Microsoft.KeyVault vaults 2018-02-14-preview
Определение ресурса Bicep
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов — см. команды развертывания группы ресурсов.
Список измененных свойств в каждой версии API см. в журнале изменений.
Комментарии
Рекомендации по использованию хранилищ ключей для безопасных значений см. в статье Управление секретами с помощью Bicep.
Краткое руководство по созданию секрета см. в статье Краткое руководство. Установка и извлечение секрета из Azure Key Vault с помощью шаблона ARM.
Краткое руководство по созданию ключа см. в статье Краткое руководство. Создание хранилища ключей Azure и ключа с помощью шаблона ARM.
Формат ресурсов
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.KeyVault/vaults@2018-02-14-preview' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
}
]
}
sku: {
family: 'A'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
}
Значения свойств
vaults
Имя | Описание | Значение |
---|---|---|
name | имя ресурса. | строка (обязательно) Ограничение символов: 3–24 Допустимые символы: Буквенно-цифровые символы и дефисы. Начинается с буквы. Заканчивается буквой или цифрой. Не может содержать несколько дефисов подряд. Имя ресурса должно быть уникальным в Azure. |
location | Поддерживаемая служба Azure, в которой должно быть создано хранилище ключей. | строка (обязательно) |
tags | Теги, которые будут назначены хранилищу ключей. | Словарь имен и значений тегов. См . раздел Теги в шаблонах |
properties | Свойства хранилища | VaultProperties (обязательно) |
VaultProperties
Имя | Описание | Значение |
---|---|---|
accessPolicies | Массив удостоверений от 0 до 1024, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. | AccessPolicyEntry[] |
createMode | Режим создания хранилища, указывающий, требуется ли восстановление хранилища. | "default" "recover" |
enabledForDeployment | Свойство указывает, разрешено ли Виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. | bool |
enabledForDiskEncryption | Свойство , которое указывает, разрешено ли шифрованию дисков Azure извлекать секреты из хранилища и распаковывать ключи. | bool |
enabledForTemplateDeployment | Свойство, указываемое, разрешено ли Resource Manager Azure получать секреты из хранилища ключей. | bool |
enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Если задать для этого свойства значение true, активируется защита от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, неустранимое удаление. Параметр действует только в том случае, если также включено обратимое удаление. Включение этой функции необратимо, то есть свойство не принимает значение false. | bool |
enableSoftDelete | Свойство , указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Он не принимает значение false. | bool |
networkAcls | Коллекция правил, управляющих доступностью хранилища из определенных сетевых расположений. | NetworkRuleSet |
sku | Сведения о номере SKU | SKU (обязательно) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | строка |
AccessPolicyEntry
Имя | Описание | Значение |
---|---|---|
applicationId | Идентификатор приложения клиента, выполняющего запрос от имени участника | строка Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | string (обязательно) |
разрешения | Разрешения, которые имеет удостоверение для ключей, секретов и сертификатов. | Разрешения (обязательные) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | string (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Разрешения
Имя | Описание | Значение |
---|---|---|
certificates | Разрешения на сертификаты | Массив строк, содержащий любой из: "backup" "create" "delete" 'deleteissuers' 'get' 'getissuers' "import" "list" 'listissuers' managecontacts 'manageissuers' "очистка" "восстановить" "восстановление" 'setissuers' "update" |
ключи | Разрешения для ключей | Массив строк, содержащий любой из: "backup" "create" "расшифровка" "delete" "encrypt" 'get' "import" "list" "очистка" "восстановить" "восстановление" "sign" unwrapKey "update" "verify" 'wrapKey' |
секретные коды | Разрешения на доступ к секретам | Массив строк, содержащий любой из: "backup" "delete" 'get' "list" "очистка" "восстановить" "восстановление" "set" |
носителей. | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: "backup" "delete" "deletesas" 'get' 'getsas' "list" "listsas" "очистка" "восстановить" 'regeneratekey' "восстановление" "set" "setsas" "update" |
NetworkRuleSet
Имя | Описание | Значение |
---|---|---|
Обход | Указывает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, по умолчанию используется значение AzureServices. | AzureServices "Нет" |
defaultAction | Действие по умолчанию, если не совпадают правила из ipRules и virtualNetworkRules. Используется только после оценки свойства обхода. | "Разрешить" "Deny" |
ipRules | Список правил IP-адресов. | IPRule[] |
