Microsoft.StorageAccounts
Bicep-Ressourcendefinition
Der Ressourcentyp "storageAccounts" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Storage/storageAccounts-Ressource zu erstellen, fügen Sie ihrer Vorlage den folgenden Bicep hinzu.
resource symbolicname 'Microsoft.Storage/storageAccounts@2023-05-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
sku: {
name: 'string'
}
kind: 'string'
extendedLocation: {
name: 'string'
type: 'EdgeZone'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
accessTier: 'string'
allowBlobPublicAccess: bool
allowCrossTenantReplication: bool
allowedCopyScope: 'string'
allowSharedKeyAccess: bool
azureFilesIdentityBasedAuthentication: {
activeDirectoryProperties: {
accountType: 'string'
azureStorageSid: 'string'
domainGuid: 'string'
domainName: 'string'
domainSid: 'string'
forestName: 'string'
netBiosDomainName: 'string'
samAccountName: 'string'
}
defaultSharePermission: 'string'
directoryServiceOptions: 'string'
}
customDomain: {
name: 'string'
useSubDomainName: bool
}
defaultToOAuthAuthentication: bool
dnsEndpointType: 'string'
enableExtendedGroups: bool
encryption: {
identity: {
federatedIdentityClientId: 'string'
userAssignedIdentity: 'string'
}
keySource: 'string'
keyvaultproperties: {
keyname: 'string'
keyvaulturi: 'string'
keyversion: 'string'
}
requireInfrastructureEncryption: bool
services: {
blob: {
enabled: bool
keyType: 'string'
}
file: {
enabled: bool
keyType: 'string'
}
queue: {
enabled: bool
keyType: 'string'
}
table: {
enabled: bool
keyType: 'string'
}
}
}
immutableStorageWithVersioning: {
enabled: bool
immutabilityPolicy: {
allowProtectedAppendWrites: bool
immutabilityPeriodSinceCreationInDays: int
state: 'string'
}
}
isHnsEnabled: bool
isLocalUserEnabled: bool
isNfsV3Enabled: bool
isSftpEnabled: bool
keyPolicy: {
keyExpirationPeriodInDays: int
}
largeFileSharesState: 'string'
minimumTlsVersion: 'string'
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
action: 'Allow'
value: 'string'
}
]
resourceAccessRules: [
{
resourceId: 'string'
tenantId: 'string'
}
]
virtualNetworkRules: [
{
action: 'Allow'
id: 'string'
state: 'string'
}
]
}
publicNetworkAccess: 'string'
routingPreference: {
publishInternetEndpoints: bool
publishMicrosoftEndpoints: bool
routingChoice: 'string'
}
sasPolicy: {
expirationAction: 'string'
sasExpirationPeriod: 'string'
}
supportsHttpsTrafficOnly: bool
}
}
Eigenschaftswerte
storageAccounts
Name | Beschreibung | Wert |
---|---|---|
Name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 3-24 Gültige Zeichen: Kleinbuchstaben und Zahlen. Der Ressourcenname muss in Azure eindeutig sein. |
Ort | Erforderlich. Dient zum Abrufen oder Festlegen des Speicherorts der Ressource. Dies wird eine der unterstützten und registrierten Azure Geo-Regionen (z. B. West-USA, Ost-USA, Südostasien usw.) sein. Die Geografische Region einer Ressource kann nicht geändert werden, nachdem sie erstellt wurde, aber wenn eine identische geo-Region beim Aktualisieren angegeben wird, wird die Anforderung erfolgreich ausgeführt. | Zeichenfolge (erforderlich) |
Schilder | Dient zum Abrufen oder Festlegen einer Liste von Schlüsselwertpaaren, die die Ressource beschreiben. Diese Tags können zum Anzeigen und Gruppieren dieser Ressource (über Ressourcengruppen hinweg) verwendet werden. Für eine Ressource können maximal 15 Tags bereitgestellt werden. Jedes Tag muss einen Schlüssel mit einer Länge von maximal 128 Zeichen und einem Wert mit einer Länge von maximal 256 Zeichen aufweisen. | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
Sku | Erforderlich. Dient zum Abrufen oder Festlegen des SKU-Namens. | Sku- (erforderlich) |
Art | Erforderlich. Gibt den Typ des Speicherkontos an. | "BlobStorage" "BlockBlobStorage" 'FileStorage' "Speicher" "StorageV2" (erforderlich) |
extendedLocation | Wahlfrei. Legen Sie den erweiterten Speicherort der Ressource fest. Wenn sie nicht festgelegt ist, wird das Speicherkonto in der Azure-Hauptregion erstellt. Andernfalls wird sie am angegebenen erweiterten Speicherort erstellt. | ExtendedLocation- |
Identität | Die Identität der Ressource. | Identity |
Eigenschaften | Die Parameter, die zum Erstellen des Speicherkontos verwendet werden. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
Name | Beschreibung | Wert |
---|---|---|
Name | Der Name des erweiterten Speicherorts. | Schnur |
Art | Der Typ des erweiterten Speicherorts. | "EdgeZone" |
Identität
Name | Beschreibung | Wert |
---|---|---|
Art | Der Identitätstyp. | 'None' 'SystemAssigned' "SystemAssigned,UserAssigned" "UserAssigned" (erforderlich) |
userAssignedIdentities | Dient zum Abrufen oder Festlegen einer Liste von Schlüsselwertpaaren, die den Satz der vom Benutzer zugewiesenen Identitäten beschreiben, die mit diesem Speicherkonto verwendet werden. Der Schlüssel ist der ARM-Ressourcenbezeichner der Identität. Hier ist nur 1 Vom Benutzer zugewiesene Identität zulässig. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
Name | Beschreibung | Wert |
---|---|---|
{angepasste Eigenschaft} | UserAssignedIdentity- |
UserAssignedIdentity
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
Name | Beschreibung | Wert |
---|---|---|
accessTier | Erforderlich für Speicherkonten, bei denen art = BlobStorage ist. Die Zugriffsebene wird für die Abrechnung verwendet. Die Zugriffsebene "Premium" ist der Standardwert für den Speichertyp "Premium-Block-Blobs", und es kann nicht für den Speichertyp des Premium-Block-BLOBs geändert werden. | "Kalt" "Cool" 'Hot' "Premium" |
allowBlobPublicAccess | Zulassen oder Verbieten des öffentlichen Zugriffs auf alle Blobs oder Container im Speicherkonto. Die Standardinterpretation ist für diese Eigenschaft falsch. | Bool |
allowCrossTenantReplication | Zulassen oder Verbieten der AAD-Mandantenobjektreplikation. Legen Sie diese Eigenschaft nur für neue oder vorhandene Konten auf "true" fest, wenn Objektreplikationsrichtlinien Speicherkonten in verschiedenen AAD-Mandanten umfassen. Die Standardinterpretation ist für neue Konten falsch, um standardmäßig die bewährten Sicherheitsmethoden zu befolgen. | Bool |
allowedCopyScope | Einschränken der Kopie auf und von Speicherkonten in einem AAD-Mandanten oder mit privaten Links zum gleichen VNet. | "AAD" "PrivateLink" |
allowSharedKeyAccess | Gibt an, ob das Speicherkonto Die Autorisierung von Anforderungen mit dem Kontozugriffsschlüssel über freigegebenen Schlüssel zulässt. Wenn false, müssen alle Anforderungen, einschließlich freigegebener Zugriffssignaturen, mit Azure Active Directory (Azure AD) autorisiert werden. Der Standardwert ist NULL, was "true" entspricht. | Bool |
azureFilesIdentityBasedAuthentication | Stellt die identitätsbasierten Authentifizierungseinstellungen für Azure Files bereit. | AzureFilesIdentityBasedAuthentication- |
customDomain | Dem Speicherkonto zugewiesene Benutzerdomäne. Name ist die CNAME-Quelle. Derzeit wird nur eine benutzerdefinierte Domäne pro Speicherkonto unterstützt. Verwenden Sie zum Löschen der vorhandenen benutzerdefinierten Domäne eine leere Zeichenfolge für die Eigenschaft für den benutzerdefinierten Domänennamen. | CustomDomain- |
defaultToOAuthAuthentication | Ein boolesches Flag, das angibt, ob die Standardauthentifizierung OAuth ist oder nicht. Die Standardinterpretation ist für diese Eigenschaft falsch. | Bool |
dnsEndpointType | Ermöglicht es Ihnen, den Endpunkttyp anzugeben. Legen Sie dies auf AzureDNSZone fest, um eine große Anzahl von Konten in einem einzelnen Abonnement zu erstellen, wodurch Konten in einer Azure DNS-Zone erstellt werden, und die Endpunkt-URL verfügt über einen alphanumerischen DNS-Zonenbezeichner. | "AzureDnsZone" "Standard" |
enableExtendedGroups | Aktiviert die erweiterte Gruppenunterstützung mit dem Feature "Lokale Benutzer", wenn diese auf "true" festgelegt ist. | Bool |
Verschlüsselung | Verschlüsselungseinstellungen, die für die serverseitige Verschlüsselung für das Speicherkonto verwendet werden sollen. | Verschlüsselungs- |
immutableStorageWithVersioning | Die Eigenschaft ist unveränderlich und kann nur zum Zeitpunkt der Kontoerstellung auf "true" festgelegt werden. Wenn dieser Wert auf "true" festgelegt ist, wird standardmäßig die Unveränderlichkeit auf Objektebene für alle neuen Container im Konto aktiviert. | ImmutableStorageAccount |
