Microsoft.KeyVault-tárolók
Megjegyzések
A kulcstartók biztonságos értékekhez való használatáról a Titkos kulcsok kezelése a Bicephasználatával című témakörben talál útmutatást.
A titkos kulcsok létrehozásáról rövid útmutató: Titkos kulcs beállítása és lekérése az Azure Key Vaultból ARM-sablonnal.
A kulcsok létrehozásáról rövid útmutató: Azure-kulcstartó és kulcs létrehozása ARM-sablonnal.
Bicep-erőforrásdefiníció
A tárolók erőforrástípusa olyan műveletekkel helyezhető üzembe, amelyek a következő célokat célják:
- Erőforráscsoportok – Lásd erőforráscsoport üzembe helyezési parancsaival
Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.
Erőforrás formátuma
Microsoft.KeyVault/Vaults-erőforrás létrehozásához adja hozzá a következő Bicep-et a sablonhoz.
resource symbolicname 'Microsoft.KeyVault/vaults@2024-12-01-preview' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'string'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
Tulajdonságértékek
AccessPolicyEntry
| Név | Leírás | Érték |
|---|---|---|
| applicationId | A megbízó nevében kérelmet küldő ügyfél alkalmazásazonosítója | húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Egy felhasználó, szolgáltatásnév vagy biztonsági csoport objektumazonosítója a tároló Azure Active Directory-bérlőjében. Az objektumazonosítónak egyedinek kell lennie a hozzáférési szabályzatok listájához. | sztring (kötelező) |
| Engedélyek | Az identitás kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz tartozó engedélyekkel rendelkezik. | engedélyek (kötelező) |
| tenantId | Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. | húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező) |
IPRule
| Név | Leírás | Érték |
|---|---|---|
| érték | Egy IPv4-címtartomány a CIDR-jelölésben, például "124.56.78.91" (egyszerű IP-cím) vagy "124.56.78.0/24" (minden cím, amely a 124.56.78-as számmal kezdődik). | sztring (kötelező) |
Microsoft.KeyVault/vaults
| Név | Leírás | Érték |
|---|---|---|
| hely | A támogatott Azure-hely, ahol létre kell hozni a kulcstartót. | sztring (kötelező) |
| név | Az erőforrás neve | húr Korlátok: Minta = ^[a-zA-Z0-9-]{3,24}$ (kötelező) |
| kellékek | A tároló tulajdonságai | VaultProperties (kötelező) |
| Címkék | Erőforráscímkék | Címkenevek és -értékek szótára. sablonok címkéinek megtekintése |
NetworkRuleSet
| Név | Leírás | Érték |
|---|---|---|
| Kitérő | Azt jelzi, hogy milyen forgalom kerülheti meg a hálózati szabályokat. Ez lehet "AzureServices" vagy "None". Ha nincs megadva, az alapértelmezett érték az "AzureServices". | "AzureServices" "Nincs" |
| defaultAction | Az alapértelmezett művelet, ha az ipRules és a virtualNetworkRules szabálya nem egyezik. Ezt csak a bypass tulajdonság kiértékelése után használja a rendszer. | "Engedélyezés" "Megtagadás" |
| ipRules | Az IP-címszabályok listája. | IPRule[] |
| virtualNetworkRules | A virtuális hálózati szabályok listája. | VirtualNetworkRule[] |
Engedélyek
| Név | Leírás | Érték |
|---|---|---|
| Tanúsítványok | Tanúsítványokra vonatkozó engedélyek | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "törlés" "deleteissuers" 'get' "getissuers" "importálás" "lista" "listissuers" "managecontacts" "kezelők" 'kiürítés' "helyreállítás" "visszaállítás" "setissuers" "frissítés" |
| Kulcsok | Kulcsok engedélyei | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "visszafejtés" "törlés" "titkosítás" 'get' 'getrotationpolicy' "importálás" "lista" 'kiürítés' "helyreállítás" "kiadás" "visszaállítás" "forgatás" "setrotationpolicy" "sign" 'unwrapKey' "frissítés" "ellenőrzés" 'wrapKey' |
| Titkok | Titkos kódokra vonatkozó engedélyek | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" 'get' "lista" 'kiürítés' "helyreállítás" "visszaállítás" 'set' |
| raktározás | Tárfiókok engedélyei | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" "deletesas" 'get' 'getsas' "lista" "listsas" 'kiürítés' "helyreállítás" 'regeneratekey' "visszaállítás" 'set' "setsas" "frissítés" |
Sku
| Név | Leírás | Érték |
|---|---|---|
| Család | Termékváltozat családneve | "A" (kötelező) |
| név | Termékváltozat neve annak megadásához, hogy a kulcstartó standard vagy prémium szintű tároló-e. | "prémium" "standard" (kötelező) |