virtualNetworkRules | Список правил виртуальной сети. | VirtualNetworkRule[] |
IPRule
Имя | Описание | Значение |
---|---|---|
значение | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | string (обязательно) |
VirtualNetworkRule
Имя | Описание | Значение |
---|---|---|
идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (обязательно) |
Sku
Имя | Описание | Значение |
---|---|---|
family | Имя семейства SKU | "A" (обязательно) |
name | Имя SKU, указывающее, является ли хранилище ключей хранилищем уровня "Стандартный" или "Премиум". | "Премиум" "стандартный" (обязательный) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
SAS 9.4 и шаблон быстрого запуска Viya для Azure |
® Шаблон sas 9.4 и Viya QuickStart для Azure развертывает эти продукты в облаке: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 и SAS® Visual Analytics 8.5 в Linux, SAS® Visual Data Mining and Machine Learning 8.5 в Linux для Viya. Это краткое руководство представляет собой эталонную архитектуру для пользователей, которые хотят развернуть сочетание SAS® 9.4 и Viya в Azure с помощью облачных технологий. Развернув платформу SAS® в Azure, вы получаете интегрированную среду SAS® 9.4 и Viya, чтобы воспользоваться преимуществами обоих миров. SAS® Viya — это облачная подсистема аналитики в памяти. Она использует эластичную, масштабируемую и отказоустойчивую обработку для решения сложных аналитических задач. SAS® Viya обеспечивает более быструю обработку аналитики с помощью стандартизированной базы кода, поддерживающей программирование в SAS®, Python, R, Java и Lua. Он также поддерживает облачные, локальные или гибридные среды и легко развертывается в любой инфраструктуре или экосистеме приложений. |
Кластер AKS со шлюзом NAT и Шлюз приложений |
В этом примере показано, как развернуть кластер AKS со шлюзом NAT для исходящих подключений и Шлюз приложений для входящих подключений. |
Создание частного кластера AKS с общедоступной зоной DNS |
В этом примере показано, как развернуть частный кластер AKS с общедоступной зоной DNS. |
Развертывание Спортивной аналитики в архитектуре Azure |
Создает учетную запись хранения Azure с поддержкой ADLS 2-го поколения, экземпляр Фабрика данных Azure со связанными службами для учетной записи хранения (база данных Azure SQL при развертывании) и экземпляр Azure Databricks. Удостоверению AAD для пользователя, развертывающего шаблон, и управляемому удостоверению для экземпляра ADF будет предоставлена роль Участник данных BLOB-объектов хранилища в учетной записи хранения. Существуют также варианты развертывания экземпляра Key Vault Azure, базы данных Azure SQL и концентратора событий Azure (для вариантов использования потоковой передачи). При развертывании Key Vault Azure управляемому удостоверению фабрики данных и удостоверению AAD для пользователя, развертывающего шаблон, будет предоставлена роль пользователя Key Vault секретов. |
Рабочая область машинного обучения Azure |
Этот шаблон создает новую рабочую область Машинного обучения Azure, а также зашифрованную учетную запись хранения, хранилище ключей и ведение журнала Application Insights. |
Создание хранилища ключей |
В этом модуле создается ресурс KeyVault с apiVersion 2019-09-01. |
Создание службы Управление API с помощью SSL из KeyVault |
Этот шаблон развертывает службу Управление API, настроенную с использованием удостоверения, назначаемого пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и сохраняет его обновление путем проверки каждые 4 часа. |
Создает приложение служебной шины dapr pub-sub с помощью контейнеров приложений |
Создайте приложение служебной шины dapr pub-sub с помощью контейнеров приложений. |
создает кластер Azure Stack HCI 23H2 |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM. |
Создание зашифрованной виртуальной машины Windows из образа коллекции |
Этот шаблон создает новую зашифрованную виртуальную машину Windows с помощью образа коллекции server 2k12. |
Создание зашифрованных управляемых дисков win-vm из образа коллекции |
Этот шаблон создает новую виртуальную машину Windows с зашифрованными управляемыми дисками с помощью образа коллекции server 2k12. |
Этот шаблон шифрует работающий виртуальный компьютер Windows VMSS |
Этот шаблон включает шифрование в работающем масштабируемом наборе виртуальных машин Windows. |
Включение шифрования на работающей виртуальной машине Windows |
Этот шаблон включает шифрование на работающей виртуальной машине Windows. |
Создание и шифрование нового набора виртуальных машин Windows с помощью jumpbox |
Этот шаблон позволяет развернуть простой масштабируемый набор виртуальных машин Windows, используя последнюю исправленную версию серверных версий Windows. Этот шаблон также развертывает jumpbox с общедоступным IP-адресом в той же виртуальной сети. Вы можете подключиться к jumpbox через этот общедоступный IP-адрес, а затем подключиться оттуда к виртуальным машинам в масштабируемом наборе через частные IP-адреса. Этот шаблон включает шифрование в масштабируемом наборе виртуальных машин Windows. |