isHnsEnabled | Account HierarchicalNamespace ist aktiviert, wenn "true" festgelegt ist. | Bool |
isLocalUserEnabled | Aktiviert das Feature "Lokale Benutzer", falls auf "true" festgelegt. | Bool |
isNfsV3Enabled | DIE NFS 3.0-Protokollunterstützung ist aktiviert, wenn sie auf "true" festgelegt ist. | Bool |
isSftpEnabled | Aktiviert secure File Transfer Protocol, wenn auf "true" festgelegt | Bool |
keyPolicy | KeyPolicy, das dem Speicherkonto zugewiesen ist. | KeyPolicy- |
largeFileSharesState | Lassen Sie große Dateifreigaben zu, wenn sie auf "Aktiviert" festgelegt sind. Sie kann nicht deaktiviert werden, sobald sie aktiviert ist. | "Deaktiviert" "Aktiviert" |
minimumTlsVersion | Legen Sie die mindeste TLS-Version fest, die für Anforderungen an den Speicher zulässig ist. Die Standardinterpretation ist TLS 1.0 für diese Eigenschaft. | "TLS1_0" "TLS1_1" "TLS1_2" "TLS1_3" |
networkAcls | Netzwerkregelsatz | NetworkRuleSet- |
publicNetworkAccess | Zulassen, Verbieten oder Zulassen der Netzwerksicherheitsperimeterkonfiguration zum Auswerten des öffentlichen Netzwerkzugriffs auf das Speicherkonto. Der Wert ist optional, aber wenn er übergeben wird, muss 'Enabled', 'Disabled' oder 'SecuredByPerimeter' sein. | "Deaktiviert" "Aktiviert" "SecuredByPerimeter" |
routingPreference | Verwaltet Informationen über die vom Benutzer für die Datenübertragung gewählte Netzwerkroutingauswahl. | RoutingPreference- |
sasPolicy | SasPolicy, das dem Speicherkonto zugewiesen ist. | SasPolicy- |
supportsHttpsTrafficOnly | Ermöglicht https-Datenverkehr nur für den Speicherdienst, wenn dieser auf "true" festgelegt ist. Der Standardwert gilt seit API-Version 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
Name | Beschreibung | Wert |
---|---|---|
activeDirectoryProperties | Erforderlich, wenn directoryServiceOptions AD sind, optional, wenn sie AADKERB sind. | ActiveDirectoryProperties- |
defaultSharePermission | Standardfreigabeberechtigung für Benutzer, die kerberos-Authentifizierung verwenden, wenn keine RBAC-Rolle zugewiesen ist. | 'None' 'StorageFileDataSmbShareContributor' 'StorageFileDataSmbShareElevatedContributor' "StorageFileDataSmbShareReader" |
directoryServiceOptions | Gibt den verwendeten Verzeichnisdienst an. Beachten Sie, dass diese Enumeration in Zukunft verlängert werden kann. | "AADDS" 'AADKERB' 'AD' 'None' (erforderlich) |
ActiveDirectoryProperties
Name | Beschreibung | Wert |
---|---|---|
accountType | Gibt den Active Directory-Kontotyp für Azure Storage an. | "Computer" "Benutzer" |
azureStorageSid | Gibt die Sicherheits-ID (SID) für Azure Storage an. | Schnur |
domainGuid | Gibt die Domänen-GUID an. | Zeichenfolge (erforderlich) |
domainName | Gibt die primäre Domäne an, für die der AD-DNS-Server autoritativ ist. | Zeichenfolge (erforderlich) |
domainSid | Gibt die Sicherheits-ID (SID) an. | Schnur |
forestName | Gibt die abzurufende Active Directory-Gesamtstruktur an. | Schnur |
netBiosDomainName | Gibt den NetBIOS-Domänennamen an. | Schnur |
samAccountName | Gibt den Active Directory-SAMAccountName für Azure Storage an. | Schnur |
CustomDomain
Name | Beschreibung | Wert |
---|---|---|
Name | Ruft den benutzerdefinierten Domänennamen ab, der dem Speicherkonto zugewiesen ist, oder legt diesen fest. Name ist die CNAME-Quelle. | Zeichenfolge (erforderlich) |
useSubDomainName | Gibt an, ob die indirekte CName-Überprüfung aktiviert ist. Der Standardwert ist "false". Dies sollte nur für Updates festgelegt werden. | Bool |
Verschlüsselung
Name | Beschreibung | Wert |
---|---|---|
Identität | Die Identität, die mit dienstseitiger Verschlüsselung im Ruhezustand verwendet werden soll. | EncryptionIdentity- |
keySource | Die Verschlüsselungsschlüsselquelle (Anbieter). Mögliche Werte (Groß-/Kleinschreibung wird nicht beachtet): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
keyvaultproperties | Eigenschaften, die vom Schlüsseltresor bereitgestellt werden. | KeyVaultProperties |
requireInfrastructureEncryption | Ein boolescher Wert, der angibt, ob der Dienst eine sekundäre Verschlüsselungsebene mit plattformverwalteten Schlüsseln für ruhende Daten anwendet. | Bool |
Dienste | Liste der Dienste, die verschlüsselung unterstützen. | EncryptionServices- |
EncryptionIdentity
Name | Beschreibung | Wert |
---|---|---|
federatedIdentityClientId | ClientId der mehrinstanzenfähigen Anwendung, die in Verbindung mit der vom Benutzer zugewiesenen Identität für mandantenübergreifende serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln auf dem Speicherkonto verwendet werden soll. | Schnur |
userAssignedIdentity | Ressourcenbezeichner der UserAssigned-Identität, die serverseitige Verschlüsselung auf dem Speicherkonto zugeordnet werden soll. | Schnur |
KeyVaultProperties
Name | Beschreibung | Wert |
---|---|---|
keyname | Der Name des KeyVault-Schlüssels. | Schnur |
keyvaulturi | Der URI von KeyVault. | Schnur |
keyversion | Die Version des KeyVault-Schlüssels. | Schnur |
EncryptionServices
Name | Beschreibung | Wert |
---|---|---|
Blob | Die Verschlüsselungsfunktion des BLOB-Speicherdiensts. | EncryptionService- |
Datei | Die Verschlüsselungsfunktion des Dateispeicherdiensts. | EncryptionService- |
Schlange | Die Verschlüsselungsfunktion des Warteschlangenspeicherdiensts. | EncryptionService- |
Tisch | Die Verschlüsselungsfunktion des Tabellenspeicherdiensts. | EncryptionService- |
EncryptionService
Name | Beschreibung | Wert |
---|---|---|
ermöglichte | Ein boolescher Wert, der angibt, ob der Dienst die Daten verschlüsselt, während er gespeichert wird. Die ruhende Verschlüsselung ist heute standardmäßig aktiviert und kann nicht deaktiviert werden. | Bool |
keyType | Verschlüsselungsschlüsseltyp, der für den Verschlüsselungsdienst verwendet werden soll. Der Schlüsseltyp "Konto" impliziert, dass ein verschlüsselungsschlüssel mit Kontobereich verwendet wird. Der Schlüsseltyp "Dienst" impliziert, dass ein Standarddienstschlüssel verwendet wird. | "Konto" 'Service' |
ImmutableStorageAccount
Name | Beschreibung | Wert |
---|---|---|
ermöglichte | Ein boolesches Flag, das die Unveränderlichkeit auf Kontoebene ermöglicht. Für alle Container unter einem solchen Konto ist standardmäßig unveränderlichkeit auf Objektebene aktiviert. | Bool |
UnveränderlichkeitPolicy | Gibt die Standardmäßige Unveränderlichkeitsrichtlinie auf Kontoebene an, die geerbt und auf Objekte angewendet wird, die keine explizite Unveränderbarkeitsrichtlinie auf Objektebene besitzen. Die Unveränderlichkeitsrichtlinie auf Objektebene hat eine höhere Priorität als die Unveränderlichkeitsrichtlinie auf Containerebene, die eine höhere Priorität hat als die Unveränderbarkeitsrichtlinie auf Kontoebene. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
Name | Beschreibung | Wert |
---|---|---|
allowProtectedAppendWrites | Diese Eigenschaft kann nur für deaktivierte und entsperrte zeitbasierte Aufbewahrungsrichtlinien geändert werden. Wenn diese Option aktiviert ist, können neue Blöcke in ein Anfüge-Blob geschrieben werden und gleichzeitig unveränderlichen Schutz und Compliance beibehalten. Es können nur neue Blöcke hinzugefügt werden, und vorhandene Blöcke können nicht geändert oder gelöscht werden. | Bool |
UnveränderlichkeitPeriodSinceCreationInDays | Der Unveränderlichkeitszeitraum für die Blobs im Container seit der Richtlinienerstellung in Tagen. | Int Zwänge: Min.-Wert = 1 Maximalwert = 146000 |
Zustand | Der Status "ImmutabilityPolicy" definiert den Modus der Richtlinie. Deaktivierter Zustand deaktiviert die Richtlinie, der entsperrte Zustand ermöglicht die Erhöhung und Verringerung der Unveränderlichkeit aufbewahrungszeit und ermöglicht auch das Umschalten der AllowProtectedAppendWrites-Eigenschaft, gesperrter Zustand nur die Erhöhung der Unveränderlichkeit aufbewahrungszeit. Eine Richtlinie kann nur in einem Status "Deaktiviert" oder "Entsperrt" erstellt werden und kann zwischen den beiden Zuständen umgeschaltet werden. Nur eine Richtlinie in einem nicht gesperrten Zustand kann zu einem gesperrten Zustand wechseln, der nicht wiederhergestellt werden kann. | "Deaktiviert" "Gesperrt" "Entsperrt" |
KeyPolicy
Name | Beschreibung | Wert |
---|---|---|
keyExpirationPeriodInDays | Der Schlüsselablaufzeitraum in Tagen. | int (erforderlich) |
NetworkRuleSet
Name | Beschreibung | Wert |
---|---|---|
