nastavení služby Azure Machine Learning (starší verze)

nasazení do Azure
Tato sada šablon Bicep ukazuje, jak nastavit kompletní nastavení služby Azure Machine Learning v zabezpečeném nastavení. Tato referenční implementace zahrnuje pracovní prostor, výpočetní cluster, výpočetní instanci a připojený privátní cluster AKS.
Vytvoření cílového výpočetního objektu AKS s privátní IP adresou

nasazení do Azure
Tato šablona vytvoří cílový výpočetní objekt AKS v daném pracovním prostoru služby Azure Machine Learning s privátní IP adresou.
vytvoření pracovního prostoru služby Azure Machine Learning Service

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje minimální sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning.
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK)

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Příklad ukazuje, jak nakonfigurovat Službu Azure Machine Learning pro šifrování pomocí šifrovacího klíče spravovaného zákazníkem.
vytvoření pracovního prostoru služby Azure Machine Learning Service (CMK)

nasazení do Azure
Tato šablona nasazení určuje, jak vytvořit pracovní prostor Azure Machine Learning s šifrováním na straně služby pomocí šifrovacích klíčů.
vytvoření pracovního prostoru služby Azure Machine Learning Service (virtuální síť)

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti.
Vytvoření pracovního prostoru služby Azure Machine Learning Service (starší verze)

nasazení do Azure
Tato šablona nasazení určuje pracovní prostor služby Azure Machine Learning a jeho přidružené prostředky, včetně služby Azure Key Vault, Azure Storage, Azure Application Insights a Azure Container Registry. Tato konfigurace popisuje sadu prostředků, které potřebujete k zahájení práce se službou Azure Machine Learning v izolované síti.
clusterU AKS s kontrolerem příchozího přenosu dat služby Application Gateway

nasazení do Azure
Tato ukázka ukazuje, jak nasadit cluster AKS se službou Application Gateway, kontrolerem příchozího přenosu dat služby Application Gateway, službou Azure Container Registry, Log Analytics a službou Key Vault.
vytvoření služby Application Gateway V2 se službou Key Vault

nasazení do Azure
Tato šablona nasadí službu Application Gateway V2 ve virtuální síti, identitu definovanou uživatelem, službu Key Vault, tajný klíč (data certifikátu) a zásadu přístupu ve službě Key Vault a službě Application Gateway.
Testovací prostředí pro službu Azure Firewall Premium

nasazení do Azure
Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu.
vytvoří prostředek privátního koncového bodu mezi tenanty

nasazení do Azure
Tato šablona umožňuje vytvořit prostředek koncového bodu Priavate ve stejném prostředí nebo v prostředí mezi tenanty a přidat konfiguraci zóny DNS.
vytvoření služby Application Gateway s certifikáty

nasazení do Azure
Tato šablona ukazuje, jak vygenerovat certifikáty podepsané svým držitelem služby Key Vault a pak odkazovat ze služby Application Gateway.
šifrování účtu služby Azure Storage s využitím klíče spravovaného zákazníkem

nasazení do Azure
Tato šablona nasadí účet úložiště s klíčem spravovaným zákazníkem pro šifrování, které se vygeneruje a umístí do služby Key Vault.
App Service Environment s back-endovým Azure SQL

nasazení do Azure
Tato šablona vytvoří službu App Service Environment s back-endem Azure SQL spolu s privátními koncovými body spolu s přidruženými prostředky, které se obvykle používají v privátním nebo izolovaném prostředí.
aplikaci Funkcí Azure a funkci aktivovanou protokolem HTTP

nasazení do Azure
Tento příklad nasadí aplikaci Funkcí Azure a vloženou funkci aktivovanou protokolem HTTP v šabloně. Nasadí také službu Key Vault a naplní tajný kód klíčem hostitele aplikace funkcí.
Application Gateway s interní službou API Management a webovou aplikací

nasazení do Azure
Služba Application Gateway směruje internetový provoz do instance služby API Management (interní režim), která obsluhuje webové rozhraní API hostované ve webové aplikaci Azure.

