Cofres/chaves Microsoft.KeyVault
Definição de recurso do Bicep
O tipo de recurso cofres/chaves pode ser implementado com operações que visam:
- Grupos de recursos – veja comandos de implementação de grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, veja registo de alterações.
Observações
Para obter orientações sobre como utilizar cofres de chaves para valores seguros, veja Gerir segredos com o Bicep.
Para obter um início rápido sobre a criação de um segredo, veja Início Rápido: Definir e obter um segredo do Azure Key Vault através de um modelo do ARM.
Para obter um início rápido sobre a criação de uma chave, veja Início Rápido: Criar um cofre de chaves do Azure e uma chave com o modelo do ARM.
Formato do recurso
Para criar um recurso Microsoft.KeyVault/vaults/keys, adicione o seguinte Bicep ao seu modelo.
resource symbolicname 'Microsoft.KeyVault/vaults/keys@2023-07-01' = {
name: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
parent: resourceSymbolicName
properties: {
attributes: {
enabled: bool
exp: int
exportable: bool
nbf: int
}
curveName: 'string'
keyOps: [
'string'
]
keySize: int
kty: 'string'
release_policy: {
contentType: 'string'
data: 'string'
}
rotationPolicy: {
attributes: {
expiryTime: 'string'
}
lifetimeActions: [
{
action: {
type: 'string'
}
trigger: {
timeAfterCreate: 'string'
timeBeforeExpiry: 'string'
}
}
]
}
}
}
Valores de propriedade
cofres/chaves
| Nome | Descrição | Valor |
|---|---|---|
| name | O nome do recurso Veja como definir nomes e tipos para recursos subordinados no Bicep. |
cadeia (obrigatório) |
| etiquetas | As etiquetas que serão atribuídas à chave. | Dicionário de nomes e valores de etiquetas. Ver Etiquetas em modelos |
| principal | No Bicep, pode especificar o recurso principal de um recurso subordinado. Só precisa de adicionar esta propriedade quando o recurso subordinado for declarado fora do recurso principal. Para obter mais informações, veja Recurso subordinado fora do recurso principal. |
Nome simbólico para recurso do tipo: cofres |
| propriedades | As propriedades da chave a criar. | KeyProperties (obrigatório) |
KeyProperties
| Nome | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da chave. | KeyAttributes |
| curveName | O nome da curva elíptica. Para valores válidos, veja JsonWebKeyCurveName. | "P-256" "P-256K" "P-384" "P-521" |
| keyOps | Matriz de cadeias que contém qualquer um dos seguintes: "desencriptar" "encriptar" "importar" 'release' "sinal" 'unwrapKey' "verificar" 'wrapKey' |
|
| keySize | O tamanho da chave em bits. Por exemplo: 2048, 3072 ou 4096 para RSA. | int |
| kty | O tipo da chave. Para valores válidos, veja JsonWebKeyType. | "CE" "EC-HSM" "RSA" "RSA-HSM" |
| release_policy | Política de lançamento de chaves em resposta. Será utilizado para saída e entrada. Omitido se estiver vazio | KeyReleasePolicy |
| rotationPolicy | Política de rotação de chaves em resposta. Será utilizado para saída e entrada. Omitido se estiver vazio | RotationPolicy |
KeyAttributes
| Nome | Descrição | Valor |
|---|---|---|
| ativado | Determina se o objeto está ou não ativado. | bool |
| exp | Data de expiração em segundos desde 1970-01-01T00:00:00Z. | int |
| exportável | Indica se a chave privada pode ser exportada. | bool |
| nbf | Não antes da data em segundos desde 1970-01-01T00:00:00Z. | int |
KeyReleasePolicy
| Nome | Descrição | Valor |
|---|---|---|
| contentType | Tipo de conteúdo e versão da política de lançamento de chaves | string |
| dados | Codificar blobs com as regras de política nas quais a chave pode ser lançada. | string |
RotationPolicy
| Nome | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da política de rotação de chaves. | KeyRotationPolicyAttributes |
| lifetimeActions | A lifetimeActions para a ação de rotação de chaves. | LifetimeAction[] |
KeyRotationPolicyAttributes
| Nome | Descrição | Valor |
|---|---|---|
| expiryTime | O tempo de expiração da nova versão da chave. Deve estar no formato ISO8601. Por exemplo: "P90D", "P1Y". | string |
LifetimeAction
| Nome | Descrição | Valor |
|---|---|---|
| action | A ação de lifetimeAction da política de rotação de chaves. | Ação |
| acionador | O acionador da duração da política de rotação de chavesAction. | Acionador |
Ação
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de ação. | "notificar" 'rodar' |
Acionador
| Nome | Descrição | Valor |
|---|---|---|
| timeAfterCreate | A duração do tempo após a criação da chave para rodar a chave. Aplica-se apenas à rotação. Estará no formato de duração ISO 8601. Por exemplo: "P90D", "P1Y". | string |
| timeBeforeExpiry | A duração do tempo antes de a chave expirar para rodar ou notificar. Estará no formato de duração ISO 8601. Por exemplo: "P90D", "P1Y". | string |
Modelos de início rápido
Os seguintes modelos de início rápido implementam este tipo de recurso.
| Modelo | Description |
|---|---|
Criar uma Chave no Azure KeyVault |
Este módulo permite-lhe criar uma chave num KeyVault existente. |
| Encriptação de Conta de Armazenamento do Azure com chave gerida pelo cliente |
Este modelo implementa uma Conta de Armazenamento com uma chave gerida pelo cliente para encriptação gerada e colocada dentro de um Key Vault. |
Definição de recurso de modelo do ARM
O tipo de recurso cofres/chaves pode ser implementado com operações que visam:
- Grupos de recursos – veja comandos de implementação de grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, veja registo de alterações.