Umgehungsstraße | Gibt an, ob Datenverkehr für Protokollierung/Metriken/AzureServices umgangen wird. Mögliche Werte sind eine beliebige Kombination aus Protokollierung, Metriken, AzureServices (z. B. "Protokollierung, Metriken") oder "None", um keinen dieser Datenverkehre zu umgehen. | "AzureServices" "Protokollierung" "Metriken" 'None' |
defaultAction | Gibt die Standardaktion des Zulassens oder Verweigerns an, wenn keine anderen Regeln übereinstimmen. | "Zulassen" "Verweigern" (erforderlich) |
ipRules | Legt die IP-ACL-Regeln fest. | IPRule-[] |
resourceAccessRules | Legt die Regeln für den Ressourcenzugriff fest. | ResourceAccessRule-[] |
virtualNetworkRules | Legt die Regeln für virtuelle Netzwerke fest. | VirtualNetworkRule[] |
IPRule
Name | Beschreibung | Wert |
---|---|---|
Aktion | Die Aktion der IP-ACL-Regel. | "Zulassen" |
Wert | Gibt den IP- oder IP-Bereich im CIDR-Format an. Nur IPV4-Adresse ist zulässig. | Zeichenfolge (erforderlich) |
ResourceAccessRule
Name | Beschreibung | Wert |
---|---|---|
resourceId | Ressourcen-ID | Schnur |
tenantId | Mandanten-ID | Schnur |
VirtualNetworkRule
Name | Beschreibung | Wert |
---|---|---|
Aktion | Die Aktion der virtuellen Netzwerkregel. | "Zulassen" |
id | Ressourcen-ID eines Subnetzes, z. B.: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | Zeichenfolge (erforderlich) |
Zustand | Ruft den Status der virtuellen Netzwerkregel ab. | 'Deprovisioning' 'Fehler' 'NetworkSourceDeleted' 'Bereitstellung' "Erfolgreich" |
RoutingPreference
Name | Beschreibung | Wert |
---|---|---|
publishInternetEndpoints | Ein boolesches Flag, das angibt, ob Internetroutingspeicherendpunkte veröffentlicht werden sollen | Bool |
publishMicrosoftEndpoints | Ein boolesches Flag, das angibt, ob Microsoft Routing-Speicherendpunkte veröffentlicht werden sollen | Bool |
routingChoice | Die Routingauswahl definiert die Art des vom Benutzer festgelegten Netzwerkroutings. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
Name | Beschreibung | Wert |
---|---|---|
expirationAction | Die SAS-Ablaufaktion definiert die Auszuführende Aktion, wenn sasPolicy.sasExpirationPeriod verletzt wird. Die Aktion "Protokoll" kann für Überwachungszwecke verwendet werden, und die Aktion "Blockieren" kann verwendet werden, um die Verwendung von SAS-Token zu blockieren und zu verweigern, die nicht dem Ablaufzeitraum der Sas-Richtlinie entsprechen. | "Block" "Protokoll" (erforderlich) |
sasExpirationPeriod | Der SAS-Ablaufzeitraum DD.HH:MM:SS. | Zeichenfolge (erforderlich) |
Sku
Name | Beschreibung | Wert |
---|---|---|
Name | Der SKU-Name. Erforderlich für die Kontoerstellung; optional für Update. Beachten Sie, dass in älteren Versionen der SKU-Name "accountType" genannt wurde. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (erforderlich) |
Schnellstartvorlagen
Die folgenden Schnellstartvorlagen stellen diesen Ressourcentyp bereit.
Schablone | Beschreibung |
---|---|
Herstellen einer Verbindung mit einem Speicherkonto von einem virtuellen Computer über einen privaten Endpunkt |
In diesem Beispiel wird gezeigt, wie Sie eine Verbindung mit einem virtuellen Netzwerk verwenden, um über einen privaten Endpunkt auf ein BLOB-Speicherkonto zuzugreifen. |
Herstellen einer Verbindung mit einer Azure-Dateifreigabe über einen privaten Endpunkt |
In diesem Beispiel wird gezeigt, wie Sie ein virtuelles Netzwerk und eine private DNS-Zone verwenden, um über einen privaten Endpunkt auf eine Azure-Dateifreigabe zuzugreifen. |
Erstellen eines Standardspeicherkontos |
Diese Vorlage erstellt ein Standardspeicherkonto. |
Erstellen eines Speicherkontos mit SSE- |
Diese Vorlage erstellt ein Speicherkonto mit Speicherdienstverschlüsselung für ruhende Daten. |
Speicherkonto mit Advanced Threat Protection |
Mit dieser Vorlage können Sie ein Azure Storage-Konto mit aktiviertem Advanced Threat Protection bereitstellen. |
Erstellen eines Azure Storage-Kontos und eines Blob-Containers in Azure |
Diese Vorlage erstellt ein Azure Storage-Konto und einen BLOB-Container. |
Speicherkonto mit SSE- und Blob-Löschaufbewahrungsrichtlinie |
Diese Vorlage erstellt ein Speicherkonto mit Speicherdienstverschlüsselung und einer Aufbewahrungsrichtlinie für Bloblöschvorgänge. |
Azure Storage-Kontoverschlüsselung mit vom Kunden verwalteten Schlüsseln |
Diese Vorlage stellt ein Speicherkonto mit einem vom Kunden verwalteten Schlüssel für die Verschlüsselung bereit, die generiert und in einem Key Vault platziert wird. |
Erstellen eines Speicherkontos mit Dateifreigabe- |
Diese Vorlage erstellt ein Azure-Speicherkonto und eine Dateifreigabe. |
Erstellen eines Speicherkontos mit mehreren BLOB-Containern |
Erstellt ein Azure-Speicherkonto und mehrere BLOB-Container. |
Erstellen eines Speicherkontos mit mehreren Dateifreigaben |
Erstellt ein Azure-Speicherkonto und mehrere Dateifreigaben. |
Erstellen eines Speicherkontos mit aktivierter SFTP- |
Erstellt ein Azure Storage-Konto und einen BLOB-Container, auf den mithilfe des SFTP-Protokolls zugegriffen werden kann. Der Zugriff kann kennwort- oder öffentlich-schlüsselbasiert sein. |
Stellt eine statische Website |
Stellt eine statische Website mit einem Sicherungsspeicherkonto bereit. |
ARM-Vorlagenressourcendefinition
Der Ressourcentyp "storageAccounts" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Storage/storageAccounts-Ressource zu erstellen, fügen Sie Ihrer Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-05-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"sku": {
"name": "string"
},
"kind": "string",
"extendedLocation": {
"name": "string",
"type": "EdgeZone"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"accessTier": "string",
"allowBlobPublicAccess": "bool",
"allowCrossTenantReplication": "bool",
"allowedCopyScope": "string",
"allowSharedKeyAccess": "bool",
"azureFilesIdentityBasedAuthentication": {
"activeDirectoryProperties": {
"accountType": "string",
"azureStorageSid": "string",
"domainGuid": "string",
"domainName": "string",
"domainSid": "string",
"forestName": "string",
"netBiosDomainName": "string",
"samAccountName": "string"
},
"defaultSharePermission": "string",
"directoryServiceOptions": "string"
},
"customDomain": {
"name": "string",
"useSubDomainName": "bool"
},
"defaultToOAuthAuthentication": "bool",
"dnsEndpointType": "string",
"enableExtendedGroups": "bool",
"encryption": {
"identity": {
"federatedIdentityClientId": "string",
"userAssignedIdentity": "string"
},
"keySource": "string",
"keyvaultproperties": {
"keyname": "string",
"keyvaulturi": "string",
"keyversion": "string"
},
"requireInfrastructureEncryption": "bool",
"services": {
"blob": {
"enabled": "bool",
"keyType": "string"
},
"file": {
"enabled": "bool",
"keyType": "string"
},
"queue": {
"enabled": "bool",
"keyType": "string"
},
"table": {
"enabled": "bool",
"keyType": "string"
}
}
},
"immutableStorageWithVersioning": {
"enabled": "bool",
"immutabilityPolicy": {
"allowProtectedAppendWrites": "bool",
"immutabilityPeriodSinceCreationInDays": "int",
"state": "string"
}
},
"isHnsEnabled": "bool",
"isLocalUserEnabled": "bool",
"isNfsV3Enabled": "bool",
"isSftpEnabled": "bool",
"keyPolicy": {
"keyExpirationPeriodInDays": "int"
},
"largeFileSharesState": "string",
"minimumTlsVersion": "string",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"action": "Allow",
"value": "string"
}
],
"resourceAccessRules": [
{
"resourceId": "string",
"tenantId": "string"
}
],
"virtualNetworkRules": [
{
"action": "Allow",
"id": "string",
"state": "string"
}
]
},
"publicNetworkAccess": "string",
"routingPreference": {
"publishInternetEndpoints": "bool",
"publishMicrosoftEndpoints": "bool",
"routingChoice": "string"
},
"sasPolicy": {
"expirationAction": "string",
"sasExpirationPeriod": "string"
},
"supportsHttpsTrafficOnly": "bool"
}
}
Eigenschaftswerte
storageAccounts
Name | Beschreibung | Wert |
---|---|---|
Art | Der Ressourcentyp | "Microsoft.Storage/storageAccounts" |
apiVersion | Die Ressourcen-API-Version | '2023-05-01' |
Name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 3-24 Gültige Zeichen: Kleinbuchstaben und Zahlen. Der Ressourcenname muss in Azure eindeutig sein. |
Ort | Erforderlich. Dient zum Abrufen oder Festlegen des Speicherorts der Ressource. Dies wird eine der unterstützten und registrierten Azure Geo-Regionen (z. B. West-USA, Ost-USA, Südostasien usw.) sein. Die Geografische Region einer Ressource kann nicht geändert werden, nachdem sie erstellt wurde, aber wenn eine identische geo-Region beim Aktualisieren angegeben wird, wird die Anforderung erfolgreich ausgeführt. | Zeichenfolge (erforderlich) |