VaultCreateOrUpdateParametersTags
| Név | Leírás | Érték |
|---|
VaultProperties
| Név | Leírás | Érték |
|---|---|---|
| accessPolicies | 0–1024 identitásból álló tömb, amely hozzáfér a kulcstartóhoz. A tömb minden identitásának ugyanazt a bérlőazonosítót kell használnia, mint a kulcstartó bérlőazonosítóját. Ha createModerecovervan beállítva, nincs szükség hozzáférési szabályzatra. Ellenkező esetben hozzáférési szabályzatok szükségesek. |
AccessPolicyEntry[] |
| createMode | A tároló létrehozási módja jelzi, hogy a tárolót helyre kell-e állítani. | 'alapértelmezett' "helyreállítás" |
| enabledForDeployment | Tulajdonság annak megadásához, hogy az Azure-beli virtuális gépek jogosultak-e titkos kulcsként tárolt tanúsítványok lekérésére a kulcstartóból. | Bool |
| enabledForDiskEncryption | Tulajdonság annak megadásához, hogy az Azure Disk Encryption jogosult-e titkos kulcsok lekérésére a tárolóból és a kulcsok kicsomagolására. | Bool |
| enabledForTemplateDeployment | Tulajdonság annak megadásához, hogy az Azure Resource Manager jogosult-e titkos kulcsok lekérésére a kulcstartóból. | Bool |
| enablePurgeProtection | Tulajdonság, amely megadja, hogy engedélyezve van-e a törlés elleni védelem ehhez a tárolóhoz. A tulajdonság igaz értékre állítása aktiválja a tároló és tartalma kiürítése elleni védelmet – csak a Key Vault szolgáltatás kezdeményezhet helyreállíthatatlan törlést. A beállítás csak akkor érvényes, ha a helyreállítható törlés is engedélyezve van. Ennek a funkciónak a engedélyezése visszavonhatatlan , vagyis a tulajdonság értéke nem fogadja el a hamis értéket. | Bool |
| enableRbacAuthorization | Az adatműveletek engedélyezését vezérlő tulajdonság. Ha igaz, a kulcstartó szerepköralapú hozzáférés-vezérlést (RBAC) használ az adatműveletek engedélyezéséhez, és a tároló tulajdonságaiban megadott hozzáférési szabályzatok figyelmen kívül lesznek hagyva. Ha hamis, a kulcstartó a tároló tulajdonságaiban megadott hozzáférési szabályzatokat fogja használni, és az Azure Resource Managerben tárolt házirendek figyelmen kívül lesznek hagyva. Ha null vagy nincs megadva, a tároló az alapértelmezett hamis értékkel jön létre. Vegye figyelembe, hogy a felügyeleti műveletek mindig engedélyezve vannak az RBAC-vel. | Bool |
| enableSoftDelete | Tulajdonság annak megadásához, hogy engedélyezve van-e a "helyreállítható törlés" funkció ehhez a kulcstartóhoz. Ha az új kulcstartó létrehozásakor nincs érték (igaz vagy hamis), alapértelmezés szerint igaz értékre lesz állítva. Ha igaz értékre van állítva, nem állítható vissza hamisra. | Bool |
| networkAcls | A kulcstartó adott hálózati helyekről való akadálymentességét szabályozó szabályok. | NetworkRuleSet |
| provisioningState | A tároló kiépítési állapota. | "RegisteringDns" "Sikeres" |
| publicNetworkAccess | Tulajdonság annak megadásához, hogy a tároló fogadja-e a nyilvános internetről érkező forgalmat. Ha "letiltott" értékre van állítva az összes forgalom, kivéve a privát végpontok forgalmát, és amelyek megbízható szolgáltatásokból származnak, le lesz tiltva. Ez felülbírálja a beállított tűzfalszabályokat, ami azt jelenti, hogy még ha a tűzfalszabályok is jelen vannak, akkor sem fogjuk tiszteletben tartani a szabályokat. | húr |
| Sku | Termékváltozat részletei | termékváltozat (kötelező) |
| softDeleteRetentionInDays | softDelete adatmegőrzési napok. Elfogadja >=7 és <=90 értékeket. | Int |
| tenantId | Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. | húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező) |
| vaultUri | A tároló URI-ja a kulcsokon és titkos kulcsokon végzett műveletek végrehajtásához. | húr |
VirtualNetworkRule
| Név | Leírás | Érték |
|---|---|---|
| azonosító | Egy virtuális hálózat alhálózatának teljes erőforrás-azonosítója, például "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | sztring (kötelező) |
| ignoreMissingVnetServiceEndpoint | Tulajdonság annak megadásához, hogy az NRP figyelmen kívül hagyja-e azt az ellenőrzést, hogy a szülő alhálózat rendelkezik-e serviceEndpoints konfigurálva. | Bool |
Használati példák
Azure-ból ellenőrzött modulok
Az alábbi Azure Verified Modules használható az erőforrástípus üzembe helyezéséhez.
