Microsoft.KeyVault コンテナー 2023-02-01
Bicep リソース定義
コンテナーのリソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループ - リソース グループのデプロイ コマンドを参照してください
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
注釈
セキュリティで保護された値にキー コンテナーを使用する方法については、「 Bicep を使用してシークレットを管理する」を参照してください。
シークレットの作成に関するクイックスタートについては、「クイックスタート: ARM テンプレートを使用して Azure Key Vaultからシークレットを設定して取得する」を参照してください。
キーの作成に関するクイックスタートについては、「 クイックスタート: ARM テンプレートを使用して Azure キー コンテナーとキーを作成する」を参照してください。
リソース形式
Microsoft.KeyVault/vaults リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.KeyVault/vaults@2023-02-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'A'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
}
プロパティ値
vaults
名前 | 説明 | 値 |
---|---|---|
name | リソース名 | string (必須) 文字制限: 3 から 24 有効な文字: 英数字とハイフン。 文字で開始します。 文字または数字で終了します。 連続するハイフンを含めることはできません。 リソース名は、Azure 全体で一意である必要があります。 |
location | キー コンテナーを作成する必要がある、サポートされている Azure の場所。 | string (必須) |
tags | キー コンテナーに割り当てられるタグ。 | タグの名前と値のディクショナリ。 「テンプレート内のタグ」を参照してください |
properties | コンテナーのプロパティ | VaultProperties (必須) |
VaultProperties
名前 | 説明 | 値 |
---|---|---|
accessPolicies | キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 が にrecover 設定されている場合createMode 、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 |
AccessPolicyEntry[] |
createMode | コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 | 'default' 'recover' |
enabledForDeployment | キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machinesで取得できるかどうかを指定するプロパティ。 | [bool] |
enabledForDiskEncryption | コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 | [bool] |
enabledForTemplateDeployment | キー コンテナーからシークレットを取得するために Azure Resource Managerを許可するかどうかを指定するプロパティ。 | [bool] |
enablePurgeProtection | このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護がアクティブになります。Key Vault サービスのみが、回復不可能なハード削除を開始する可能性があります。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、 プロパティは false をその値として受け入れられません。 | [bool] |
enableRbacAuthorization | データ アクションの承認方法を制御するプロパティ。 true の場合、キー コンテナーはデータ アクションの承認にロール ベースのAccess Control (RBAC) を使用し、コンテナーのプロパティで指定されたアクセス ポリシーは無視されます。 false の場合、キー コンテナーはコンテナーのプロパティで指定されたアクセス ポリシーを使用し、Azure Resource Managerに格納されているすべてのポリシーは無視されます。 null または指定されていない場合、コンテナーは既定値 false で作成されます。 管理アクションは常に RBAC で承認されることに注意してください。 | [bool] |
enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 新しいキー コンテナーを作成するときに値 (true または false) に設定されていない場合、既定では true に設定されます。 true に設定すると、false に戻すことはできません。 | [bool] |
networkAcls | 特定のネットワークの場所からのキー コンテナーのアクセシビリティを制御する規則。 | NetworkRuleSet |
provisioningState | コンテナーのプロビジョニング状態。 | 'RegisteringDns' 'Succeeded' |
publicNetworkAccess | コンテナーがパブリック インターネットからのトラフィックを受け入れるかどうかを指定するプロパティ。 プライベート エンドポイント トラフィックを除くすべてのトラフィックを "無効" に設定した場合、信頼されたサービスから送信されたトラフィックはブロックされます。 これにより、設定されたファイアウォール規則がオーバーライドされます。つまり、ファイアウォール規則が存在する場合でも、規則は適用されません。 | string |
sku | SKU の詳細 | Sku (必須) |
softDeleteRetentionInDays | softDelete データ保持日数。 =7 と <=90 を受け入れます>。 | INT |
tenantId | キー コンテナーへの要求を認証するために使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | キーとシークレットに対して操作を実行するためのコンテナーの URI。 | string |
AccessPolicyEntry
名前 | 説明 | 値 |
---|---|---|
applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | string 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧に関して一意である必要があります。 | string (必須) |
権限 | ID がキー、シークレット、証明書に対して持つアクセス許可。 | アクセス許可 (必須) |