Schilder | Dient zum Abrufen oder Festlegen einer Liste von Schlüsselwertpaaren, die die Ressource beschreiben. Diese Tags können zum Anzeigen und Gruppieren dieser Ressource (über Ressourcengruppen hinweg) verwendet werden. Für eine Ressource können maximal 15 Tags bereitgestellt werden. Jedes Tag muss einen Schlüssel mit einer Länge von maximal 128 Zeichen und einem Wert mit einer Länge von maximal 256 Zeichen aufweisen. | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
Sku | Erforderlich. Dient zum Abrufen oder Festlegen des SKU-Namens. | Sku- (erforderlich) |
Art | Erforderlich. Gibt den Typ des Speicherkontos an. | "BlobStorage" "BlockBlobStorage" 'FileStorage' "Speicher" "StorageV2" (erforderlich) |
extendedLocation | Wahlfrei. Legen Sie den erweiterten Speicherort der Ressource fest. Wenn sie nicht festgelegt ist, wird das Speicherkonto in der Azure-Hauptregion erstellt. Andernfalls wird sie am angegebenen erweiterten Speicherort erstellt. | ExtendedLocation- |
Identität | Die Identität der Ressource. | Identity |
Eigenschaften | Die Parameter, die zum Erstellen des Speicherkontos verwendet werden. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
Name | Beschreibung | Wert |
---|---|---|
Name | Der Name des erweiterten Speicherorts. | Schnur |
Art | Der Typ des erweiterten Speicherorts. | "EdgeZone" |
Identität
Name | Beschreibung | Wert |
---|---|---|
Art | Der Identitätstyp. | 'None' 'SystemAssigned' "SystemAssigned,UserAssigned" "UserAssigned" (erforderlich) |
userAssignedIdentities | Dient zum Abrufen oder Festlegen einer Liste von Schlüsselwertpaaren, die den Satz der vom Benutzer zugewiesenen Identitäten beschreiben, die mit diesem Speicherkonto verwendet werden. Der Schlüssel ist der ARM-Ressourcenbezeichner der Identität. Hier ist nur 1 Vom Benutzer zugewiesene Identität zulässig. | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
Name | Beschreibung | Wert |
---|---|---|
{angepasste Eigenschaft} | UserAssignedIdentity- |
UserAssignedIdentity
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
Name | Beschreibung | Wert |
---|---|---|
accessTier | Erforderlich für Speicherkonten, bei denen art = BlobStorage ist. Die Zugriffsebene wird für die Abrechnung verwendet. Die Zugriffsebene "Premium" ist der Standardwert für den Speichertyp "Premium-Block-Blobs", und es kann nicht für den Speichertyp des Premium-Block-BLOBs geändert werden. | "Kalt" "Cool" 'Hot' "Premium" |
allowBlobPublicAccess | Zulassen oder Verbieten des öffentlichen Zugriffs auf alle Blobs oder Container im Speicherkonto. Die Standardinterpretation ist für diese Eigenschaft falsch. | Bool |
allowCrossTenantReplication | Zulassen oder Verbieten der AAD-Mandantenobjektreplikation. Legen Sie diese Eigenschaft nur für neue oder vorhandene Konten auf "true" fest, wenn Objektreplikationsrichtlinien Speicherkonten in verschiedenen AAD-Mandanten umfassen. Die Standardinterpretation ist für neue Konten falsch, um standardmäßig die bewährten Sicherheitsmethoden zu befolgen. | Bool |
allowedCopyScope | Einschränken der Kopie auf und von Speicherkonten in einem AAD-Mandanten oder mit privaten Links zum gleichen VNet. | "AAD" "PrivateLink" |
allowSharedKeyAccess | Gibt an, ob das Speicherkonto Die Autorisierung von Anforderungen mit dem Kontozugriffsschlüssel über freigegebenen Schlüssel zulässt. Wenn false, müssen alle Anforderungen, einschließlich freigegebener Zugriffssignaturen, mit Azure Active Directory (Azure AD) autorisiert werden. Der Standardwert ist NULL, was "true" entspricht. | Bool |
azureFilesIdentityBasedAuthentication | Stellt die identitätsbasierten Authentifizierungseinstellungen für Azure Files bereit. | AzureFilesIdentityBasedAuthentication- |
customDomain | Dem Speicherkonto zugewiesene Benutzerdomäne. Name ist die CNAME-Quelle. Derzeit wird nur eine benutzerdefinierte Domäne pro Speicherkonto unterstützt. Verwenden Sie zum Löschen der vorhandenen benutzerdefinierten Domäne eine leere Zeichenfolge für die Eigenschaft für den benutzerdefinierten Domänennamen. | CustomDomain- |
defaultToOAuthAuthentication | Ein boolesches Flag, das angibt, ob die Standardauthentifizierung OAuth ist oder nicht. Die Standardinterpretation ist für diese Eigenschaft falsch. | Bool |
dnsEndpointType | Ermöglicht es Ihnen, den Endpunkttyp anzugeben. Legen Sie dies auf AzureDNSZone fest, um eine große Anzahl von Konten in einem einzelnen Abonnement zu erstellen, wodurch Konten in einer Azure DNS-Zone erstellt werden, und die Endpunkt-URL verfügt über einen alphanumerischen DNS-Zonenbezeichner. | "AzureDnsZone" "Standard" |
enableExtendedGroups | Aktiviert die erweiterte Gruppenunterstützung mit dem Feature "Lokale Benutzer", wenn diese auf "true" festgelegt ist. | Bool |
Verschlüsselung | Verschlüsselungseinstellungen, die für die serverseitige Verschlüsselung für das Speicherkonto verwendet werden sollen. | Verschlüsselungs- |
immutableStorageWithVersioning | Die Eigenschaft ist unveränderlich und kann nur zum Zeitpunkt der Kontoerstellung auf "true" festgelegt werden. Wenn dieser Wert auf "true" festgelegt ist, wird standardmäßig die Unveränderlichkeit auf Objektebene für alle neuen Container im Konto aktiviert. | ImmutableStorageAccount |
isHnsEnabled | Account HierarchicalNamespace ist aktiviert, wenn "true" festgelegt ist. | Bool |
isLocalUserEnabled | Aktiviert das Feature "Lokale Benutzer", falls auf "true" festgelegt. | Bool |
isNfsV3Enabled | DIE NFS 3.0-Protokollunterstützung ist aktiviert, wenn sie auf "true" festgelegt ist. | Bool |
isSftpEnabled | Aktiviert secure File Transfer Protocol, wenn auf "true" festgelegt | Bool |
keyPolicy | KeyPolicy, das dem Speicherkonto zugewiesen ist. | KeyPolicy- |
largeFileSharesState | Lassen Sie große Dateifreigaben zu, wenn sie auf "Aktiviert" festgelegt sind. Sie kann nicht deaktiviert werden, sobald sie aktiviert ist. | "Deaktiviert" "Aktiviert" |
minimumTlsVersion | Legen Sie die mindeste TLS-Version fest, die für Anforderungen an den Speicher zulässig ist. Die Standardinterpretation ist TLS 1.0 für diese Eigenschaft. | "TLS1_0" "TLS1_1" "TLS1_2" "TLS1_3" |
networkAcls | Netzwerkregelsatz | NetworkRuleSet- |
publicNetworkAccess | Zulassen, Verbieten oder Zulassen der Netzwerksicherheitsperimeterkonfiguration zum Auswerten des öffentlichen Netzwerkzugriffs auf das Speicherkonto. Der Wert ist optional, aber wenn er übergeben wird, muss 'Enabled', 'Disabled' oder 'SecuredByPerimeter' sein. | "Deaktiviert" "Aktiviert" "SecuredByPerimeter" |
routingPreference | Verwaltet Informationen über die vom Benutzer für die Datenübertragung gewählte Netzwerkroutingauswahl. | RoutingPreference- |
sasPolicy | SasPolicy, das dem Speicherkonto zugewiesen ist. | SasPolicy- |
supportsHttpsTrafficOnly | Ermöglicht https-Datenverkehr nur für den Speicherdienst, wenn dieser auf "true" festgelegt ist. Der Standardwert gilt seit API-Version 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
Name | Beschreibung | Wert |
---|---|---|
activeDirectoryProperties | Erforderlich, wenn directoryServiceOptions AD sind, optional, wenn sie AADKERB sind. | ActiveDirectoryProperties- |
defaultSharePermission | Standardfreigabeberechtigung für Benutzer, die kerberos-Authentifizierung verwenden, wenn keine RBAC-Rolle zugewiesen ist. | 'None' 'StorageFileDataSmbShareContributor' 'StorageFileDataSmbShareElevatedContributor' "StorageFileDataSmbShareReader" |
directoryServiceOptions | Gibt den verwendeten Verzeichnisdienst an. Beachten Sie, dass diese Enumeration in Zukunft verlängert werden kann. | "AADDS" 'AADKERB' 'AD' 'None' (erforderlich) |
ActiveDirectoryProperties
Name | Beschreibung | Wert |
---|---|---|
accountType | Gibt den Active Directory-Kontotyp für Azure Storage an. | "Computer" "Benutzer" |
azureStorageSid | Gibt die Sicherheits-ID (SID) für Azure Storage an. | Schnur |
domainGuid | Gibt die Domänen-GUID an. | Zeichenfolge (erforderlich) |
domainName | Gibt die primäre Domäne an, für die der AD-DNS-Server autoritativ ist. | Zeichenfolge (erforderlich) |
domainSid | Gibt die Sicherheits-ID (SID) an. | Schnur |