| Modul | Leírás |
|---|---|
| Kulcsrakéta | AVM-erőforrásmodul a Key Vaulthoz |
Azure gyorsútmutató-minták
Az alábbi Azure rövid útmutatósablonok bicep-mintákat tartalmaznak az erőforrástípus üzembe helyezéséhez.
| Bicep-fájl | Leírás |
|---|---|
| AKS-fürt NAT-átjáróval és Application Gateway- | Ez a minta bemutatja, hogyan helyezhet üzembe egy AKS-fürtöt NAT Gateway használatával a kimenő kapcsolatokhoz, valamint egy Application Gatewayt a bejövő kapcsolatokhoz. |
| AKS-fürt az Application Gateway bejövőforgalom-vezérlőjével | Ez a minta bemutatja, hogyan helyezhet üzembe AKS-fürtöt az Application Gateway, az Application Gateway bejövőforgalom-vezérlője, az Azure Container Registry, a Log Analytics és a Key Vault használatával |
| Application Gateway belső API Management és Web App | Az Application Gateway internetes forgalmat irányít egy virtuális hálózati (belső módú) API Management-példányhoz, amely egy Azure-webalkalmazásban üzemeltetett webes API-t nyújt. |
| Azure AI Studio alapszintű beállítási | Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t az alapszintű beállítással, azaz a nyilvános internet-hozzáférés engedélyezésével, a Microsoft által felügyelt titkosítási kulcsokkal és az AI-erőforrás Microsoft által felügyelt identitáskonfigurációjával. |
| Azure AI Studio alapszintű beállítási | Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t az alapszintű beállítással, azaz a nyilvános internet-hozzáférés engedélyezésével, a Microsoft által felügyelt titkosítási kulcsokkal és az AI-erőforrás Microsoft által felügyelt identitáskonfigurációjával. |
| Azure AI Studio alapszintű beállítási | Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t az alapszintű beállítással, azaz a nyilvános internet-hozzáférés engedélyezésével, a Microsoft által felügyelt titkosítási kulcsokkal és az AI-erőforrás Microsoft által felügyelt identitáskonfigurációjával. |
| Azure AI Studio Network korlátozott | Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t privát kapcsolattal és kimenő forgalom letiltva, a Microsoft által felügyelt kulcsok használatával a titkosításhoz és a Microsoft által felügyelt identitáskonfigurációhoz az AI-erőforráshoz. |
| Azure AI Studio Network korlátozott | Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t privát kapcsolattal és kimenő forgalom letiltva, a Microsoft által felügyelt kulcsok használatával a titkosításhoz és a Microsoft által felügyelt identitáskonfigurációhoz az AI-erőforráshoz. |
| Azure AI Studio a Microsoft Entra ID Authentication | Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t a Microsoft Entra ID-hitelesítéssel függő erőforrásokhoz, például az Azure AI Serviceshez és az Azure Storage-hoz. |
| Azure-függvényalkalmazás és egy HTTP-aktivált függvény | Ez a példa üzembe helyez egy Azure-függvényalkalmazást és egy HTTP-aktivált függvényt a sablonban. Emellett egy Key Vaultot is üzembe helyez, és feltölt egy titkos kulcsot a függvényalkalmazás gazdagépkulcsával. |
| Azure Machine Learning végpontok közötti biztonságos beállítása | Ez a Bicep-sablonkészlet bemutatja, hogyan állíthatja be az Azure Machine Learning végpontok közötti beállítását egy biztonságos beállításban. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt. |
| Azure Machine Learning végpontok közötti biztonságos beállítása (örökölt) | Ez a Bicep-sablonkészlet bemutatja, hogyan állíthatja be az Azure Machine Learning végpontok közötti beállítását egy biztonságos beállításban. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt. |
| Azure Storage-fióktitkosítás ügyfél által felügyelt kulccsal | Ez a sablon egy ügyfél által felügyelt kulccsal rendelkező tárfiókot helyez üzembe a kulcstartóban létrehozott és elhelyezett titkosításhoz. |