Definice prostředku Terraformu (poskytovatel AzAPI)

Typ prostředku trezorů je možné nasadit s operacemi, které cílí:

  • skupiny prostředků

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.KeyVault/vaults, přidejte do šablony následující Terraform.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/vaults@2021-04-01-preview"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      accessPolicies = [
        {
          applicationId = "string"
          objectId = "string"
          permissions = {
            certificates = [
              "string"
            ]
            keys = [
              "string"
            ]
            secrets = [
              "string"
            ]
            storage = [
              "string"
            ]
          }
          tenantId = "string"
        }
      ]
      createMode = "string"
      enabledForDeployment = bool
      enabledForDiskEncryption = bool
      enabledForTemplateDeployment = bool
      enablePurgeProtection = bool
      enableRbacAuthorization = bool
      enableSoftDelete = bool
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
            ignoreMissingVnetServiceEndpoint = bool
          }
        ]
      }
      provisioningState = "string"
      sku = {
        family = "A"
        name = "string"
      }
      softDeleteRetentionInDays = int
      tenantId = "string"
      vaultUri = "string"
    }
  })
}

Hodnoty vlastností

trezory

Jméno Popis Hodnota
typ Typ prostředku Microsoft.KeyVault/vaults@2021-04-01-preview
Jméno Název prostředku string (povinné)

Limit znaků: 3–24

Platné znaky:
Alfanumerické znaky a spojovníky

Začněte písmenem. Končí písmenem nebo číslicí. Nemůže obsahovat po sobě jdoucí pomlčky.

Název prostředku musí být v Rámci Azure jedinečný.
umístění Podporované umístění Azure, ve kterém se má trezor klíčů vytvořit. string (povinné)
parent_id K nasazení do skupiny prostředků použijte ID této skupiny prostředků. string (povinné)
visačky Značky, které budou přiřazeny k trezoru klíčů. Slovník názvů a hodnot značek
vlastnosti Vlastnosti trezoru VaultProperties (povinné)

VaultProperties

Jméno Popis Hodnota
accessPolicies Pole 0 až 1024 identit, které mají přístup k trezoru klíčů. Všechny identity v poli musí používat stejné ID tenanta jako ID tenanta trezoru klíčů. Pokud je createMode nastavená na recover, zásady přístupu se nevyžadují. V opačném případě se vyžadují zásady přístupu. AccessPolicyEntry[]
createMode Režim vytvoření trezoru označující, jestli se má trezor obnovit, nebo ne. "default"
"obnovit"
enabledForDeployment Vlastnost určující, jestli mají virtuální počítače Azure povoleno načítat certifikáty uložené jako tajné kódy z trezoru klíčů. Bool
enabledForDiskEncryption Vlastnost určující, jestli je službě Azure Disk Encryption povoleno načítat tajné kódy z trezoru a rozbalit klíče. Bool
enabledForTemplateDeployment Vlastnost určující, jestli má Azure Resource Manager povoleno načítat tajné kódy z trezoru klíčů. Bool
enablePurgeProtection Vlastnost určující, zda je pro tento trezor povolená ochrana proti vymazání. Nastavení této vlastnosti na true aktivuje ochranu proti vymazání pro tento trezor a jeho obsah – pouze služba Key Vault může zahájit obtížné, nenapravitelné odstranění. Nastavení platí jenom v případě, že je povolené obnovitelné odstranění. Povolení této funkce je nevratné – to znamená, že vlastnost nepřijímá hodnotu false jako její hodnotu. Bool
enableRbacAuthorization Vlastnost, která určuje, jak jsou akce dat autorizované. Pokud je hodnota true, trezor klíčů použije řízení přístupu na základě role (RBAC) k autorizaci akcí dat a zásady přístupu zadané ve vlastnostech trezoru budou ignorovány. Pokud je hodnota false, trezor klíčů použije zásady přístupu zadané ve vlastnostech trezoru a všechny zásady uložené v Azure Resource Manageru se budou ignorovat. Pokud není zadána hodnota null nebo není zadána, trezor se vytvoří s výchozí hodnotou false. Mějte na paměti, že akce správy jsou vždy autorizované pomocí RBAC. Bool
enableSoftDelete Vlastnost určující, jestli je pro tento trezor klíčů povolená funkce obnovitelného odstranění. Pokud při vytváření nového trezoru klíčů není nastavená na žádnou hodnotu (true nebo false), nastaví se ve výchozím nastavení na hodnotu True. Jakmile nastavíte hodnotu true, nedá se vrátit na hodnotu false. Bool
networkAcls Pravidla, která řídí přístupnost trezoru klíčů z konkrétních síťových umístění. NetworkRuleSet
provisioningState Stav zřizování trezoru "RegisteringDns"
"Úspěch"
sku Podrobnosti skladové položky skladové položky (povinné)
softDeleteRetentionInDays softDelete data retention days. Přijímá >=7 a <=90. Int
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. string (povinné)