tenantId | キー コンテナーへの要求を認証するために使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
アクセス許可
名前 | 説明 | 値 |
---|---|---|
certificates | 証明書に対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
secrets | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
storage | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
名前 | 説明 | 値 |
---|---|---|
バイパス | ネットワーク 規則をバイパスできるトラフィックを示します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 | 'AzureServices' 'None' |
defaultAction | ipRules と virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 | 'Allow' 'Deny' |
ipRules | IP アドレス規則の一覧。 | IPRule[] |
virtualNetworkRules | 仮想ネットワーク規則の一覧。 | VirtualNetworkRule[] |
IPRule
名前 | 説明 | 値 |
---|---|---|
value | CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 | string (必須) |
VirtualNetworkRule
名前 | 説明 | 値 |
---|---|---|
id | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 | string (必須) |
ignoreMissingVnetServiceEndpoint | 親サブネットに serviceEndpoints が構成されている場合に NRP がチェックを無視するかどうかを指定するプロパティ。 | [bool] |
Sku
名前 | 説明 | 値 |
---|---|---|
family | SKU ファミリ名 | 'A' (必須) |
name | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | 'Premium' 'standard' (必須) |
クイック スタート テンプレート
次のクイックスタート テンプレートでは、このリソースの種類をデプロイします。
Template | 説明 |
---|---|
AZURE 用 SAS 9.4 と Viya クイック スタート テンプレート |
Sas® 9.4 と Viya QuickStart Template for Azure は、これらの製品をクラウドにデプロイします。SAS Enterprise BI Server 9.4、SAS®® Enterprise Miner 15.1、SAS® Visual Analytics 8.5 on Linux、Sas® Visual Data Mining and Machine Learning 8.5 on Linux for Viya。 このクイックスタートは、クラウドに優しいテクノロジを使用して SAS® 9.4 と Viya の組み合わせを Azure にデプロイするユーザー向けの参照アーキテクチャです。 Azure に SAS® プラットフォームをデプロイすると、SAS® 9.4 環境と Viya 環境の統合環境が得られ、両方の環境を活用できます。 SAS® Viya は、クラウド対応のメモリ内分析エンジンです。 エラスティックでスケーラブルでフォールト トレラントな処理を使用して、複雑な分析の課題に対処します。 SAS® Viya は、SAS®、Python、R、Java、Lua でのプログラミングをサポートする標準化されたコード ベースを使用して、分析の処理を高速化します。 また、クラウド、オンプレミス、またはハイブリッド環境をサポートし、任意のインフラストラクチャまたはアプリケーション エコシステムにシームレスにデプロイします。 |
NAT ゲートウェイとApplication Gatewayを備えた AKS クラスター |
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用のApplication Gatewayを使用して AKS クラスターをデプロイする方法を示します。 |
パブリック DNS ゾーンを使用してプライベート AKS クラスターを作成する |
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。 |
Azure アーキテクチャで Sports Analytics をデプロイする |
ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウント (デプロイされている場合はAzure SQL Database) のリンクされたサービスを持つAzure Data Factory インスタンス、および Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントに対するストレージ BLOB データ共同作成者ロールが付与されます。 また、Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミングユース ケース用) をデプロイするオプションもあります。 Azure Key Vaultがデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に、Key Vault シークレット ユーザー ロールが付与されます。 |
Azure Machine Learning ワークスペース |
このテンプレートは、暗号化されたストレージ アカウント、KeyVault、Applications Insights ログと共に、新しい Azure Machine Learning ワークスペースを作成します |
KeyVault を作成する |
このモジュールでは、apiVersion 2019-09-01 を使用して KeyVault リソースを作成します。 |
KeyVault から SSL を使用してAPI Management サービスを作成する |
このテンプレートは、ユーザー割り当て ID で構成されたAPI Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。 |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。 |
Azure Stack HCI 23H2 クラスターを作成する |
このテンプレートでは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
ギャラリー イメージから新しい暗号化された Windows VM を作成する |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化された Windows VM を作成します。 |