forestName | Gibt die abzurufende Active Directory-Gesamtstruktur an. | Schnur |
netBiosDomainName | Gibt den NetBIOS-Domänennamen an. | Schnur |
samAccountName | Gibt den Active Directory-SAMAccountName für Azure Storage an. | Schnur |
CustomDomain
Name | Beschreibung | Wert |
---|---|---|
Name | Ruft den benutzerdefinierten Domänennamen ab, der dem Speicherkonto zugewiesen ist, oder legt diesen fest. Name ist die CNAME-Quelle. | Zeichenfolge (erforderlich) |
useSubDomainName | Gibt an, ob die indirekte CName-Überprüfung aktiviert ist. Der Standardwert ist "false". Dies sollte nur für Updates festgelegt werden. | Bool |
Verschlüsselung
Name | Beschreibung | Wert |
---|---|---|
Identität | Die Identität, die mit dienstseitiger Verschlüsselung im Ruhezustand verwendet werden soll. | EncryptionIdentity- |
keySource | Die Verschlüsselungsschlüsselquelle (Anbieter). Mögliche Werte (Groß-/Kleinschreibung wird nicht beachtet): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
keyvaultproperties | Eigenschaften, die vom Schlüsseltresor bereitgestellt werden. | KeyVaultProperties |
requireInfrastructureEncryption | Ein boolescher Wert, der angibt, ob der Dienst eine sekundäre Verschlüsselungsebene mit plattformverwalteten Schlüsseln für ruhende Daten anwendet. | Bool |
Dienste | Liste der Dienste, die verschlüsselung unterstützen. | EncryptionServices- |
EncryptionIdentity
Name | Beschreibung | Wert |
---|---|---|
federatedIdentityClientId | ClientId der mehrinstanzenfähigen Anwendung, die in Verbindung mit der vom Benutzer zugewiesenen Identität für mandantenübergreifende serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln auf dem Speicherkonto verwendet werden soll. | Schnur |
userAssignedIdentity | Ressourcenbezeichner der UserAssigned-Identität, die serverseitige Verschlüsselung auf dem Speicherkonto zugeordnet werden soll. | Schnur |
KeyVaultProperties
Name | Beschreibung | Wert |
---|---|---|
keyname | Der Name des KeyVault-Schlüssels. | Schnur |
keyvaulturi | Der URI von KeyVault. | Schnur |
keyversion | Die Version des KeyVault-Schlüssels. | Schnur |
EncryptionServices
Name | Beschreibung | Wert |
---|---|---|
Blob | Die Verschlüsselungsfunktion des BLOB-Speicherdiensts. | EncryptionService- |
Datei | Die Verschlüsselungsfunktion des Dateispeicherdiensts. | EncryptionService- |
Schlange | Die Verschlüsselungsfunktion des Warteschlangenspeicherdiensts. | EncryptionService- |
Tisch | Die Verschlüsselungsfunktion des Tabellenspeicherdiensts. | EncryptionService- |
EncryptionService
Name | Beschreibung | Wert |
---|---|---|
ermöglichte | Ein boolescher Wert, der angibt, ob der Dienst die Daten verschlüsselt, während er gespeichert wird. Die ruhende Verschlüsselung ist heute standardmäßig aktiviert und kann nicht deaktiviert werden. | Bool |
keyType | Verschlüsselungsschlüsseltyp, der für den Verschlüsselungsdienst verwendet werden soll. Der Schlüsseltyp "Konto" impliziert, dass ein verschlüsselungsschlüssel mit Kontobereich verwendet wird. Der Schlüsseltyp "Dienst" impliziert, dass ein Standarddienstschlüssel verwendet wird. | "Konto" 'Service' |
ImmutableStorageAccount
Name | Beschreibung | Wert |
---|---|---|
ermöglichte | Ein boolesches Flag, das die Unveränderlichkeit auf Kontoebene ermöglicht. Für alle Container unter einem solchen Konto ist standardmäßig unveränderlichkeit auf Objektebene aktiviert. | Bool |
UnveränderlichkeitPolicy | Gibt die Standardmäßige Unveränderlichkeitsrichtlinie auf Kontoebene an, die geerbt und auf Objekte angewendet wird, die keine explizite Unveränderbarkeitsrichtlinie auf Objektebene besitzen. Die Unveränderlichkeitsrichtlinie auf Objektebene hat eine höhere Priorität als die Unveränderlichkeitsrichtlinie auf Containerebene, die eine höhere Priorität hat als die Unveränderbarkeitsrichtlinie auf Kontoebene. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
Name | Beschreibung | Wert |
---|---|---|
allowProtectedAppendWrites | Diese Eigenschaft kann nur für deaktivierte und entsperrte zeitbasierte Aufbewahrungsrichtlinien geändert werden. Wenn diese Option aktiviert ist, können neue Blöcke in ein Anfüge-Blob geschrieben werden und gleichzeitig unveränderlichen Schutz und Compliance beibehalten. Es können nur neue Blöcke hinzugefügt werden, und vorhandene Blöcke können nicht geändert oder gelöscht werden. | Bool |
UnveränderlichkeitPeriodSinceCreationInDays | Der Unveränderlichkeitszeitraum für die Blobs im Container seit der Richtlinienerstellung in Tagen. | Int Zwänge: Min.-Wert = 1 Maximalwert = 146000 |
Zustand | Der Status "ImmutabilityPolicy" definiert den Modus der Richtlinie. Deaktivierter Zustand deaktiviert die Richtlinie, der entsperrte Zustand ermöglicht die Erhöhung und Verringerung der Unveränderlichkeit aufbewahrungszeit und ermöglicht auch das Umschalten der AllowProtectedAppendWrites-Eigenschaft, gesperrter Zustand nur die Erhöhung der Unveränderlichkeit aufbewahrungszeit. Eine Richtlinie kann nur in einem Status "Deaktiviert" oder "Entsperrt" erstellt werden und kann zwischen den beiden Zuständen umgeschaltet werden. Nur eine Richtlinie in einem nicht gesperrten Zustand kann zu einem gesperrten Zustand wechseln, der nicht wiederhergestellt werden kann. | "Deaktiviert" "Gesperrt" "Entsperrt" |
KeyPolicy
Name | Beschreibung | Wert |
---|---|---|
keyExpirationPeriodInDays | Der Schlüsselablaufzeitraum in Tagen. | int (erforderlich) |
NetworkRuleSet
Name | Beschreibung | Wert |
---|---|---|
Umgehungsstraße | Gibt an, ob Datenverkehr für Protokollierung/Metriken/AzureServices umgangen wird. Mögliche Werte sind eine beliebige Kombination aus Protokollierung, Metriken, AzureServices (z. B. "Protokollierung, Metriken") oder "None", um keinen dieser Datenverkehre zu umgehen. | "AzureServices" "Protokollierung" "Metriken" 'None' |
defaultAction | Gibt die Standardaktion des Zulassens oder Verweigerns an, wenn keine anderen Regeln übereinstimmen. | "Zulassen" "Verweigern" (erforderlich) |
ipRules | Legt die IP-ACL-Regeln fest. | IPRule-[] |
resourceAccessRules | Legt die Regeln für den Ressourcenzugriff fest. | ResourceAccessRule-[] |
virtualNetworkRules | Legt die Regeln für virtuelle Netzwerke fest. | VirtualNetworkRule[] |
IPRule
Name | Beschreibung | Wert |
---|---|---|
Aktion | Die Aktion der IP-ACL-Regel. | "Zulassen" |
Wert | Gibt den IP- oder IP-Bereich im CIDR-Format an. Nur IPV4-Adresse ist zulässig. | Zeichenfolge (erforderlich) |
ResourceAccessRule
Name | Beschreibung | Wert |
---|---|---|
resourceId | Ressourcen-ID | Schnur |
tenantId | Mandanten-ID | Schnur |
VirtualNetworkRule
Name | Beschreibung | Wert |
---|---|---|
Aktion | Die Aktion der virtuellen Netzwerkregel. | "Zulassen" |
id | Ressourcen-ID eines Subnetzes, z. B.: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | Zeichenfolge (erforderlich) |
Zustand | Ruft den Status der virtuellen Netzwerkregel ab. | 'Deprovisioning' 'Fehler' 'NetworkSourceDeleted' 'Bereitstellung' "Erfolgreich" |
RoutingPreference
Name | Beschreibung | Wert |
---|---|---|
publishInternetEndpoints | Ein boolesches Flag, das angibt, ob Internetroutingspeicherendpunkte veröffentlicht werden sollen | Bool |
publishMicrosoftEndpoints | Ein boolesches Flag, das angibt, ob Microsoft Routing-Speicherendpunkte veröffentlicht werden sollen | Bool |
routingChoice | Die Routingauswahl definiert die Art des vom Benutzer festgelegten Netzwerkroutings. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
Name | Beschreibung | Wert |
---|---|---|
expirationAction | Die SAS-Ablaufaktion definiert die Auszuführende Aktion, wenn sasPolicy.sasExpirationPeriod verletzt wird. Die Aktion "Protokoll" kann für Überwachungszwecke verwendet werden, und die Aktion "Blockieren" kann verwendet werden, um die Verwendung von SAS-Token zu blockieren und zu verweigern, die nicht dem Ablaufzeitraum der Sas-Richtlinie entsprechen. | "Block" "Protokoll" (erforderlich) |
sasExpirationPeriod | Der SAS-Ablaufzeitraum DD.HH:MM:SS. | Zeichenfolge (erforderlich) |
Sku
Name | Beschreibung | Wert |
---|---|---|
Name | Der SKU-Name. Erforderlich für die Kontoerstellung; optional für Update. Beachten Sie, dass in älteren Versionen der SKU-Name "accountType" genannt wurde. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (erforderlich) |
Schnellstartvorlagen
Die folgenden Schnellstartvorlagen stellen diesen Ressourcentyp bereit.