Создание хранилища ключей и секрета |
Этот шаблон создает Key Vault Azure и секрет. |
Создание Key Vault Azure с помощью RBAC и секрета |
Этот шаблон создает Key Vault Azure и секрет. Вместо того чтобы полагаться на политики доступа, он использует Azure RBAC для управления авторизацией для секретов. |
Создание хранилища ключей, управляемого удостоверения и назначения ролей |
Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей. |
Подключение к Key Vault через частную конечную точку |
В этом примере показано, как использовать настройку виртуальной сети и частной зоны DNS для доступа к Key Vault через частную конечную точку. |
Создание хранилища ключей и списка секретов |
Этот шаблон создает Key Vault и список секретов в хранилище ключей, переданных вместе с параметрами. |
Создание Key Vault с включенным ведением журнала |
Этот шаблон создает Key Vault Azure и учетную запись хранения Azure, которая используется для ведения журнала. При необходимости создаются блокировки ресурсов для защиты ресурсов Key Vault и хранилища. |
Создание рабочей области AML с несколькими наборами данных & хранилищами данных |
Этот шаблон создает рабочую область Машинного обучения Azure с несколькими наборами данных & хранилищами данных. |
Сквозная безопасная настройка Машинного обучения Azure |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure в безопасной конфигурации. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS. |
Сквозная безопасная настройка Машинного обучения Azure (устаревшая версия) |
В этом наборе шаблонов Bicep показано, как настроить сквозную настройку Машинного обучения Azure в безопасной конфигурации. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS. |
Создание целевого объекта вычислений AKS с частным IP-адресом |
Этот шаблон создает целевой объект вычислений AKS в заданной рабочей области Службы машинного обучения Azure с частным IP-адресом. |
Создание рабочей области Службы машинного обучения Azure |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается минимальный набор ресурсов, необходимых для начала работы с Машинным обучением Azure. |
Создание рабочей области Службы машинного обучения Azure (CMK) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В примере показано, как настроить Машинное обучение Azure для шифрования с помощью ключа шифрования, управляемого клиентом. |
Создание рабочей области Службы машинного обучения Azure (виртуальной сети) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети. |
Создание рабочей области Службы машинного обучения Azure (устаревшая версия) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети. |
Кластер AKS с контроллером входящего трафика Шлюз приложений |
В этом примере показано, как развернуть кластер AKS с Шлюз приложений, контроллером Шлюз приложений входящего трафика, Реестр контейнеров Azure, Log Analytics и Key Vault |
Создание Шлюз приложений версии 2 с Key Vault |
Этот шаблон развертывает Шлюз приложений версии 2 в виртуальная сеть, определяемом пользователем удостоверении, Key Vault, секрете (данные сертификата) и политике доступа для Key Vault и Шлюз приложений. |
Среда тестирования для Брандмауэр Azure Premium |
Этот шаблон создает Брандмауэр Azure Premium и Политику брандмауэра с функциями уровня "Премиум", такими как обнаружение проверки вторжений (IDPS), проверка TLS и фильтрация веб-категорий. |
Создание Шлюз приложений с помощью сертификатов |
В этом шаблоне показано, как создать Key Vault самозаверяющие сертификаты, а затем ссылку на Шлюз приложений. |
Шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом |
Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, который создается и помещается в Key Vault. |
Среда службы приложений с серверной частью Azure SQL |
Этот шаблон создает Среда службы приложений с Azure SQL серверной частью, а также частными конечными точками и связанными ресурсами, обычно используемыми в частной или изолированной среде. |
Приложение-функция Azure и функция, активироваемая HTTP |
В этом примере развертывается приложение-функция Azure и функция, активироваемая HTTP, встроенная в шаблон. Он также развертывает Key Vault и заполняет секрет ключом узла приложения-функции. |
Шлюз приложений с внутренним Управление API и веб-приложением |
Шлюз приложений маршрутизации интернет-трафика в виртуальную сеть (внутренний режим) Управление API экземпляр, который обслуживает веб-API, размещенный в веб-приложении Azure. |
Определение ресурса шаблона ARM
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов — см. команды развертывания группы ресурсов.