ギャラリー イメージから新しい暗号化されたマネージド ディスク win-vm を作成する |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化されたマネージド ディスク Windows VM を作成します。 |
このテンプレートは、実行中の Windows VMSS を暗号化します |
このテンプレートを使用すると、実行中の Windows VM スケール セットでの暗号化が有効になります |
実行中の Windows VM で暗号化を有効にする |
このテンプレートを使用すると、実行中の Windows VM での暗号化が有効になります。 |
ジャンプボックスを使用して新しい Windows VMSS を作成して暗号化する |
このテンプレートを使用すると、最新のパッチが適用されたバージョンのサーバー Windows バージョンを使用して、Windows VM の単純な VM スケール セットをデプロイできます。 このテンプレートでは、同じ仮想ネットワークにパブリック IP アドレスを持つジャンプボックスもデプロイされます。 このパブリック IP アドレスを使用してジャンプボックスに接続し、そこからプライベート IP アドレスを介してスケール セット内の VM に接続できます。このテンプレートを使用すると、Windows VM の VM スケール セットでの暗号化が有効になります。 |
Azure Key Vault とシークレットを作成する |
このテンプレートでは、Azure Key Vaultとシークレットを作成します。 |
RBAC とシークレットを使用して Azure Key Vaultを作成する |
このテンプレートでは、Azure Key Vaultとシークレットを作成します。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します |
キー コンテナー、マネージド ID、ロールの割り当てを作成する |
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てを作成します。 |
プライベート エンドポイント経由でKey Vaultに接続する |
このサンプルでは、仮想ネットワークとプライベート DNS ゾーンを構成して、プライベート エンドポイント経由でKey Vaultにアクセスする方法を示します。 |
Key Vault とシークレットの一覧を作成する |
このテンプレートは、パラメーターと共に渡されたKey Vaultとキー コンテナー内のシークレットの一覧を作成します |
ログ記録を有効にしてKey Vaultを作成する |
このテンプレートは、ログ記録に使用される Azure Key Vaultと Azure Storage アカウントを作成します。 必要に応じて、Key Vaultとストレージ リソースを保護するためのリソース ロックを作成します。 |
データストアに複数のデータセットを含む AML ワークスペース & 作成する |
このテンプレートは、データストア & 複数のデータセットを含む Azure Machine Learning ワークスペースを作成します。 |
Azure Machine Learning のエンドツーエンドのセキュリティで保護されたセットアップ |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンドツーエンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、アタッチされたプライベート AKS クラスターが含まれます。 |
Azure Machine Learning のエンドツーエンドのセキュリティで保護されたセットアップ (レガシ) |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンドツーエンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、アタッチされたプライベート AKS クラスターが含まれます。 |
プライベート IP アドレスを使用して AKS コンピューティング 先を作成する |
このテンプレートでは、プライベート IP アドレスを使用して、特定の Azure Machine Learning サービス ワークスペースに AKS コンピューティング ターゲットを作成します。 |
Azure Machine Learning service ワークスペースを作成する |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースと、Azure Key Vault、Azure Storage、Azure アプリケーション Insights、Azure Container Registryなどの関連リソースを指定します。 この構成では、Azure Machine Learning の使用を開始するために必要な最小限のリソース セットについて説明します。 |
Azure Machine Learning Service ワークスペース (CMK) を作成する |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースと、Azure Key Vault、Azure Storage、Azure アプリケーション Insights、Azure Container Registryなどの関連リソースを指定します。 この例では、カスタマー マネージド暗号化キーを使用した暗号化用に Azure Machine Learning を構成する方法を示します。 |
Azure Machine Learning Service ワークスペース (vnet) を作成する |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースと、Azure Key Vault、Azure Storage、Azure アプリケーション Insights、Azure Container Registryなどの関連リソースを指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
Azure Machine Learning Service ワークスペースを作成する (レガシ) |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースと、Azure Key Vault、Azure Storage、Azure アプリケーション Insights、Azure Container Registryなどの関連リソースを指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
Application Gateway イングレス コントローラーを使用する AKS クラスター |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vaultを使用して AKS クラスターをデプロイする方法を示します |
Key Vaultを使用してApplication Gateway V2 を作成する |
このテンプレートは、Application Gateway V2 をVirtual Network、ユーザー定義 ID、Key Vault、シークレット (証明書データ)、アクセス ポリシーをKey VaultおよびApplication Gatewayにデプロイします。 |
Azure Firewall Premium のテスト環境 |
このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を使用して、Azure Firewall Premium およびファイアウォール ポリシーを作成します |
証明書を使用してApplication Gatewayを作成する |
このテンプレートでは、自己署名証明書Key Vault生成してから、Application Gatewayから参照する方法を示します。 |
カスタマー マネージド キーを使用した Azure Storage アカウントの暗号化 |
このテンプレートは、生成され、Key Vault内に配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。 |
Azure SQL バックエンドを使用したApp Service Environment |
このテンプレートでは、プライベート/分離環境で通常使用される関連リソースと共に、プライベート エンドポイントと共に、Azure SQL バックエンドを含むApp Service Environmentを作成します。 |
Azure 関数アプリと HTTP によってトリガーされる関数 |
この例では、Azure 関数アプリと HTTP によってトリガーされる関数をテンプレートにインラインでデプロイします。 また、Key Vaultをデプロイし、シークレットに関数アプリのホスト キーを設定します。 |
内部API Managementと Web アプリを使用したApplication Gateway |
Application Gateway、Azure Web アプリでホストされている Web API をサービスする仮想ネットワーク (内部モード) API Managementインスタンスにインターネット トラフィックをルーティングします。 |
ARM テンプレート リソース定義
コンテナーのリソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループ - リソース グループのデプロイ コマンドに関するページを参照してください
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
注釈
セキュリティで保護された値にキー コンテナーを使用する方法のガイダンスについては、「 Bicep を使用してシークレットを管理する」を参照してください。
シークレットの作成に関するクイックスタートについては、「クイックスタート: ARM テンプレートを使用して Azure Key Vaultからシークレットを設定および取得する」を参照してください。
キーの作成に関するクイックスタートについては、「 クイックスタート: ARM テンプレートを使用して Azure キー コンテナーとキーを作成する」を参照してください。
リソース形式
Microsoft.KeyVault/vaults リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-02-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "A",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
}
}
プロパティ値
vaults
名前 | 説明 | 値 |
---|---|---|
type | リソースの種類 | 'Microsoft.KeyVault/vaults' |
apiVersion | リソース API のバージョン | '2023-02-01' |
name | リソース名 | string (必須) 文字数制限: 3 から 24 有効な文字: 英数字とハイフン。 文字で開始します。 文字または数字で終了します。 連続するハイフンを含めることはできません。 リソース名は、Azure 全体で一意である必要があります。 |
location | キー コンテナーを作成する必要がある、サポートされている Azure の場所。 | string (必須) |
tags | キー コンテナーに割り当てられるタグ。 | タグ名と値のディクショナリ。 「テンプレートのタグ」を参照してください |
properties | コンテナーのプロパティ | VaultProperties (必須) |
VaultProperties
名前 | 説明 | 値 |
---|---|---|
accessPolicies | キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 が にrecover 設定されている場合createMode 、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 |
AccessPolicyEntry[] |
createMode | コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 | 'default' 'recover' |
enabledForDeployment | キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machinesで取得できるかどうかを指定するプロパティ。 | [bool] |
enabledForDiskEncryption | コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption に許可するかどうかを指定するプロパティ。 | [bool] |
enabledForTemplateDeployment | キー コンテナーからシークレットを取得することを Azure Resource Managerに許可するかどうかを指定するプロパティ。 | [bool] |
enablePurgeProtection | このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護がアクティブになります。Key Vault サービスのみが、回復不可能なハード削除を開始する可能性があります。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、 プロパティは false をその値として受け入れません。 | [bool] |
enableRbacAuthorization | データ アクションの承認方法を制御するプロパティ。 true の場合、キー コンテナーはデータ アクションの承認にロール ベースのAccess Control (RBAC) を使用し、コンテナーのプロパティで指定されたアクセス ポリシーは無視されます。 false の場合、キー コンテナーはコンテナーのプロパティで指定されたアクセス ポリシーを使用し、Azure Resource Managerに格納されているすべてのポリシーは無視されます。 null または指定されていない場合、コンテナーは既定値の false で作成されます。 管理アクションは常に RBAC で承認されることに注意してください。 | [bool] |
enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 新しいキー コンテナーの作成時に値 (true または false) に設定されていない場合、既定では true に設定されます。 true に設定すると、false に戻すことはできません。 | [bool] |