| egyszerű ügynökbeállítási identitás | Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Agent Service-t az alapszintű beállítással az AI-szolgáltatás/AOAI-kapcsolat felügyelt identitás-hitelesítésével. Az ügynökök a Microsoft által teljes mértékben felügyelt több-bérlős keresési és tárolási erőforrásokat használják. A mögöttes Azure-erőforrások nem lesznek láthatóak vagy szabályozhatók. |
| Key Vault és titkos kulcsok listájának létrehozása | Ez a sablon létrehoz egy Key Vaultot és egy titkos kulcslistát a kulcstartóban a paraméterekkel együtt |
| AKS számítási cél létrehozása privát IP-címmel | Ez a sablon létrehoz egy AKS számítási célt egy privát IP-címmel rendelkező Azure Machine Learning service-munkaterületen. |
| API Management szolgáltatás létrehozása SSL-lel a KeyVault | Ez a sablon üzembe helyez egy felhasználói hozzárendelt identitással konfigurált API Management szolgáltatást. Ezzel az identitással lekéri az SSL-tanúsítványt a KeyVaultból, és 4 óránként ellenőrzi. |
| Azure Key Vault és titkos létrehozása | Ez a sablon létrehoz egy Azure Key Vaultot és egy titkos kulcsot. |
| Azure Key Vault létrehozása RBAC-vel és titkos | Ez a sablon létrehoz egy Azure Key Vaultot és egy titkos kulcsot. Ahelyett, hogy hozzáférési szabályzatokra támaszkodik, az Azure RBAC-t használja a titkos kódokra vonatkozó engedélyezés kezelésére |
| Azure Machine Learning-szolgáltatás munkaterületének létrehozása | Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció az Azure Machine Learning használatának megkezdéséhez szükséges minimális erőforráskészletet ismerteti. |
| Azure Machine Learning Service-munkaterület (CMK) létrehozása | Ez az üzembe helyezési sablon azt határozza meg, hogyan hozhat létre Azure Machine Learning-munkaterületet szolgáltatásoldali titkosítással a titkosítási kulcsok használatával. |
| Azure Machine Learning Service-munkaterület (CMK) létrehozása | Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. A példa bemutatja, hogyan konfigurálható az Azure Machine Learning titkosításhoz egy ügyfél által felügyelt titkosítási kulccsal. |
| Azure Machine Learning-szolgáltatás munkaterületének létrehozása (örökölt) | Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció ismerteti az Azure Machine Learning használatának megkezdéséhez szükséges erőforrások készletét egy elkülönített hálózati beállításban. |
| Azure Machine Learning Service-munkaterület (vnet) létrehozása | Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció ismerteti az Azure Machine Learning használatának megkezdéséhez szükséges erőforrások készletét egy elkülönített hálózati beállításban. |
| Application Gateway létrehozása tanúsítványokkal | Ez a sablon bemutatja, hogyan hozhat létre önaláírt Key Vault-tanúsítványokat, majd hogyan hivatkozhat az Application Gatewayről. |
| Key Vault létrehozása naplózással engedélyezve | Ez a sablon létrehoz egy Azure Key Vaultot és egy naplózáshoz használt Azure Storage-fiókot. Szükség esetén erőforrás-zárolásokat hoz létre a Key Vault és a tár erőforrásainak védelme érdekében. |
| Kulcstartó, felügyelt identitás és szerepkör-hozzárendelés létrehozása | Ez a sablon létrehoz egy kulcstartót, felügyelt identitást és szerepkör-hozzárendelést. |
| Bérlők közötti privát végpont erőforrást hoz létre | Ez a sablon lehetővé teszi, hogy priavate végponterőforrást hozzon létre ugyanazon vagy bérlőközi környezetben, és dns-zónakonfigurációt adjon hozzá. |
| Dapr pub-sub servicebus-alkalmazás létrehozása a Container Apps használatával | Hozzon létre egy Dapr pub-sub servicebus alkalmazást a Container Apps használatával. |
| Biztonságos Azure AI Studio üzembe helyezése felügyelt virtuális hálózattal | Ez a sablon biztonságos Azure AI Studio-környezetet hoz létre robusztus hálózati és identitásbiztonsági korlátozásokkal. |