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
vaultUri Identifikátor URI trezoru pro provádění operací s klíči a tajnými klíči. řetězec

AccessPolicyEntry

Jméno Popis Hodnota
applicationId ID aplikace klienta provádějícího žádost jménem objektu zabezpečení řetězec

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
objectId ID objektu uživatele, instančního objektu nebo skupiny zabezpečení v tenantovi Azure Active Directory pro trezor. ID objektu musí být jedinečné pro seznam zásad přístupu. string (povinné)
dovolení Oprávnění, která identita obsahuje pro klíče, tajné kódy a certifikáty oprávnění (povinné)
tenantId ID tenanta Azure Active Directory, které by se mělo použít k ověřování požadavků v trezoru klíčů. string (povinné)

Omezení:
Minimální délka = 36
Maximální délka = 36
Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

Dovolení

Jméno Popis Hodnota
certifikáty Oprávnění k certifikátům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
"create"
"delete"
"deleteissuers"
"get"
"getissuers"
"import"
"list"
"listissuers"
"managecontacts"
"manageissuers"
"Vyprázdnit"
"obnovit"
"restore"
"setissuers"
"update"
klíče Oprávnění ke klíčům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
"create"
"dešifrování"
"delete"
"encrypt"
"get"
"import"
"list"
"Vyprázdnit"
"obnovit"
"release"
"restore"
"podepsat"
"unwrapKey"
"update"
"verify"
"wrapKey"
tajemství Oprávnění k tajným kódům Řetězcové pole obsahující některou z těchto možností:
"zálohování"
"delete"
"get"
"list"
"Vyprázdnit"
"obnovit"
"restore"
"set"
skladování Oprávnění k účtům úložiště Řetězcové pole obsahující některou z těchto možností:
"zálohování"
"delete"
"deletesas"
"get"
"getsas"
"list"
"listsas"
"Vyprázdnit"
"obnovit"
"regeneratekey"
"restore"
"set"
"setsas"
"update"

NetworkRuleSet

Jméno Popis Hodnota
obejít Udává, jaký provoz může obejít pravidla sítě. Může to být AzureServices nebo None. Pokud nezadáte výchozí hodnotu AzureServices. AzureServices
"Žádný"
defaultAction Výchozí akce, pokud se neshoduje žádné pravidlo z pravidel ipRules a virtualNetworkRules. Tento parametr se použije až po vyhodnocení vlastnosti bypass. "Povolit"
"Odepřít"
IpRules Seznam pravidel IP adres. IPRule []
VirtualNetworkRules Seznam pravidel virtuální sítě VirtualNetworkRule[]

IpRule

Jméno Popis Hodnota
hodnota Rozsah adres IPv4 v zápisu CIDR, například 124.56.78.91 (jednoduchá IP adresa) nebo 124.56.78.0/24 (všechny adresy začínající 124.56.78). string (povinné)

VirtualNetworkRule

Jméno Popis Hodnota
id Úplné ID prostředku podsítě virtuální sítě, například /subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1. string (povinné)
ignoreMissingVnetServiceEndpoint Vlastnost určující, jestli NRP bude ignorovat kontrolu, jestli má nadřazená podsíť nakonfigurované body serviceEndpoints. Bool

Sku

Jméno Popis Hodnota
Rodina Jméno rodiny skladové položky "A" (povinné)
Jméno Název skladové položky pro určení, jestli je trezor klíčů standardním trezorem nebo trezorem úrovně Premium. "Premium"
"standard" (povinné)