networkAcls | 特定のネットワークの場所からのキー コンテナーのアクセシビリティを管理する規則。 | NetworkRuleSet |
provisioningState | コンテナーのプロビジョニング状態。 | 'RegisteringDns' 'Succeeded' |
publicNetworkAccess | コンテナーがパブリック インターネットからのトラフィックを受け入れるかどうかを指定するプロパティ。 プライベート エンドポイント トラフィックを除くすべてのトラフィックを "無効" に設定した場合、信頼されたサービスから送信されたトラフィックはブロックされます。 これにより、設定されたファイアウォール規則がオーバーライドされます。つまり、ファイアウォール規則が存在する場合でも、規則は適用されません。 | string |
sku | SKU の詳細 | Sku (必須) |
softDeleteRetentionInDays | softDelete data retention days。 =7 と <=90 を受け入れます>。 | INT |
tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | string |
AccessPolicyEntry
名前 | 説明 | 値 |
---|---|---|
applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | string 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧に関して一意である必要があります。 | string (必須) |
権限 | ID がキー、シークレット、証明書に対して持つアクセス許可。 | アクセス許可 (必須) |
tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
アクセス許可
名前 | 説明 | 値 |
---|---|---|
certificates | 証明書に対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
secrets | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
storage | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
名前 | 説明 | 値 |
---|---|---|
バイパス | ネットワーク 規則をバイパスできるトラフィックを示します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 | 'AzureServices' 'None' |
defaultAction | ipRules と virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 | 'Allow' 'Deny' |
ipRules | IP アドレス規則の一覧。 | IPRule[] |
virtualNetworkRules | 仮想ネットワーク規則の一覧。 | VirtualNetworkRule[] |
IPRule
名前 | 説明 | 値 |
---|---|---|
value | CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 | string (必須) |
VirtualNetworkRule
名前 | 説明 | 値 |
---|---|---|
id | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 | string (必須) |
ignoreMissingVnetServiceEndpoint | 親サブネットに serviceEndpoints が構成されている場合に NRP がチェックを無視するかどうかを指定するプロパティ。 | [bool] |
Sku
名前 | 説明 | 値 |
---|---|---|
family | SKU ファミリ名 | 'A' (必須) |
name | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | 'Premium' 'standard' (必須) |
クイック スタート テンプレート
次のクイックスタート テンプレートでは、このリソースの種類をデプロイします。
Template | 説明 |
---|---|
AZURE 用 SAS 9.4 と Viya クイック スタート テンプレート |
Sas® 9.4 と Viya QuickStart Template for Azure は、これらの製品をクラウドにデプロイします。SAS Enterprise BI Server 9.4、SAS®® Enterprise Miner 15.1、SAS® Visual Analytics 8.5 on Linux、Sas® Visual Data Mining and Machine Learning 8.5 on Linux for Viya。 このクイックスタートは、クラウドに優しいテクノロジを使用して SAS® 9.4 と Viya の組み合わせを Azure にデプロイするユーザー向けの参照アーキテクチャです。 Azure に SAS® プラットフォームをデプロイすると、SAS® 9.4 環境と Viya 環境の統合環境が得られ、両方の環境を活用できます。 SAS® Viya は、クラウド対応のメモリ内分析エンジンです。 エラスティックでスケーラブルでフォールト トレラントな処理を使用して、複雑な分析の課題に対処します。 SAS® Viya は、SAS®、Python、R、Java、Lua でのプログラミングをサポートする標準化されたコード ベースを使用して、分析の処理を高速化します。 また、クラウド、オンプレミス、またはハイブリッド環境をサポートし、任意のインフラストラクチャまたはアプリケーション エコシステムにシームレスにデプロイします。 |
NAT ゲートウェイとApplication Gatewayを備えた AKS クラスター |
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用のApplication Gatewayを使用して AKS クラスターをデプロイする方法を示します。 |
パブリック DNS ゾーンを使用してプライベート AKS クラスターを作成する |
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。 |
Azure アーキテクチャで Sports Analytics をデプロイする |
ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウント (デプロイされている場合はAzure SQL Database) のリンクされたサービスを持つAzure Data Factory インスタンス、および Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントに対するストレージ BLOB データ共同作成者ロールが付与されます。 また、Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミング ユース ケース用) をデプロイするオプションもあります。 Azure Key Vaultがデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に、Key Vault シークレット ユーザー ロールが付与されます。 |