Список измененных свойств в каждой версии API см. в журнале изменений.
Комментарии
Рекомендации по использованию хранилищ ключей для безопасных значений см. в статье Управление секретами с помощью Bicep.
Краткое руководство по созданию секрета см. в статье Краткое руководство. Установка и извлечение секрета из Azure Key Vault с помощью шаблона ARM.
Краткое руководство по созданию ключа см. в статье Краткое руководство. Создание хранилища ключей Azure и ключа с помощью шаблона ARM.
Формат ресурсов
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2018-02-14-preview",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string"
}
]
},
"sku": {
"family": "A",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
}
}
Значения свойств
vaults
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | Microsoft.KeyVault/vaults |
версия_API | Версия API ресурсов | '2018-02-14-preview' |
name | имя ресурса. | строка (обязательно) Ограничение символов: 3–24 Допустимые символы: Буквенно-цифровые символы и дефисы. Начинается с буквы. Заканчивается буквой или цифрой. Не может содержать несколько дефисов подряд. Имя ресурса должно быть уникальным в Azure. |
location | Поддерживаемая служба Azure, в которой должно быть создано хранилище ключей. | строка (обязательно) |
tags | Теги, которые будут назначены хранилищу ключей. | Словарь имен и значений тегов. См . раздел Теги в шаблонах |
properties | Свойства хранилища | VaultProperties (обязательно) |
VaultProperties
Имя | Описание | Значение |
---|---|---|
accessPolicies | Массив удостоверений от 0 до 1024, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. | AccessPolicyEntry[] |
createMode | Режим создания хранилища, указывающий, требуется ли восстановление хранилища. | "default" "recover" |
enabledForDeployment | Свойство указывает, разрешено ли Виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. | bool |
enabledForDiskEncryption | Свойство , которое указывает, разрешено ли шифрованию дисков Azure извлекать секреты из хранилища и распаковывать ключи. | bool |
enabledForTemplateDeployment | Свойство, указываемое, разрешено ли Resource Manager Azure получать секреты из хранилища ключей. | bool |
enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Если задать для этого свойства значение true, активируется защита от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, неустранимое удаление. Параметр действует только в том случае, если также включено обратимое удаление. Включение этой функции необратимо, то есть свойство не принимает значение false. | bool |
enableSoftDelete | Свойство , указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Он не принимает значение false. | bool |
networkAcls | Коллекция правил, управляющих доступностью хранилища из определенных сетевых расположений. | NetworkRuleSet |
sku | Сведения о номере SKU | SKU (обязательно) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | строка |
AccessPolicyEntry
Имя | Описание | Значение |
---|---|---|
applicationId | Идентификатор приложения клиента, выполняющего запрос от имени участника | строка Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | строка (обязательно) |
разрешения | Разрешения, которые удостоверение имеет для ключей, секретов и сертификатов. | Разрешения (обязательные) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | строка (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Разрешения
Имя | Описание | Значение |
---|---|---|
certificates | Разрешения для сертификатов | Массив строк, содержащий любой из: "backup" "create" "delete" "deleteissuers" 'get' 'getissuers' "import" "list" 'listissuers' managecontacts 'manageissuers' "очистка" "восстановить" "восстановление" 'setissuers' "update" |
ключи | Разрешения для ключей | Массив строк, содержащий любой из: "backup" "create" "расшифровка" "delete" "encrypt" 'get' "import" "list" "очистка" "восстановить" "восстановление" "sign" unwrapKey "update" "verify" 'wrapKey' |
секретные коды | Разрешения на доступ к секретам | Массив строк, содержащий любой из: "backup" "delete" 'get' "list" "очистка" "восстановить" "восстановление" "set" |