| A Sports Analytics üzembe helyezése az Azure Architecture | Létrehoz egy Azure-tárfiókot az ADLS Gen 2 engedélyezésével, egy Azure Data Factory-példányt a tárfiók társított szolgáltatásaival (üzembe helyezés esetén az Azure SQL Database-t), valamint egy Azure Databricks-példányt. A sablont üzembe helyező felhasználó AAD-identitása és az ADF-példány felügyelt identitása megkapja a tárfiókban a Storage Blob-adat közreműködői szerepkört. Az Azure Key Vault-példány, az Azure SQL Database és az Azure Event Hub üzembe helyezésére is van lehetőség (streamelési használati esetekben). Az Azure Key Vault üzembe helyezésekor a data factory által felügyelt identitás és a sablont üzembe helyező felhasználó AAD-identitása megkapja a Key Vault titkos kulcsfelhasználói szerepkörét. |
| FinOps Hub | Ez a sablon létrehoz egy új FinOps Hub-példányt, beleértve az Adatkezelőt, a Data Lake Storage-t és a Data Factoryt. |
| hálózat által védett ügynök felhasználói felügyelt identitással | Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Agent Service-t virtuális hálózatelkülönítéssel az AI-szolgáltatás/AOAI-kapcsolat és a magánhálózati kapcsolatok felhasználói felügyelt identitásának hitelesítésével az ügynök biztonságos adatokhoz való csatlakoztatásához. |
| standard ügynök beállítási | Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Agent Service-t a standard beállítással, azaz a projekt-/központkapcsolatok felügyelt identitáshitelesítésével és a nyilvános internetkapcsolat engedélyezésével. Az ügynökök az ügyfél tulajdonában lévő, egybérlős keresési és tárolási erőforrásokat használják. Ezzel a beállítással teljes mértékben szabályozhatja és áttekintheti ezeket az erőforrásokat, de a használat alapján költségekkel kell számolnia. |
| Prémium szintű Azure Firewall- tesztelési környezete | Ez a sablon prémium szintű Azure Firewall- és tűzfalszabályzatot hoz létre olyan prémium funkciókkal, mint a behatolásvizsgálat észlelése (IDPS), a TLS-vizsgálat és a webkategória-szűrés |
ARM-sablon erőforrásdefiníciója
A tárolók erőforrástípusa olyan műveletekkel helyezhető üzembe, amelyek a következő célokat célják:
- Erőforráscsoportok – Lásd erőforráscsoport üzembe helyezési parancsaival
Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.
Erőforrás formátuma
Microsoft.KeyVault/Vaults-erőforrás létrehozásához adja hozzá a következő JSON-t a sablonhoz.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2024-12-01-preview",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "string",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
Tulajdonságértékek
AccessPolicyEntry
| Név | Leírás | Érték |
|---|---|---|
| applicationId | A megbízó nevében kérelmet küldő ügyfél alkalmazásazonosítója | húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Egy felhasználó, szolgáltatásnév vagy biztonsági csoport objektumazonosítója a tároló Azure Active Directory-bérlőjében. Az objektumazonosítónak egyedinek kell lennie a hozzáférési szabályzatok listájához. | sztring (kötelező) |
| Engedélyek | Az identitás kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz tartozó engedélyekkel rendelkezik. | engedélyek (kötelező) |
| tenantId | Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. | húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező) |
IPRule
| Név | Leírás | Érték |
|---|---|---|
| érték | Egy IPv4-címtartomány a CIDR-jelölésben, például "124.56.78.91" (egyszerű IP-cím) vagy "124.56.78.0/24" (minden cím, amely a 124.56.78-as számmal kezdődik). | sztring (kötelező) |
Microsoft.KeyVault/vaults
| Név | Leírás | Érték |
|---|---|---|
| apiVersion | Az API verziója | '2024-12-01-preview" |
| hely | A támogatott Azure-hely, ahol létre kell hozni a kulcstartót. | sztring (kötelező) |
| név | Az erőforrás neve | húr Korlátok: Minta = ^[a-zA-Z0-9-]{3,24}$ (kötelező) |
| kellékek | A tároló tulajdonságai | VaultProperties (kötelező) |
| Címkék | Erőforráscímkék | Címkenevek és -értékek szótára. sablonok címkéinek megtekintése |
| típus | Az erőforrás típusa | "Microsoft.KeyVault/vaults" |
NetworkRuleSet
| Név | Leírás | Érték |
|---|---|---|