Azure Machine Learning ワークスペース |
このテンプレートは、暗号化されたストレージ アカウント、KeyVault、Applications Insights ログと共に、新しい Azure Machine Learning ワークスペースを作成します |
KeyVault を作成する |
このモジュールでは、apiVersion 2019-09-01 を使用して KeyVault リソースを作成します。 |
KeyVault から SSL を使用してAPI Management サービスを作成する |
このテンプレートは、ユーザー割り当て ID で構成されたAPI Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。 |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。 |
Azure Stack HCI 23H2 クラスターを作成する |
このテンプレートでは、ARM テンプレートを使用して Azure Stack HCI 23H2 クラスターを作成します。 |
ギャラリー イメージから新しい暗号化された Windows VM を作成する |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化された Windows VM を作成します。 |
ギャラリー イメージから新しい暗号化されたマネージド ディスク win-vm を作成する |
このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化されたマネージド ディスク Windows VM を作成します。 |
このテンプレートは、実行中の Windows VMSS を暗号化します |
このテンプレートを使用すると、実行中の Windows VM スケール セットでの暗号化が有効になります |
実行中の Windows VM で暗号化を有効にする |
このテンプレートを使用すると、実行中の Windows VM での暗号化が有効になります。 |
ジャンプボックスを使用して新しい Windows VMSS を作成して暗号化する |
このテンプレートを使用すると、最新のパッチが適用されたバージョンのサーバー Windows バージョンを使用して、Windows VM の単純な VM スケール セットをデプロイできます。 このテンプレートでは、同じ仮想ネットワークにパブリック IP アドレスを持つジャンプボックスもデプロイされます。 このパブリック IP アドレスを使用してジャンプボックスに接続し、そこからプライベート IP アドレスを介してスケール セット内の VM に接続できます。このテンプレートを使用すると、Windows VM の VM スケール セットでの暗号化が有効になります。 |
Azure Key Vault とシークレットを作成する |
このテンプレートでは、Azure Key Vaultとシークレットを作成します。 |
RBAC とシークレットを使用して Azure Key Vaultを作成する |
このテンプレートでは、Azure Key Vaultとシークレットを作成します。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します |
キー コンテナー、マネージド ID、ロールの割り当てを作成する |
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てを作成します。 |
プライベート エンドポイント経由でKey Vaultに接続する |
このサンプルでは、仮想ネットワークとプライベート DNS ゾーンを構成して、プライベート エンドポイント経由でKey Vaultにアクセスする方法を示します。 |
Key Vault とシークレットの一覧を作成する |
このテンプレートは、パラメーターと共に渡されたKey Vaultとキー コンテナー内のシークレットの一覧を作成します |
ログ記録を有効にしてKey Vaultを作成する |
このテンプレートは、ログ記録に使用される Azure Key Vaultと Azure Storage アカウントを作成します。 必要に応じて、Key Vaultとストレージ リソースを保護するためのリソース ロックを作成します。 |
データストアに複数のデータセットを含む AML ワークスペース & 作成する |
このテンプレートは、データストア & 複数のデータセットを含む Azure Machine Learning ワークスペースを作成します。 |
Azure Machine Learning のエンドツーエンドのセキュリティで保護されたセットアップ |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンドツーエンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、アタッチされたプライベート AKS クラスターが含まれます。 |
Azure Machine Learning のエンドツーエンドのセキュリティで保護されたセットアップ (レガシ) |
この Bicep テンプレートのセットは、セキュリティで保護されたセットアップで Azure Machine Learning をエンドツーエンドで設定する方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、アタッチされたプライベート AKS クラスターが含まれます。 |
プライベート IP アドレスを使用して AKS コンピューティング 先を作成する |
このテンプレートでは、プライベート IP アドレスを使用して、特定の Azure Machine Learning サービス ワークスペースに AKS コンピューティング ターゲットを作成します。 |
Azure Machine Learning service ワークスペースを作成する |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースと、Azure Key Vault、Azure Storage、Azure アプリケーション Insights、Azure Container Registryなどの関連リソースを指定します。 この構成では、Azure Machine Learning の使用を開始するために必要な最小限のリソース セットについて説明します。 |
Azure Machine Learning Service ワークスペース (CMK) を作成する |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースと、Azure Key Vault、Azure Storage、Azure アプリケーション Insights、Azure Container Registryなどの関連リソースを指定します。 この例では、カスタマー マネージド暗号化キーを使用した暗号化用に Azure Machine Learning を構成する方法を示します。 |