Schablone | Beschreibung |
---|---|
Herstellen einer Verbindung mit einem Speicherkonto von einem virtuellen Computer über einen privaten Endpunkt |
In diesem Beispiel wird gezeigt, wie Sie eine Verbindung mit einem virtuellen Netzwerk verwenden, um über einen privaten Endpunkt auf ein BLOB-Speicherkonto zuzugreifen. |
Herstellen einer Verbindung mit einer Azure-Dateifreigabe über einen privaten Endpunkt |
In diesem Beispiel wird gezeigt, wie Sie ein virtuelles Netzwerk und eine private DNS-Zone verwenden, um über einen privaten Endpunkt auf eine Azure-Dateifreigabe zuzugreifen. |
Erstellen eines Standardspeicherkontos |
Diese Vorlage erstellt ein Standardspeicherkonto. |
Erstellen eines Speicherkontos mit SSE- |
Diese Vorlage erstellt ein Speicherkonto mit Speicherdienstverschlüsselung für ruhende Daten. |
Speicherkonto mit Advanced Threat Protection |
Mit dieser Vorlage können Sie ein Azure Storage-Konto mit aktiviertem Advanced Threat Protection bereitstellen. |
Erstellen eines Azure Storage-Kontos und eines Blob-Containers in Azure |
Diese Vorlage erstellt ein Azure Storage-Konto und einen BLOB-Container. |
Speicherkonto mit SSE- und Blob-Löschaufbewahrungsrichtlinie |
Diese Vorlage erstellt ein Speicherkonto mit Speicherdienstverschlüsselung und einer Aufbewahrungsrichtlinie für Bloblöschvorgänge. |
Azure Storage-Kontoverschlüsselung mit vom Kunden verwalteten Schlüsseln |
Diese Vorlage stellt ein Speicherkonto mit einem vom Kunden verwalteten Schlüssel für die Verschlüsselung bereit, die generiert und in einem Key Vault platziert wird. |
Erstellen eines Speicherkontos mit Dateifreigabe- |
Diese Vorlage erstellt ein Azure-Speicherkonto und eine Dateifreigabe. |
Erstellen eines Speicherkontos mit mehreren BLOB-Containern |
Erstellt ein Azure-Speicherkonto und mehrere BLOB-Container. |
Erstellen eines Speicherkontos mit mehreren Dateifreigaben |
Erstellt ein Azure-Speicherkonto und mehrere Dateifreigaben. |
Erstellen eines Speicherkontos mit aktivierter SFTP- |
Erstellt ein Azure Storage-Konto und einen BLOB-Container, auf den mithilfe des SFTP-Protokolls zugegriffen werden kann. Der Zugriff kann kennwort- oder öffentlich-schlüsselbasiert sein. |
Stellt eine statische Website |
Stellt eine statische Website mit einem Sicherungsspeicherkonto bereit. |
Terraform -Ressourcendefinition (AzAPI-Anbieter)
Der Ressourcentyp "storageAccounts" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Storage/storageAccounts-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Storage/storageAccounts@2023-05-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
accessTier = "string"
allowBlobPublicAccess = bool
allowCrossTenantReplication = bool
allowedCopyScope = "string"
allowSharedKeyAccess = bool
azureFilesIdentityBasedAuthentication = {
activeDirectoryProperties = {
accountType = "string"
azureStorageSid = "string"
domainGuid = "string"
domainName = "string"
domainSid = "string"
forestName = "string"
netBiosDomainName = "string"
samAccountName = "string"
}
defaultSharePermission = "string"
directoryServiceOptions = "string"
}
customDomain = {
name = "string"
useSubDomainName = bool
}
defaultToOAuthAuthentication = bool
dnsEndpointType = "string"
enableExtendedGroups = bool
encryption = {
identity = {
federatedIdentityClientId = "string"
userAssignedIdentity = "string"
}
keySource = "string"
keyvaultproperties = {
keyname = "string"
keyvaulturi = "string"
keyversion = "string"
}
requireInfrastructureEncryption = bool
services = {
blob = {
enabled = bool
keyType = "string"
}
file = {
enabled = bool
keyType = "string"
}
queue = {
enabled = bool
keyType = "string"
}
table = {
enabled = bool
keyType = "string"
}
}
}
immutableStorageWithVersioning = {
enabled = bool
immutabilityPolicy = {
allowProtectedAppendWrites = bool
immutabilityPeriodSinceCreationInDays = int
state = "string"
}
}
isHnsEnabled = bool
isLocalUserEnabled = bool
isNfsV3Enabled = bool
isSftpEnabled = bool
keyPolicy = {
keyExpirationPeriodInDays = int
}
largeFileSharesState = "string"
minimumTlsVersion = "string"
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
action = "Allow"
value = "string"
}
]
resourceAccessRules = [
{
resourceId = "string"
tenantId = "string"
}
]
virtualNetworkRules = [
{
action = "Allow"
id = "string"
state = "string"
}
]
}
publicNetworkAccess = "string"
routingPreference = {
publishInternetEndpoints = bool
publishMicrosoftEndpoints = bool
routingChoice = "string"
}
sasPolicy = {
expirationAction = "string"
sasExpirationPeriod = "string"
}
supportsHttpsTrafficOnly = bool
}
sku = {
name = "string"
}
kind = "string"
extendedLocation = {
name = "string"
type = "EdgeZone"
}
})
}
Eigenschaftswerte
storageAccounts
Name | Beschreibung | Wert |
---|---|---|
Art | Der Ressourcentyp | "Microsoft.Storage/storageAccounts@2023-05-01" |
Name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 3-24 Gültige Zeichen: Kleinbuchstaben und Zahlen. Der Ressourcenname muss in Azure eindeutig sein. |
Ort | Erforderlich. Dient zum Abrufen oder Festlegen des Speicherorts der Ressource. Dies wird eine der unterstützten und registrierten Azure Geo-Regionen (z. B. West-USA, Ost-USA, Südostasien usw.) sein. Die Geografische Region einer Ressource kann nicht geändert werden, nachdem sie erstellt wurde, aber wenn eine identische geo-Region beim Aktualisieren angegeben wird, wird die Anforderung erfolgreich ausgeführt. | Zeichenfolge (erforderlich) |
parent_id | Verwenden Sie die ID dieser Ressourcengruppe, um sie in einer Ressourcengruppe bereitzustellen. | Zeichenfolge (erforderlich) |
Schilder | Dient zum Abrufen oder Festlegen einer Liste von Schlüsselwertpaaren, die die Ressource beschreiben. Diese Tags können zum Anzeigen und Gruppieren dieser Ressource (über Ressourcengruppen hinweg) verwendet werden. Für eine Ressource können maximal 15 Tags bereitgestellt werden. Jedes Tag muss einen Schlüssel mit einer Länge von maximal 128 Zeichen und einem Wert mit einer Länge von maximal 256 Zeichen aufweisen. | Wörterbuch der Tagnamen und -werte. |
Sku | Erforderlich. Dient zum Abrufen oder Festlegen des SKU-Namens. | Sku- (erforderlich) |
Art | Erforderlich. Gibt den Typ des Speicherkontos an. | "BlobStorage" "BlockBlobStorage" "FileStorage" "Speicher" "StorageV2" (erforderlich) |
extendedLocation | Wahlfrei. Legen Sie den erweiterten Speicherort der Ressource fest. Wenn sie nicht festgelegt ist, wird das Speicherkonto in der Azure-Hauptregion erstellt. Andernfalls wird sie am angegebenen erweiterten Speicherort erstellt. | ExtendedLocation- |
Identität | Die Identität der Ressource. | Identity |
Eigenschaften | Die Parameter, die zum Erstellen des Speicherkontos verwendet werden. | StorageAccountPropertiesCreateParametersOrStorageAcc... |
ExtendedLocation
Name | Beschreibung | Wert |
---|---|---|
Name | Der Name des erweiterten Speicherorts. | Schnur |
Art | Der Typ des erweiterten Speicherorts. | "EdgeZone" |
Identität
Name | Beschreibung | Wert |
---|---|---|
Art | Der Identitätstyp. | "SystemAssigned" "SystemAssigned,UserAssigned" "UserAssigned" (erforderlich) |
identity_ids | Dient zum Abrufen oder Festlegen einer Liste von Schlüsselwertpaaren, die den Satz der vom Benutzer zugewiesenen Identitäten beschreiben, die mit diesem Speicherkonto verwendet werden. Der Schlüssel ist der ARM-Ressourcenbezeichner der Identität. Hier ist nur 1 Vom Benutzer zugewiesene Identität zulässig. | Array von Benutzeridentitäts-IDs. |
IdentityUserAssignedIdentities
Name | Beschreibung | Wert |
---|---|---|
{angepasste Eigenschaft} | UserAssignedIdentity- |
UserAssignedIdentity
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
StorageAccountPropertiesCreateParametersOrStorageAcc...