| Kitérő | Azt jelzi, hogy milyen forgalom kerülheti meg a hálózati szabályokat. Ez lehet "AzureServices" vagy "None". Ha nincs megadva, az alapértelmezett érték az "AzureServices". | "AzureServices" "Nincs" |
| defaultAction | Az alapértelmezett művelet, ha az ipRules és a virtualNetworkRules szabálya nem egyezik. Ezt csak a bypass tulajdonság kiértékelése után használja a rendszer. | "Engedélyezés" "Megtagadás" |
| ipRules | Az IP-címszabályok listája. | IPRule[] |
| virtualNetworkRules | A virtuális hálózati szabályok listája. | VirtualNetworkRule[] |
Engedélyek
| Név | Leírás | Érték |
|---|---|---|
| Tanúsítványok | Tanúsítványokra vonatkozó engedélyek | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "törlés" "deleteissuers" 'get' "getissuers" "importálás" "lista" "listissuers" "managecontacts" "kezelők" 'kiürítés' "helyreállítás" "visszaállítás" "setissuers" "frissítés" |
| Kulcsok | Kulcsok engedélyei | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "visszafejtés" "törlés" "titkosítás" 'get' 'getrotationpolicy' "importálás" "lista" 'kiürítés' "helyreállítás" "kiadás" "visszaállítás" "forgatás" "setrotationpolicy" "sign" 'unwrapKey' "frissítés" "ellenőrzés" 'wrapKey' |
| Titkok | Titkos kódokra vonatkozó engedélyek | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" 'get' "lista" 'kiürítés' "helyreállítás" "visszaállítás" 'set' |
| raktározás | Tárfiókok engedélyei | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" "deletesas" 'get' 'getsas' "lista" "listsas" 'kiürítés' "helyreállítás" 'regeneratekey' "visszaállítás" 'set' "setsas" "frissítés" |
Sku
| Név | Leírás | Érték |
|---|---|---|
| Család | Termékváltozat családneve | "A" (kötelező) |
| név | Termékváltozat neve annak megadásához, hogy a kulcstartó standard vagy prémium szintű tároló-e. | "prémium" "standard" (kötelező) |
VaultCreateOrUpdateParametersTags
| Név | Leírás | Érték |
|---|
VaultProperties
| Név | Leírás | Érték |
|---|---|---|
| accessPolicies | 0–1024 identitásból álló tömb, amely hozzáfér a kulcstartóhoz. A tömb minden identitásának ugyanazt a bérlőazonosítót kell használnia, mint a kulcstartó bérlőazonosítóját. Ha createModerecovervan beállítva, nincs szükség hozzáférési szabályzatra. Ellenkező esetben hozzáférési szabályzatok szükségesek. |
AccessPolicyEntry[] |
| createMode | A tároló létrehozási módja jelzi, hogy a tárolót helyre kell-e állítani. | 'alapértelmezett' "helyreállítás" |
| enabledForDeployment | Tulajdonság annak megadásához, hogy az Azure-beli virtuális gépek jogosultak-e titkos kulcsként tárolt tanúsítványok lekérésére a kulcstartóból. | Bool |
| enabledForDiskEncryption | Tulajdonság annak megadásához, hogy az Azure Disk Encryption jogosult-e titkos kulcsok lekérésére a tárolóból és a kulcsok kicsomagolására. | Bool |
| enabledForTemplateDeployment | Tulajdonság annak megadásához, hogy az Azure Resource Manager jogosult-e titkos kulcsok lekérésére a kulcstartóból. | Bool |
| enablePurgeProtection | Tulajdonság, amely megadja, hogy engedélyezve van-e a törlés elleni védelem ehhez a tárolóhoz. A tulajdonság igaz értékre állítása aktiválja a tároló és tartalma kiürítése elleni védelmet – csak a Key Vault szolgáltatás kezdeményezhet helyreállíthatatlan törlést. A beállítás csak akkor érvényes, ha a helyreállítható törlés is engedélyezve van. Ennek a funkciónak a engedélyezése visszavonhatatlan , vagyis a tulajdonság értéke nem fogadja el a hamis értéket. | Bool |
| enableRbacAuthorization | Az adatműveletek engedélyezését vezérlő tulajdonság. Ha igaz, a kulcstartó szerepköralapú hozzáférés-vezérlést (RBAC) használ az adatműveletek engedélyezéséhez, és a tároló tulajdonságaiban megadott hozzáférési szabályzatok figyelmen kívül lesznek hagyva. Ha hamis, a kulcstartó a tároló tulajdonságaiban megadott hozzáférési szabályzatokat fogja használni, és az Azure Resource Managerben tárolt házirendek figyelmen kívül lesznek hagyva. Ha null vagy nincs megadva, a tároló az alapértelmezett hamis értékkel jön létre. Vegye figyelembe, hogy a felügyeleti műveletek mindig engedélyezve vannak az RBAC-vel. | Bool |