носителей. | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: "backup" "delete" "deletesas" 'get' 'getsas' "list" "listsas" "очистка" "восстановить" 'regeneratekey' "восстановление" "set" "setsas" "update" |
NetworkRuleSet
Имя | Описание | Значение |
---|---|---|
Обход | Указывает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, по умолчанию используется значение AzureServices. | AzureServices "Нет" |
defaultAction | Действие по умолчанию, если не совпадают правила из ipRules и virtualNetworkRules. Используется только после оценки свойства обхода. | "Разрешить" "Deny" |
ipRules | Список правил IP-адресов. | IPRule[] |
virtualNetworkRules | Список правил виртуальной сети. | VirtualNetworkRule[] |
IPRule
Имя | Описание | Значение |
---|---|---|
значение | Диапазон адресов IPv4 в нотации CIDR, например "124.56.78.91" (простой IP-адрес) или "124.56.78.0/24" (все адреса, начинающиеся с 124.56.78). | string (обязательно) |
VirtualNetworkRule
Имя | Описание | Значение |
---|---|---|
идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (обязательно) |
Sku
Имя | Описание | Значение |
---|---|---|
family | Имя семейства SKU | "A" (обязательно) |
name | Имя SKU, указывающее, является ли хранилище ключей хранилищем уровня "Стандартный" или "Премиум". | "Премиум" "стандартный" (обязательный) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
SAS 9.4 и шаблон быстрого запуска Viya для Azure |
® Шаблон sas 9.4 и Viya QuickStart для Azure развертывает эти продукты в облаке: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 и SAS® Visual Analytics 8.5 в Linux, SAS® Visual Data Mining and Machine Learning 8.5 в Linux для Viya. Это краткое руководство представляет собой эталонную архитектуру для пользователей, которые хотят развернуть сочетание SAS® 9.4 и Viya в Azure с помощью облачных технологий. Развернув платформу SAS® в Azure, вы получаете интегрированную среду SAS® 9.4 и Viya, чтобы воспользоваться преимуществами обоих миров. SAS® Viya — это облачная подсистема аналитики в памяти. Она использует эластичную, масштабируемую и отказоустойчивую обработку для решения сложных аналитических задач. SAS® Viya обеспечивает более быструю обработку аналитики с помощью стандартизированной базы кода, поддерживающей программирование в SAS®, Python, R, Java и Lua. Он также поддерживает облачные, локальные или гибридные среды и легко развертывается в любой инфраструктуре или экосистеме приложений. |
Кластер AKS со шлюзом NAT и Шлюз приложений |
В этом примере показано, как развернуть кластер AKS со шлюзом NAT для исходящих подключений и Шлюз приложений для входящих подключений. |
Создание частного кластера AKS с общедоступной зоной DNS |
В этом примере показано, как развернуть частный кластер AKS с общедоступной зоной DNS. |
Развертывание Спортивной аналитики в архитектуре Azure |
Создает учетную запись хранения Azure с поддержкой ADLS 2-го поколения, экземпляр Фабрика данных Azure со связанными службами для учетной записи хранения (база данных Azure SQL при развертывании) и экземпляр Azure Databricks. Удостоверению AAD для пользователя, развертывающего шаблон, и управляемому удостоверению для экземпляра ADF будет предоставлена роль Участник данных BLOB-объектов хранилища в учетной записи хранения. Существуют также варианты развертывания экземпляра Key Vault Azure, базы данных Azure SQL и концентратора событий Azure (для вариантов использования потоковой передачи). При развертывании Key Vault Azure управляемому удостоверению фабрики данных и удостоверению AAD для пользователя, развертывающего шаблон, будет предоставлена роль пользователя Key Vault секретов. |
Рабочая область машинного обучения Azure |
Этот шаблон создает новую рабочую область Машинного обучения Azure, а также зашифрованную учетную запись хранения, хранилище ключей и ведение журнала Application Insights. |
Создание хранилища ключей |
В этом модуле создается ресурс KeyVault с apiVersion 2019-09-01. |
Создание службы Управление API с помощью SSL из KeyVault |
Этот шаблон развертывает службу Управление API, настроенную с использованием удостоверения, назначаемого пользователем. Он использует это удостоверение для получения SSL-сертификата из KeyVault и сохраняет его обновление путем проверки каждые 4 часа. |
