Microsoft.KeyVault コンテナー/accessPolicies
Bicep リソース定義
コンテナー/accessPolicies リソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループ - リソース グループのデプロイ コマンドを参照してください
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
リソース形式
Microsoft.KeyVault/vaults/accessPolicies リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.KeyVault/vaults/accessPolicies@2023-07-01' = {
name: 'string'
parent: resourceSymbolicName
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
}
}
プロパティ値
vaults/accessPolicies
| 名前 | 説明 | 値 |
|---|---|---|
| name | リソース名 Bicep で子リソースの名前と型を設定する方法を参照してください。 |
string (必須) |
| parent | Bicep では、子リソースの親リソースを指定できます。 このプロパティを追加する必要があるのは、子リソースが親リソースの外部で宣言されている場合のみです。 詳細については、「 親リソースの外部の子リソース」を参照してください。 |
種類のリソースのシンボル名: コンテナー |
| properties | アクセス ポリシーのプロパティ | VaultAccessPolicyProperties (必須) |
VaultAccessPolicyProperties
| 名前 | 説明 | 値 |
|---|---|---|
| accessPolicies | キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 | AccessPolicyEntry[] (必須) |
AccessPolicyEntry
| 名前 | 説明 | 値 |
|---|---|---|
| applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | string 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧に関して一意である必要があります。 | string (必須) |
| 権限 | ID がキー、シークレット、証明書に対して持つアクセス許可。 | アクセス許可 (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
アクセス許可
| 名前 | 説明 | 値 |
|---|---|---|
| certificates | 証明書に対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| secrets | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
| storage | ストレージ アカウントに対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
クイック スタート テンプレート
次のクイックスタート テンプレートでは、このリソースの種類をデプロイします。
| Template | 説明 |
|---|---|
データ暗号化保護機能を使用してAzure SQL サーバーを作成する |
このテンプレートは、Azure SQL サーバーを作成し、特定のKey Vaultに格納されている特定のキーを使用してデータ暗号化保護機能をアクティブ化します。 |
| PE、CMK のすべてのフォームを使用して Azure Databricks ワークスペースをデプロイする |
このテンプレートを使用すると、PrivateEndpoint とマネージド サービスを使用して Azure Databricks ワークスペースを作成し、DBFS 暗号化を使用して CMK を作成できます。 |
| 3 つのすべての形式の CMK を使用して Azure Databricks ワークスペースをデプロイする |
このテンプレートを使用すると、マネージド サービスを使用して Azure Databricks ワークスペースを作成し、DBFS 暗号化を使用して CMK を作成できます。 |
| DBFS 暗号化用の CMK を使用して Azure Databricks WS をデプロイする |
このテンプレートを使用すると、DBFS ルート暗号化用の CMK を使用して Azure Databricks ワークスペースを作成できます |
| Managed Disks CMK を使用して Azure Databricks ワークスペースをデプロイする |
このテンプレートを使用すると、Managed Disks CMK を使用して Azure Databricks ワークスペースを作成できます。 |
| Managed Services CMK を使用して Azure Databricks ワークスペースをデプロイする |
このテンプレートを使用すると、Managed Services CMK を使用して Azure Databricks ワークスペースを作成できます。 |
| 暗号化を使用して Data Lake Store アカウントをデプロイする(Key Vault) |
このテンプレートを使用すると、データ暗号化が有効になっている Azure Data Lake Store アカウントをデプロイできます。 このアカウントでは、Azure Key Vault を使用して暗号化キーを管理します。 |
| KeyVault アクセス ポリシーの追加 |
既存のポリシーを削除せずに、既存の KeyVault にアクセス ポリシーを追加します。 |
| ユーザー割り当て ID ロールの割り当てテンプレート |
Azure Machine Learning ワークスペースが依存するリソースに対してユーザー割り当て ID のロールの割り当てを作成するテンプレート |
ARM テンプレート リソース定義
コンテナー/accessPolicies リソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループ - リソース グループのデプロイ コマンドに関するページを参照してください
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
リソース形式
Microsoft.KeyVault/vaults/accessPolicies リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"apiVersion": "2023-07-01",
"name": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
]
}
}
プロパティ値
vaults/accessPolicies
| 名前 | 説明 | 値 |
|---|---|---|
| type | リソースの種類 | 'Microsoft.KeyVault/vaults/accessPolicies' |
| apiVersion | リソース API のバージョン | '2023-07-01' |
| name | リソース名 JSON ARM テンプレートで子リソースの名前と型を設定する方法を参照してください。 |
string (必須) |
| properties | アクセス ポリシーのプロパティ | VaultAccessPolicyProperties (必須) |
VaultAccessPolicyProperties
| 名前 | 説明 | 値 |
|---|---|---|
| accessPolicies | キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 | AccessPolicyEntry[] (必須) |
AccessPolicyEntry
| 名前 | 説明 | 値 |
|---|---|---|
| applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | string 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧に関して一意である必要があります。 | string (必須) |
| 権限 | ID がキー、シークレット、証明書に対して持つアクセス許可。 | アクセス許可 (必須) |
| tenantId | キー コンテナーへの要求の認証に使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
アクセス許可
| 名前 | 説明 | 値 |
|---|---|---|