Observações
Para obter orientações sobre como utilizar cofres de chaves para valores seguros, veja Gerir segredos com o Bicep.
Para obter um início rápido sobre a criação de um segredo, veja Início Rápido: Definir e obter um segredo do Azure Key Vault através de um modelo do ARM.
Para obter um início rápido sobre a criação de uma chave, veja Início Rápido: Criar um cofre de chaves do Azure e uma chave com o modelo do ARM.
Formato do recurso
Para criar um recurso Microsoft.KeyVault/vaults/keys, adicione o seguinte JSON ao seu modelo.
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2023-07-01",
"name": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"attributes": {
"enabled": "bool",
"exp": "int",
"exportable": "bool",
"nbf": "int"
},
"curveName": "string",
"keyOps": [ "string" ],
"keySize": "int",
"kty": "string",
"release_policy": {
"contentType": "string",
"data": "string"
},
"rotationPolicy": {
"attributes": {
"expiryTime": "string"
},
"lifetimeActions": [
{
"action": {
"type": "string"
},
"trigger": {
"timeAfterCreate": "string",
"timeBeforeExpiry": "string"
}
}
]
}
}
}
Valores de propriedade
cofres/chaves
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | "Microsoft.KeyVault/vaults/keys" |
| apiVersion | A versão da API de recursos | '2023-07-01' |
| name | O nome do recurso Veja como definir nomes e tipos para recursos subordinados em modelos do ARM JSON. |
cadeia (obrigatório) |
| etiquetas | As etiquetas que serão atribuídas à chave. | Dicionário de nomes e valores de etiquetas. Ver Etiquetas em modelos |
| propriedades | As propriedades da chave a criar. | KeyProperties (obrigatório) |
KeyProperties
| Nome | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da chave. | KeyAttributes |
| curveName | O nome da curva elíptica. Para valores válidos, veja JsonWebKeyCurveName. | "P-256" "P-256K" "P-384" "P-521" |
| keyOps | Matriz de cadeias que contém qualquer um dos seguintes: "desencriptar" "encriptar" "importar" 'release' "sinal" 'unwrapKey' "verificar" 'wrapKey' |
|
| keySize | O tamanho da chave em bits. Por exemplo: 2048, 3072 ou 4096 para RSA. | int |
| kty | O tipo da chave. Para valores válidos, veja JsonWebKeyType. | "CE" "EC-HSM" "RSA" "RSA-HSM" |
| release_policy | Política de lançamento de chaves em resposta. Será utilizado para saída e entrada. Omitido se estiver vazio | KeyReleasePolicy |
| rotationPolicy | Política de rotação de chaves em resposta. Será utilizado para saída e entrada. Omitido se estiver vazio | RotationPolicy |
KeyAttributes
| Nome | Descrição | Valor |
|---|---|---|
| ativado | Determina se o objeto está ou não ativado. | bool |
| exp | Data de expiração em segundos desde 1970-01-01T00:00:00Z. | int |
| exportável | Indica se a chave privada pode ser exportada. | bool |
| nbf | Não antes da data em segundos desde 1970-01-01T00:00:00Z. | int |
KeyReleasePolicy
| Nome | Descrição | Valor |
|---|---|---|
| contentType | Tipo de conteúdo e versão da política de lançamento de chaves | string |
| dados | Codificar blobs com as regras de política nas quais a chave pode ser lançada. | string |
RotationPolicy
| Nome | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da política de rotação de chaves. | KeyRotationPolicyAttributes |
| lifetimeActions | A lifetimeActions para a ação de rotação de chaves. | LifetimeAction[] |
KeyRotationPolicyAttributes
| Nome | Descrição | Valor |
|---|---|---|
| expiryTime | O tempo de expiração da nova versão da chave. Deve estar no formato ISO8601. Por exemplo: "P90D", "P1Y". | string |
LifetimeAction
| Nome | Descrição | Valor |
|---|---|---|
| action | A ação de lifetimeAction da política de rotação de chaves. | Ação |
| acionador | O acionador de lifetimeAction da política de rotação de chaves. | Acionador |
Ação
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de ação. | "notificar" "rodar" |
Acionador
| Nome | Descrição | Valor |
|---|---|---|
| timeAfterCreate | A duração do tempo após a criação da chave para rodar a chave. Aplica-se apenas à rotação. Estará no formato de duração ISO 8601. Por exemplo: "P90D", "P1Y". | string |
| timeBeforeExpiry | A duração do tempo antes de a chave expirar para rodar ou notificar. Estará no formato de duração ISO 8601. Por exemplo: "P90D", "P1Y". | string |
Modelos de início rápido
Os seguintes modelos de início rápido implementam este tipo de recurso.