Создает приложение служебной шины dapr pub-sub с помощью контейнеров приложений |
Создайте приложение служебной шины dapr pub-sub с помощью контейнеров приложений. |
создает кластер Azure Stack HCI 23H2 |
Этот шаблон создает кластер Azure Stack HCI 23H2 с помощью шаблона ARM. |
Создание зашифрованной виртуальной машины Windows из образа коллекции |
Этот шаблон создает новую зашифрованную виртуальную машину Windows с помощью образа коллекции server 2k12. |
Создание зашифрованных управляемых дисков win-vm из образа коллекции |
Этот шаблон создает новую виртуальную машину Windows с зашифрованными управляемыми дисками с помощью образа коллекции server 2k12. |
Этот шаблон шифрует работающий виртуальный компьютер Windows VMSS |
Этот шаблон включает шифрование в работающем масштабируемом наборе виртуальных машин Windows. |
Включение шифрования на работающей виртуальной машине Windows |
Этот шаблон включает шифрование на работающей виртуальной машине Windows. |
Создание и шифрование нового набора виртуальных машин Windows с помощью jumpbox |
Этот шаблон позволяет развернуть простой масштабируемый набор виртуальных машин Windows, используя последнюю исправленную версию серверных версий Windows. Этот шаблон также развертывает jumpbox с общедоступным IP-адресом в той же виртуальной сети. Вы можете подключиться к jumpbox через этот общедоступный IP-адрес, а затем подключиться оттуда к виртуальным машинам в масштабируемом наборе через частные IP-адреса. Этот шаблон включает шифрование в масштабируемом наборе виртуальных машин Windows. |
Создание хранилища ключей и секрета |
Этот шаблон создает Key Vault Azure и секрет. |
Создание Key Vault Azure с помощью RBAC и секрета |
Этот шаблон создает Key Vault Azure и секрет. Вместо того чтобы полагаться на политики доступа, он использует Azure RBAC для управления авторизацией для секретов. |
Создание хранилища ключей, управляемого удостоверения и назначения ролей |
Этот шаблон создает хранилище ключей, управляемое удостоверение и назначение ролей. |
Подключение к Key Vault через частную конечную точку |
В этом примере показано, как настроить виртуальную сеть и частную зону DNS для доступа к Key Vault через частную конечную точку. |
Создание хранилища ключей и списка секретов |
Этот шаблон создает Key Vault и список секретов в хранилище ключей, передаваемых вместе с параметрами. |
Создание Key Vault с включенным ведением журнала |
Этот шаблон создает Key Vault Azure и учетную запись хранения Azure, которая используется для ведения журнала. При необходимости создаются блокировки ресурсов для защиты ресурсов Key Vault и хранилища. |
Создание рабочей области AML с несколькими наборами данных & хранилищами данных |
Этот шаблон создает рабочую область Машинного обучения Azure с несколькими наборами данных & хранилищами данных. |
Сквозная безопасная настройка Машинного обучения Azure |
В этом наборе шаблонов Bicep показано, как выполнить сквозную настройку Машинного обучения Azure в безопасной настройке. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS. |
Сквозная безопасная настройка Машинного обучения Azure (устаревшая версия) |
В этом наборе шаблонов Bicep показано, как выполнить сквозную настройку Машинного обучения Azure в безопасной настройке. Эта эталонная реализация включает рабочую область, вычислительный кластер, вычислительный экземпляр и подключенный частный кластер AKS. |
Создание целевого объекта вычислений AKS с частным IP-адресом |
Этот шаблон создает целевой объект вычислений AKS в заданной рабочей области Службы машинного обучения Azure с частным IP-адресом. |
Создание рабочей области Службы машинного обучения Azure |
В этом шаблоне развертывания указывается рабочая область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается минимальный набор ресурсов, необходимых для начала работы с Машинным обучением Azure. |
Создание рабочей области Службы машинного обучения Azure (CMK) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В примере показано, как настроить Машинное обучение Azure для шифрования с помощью ключа шифрования, управляемого клиентом. |