| enableSoftDelete | Tulajdonság annak megadásához, hogy engedélyezve van-e a "helyreállítható törlés" funkció ehhez a kulcstartóhoz. Ha az új kulcstartó létrehozásakor nincs érték (igaz vagy hamis), alapértelmezés szerint igaz értékre lesz állítva. Ha igaz értékre van állítva, nem állítható vissza hamisra. | Bool |
| networkAcls | A kulcstartó adott hálózati helyekről való akadálymentességét szabályozó szabályok. | NetworkRuleSet |
| provisioningState | A tároló kiépítési állapota. | "RegisteringDns" "Sikeres" |
| publicNetworkAccess | Tulajdonság annak megadásához, hogy a tároló fogadja-e a nyilvános internetről érkező forgalmat. Ha "letiltott" értékre van állítva az összes forgalom, kivéve a privát végpontok forgalmát, és amelyek megbízható szolgáltatásokból származnak, le lesz tiltva. Ez felülbírálja a beállított tűzfalszabályokat, ami azt jelenti, hogy még ha a tűzfalszabályok is jelen vannak, akkor sem fogjuk tiszteletben tartani a szabályokat. | húr |
| Sku | Termékváltozat részletei | termékváltozat (kötelező) |
| softDeleteRetentionInDays | softDelete adatmegőrzési napok. Elfogadja >=7 és <=90 értékeket. | Int |
| tenantId | Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. | húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező) |
| vaultUri | A tároló URI-ja a kulcsokon és titkos kulcsokon végzett műveletek végrehajtásához. | húr |
VirtualNetworkRule
| Név | Leírás | Érték |
|---|---|---|
| azonosító | Egy virtuális hálózat alhálózatának teljes erőforrás-azonosítója, például "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | sztring (kötelező) |
| ignoreMissingVnetServiceEndpoint | Tulajdonság annak megadásához, hogy az NRP figyelmen kívül hagyja-e azt az ellenőrzést, hogy a szülő alhálózat rendelkezik-e serviceEndpoints konfigurálva. | Bool |
Használati példák
Azure gyorsútmutató-sablonok
Az alábbi Azure rövid útmutatósablonok üzembe helyezni ezt az erőforrástípust.
| Sablon | Leírás |
|---|---|
AKS-fürt NAT-átjáróval és Application Gateway-
|
Ez a minta bemutatja, hogyan helyezhet üzembe egy AKS-fürtöt NAT Gateway használatával a kimenő kapcsolatokhoz, valamint egy Application Gatewayt a bejövő kapcsolatokhoz. |
|
AKS-fürt az Application Gateway bejövőforgalom-vezérlőjével
|
Ez a minta bemutatja, hogyan helyezhet üzembe AKS-fürtöt az Application Gateway, az Application Gateway bejövőforgalom-vezérlője, az Azure Container Registry, a Log Analytics és a Key Vault használatával |
|
App Service-környezet azure SQL-háttérrendszerrel
|
Ez a sablon létrehoz egy App Service-környezetet egy Azure SQL-háttérrendszerrel, valamint privát végpontokkal, valamint a jellemzően privát/izolált környezetben használt társított erőforrásokkal. |
|
Application Gateway belső API Management és Web App
|
Az Application Gateway internetes forgalmat irányít egy virtuális hálózati (belső módú) API Management-példányhoz, amely egy Azure-webalkalmazásban üzemeltetett webes API-t nyújt. |
|
Azure AI Studio alapszintű beállítási
|
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t az alapszintű beállítással, azaz a nyilvános internet-hozzáférés engedélyezésével, a Microsoft által felügyelt titkosítási kulcsokkal és az AI-erőforrás Microsoft által felügyelt identitáskonfigurációjával. |
|
Azure AI Studio alapszintű beállítási
|
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t az alapszintű beállítással, azaz a nyilvános internet-hozzáférés engedélyezésével, a Microsoft által felügyelt titkosítási kulcsokkal és az AI-erőforrás Microsoft által felügyelt identitáskonfigurációjával. |
|
Azure AI Studio alapszintű beállítási
|
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t az alapszintű beállítással, azaz a nyilvános internet-hozzáférés engedélyezésével, a Microsoft által felügyelt titkosítási kulcsokkal és az AI-erőforrás Microsoft által felügyelt identitáskonfigurációjával. |