Name | Beschreibung | Wert |
---|---|---|
accessTier | Erforderlich für Speicherkonten, bei denen art = BlobStorage ist. Die Zugriffsebene wird für die Abrechnung verwendet. Die Zugriffsebene "Premium" ist der Standardwert für den Speichertyp "Premium-Block-Blobs", und es kann nicht für den Speichertyp des Premium-Block-BLOBs geändert werden. | "Kalt" "Cool" "Hot" "Premium" |
allowBlobPublicAccess | Zulassen oder Verbieten des öffentlichen Zugriffs auf alle Blobs oder Container im Speicherkonto. Die Standardinterpretation ist für diese Eigenschaft falsch. | Bool |
allowCrossTenantReplication | Zulassen oder Verbieten der AAD-Mandantenobjektreplikation. Legen Sie diese Eigenschaft nur für neue oder vorhandene Konten auf "true" fest, wenn Objektreplikationsrichtlinien Speicherkonten in verschiedenen AAD-Mandanten umfassen. Die Standardinterpretation ist für neue Konten falsch, um standardmäßig die bewährten Sicherheitsmethoden zu befolgen. | Bool |
allowedCopyScope | Einschränken der Kopie auf und von Speicherkonten in einem AAD-Mandanten oder mit privaten Links zum gleichen VNet. | "AAD" "PrivateLink" |
allowSharedKeyAccess | Gibt an, ob das Speicherkonto Die Autorisierung von Anforderungen mit dem Kontozugriffsschlüssel über freigegebenen Schlüssel zulässt. Wenn false, müssen alle Anforderungen, einschließlich freigegebener Zugriffssignaturen, mit Azure Active Directory (Azure AD) autorisiert werden. Der Standardwert ist NULL, was "true" entspricht. | Bool |
azureFilesIdentityBasedAuthentication | Stellt die identitätsbasierten Authentifizierungseinstellungen für Azure Files bereit. | AzureFilesIdentityBasedAuthentication- |
customDomain | Dem Speicherkonto zugewiesene Benutzerdomäne. Name ist die CNAME-Quelle. Derzeit wird nur eine benutzerdefinierte Domäne pro Speicherkonto unterstützt. Verwenden Sie zum Löschen der vorhandenen benutzerdefinierten Domäne eine leere Zeichenfolge für die Eigenschaft für den benutzerdefinierten Domänennamen. | CustomDomain- |
defaultToOAuthAuthentication | Ein boolesches Flag, das angibt, ob die Standardauthentifizierung OAuth ist oder nicht. Die Standardinterpretation ist für diese Eigenschaft falsch. | Bool |
dnsEndpointType | Ermöglicht es Ihnen, den Endpunkttyp anzugeben. Legen Sie dies auf AzureDNSZone fest, um eine große Anzahl von Konten in einem einzelnen Abonnement zu erstellen, wodurch Konten in einer Azure DNS-Zone erstellt werden, und die Endpunkt-URL verfügt über einen alphanumerischen DNS-Zonenbezeichner. | "AzureDnsZone" "Standard" |
enableExtendedGroups | Aktiviert die erweiterte Gruppenunterstützung mit dem Feature "Lokale Benutzer", wenn diese auf "true" festgelegt ist. | Bool |
Verschlüsselung | Verschlüsselungseinstellungen, die für die serverseitige Verschlüsselung für das Speicherkonto verwendet werden sollen. | Verschlüsselungs- |
immutableStorageWithVersioning | Die Eigenschaft ist unveränderlich und kann nur zum Zeitpunkt der Kontoerstellung auf "true" festgelegt werden. Wenn dieser Wert auf "true" festgelegt ist, wird standardmäßig die Unveränderlichkeit auf Objektebene für alle neuen Container im Konto aktiviert. | ImmutableStorageAccount |
isHnsEnabled | Account HierarchicalNamespace ist aktiviert, wenn "true" festgelegt ist. | Bool |
isLocalUserEnabled | Aktiviert das Feature "Lokale Benutzer", falls auf "true" festgelegt. | Bool |
isNfsV3Enabled | DIE NFS 3.0-Protokollunterstützung ist aktiviert, wenn sie auf "true" festgelegt ist. | Bool |
isSftpEnabled | Aktiviert secure File Transfer Protocol, wenn auf "true" festgelegt | Bool |
keyPolicy | KeyPolicy, das dem Speicherkonto zugewiesen ist. | KeyPolicy- |
largeFileSharesState | Lassen Sie große Dateifreigaben zu, wenn sie auf "Aktiviert" festgelegt sind. Sie kann nicht deaktiviert werden, sobald sie aktiviert ist. | "Deaktiviert" "Aktiviert" |
minimumTlsVersion | Legen Sie die mindeste TLS-Version fest, die für Anforderungen an den Speicher zulässig ist. Die Standardinterpretation ist TLS 1.0 für diese Eigenschaft. | "TLS1_0" "TLS1_1" "TLS1_2" "TLS1_3" |
networkAcls | Netzwerkregelsatz | NetworkRuleSet- |
publicNetworkAccess | Zulassen, Verbieten oder Zulassen der Netzwerksicherheitsperimeterkonfiguration zum Auswerten des öffentlichen Netzwerkzugriffs auf das Speicherkonto. Der Wert ist optional, aber wenn er übergeben wird, muss 'Enabled', 'Disabled' oder 'SecuredByPerimeter' sein. | "Deaktiviert" "Aktiviert" "SecuredByPerimeter" |
routingPreference | Verwaltet Informationen über die vom Benutzer für die Datenübertragung gewählte Netzwerkroutingauswahl. | RoutingPreference- |
sasPolicy | SasPolicy, das dem Speicherkonto zugewiesen ist. | SasPolicy- |
supportsHttpsTrafficOnly | Ermöglicht https-Datenverkehr nur für den Speicherdienst, wenn dieser auf "true" festgelegt ist. Der Standardwert gilt seit API-Version 2019-04-01. | Bool |
AzureFilesIdentityBasedAuthentication
Name | Beschreibung | Wert |
---|---|---|
activeDirectoryProperties | Erforderlich, wenn directoryServiceOptions AD sind, optional, wenn sie AADKERB sind. | ActiveDirectoryProperties- |
defaultSharePermission | Standardfreigabeberechtigung für Benutzer, die kerberos-Authentifizierung verwenden, wenn keine RBAC-Rolle zugewiesen ist. | "Keine" "StorageFileDataSmbShareContributor" "StorageFileDataSmbShareElevatedContributor" "StorageFileDataSmbShareReader" |
directoryServiceOptions | Gibt den verwendeten Verzeichnisdienst an. Beachten Sie, dass diese Enumeration in Zukunft verlängert werden kann. | "AADDS" "AADKERB" "AD" "None" (erforderlich) |
ActiveDirectoryProperties
Name | Beschreibung | Wert |
---|---|---|
accountType | Gibt den Active Directory-Kontotyp für Azure Storage an. | "Computer" "Benutzer" |
azureStorageSid | Gibt die Sicherheits-ID (SID) für Azure Storage an. | Schnur |
domainGuid | Gibt die Domänen-GUID an. | Zeichenfolge (erforderlich) |
domainName | Gibt die primäre Domäne an, für die der AD-DNS-Server autoritativ ist. | Zeichenfolge (erforderlich) |
domainSid | Gibt die Sicherheits-ID (SID) an. | Schnur |
forestName | Gibt die abzurufende Active Directory-Gesamtstruktur an. | Schnur |
netBiosDomainName | Gibt den NetBIOS-Domänennamen an. | Schnur |
samAccountName | Gibt den Active Directory-SAMAccountName für Azure Storage an. | Schnur |
CustomDomain
Name | Beschreibung | Wert |
---|---|---|
Name | Ruft den benutzerdefinierten Domänennamen ab, der dem Speicherkonto zugewiesen ist, oder legt diesen fest. Name ist die CNAME-Quelle. | Zeichenfolge (erforderlich) |
useSubDomainName | Gibt an, ob die indirekte CName-Überprüfung aktiviert ist. Der Standardwert ist "false". Dies sollte nur für Updates festgelegt werden. | Bool |
Verschlüsselung
Name | Beschreibung | Wert |
---|---|---|
Identität | Die Identität, die mit dienstseitiger Verschlüsselung im Ruhezustand verwendet werden soll. | EncryptionIdentity- |
keySource | Die Verschlüsselungsschlüsselquelle (Anbieter). Mögliche Werte (Groß-/Kleinschreibung wird nicht beachtet): Microsoft.Storage, Microsoft.Keyvault | "Microsoft.Keyvault" "Microsoft.Storage" |
keyvaultproperties | Eigenschaften, die vom Schlüsseltresor bereitgestellt werden. | KeyVaultProperties |
requireInfrastructureEncryption | Ein boolescher Wert, der angibt, ob der Dienst eine sekundäre Verschlüsselungsebene mit plattformverwalteten Schlüsseln für ruhende Daten anwendet. | Bool |