Создание рабочей области Службы машинного обучения Azure (виртуальной сети) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети. |
Создание рабочей области Службы машинного обучения Azure (устаревшая версия) |
Этот шаблон развертывания указывает рабочую область Машинного обучения Azure и связанные с ней ресурсы, включая Key Vault Azure, службу хранилища Azure, приложение Azure Insights и Реестр контейнеров Azure. В этой конфигурации описывается набор ресурсов, необходимых для начала работы со Машинным обучением Azure в изолированной сети. |
Кластер AKS с контроллером входящего трафика Шлюз приложений |
В этом примере показано, как развернуть кластер AKS с Шлюз приложений, контроллером Шлюз приложений входящего трафика, Реестр контейнеров Azure, Log Analytics и Key Vault |
Создание Шлюз приложений версии 2 с Key Vault |
Этот шаблон развертывает Шлюз приложений версии 2 в виртуальная сеть, определяемом пользователем удостоверении, Key Vault, секрете (данные сертификата) и политике доступа для Key Vault и Шлюз приложений. |
Среда тестирования для Брандмауэр Azure Premium |
Этот шаблон создает Брандмауэр Azure Premium и Политику брандмауэра с функциями уровня "Премиум", такими как обнаружение проверки вторжений (IDPS), проверка TLS и фильтрация веб-категорий. |
Создание Шлюз приложений с помощью сертификатов |
В этом шаблоне показано, как создать Key Vault самозаверяющие сертификаты, а затем ссылку на Шлюз приложений. |
Шифрование учетной записи хранения Azure с помощью ключа, управляемого клиентом |
Этот шаблон развертывает учетную запись хранения с ключом, управляемым клиентом, для шифрования, который создается и помещается в Key Vault. |
Среда службы приложений с серверной частью Azure SQL |
Этот шаблон создает Среда службы приложений с Azure SQL серверной частью, а также частными конечными точками и связанными ресурсами, обычно используемыми в частной или изолированной среде. |
Приложение-функция Azure и функция, активироваемая HTTP |
В этом примере развертывается приложение-функция Azure и функция, активироваемая HTTP, встроенная в шаблон. Он также развертывает Key Vault и заполняет секрет ключом узла приложения-функции. |
Шлюз приложений с внутренним Управление API и веб-приложением |
Шлюз приложений маршрутизации интернет-трафика в виртуальную сеть (внутренний режим) Управление API экземпляр, который обслуживает веб-API, размещенный в веб-приложении Azure. |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса хранилища можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.KeyVault/vaults, добавьте в шаблон следующую terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2018-02-14-preview"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
}
]
}
sku = {
family = "A"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
})
}
Значения свойств
vaults
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | "Microsoft.KeyVault/vaults@2018-02-14-preview" |
name | имя ресурса. | строка (обязательно) Ограничение символов: 3–24 Допустимые символы: Буквенно-цифровые символы и дефисы. Начинается с буквы. Заканчивается буквой или цифрой. Не может содержать несколько дефисов подряд. Имя ресурса должно быть уникальным в Azure. |
location | Поддерживаемая служба Azure, в которой должно быть создано хранилище ключей. | строка (обязательно) |
parent_id | Чтобы выполнить развертывание в группе ресурсов, используйте идентификатор этой группы ресурсов. | строка (обязательно) |
tags | Теги, которые будут назначены хранилищу ключей. | Словарь имен и значений тегов. |
properties | Свойства хранилища | VaultProperties (обязательно) |
VaultProperties
Имя | Описание | Значение |
---|---|---|
accessPolicies | Массив удостоверений от 0 до 1024, имеющих доступ к хранилищу ключей. Все удостоверения в массиве должны использовать тот же идентификатор клиента, что и идентификатор клиента хранилища ключей. | AccessPolicyEntry[] |
createMode | Режим создания хранилища, указывающий, требуется ли восстановление хранилища. | «по умолчанию» "recover" |
enabledForDeployment | Свойство указывает, разрешено ли Виртуальные машины Azure получать сертификаты, хранящиеся в виде секретов, из хранилища ключей. | bool |