Azure Machine Learning Service ワークスペース (vnet) を作成する |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースと、Azure Key Vault、Azure Storage、Azure アプリケーション Insights、Azure Container Registryなどの関連リソースを指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
Azure Machine Learning Service ワークスペースを作成する (レガシ) |
このデプロイ テンプレートでは、Azure Machine Learning ワークスペースと、Azure Key Vault、Azure Storage、Azure アプリケーション Insights、Azure Container Registryなどの関連リソースを指定します。 この構成では、ネットワーク分離セットアップで Azure Machine Learning の使用を開始するために必要なリソースのセットについて説明します。 |
Application Gateway イングレス コントローラーを使用する AKS クラスター |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vaultを使用して AKS クラスターをデプロイする方法を示します |
Key Vaultを使用してApplication Gateway V2 を作成する |
このテンプレートは、Application Gateway V2 をVirtual Network、ユーザー定義 ID、Key Vault、シークレット (証明書データ)、アクセス ポリシーをKey VaultおよびApplication Gatewayにデプロイします。 |
Azure Firewall Premium のテスト環境 |
このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を使用して、Azure Firewall Premium およびファイアウォール ポリシーを作成します |
証明書を使用してApplication Gatewayを作成する |
このテンプレートでは、自己署名証明書Key Vault生成してから、Application Gatewayから参照する方法を示します。 |
カスタマー マネージド キーを使用した Azure Storage アカウントの暗号化 |
このテンプレートは、生成され、Key Vault内に配置される暗号化用のカスタマー マネージド キーを持つストレージ アカウントをデプロイします。 |
Azure SQL バックエンドを使用したApp Service Environment |
このテンプレートでは、プライベート/分離環境で通常使用される関連リソースと共に、プライベート エンドポイントと共に、Azure SQL バックエンドを含むApp Service Environmentを作成します。 |
Azure 関数アプリと HTTP によってトリガーされる関数 |
この例では、Azure 関数アプリと HTTP によってトリガーされる関数をテンプレートにインラインでデプロイします。 また、Key Vaultをデプロイし、シークレットに関数アプリのホスト キーを設定します。 |
内部API Managementと Web アプリを使用したApplication Gateway |
Application Gateway、Azure Web アプリでホストされている Web API をサービスするインスタンスAPI Management仮想ネットワーク (内部モード) にインターネット トラフィックをルーティングします。 |
Terraform (AzAPI プロバイダー) リソース定義
コンテナーのリソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループ
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
リソース形式
Microsoft.KeyVault/vaults リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2023-02-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "A"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
プロパティ値
vaults
名前 | 説明 | 値 |
---|---|---|
type | リソースの種類 | "Microsoft.KeyVault/vaults@2023-02-01" |
name | リソース名 | string (必須) 文字制限: 3 から 24 有効な文字: 英数字とハイフン。 文字で開始します。 文字または数字で終了します。 連続するハイフンを含めることはできません。 リソース名は、Azure 全体で一意である必要があります。 |
location | キー コンテナーを作成する必要がある、サポートされている Azure の場所。 | string (必須) |
parent_id | リソース グループにデプロイするには、そのリソース グループの ID を使用します。 | string (必須) |
tags | キー コンテナーに割り当てられるタグ。 | タグの名前と値のディクショナリ。 |
properties | コンテナーのプロパティ | VaultProperties (必須) |
VaultProperties
名前 | 説明 | 値 |
---|---|---|
accessPolicies | キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 が にrecover 設定されている場合createMode 、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 |
AccessPolicyEntry[] |
createMode | コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 | "default" "recover" |
enabledForDeployment | キー コンテナーからシークレットとして格納されている証明書を Azure Virtual Machinesで取得できるかどうかを指定するプロパティ。 | [bool] |
enabledForDiskEncryption | コンテナーからシークレットを取得してキーのラップを解除することを Azure Disk Encryption で許可するかどうかを指定するプロパティ。 | [bool] |
enabledForTemplateDeployment | キー コンテナーからシークレットを取得するために Azure Resource Managerを許可するかどうかを指定するプロパティ。 | [bool] |
enablePurgeProtection | このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティを true に設定すると、このコンテナーとそのコンテンツの消去に対する保護がアクティブになります。Key Vault サービスのみが、回復不可能なハード削除を開始する可能性があります。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、 プロパティは false をその値として受け入れられません。 | [bool] |