Dienste | Liste der Dienste, die verschlüsselung unterstützen. | EncryptionServices- |
EncryptionIdentity
Name | Beschreibung | Wert |
---|---|---|
federatedIdentityClientId | ClientId der mehrinstanzenfähigen Anwendung, die in Verbindung mit der vom Benutzer zugewiesenen Identität für mandantenübergreifende serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln auf dem Speicherkonto verwendet werden soll. | Schnur |
userAssignedIdentity | Ressourcenbezeichner der UserAssigned-Identität, die serverseitige Verschlüsselung auf dem Speicherkonto zugeordnet werden soll. | Schnur |
KeyVaultProperties
Name | Beschreibung | Wert |
---|---|---|
keyname | Der Name des KeyVault-Schlüssels. | Schnur |
keyvaulturi | Der URI von KeyVault. | Schnur |
keyversion | Die Version des KeyVault-Schlüssels. | Schnur |
EncryptionServices
Name | Beschreibung | Wert |
---|---|---|
Blob | Die Verschlüsselungsfunktion des BLOB-Speicherdiensts. | EncryptionService- |
Datei | Die Verschlüsselungsfunktion des Dateispeicherdiensts. | EncryptionService- |
Schlange | Die Verschlüsselungsfunktion des Warteschlangenspeicherdiensts. | EncryptionService- |
Tisch | Die Verschlüsselungsfunktion des Tabellenspeicherdiensts. | EncryptionService- |
EncryptionService
Name | Beschreibung | Wert |
---|---|---|
ermöglichte | Ein boolescher Wert, der angibt, ob der Dienst die Daten verschlüsselt, während er gespeichert wird. Die ruhende Verschlüsselung ist heute standardmäßig aktiviert und kann nicht deaktiviert werden. | Bool |
keyType | Verschlüsselungsschlüsseltyp, der für den Verschlüsselungsdienst verwendet werden soll. Der Schlüsseltyp "Konto" impliziert, dass ein verschlüsselungsschlüssel mit Kontobereich verwendet wird. Der Schlüsseltyp "Dienst" impliziert, dass ein Standarddienstschlüssel verwendet wird. | "Konto" "Service" |
ImmutableStorageAccount
Name | Beschreibung | Wert |
---|---|---|
ermöglichte | Ein boolesches Flag, das die Unveränderlichkeit auf Kontoebene ermöglicht. Für alle Container unter einem solchen Konto ist standardmäßig unveränderlichkeit auf Objektebene aktiviert. | Bool |
UnveränderlichkeitPolicy | Gibt die Standardmäßige Unveränderlichkeitsrichtlinie auf Kontoebene an, die geerbt und auf Objekte angewendet wird, die keine explizite Unveränderbarkeitsrichtlinie auf Objektebene besitzen. Die Unveränderlichkeitsrichtlinie auf Objektebene hat eine höhere Priorität als die Unveränderlichkeitsrichtlinie auf Containerebene, die eine höhere Priorität hat als die Unveränderbarkeitsrichtlinie auf Kontoebene. | AccountImmutabilityPolicyProperties |
AccountImmutabilityPolicyProperties
Name | Beschreibung | Wert |
---|---|---|
allowProtectedAppendWrites | Diese Eigenschaft kann nur für deaktivierte und entsperrte zeitbasierte Aufbewahrungsrichtlinien geändert werden. Wenn diese Option aktiviert ist, können neue Blöcke in ein Anfüge-Blob geschrieben werden und gleichzeitig unveränderlichen Schutz und Compliance beibehalten. Es können nur neue Blöcke hinzugefügt werden, und vorhandene Blöcke können nicht geändert oder gelöscht werden. | Bool |
UnveränderlichkeitPeriodSinceCreationInDays | Der Unveränderlichkeitszeitraum für die Blobs im Container seit der Richtlinienerstellung in Tagen. | Int Zwänge: Min.-Wert = 1 Maximalwert = 146000 |
Zustand | Der Status "ImmutabilityPolicy" definiert den Modus der Richtlinie. Deaktivierter Zustand deaktiviert die Richtlinie, der entsperrte Zustand ermöglicht die Erhöhung und Verringerung der Unveränderlichkeit aufbewahrungszeit und ermöglicht auch das Umschalten der AllowProtectedAppendWrites-Eigenschaft, gesperrter Zustand nur die Erhöhung der Unveränderlichkeit aufbewahrungszeit. Eine Richtlinie kann nur in einem Status "Deaktiviert" oder "Entsperrt" erstellt werden und kann zwischen den beiden Zuständen umgeschaltet werden. Nur eine Richtlinie in einem nicht gesperrten Zustand kann zu einem gesperrten Zustand wechseln, der nicht wiederhergestellt werden kann. | "Deaktiviert" "Gesperrt" "Entsperrt" |
KeyPolicy
Name | Beschreibung | Wert |
---|---|---|
keyExpirationPeriodInDays | Der Schlüsselablaufzeitraum in Tagen. | int (erforderlich) |
NetworkRuleSet
Name | Beschreibung | Wert |
---|---|---|
Umgehungsstraße | Gibt an, ob Datenverkehr für Protokollierung/Metriken/AzureServices umgangen wird. Mögliche Werte sind eine beliebige Kombination aus Protokollierung, Metriken, AzureServices (z. B. "Protokollierung, Metriken") oder "None", um keinen dieser Datenverkehre zu umgehen. | "AzureServices" "Protokollierung" "Metriken" "Keine" |
defaultAction | Gibt die Standardaktion des Zulassens oder Verweigerns an, wenn keine anderen Regeln übereinstimmen. | "Zulassen" "Verweigern" (erforderlich) |
ipRules | Legt die IP-ACL-Regeln fest. | IPRule-[] |
resourceAccessRules | Legt die Regeln für den Ressourcenzugriff fest. | ResourceAccessRule-[] |
virtualNetworkRules | Legt die Regeln für virtuelle Netzwerke fest. | VirtualNetworkRule[] |
IPRule
Name | Beschreibung | Wert |
---|---|---|
Aktion | Die Aktion der IP-ACL-Regel. | "Zulassen" |
Wert | Gibt den IP- oder IP-Bereich im CIDR-Format an. Nur IPV4-Adresse ist zulässig. | Zeichenfolge (erforderlich) |
ResourceAccessRule
Name | Beschreibung | Wert |
---|---|---|
resourceId | Ressourcen-ID | Schnur |
tenantId | Mandanten-ID | Schnur |
VirtualNetworkRule
Name | Beschreibung | Wert |
---|---|---|
Aktion | Die Aktion der virtuellen Netzwerkregel. | "Zulassen" |
id | Ressourcen-ID eines Subnetzes, z. B.: /subscriptions/{subscriptionId}/resourceGroups/{groupName}/providers/Microsoft.Network/virtualNetworks/{vnetName}/subnets/{subnetName}. | Zeichenfolge (erforderlich) |
Zustand | Ruft den Status der virtuellen Netzwerkregel ab. | "Deprovisioning" "Fehlgeschlagen" "NetworkSourceDeleted" "Bereitstellung" "Erfolgreich" |
RoutingPreference
Name | Beschreibung | Wert |
---|---|---|
publishInternetEndpoints | Ein boolesches Flag, das angibt, ob Internetroutingspeicherendpunkte veröffentlicht werden sollen | Bool |
publishMicrosoftEndpoints | Ein boolesches Flag, das angibt, ob Microsoft Routing-Speicherendpunkte veröffentlicht werden sollen | Bool |
routingChoice | Die Routingauswahl definiert die Art des vom Benutzer festgelegten Netzwerkroutings. | "InternetRouting" "MicrosoftRouting" |
SasPolicy
Name | Beschreibung | Wert |
---|---|---|
expirationAction | Die SAS-Ablaufaktion definiert die Auszuführende Aktion, wenn sasPolicy.sasExpirationPeriod verletzt wird. Die Aktion "Protokoll" kann für Überwachungszwecke verwendet werden, und die Aktion "Blockieren" kann verwendet werden, um die Verwendung von SAS-Token zu blockieren und zu verweigern, die nicht dem Ablaufzeitraum der Sas-Richtlinie entsprechen. | "Blockieren" "Protokoll" (erforderlich) |
sasExpirationPeriod | Der SAS-Ablaufzeitraum DD.HH:MM:SS. | Zeichenfolge (erforderlich) |
Sku
Name | Beschreibung | Wert |
---|---|---|
Name | Der SKU-Name. Erforderlich für die Kontoerstellung; optional für Update. Beachten Sie, dass in älteren Versionen der SKU-Name "accountType" genannt wurde. | "Premium_LRS" "Premium_ZRS" "Standard_GRS" "Standard_GZRS" "Standard_LRS" "Standard_RAGRS" "Standard_RAGZRS" "Standard_ZRS" (erforderlich) |