enabledForDiskEncryption | Свойство , которое указывает, разрешено ли шифрованию дисков Azure извлекать секреты из хранилища и распаковывать ключи. | bool |
enabledForTemplateDeployment | Свойство, указываемое, разрешено ли Resource Manager Azure получать секреты из хранилища ключей. | bool |
enablePurgeProtection | Свойство, указывающее, включена ли защита от очистки для этого хранилища. Если задать для этого свойства значение true, активируется защита от очистки для этого хранилища и его содержимого. Только служба Key Vault может инициировать жесткое, неустранимое удаление. Параметр действует только в том случае, если также включено обратимое удаление. Включение этой функции необратимо, то есть свойство не принимает значение false. | bool |
enableSoftDelete | Свойство , указываемое, включена ли функция обратимого удаления для этого хранилища ключей. Он не принимает значение false. | bool |
networkAcls | Коллекция правил, определяющих доступность хранилища из определенных сетевых расположений. | NetworkRuleSet |
sku | Сведения о номере SKU | SKU (обязательно) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | string (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
vaultUri | Универсальный код ресурса (URI) хранилища для выполнения операций с ключами и секретами. | строка |
AccessPolicyEntry
Имя | Описание | Значение |
---|---|---|
applicationId | Идентификатор приложения клиента, выполняющего запрос от имени участника | строка Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа. | string (обязательно) |
разрешения | Разрешения, которые имеет удостоверение для ключей, секретов и сертификатов. | Разрешения (обязательные) |
tenantId | Идентификатор клиента Azure Active Directory, который следует использовать для проверки подлинности запросов к хранилищу ключей. | string (обязательно) Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Разрешения
Имя | Описание | Значение |
---|---|---|
certificates | Разрешения на сертификаты | Массив строк, содержащий любой из: "backup" "create" "delete" "deleteissuers" "get" "getissuers" "import" "список" "listissuers" "managecontacts" "manageissuers" "очистка" "восстановить" "restore" "setissuers" "update" |
ключи | Разрешения для ключей | Массив строк, содержащий любой из: "backup" "create" "расшифровка" "delete" "encrypt" "get" "import" "список" "очистка" "восстановить" "restore" "sign" unwrapKey "update" "verify" "wrapKey" |
секретные коды | Разрешения на доступ к секретам | Массив строк, содержащий любой из: "backup" "delete" "get" "список" "очистка" "восстановить" "restore" "set" |
носителей. | Разрешения для учетных записей хранения | Массив строк, содержащий любой из: "backup" "delete" "deletesas" "get" "getas" "список" "listsas" "очистка" "recover" "regeneratekey" "restore" "set" "setsas" "update" |
NetworkRuleSet
Имя | Описание | Значение |
---|---|---|
Обход | Сообщает, какой трафик может обходить сетевые правила. Это может быть AzureServices или None. Если значение не указано, значение по умолчанию — "AzureServices". | AzureServices "None" |
defaultAction | Действие по умолчанию, если ни один из правил ipRules и virtualNetworkRules не совпадает. Используется только после вычисления свойства обхода. | "Разрешить" "Запретить" |
ipRules | Список правил IP-адресов. | IPRule[] |
virtualNetworkRules | Список правил виртуальной сети. | VirtualNetworkRule[] |
IPRule
Имя | Описание | Значение |
---|---|---|
значение | Диапазон адресов IPv4 в нотации CIDR, например 124.56.78.91 (простой IP-адрес) или 124.56.78.0/24 (все адреса, начинающиеся с 124.56.78). | строка (обязательно) |
VirtualNetworkRule
Имя | Описание | Значение |
---|---|---|
идентификатор | Полный идентификатор ресурса подсети виртуальной сети, например "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnets/subnet1". | строка (обязательно) |
Sku
Имя | Описание | Значение |
---|---|---|
family | Имя семейства SKU | "A" (обязательно) |
name | Имя SKU, указывающее, является ли хранилище ключей хранилищем уровня "Стандартный" или "Премиум". | "Премиум" "standard" (обязательно) |