| Modelo | Description |
|---|---|
| Criar uma Chave no Azure KeyVault |
Este módulo permite-lhe criar uma chave num KeyVault existente. |
| Encriptação da Conta de Armazenamento do Azure com chave gerida pelo cliente |
Este modelo implementa uma Conta de Armazenamento com uma chave gerida pelo cliente para encriptação gerada e colocada dentro de um Key Vault. |
Definição de recurso terraform (fornecedor AzAPI)
O tipo de recurso cofres/chaves pode ser implementado com operações que visam:
- Grupos de recursos
Para obter uma lista das propriedades alteradas em cada versão da API, veja Registo de alterações.
Formato do recurso
Para criar um recurso Microsoft.KeyVault/vaults/keys, adicione o seguinte Terraform ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/keys@2023-07-01"
name = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
attributes = {
enabled = bool
exp = int
exportable = bool
nbf = int
}
curveName = "string"
keyOps = [
"string"
]
keySize = int
kty = "string"
release_policy = {
contentType = "string"
data = "string"
}
rotationPolicy = {
attributes = {
expiryTime = "string"
}
lifetimeActions = [
{
action = {
type = "string"
}
trigger = {
timeAfterCreate = "string"
timeBeforeExpiry = "string"
}
}
]
}
}
})
}
Valores de propriedade
cofres/chaves
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | "Microsoft.KeyVault/vaults/keys@2023-07-01" |
| name | O nome do recurso | cadeia (obrigatório) |
| parent_id | O ID do recurso que é o principal para este recurso. | ID do recurso do tipo: cofres |
| etiquetas | As etiquetas que serão atribuídas à chave. | Dicionário de nomes e valores de etiquetas. |
| propriedades | As propriedades da chave a criar. | KeyProperties (obrigatório) |
KeyProperties
| Nome | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da chave. | KeyAttributes |
| curveName | O nome da curva elíptica. Para obter valores válidos, veja JsonWebKeyCurveName. | "P-256" "P-256K" "P-384" "P-521" |
| keyOps | Matriz de cadeia que contém qualquer um dos seguintes: "desencriptar" "encriptar" "importar" "release" "sinal" "unwrapKey" "verificar" "wrapKey" |
|
| keySize | O tamanho da chave em bits. Por exemplo: 2048, 3072 ou 4096 para RSA. | int |
| kty | O tipo da chave. Para obter valores válidos, veja JsonWebKeyType. | "EC" "EC-HSM" "RSA" "RSA-HSM" |
| release_policy | Política de lançamento chave em resposta. Será utilizado para saída e entrada. Omitido se estiver vazio | KeyReleasePolicy |
| rotationPolicy | Política de rotação de chaves em resposta. Será utilizado para saída e entrada. Omitido se estiver vazio | RotationPolicy |
KeyAttributes
| Nome | Descrição | Valor |
|---|---|---|
| ativado | Determina se o objeto está ou não ativado. | bool |
| exp | Data de expiração em segundos desde 1970-01-01T00:00:00Z. | int |
| exportável | Indica se a chave privada pode ser exportada. | bool |
| nbf | Não antes da data em segundos desde 1970-01-01T00:00:00Z. | int |
KeyReleasePolicy
| Nome | Descrição | Valor |
|---|---|---|
| contentType | Tipo de conteúdo e versão da política de lançamento de chaves | string |
| dados | Codificar blobs com as regras de política sob as quais a chave pode ser libertada. | string |
RotationPolicy
| Nome | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da política de rotação de chaves. | KeyRotationPolicyAttributes |
| lifetimeActions | As lifetimeActions para a ação de rotação de chaves. | LifetimeAction[] |
KeyRotationPolicyAttributes
| Nome | Descrição | Valor |
|---|---|---|
| expiryTime | O tempo de expiração da nova versão da chave. Deve estar no formato ISO8601. Por exemplo: "P90D", "P1Y". | string |
LifetimeAction
| Nome | Descrição | Valor |
|---|---|---|
| action | A ação de lifetimeAction da política de rotação de chaves. | Ação |
| acionador | O acionador de lifetimeAction da política de rotação de chaves. | Acionador |
Ação
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de ação. | "notificar" "rodar" |
Acionador
| Nome | Descrição | Valor |
|---|---|---|
| timeAfterCreate | A duração do tempo após a criação da chave para rodar a chave. Aplica-se apenas à rotação. Estará no formato de duração ISO 8601. Por exemplo: "P90D", "P1Y". | string |
| timeBeforeExpiry | A duração do tempo antes de a chave expirar para rodar ou notificar. Estará no formato de duração ISO 8601. Por exemplo: "P90D", "P1Y". | string |