enableRbacAuthorization | データ アクションの承認方法を制御するプロパティ。 true の場合、キー コンテナーはデータ アクションの承認にロール ベースのAccess Control (RBAC) を使用し、コンテナーのプロパティで指定されたアクセス ポリシーは無視されます。 false の場合、キー コンテナーはコンテナーのプロパティで指定されたアクセス ポリシーを使用し、Azure Resource Managerに格納されているすべてのポリシーは無視されます。 null または指定されていない場合、コンテナーは既定値 false で作成されます。 管理アクションは常に RBAC で承認されることに注意してください。 | [bool] |
enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 新しいキー コンテナーを作成するときに値 (true または false) に設定されていない場合、既定では true に設定されます。 true に設定すると、false に戻すことはできません。 | [bool] |
networkAcls | 特定のネットワークの場所からのキー コンテナーのアクセシビリティを制御する規則。 | NetworkRuleSet |
provisioningState | コンテナーのプロビジョニング状態。 | "RegisteringDns" "Succeeded" |
publicNetworkAccess | コンテナーがパブリック インターネットからのトラフィックを受け入れるかどうかを指定するプロパティ。 プライベート エンドポイント トラフィックを除くすべてのトラフィックを "無効" に設定した場合、信頼されたサービスから送信されたトラフィックはブロックされます。 これにより、設定されたファイアウォール規則がオーバーライドされます。つまり、ファイアウォール規則が存在する場合でも、規則は適用されません。 | string |
sku | SKU の詳細 | Sku (必須) |
softDeleteRetentionInDays | softDelete data retention days。 =7 と <=90 を受け入れます>。 | INT |
tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | string |
AccessPolicyEntry
名前 | 説明 | 値 |
---|---|---|
applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | string 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧に関して一意である必要があります。 | string (必須) |
権限 | ID がキー、シークレット、証明書に対して持つアクセス許可。 | アクセス許可 (必須) |
tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
アクセス許可
名前 | 説明 | 値 |
---|---|---|
certificates | 証明書に対するアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "create" "delete" "deleteissuers" "get" "getissuers" "import" "リスト" "listissuers" "managecontacts" "manageissuers" "purge" "recover" "restore" "setissuers" "update" |
キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "create" "decrypt" "delete" "encrypt" "get" "getrotationpolicy" "import" "リスト" "purge" "recover" "release" "restore" "rotate" "setrotationpolicy" "sign" "unwrapKey" "update" "verify" "wrapKey" |
secrets | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "delete" "get" "リスト" "purge" "recover" "restore" "set" |
storage | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "delete" "deletesas" "get" "getsas" "リスト" "listsas" "purge" "recover" "regeneratekey" "restore" "set" "setsas" "update" |
NetworkRuleSet
名前 | 説明 | 値 |
---|---|---|
バイパス | ネットワーク ルールをバイパスできるトラフィックを指定します。 これは、"AzureServices" または "None" にすることができます。 指定しない場合、既定値は 'AzureServices' です。 | "AzureServices" "None" |
defaultAction | ipRules と virtualNetworkRules のルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 | "許可" "Deny" |
ipRules | IP アドレス規則の一覧。 | IPRule[] |
virtualNetworkRules | 仮想ネットワーク規則の一覧。 | VirtualNetworkRule[] |
IPRule
名前 | 説明 | 値 |
---|---|---|
value | CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純 IP アドレス) または '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 | string (必須) |
VirtualNetworkRule
名前 | 説明 | 値 |
---|---|---|
id | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 | string (必須) |
ignoreMissingVnetServiceEndpoint | 親サブネットに serviceEndpoints が構成されている場合に NRP がチェックを無視するかどうかを指定するプロパティ。 | [bool] |
Sku
名前 | 説明 | 値 |
---|---|---|
family | SKU ファミリ名 | "A" (必須) |
name | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | "Premium" "standard" (必須) |