| certificates | 証明書に対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recover' 'restore' 'setissuers' 'update' |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'create' 'decrypt' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'purge' 'recover' 'release' 'restore' 'rotate' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| secrets | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'get' 'list' 'purge' 'recover' 'restore' 'set' |
| storage | ストレージ アカウントに対するアクセス許可 | 次のいずれかを含む文字列配列: 'all' 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
クイック スタート テンプレート
次のクイックスタート テンプレートでは、このリソースの種類をデプロイします。
| Template | 説明 |
|---|---|
| データ暗号化保護機能を使用してAzure SQL サーバーを作成する |
このテンプレートは、Azure SQL サーバーを作成し、特定のKey Vaultに格納されている特定のキーを使用してデータ暗号化保護機能をアクティブ化します。 |
| PE、CMK のすべてのフォームを使用して Azure Databricks ワークスペースをデプロイする |
このテンプレートを使用すると、PrivateEndpoint とマネージド サービスを使用して Azure Databricks ワークスペースを作成し、DBFS 暗号化を使用して CMK を作成できます。 |
| 3 つのすべての形式の CMK を使用して Azure Databricks ワークスペースをデプロイする |
このテンプレートを使用すると、マネージド サービスを使用して Azure Databricks ワークスペースを作成し、DBFS 暗号化を使用して CMK を作成できます。 |
| DBFS 暗号化用の CMK を使用して Azure Databricks WS をデプロイする |
このテンプレートを使用すると、DBFS ルート暗号化用の CMK を使用して Azure Databricks ワークスペースを作成できます |
| Managed Disks CMK を使用して Azure Databricks ワークスペースをデプロイする |
このテンプレートを使用すると、Managed Disks CMK を使用して Azure Databricks ワークスペースを作成できます。 |
| Managed Services CMK を使用して Azure Databricks ワークスペースをデプロイする |
このテンプレートを使用すると、Managed Services CMK を使用して Azure Databricks ワークスペースを作成できます。 |
| 暗号化を使用して Data Lake Store アカウントをデプロイする(Key Vault) |
このテンプレートを使用すると、データ暗号化が有効になっている Azure Data Lake Store アカウントをデプロイできます。 このアカウントでは、Azure Key Vault を使用して暗号化キーを管理します。 |
| KeyVault アクセス ポリシーの追加 |
既存のポリシーを削除せずに、既存の KeyVault にアクセス ポリシーを追加します。 |
| ユーザー割り当て ID ロールの割り当てテンプレート |
Azure Machine Learning ワークスペースが依存するリソースに対してユーザー割り当て ID のロールの割り当てを作成するテンプレート |
Terraform (AzAPI プロバイダー) リソース定義
コンテナー/accessPolicies リソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループ
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
リソース形式
Microsoft.KeyVault/vaults/accessPolicies リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/accessPolicies@2023-07-01"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
}
})
}
プロパティ値
vaults/accessPolicies
| 名前 | 説明 | 値 |
|---|---|---|
| type | リソースの種類 | "Microsoft.KeyVault/vaults/accessPolicies@2023-07-01" |
| name | リソース名 | string (必須) |
| parent_id | このリソースの親であるリソースの ID。 | 種類のリソースの ID: コンテナー |
| properties | アクセス ポリシーのプロパティ | VaultAccessPolicyProperties (必須) |
VaultAccessPolicyProperties
| 名前 | 説明 | 値 |
|---|---|---|
| accessPolicies | キー コンテナーにアクセスできる 0 から 16 個の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。 | AccessPolicyEntry[] (必須) |
AccessPolicyEntry
| 名前 | 説明 | 値 |
|---|---|---|
| applicationId | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | string 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | コンテナーの Azure Active Directory テナント内のユーザー、サービス プリンシパル、またはセキュリティ グループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧に関して一意である必要があります。 | string (必須) |
| 権限 | ID がキー、シークレット、証明書に対して持つアクセス許可。 | アクセス許可 (必須) |
| tenantId | キー コンテナーへの要求を認証するために使用する必要がある Azure Active Directory テナント ID。 | string (必須) 制約: 最小長 = 36 最大長 = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
アクセス許可
| 名前 | 説明 | 値 |
|---|---|---|
| certificates | 証明書に対するアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "create" "delete" "deleteissuers" "get" "getissuers" "import" "リスト" "listissuers" "managecontacts" "manageissuers" "purge" "recover" "restore" "setissuers" "update" |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "create" "decrypt" "delete" "encrypt" "get" "getrotationpolicy" "import" "リスト" "purge" "recover" "release" "restore" "回転" "setrotationpolicy" "sign" "unwrapKey" "update" "verify" "wrapKey" |
| secrets | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "delete" "get" "リスト" "purge" "recover" "restore" "set" |
| storage | ストレージ アカウントに対するアクセス許可 | 次のいずれかを含む文字列配列: "all" "backup" "delete" "deletesas" "get" "getsas" "リスト" "listsas" "purge" "recover" "regeneratekey" "restore" "set" "setsas" "update" |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示