|
Azure AI Studio Network korlátozott
|
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t privát kapcsolattal és kimenő forgalom letiltva, a Microsoft által felügyelt kulcsok használatával a titkosításhoz és a Microsoft által felügyelt identitáskonfigurációhoz az AI-erőforráshoz. |
|
Azure AI Studio Network korlátozott
|
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t privát kapcsolattal és kimenő forgalom letiltva, a Microsoft által felügyelt kulcsok használatával a titkosításhoz és a Microsoft által felügyelt identitáskonfigurációhoz az AI-erőforráshoz. |
|
Azure AI Studio a Microsoft Entra ID Authentication
|
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Studio-t a Microsoft Entra ID-hitelesítéssel függő erőforrásokhoz, például az Azure AI Serviceshez és az Azure Storage-hoz. |
|
Azure-függvényalkalmazás és egy HTTP-aktivált függvény
|
Ez a példa üzembe helyez egy Azure-függvényalkalmazást és egy HTTP-aktivált függvényt a sablonban. Emellett egy Key Vaultot is üzembe helyez, és feltölt egy titkos kulcsot a függvényalkalmazás gazdagépkulcsával. |
|
Azure Machine Learning végpontok közötti biztonságos beállítása
|
Ez a Bicep-sablonkészlet bemutatja, hogyan állíthatja be az Azure Machine Learning végpontok közötti beállítását egy biztonságos beállításban. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt. |
|
Azure Machine Learning végpontok közötti biztonságos beállítása (örökölt)
|
Ez a Bicep-sablonkészlet bemutatja, hogyan állíthatja be az Azure Machine Learning végpontok közötti beállítását egy biztonságos beállításban. Ez a referencia-megvalósítás magában foglalja a munkaterületet, a számítási fürtöt, a számítási példányt és a csatolt privát AKS-fürtöt. |
|
Azure Machine Learning-munkaterület
|
Ez a sablon létrehoz egy új Azure Machine Learning-munkaterületet, valamint egy titkosított tárfiókot, KeyVaultot és Application Insights-naplózást |
|
Azure Storage-fióktitkosítás ügyfél által felügyelt kulccsal
|
Ez a sablon egy ügyfél által felügyelt kulccsal rendelkező tárfiókot helyez üzembe a kulcstartóban létrehozott és elhelyezett titkosításhoz. |
|
egyszerű ügynökbeállítási identitás
|
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Agent Service-t az alapszintű beállítással az AI-szolgáltatás/AOAI-kapcsolat felügyelt identitás-hitelesítésével. Az ügynökök a Microsoft által teljes mértékben felügyelt több-bérlős keresési és tárolási erőforrásokat használják. A mögöttes Azure-erőforrások nem lesznek láthatóak vagy szabályozhatók. |
|
Csatlakozás Key Vaulthoz privát végponton keresztül
|
Ez a minta bemutatja, hogyan használható virtuális hálózat és privát DNS-zóna konfigurálása a Key Vault privát végponton keresztüli eléréséhez. |
|
Key Vault és titkos kulcsok listájának létrehozása
|
Ez a sablon létrehoz egy Key Vaultot és egy titkos kulcslistát a kulcstartóban a paraméterekkel együtt |
|
KeyVault- létrehozása
|
Ez a modul létrehoz egy KeyVault-erőforrást az apiVersion 2019-09-01 használatával. |
|
Új titkosított windowsos virtuális gép létrehozása katalógusképből
|
Ez a sablon létrehoz egy új titkosított windowsos virtuális gépet a kiszolgáló 2k12 katalógusképével. |
|
Privát AKS-fürt létrehozása nyilvános DNS-zónával
|
Ez a minta bemutatja, hogyan helyezhet üzembe privát AKS-fürtöt nyilvános DNS-zónával. |
|
AML-munkaterület létrehozása több adatkészlettel & Adattárak
|
Ez a sablon több adatkészlettel & adattárakkal hozza létre az Azure Machine Learning-munkaterületet. |
|
AKS számítási cél létrehozása privát IP-címmel
|
Ez a sablon létrehoz egy AKS számítási célt egy privát IP-címmel rendelkező Azure Machine Learning service-munkaterületen. |
|
API Management szolgáltatás létrehozása SSL-lel a KeyVault
|
Ez a sablon üzembe helyez egy felhasználói hozzárendelt identitással konfigurált API Management szolgáltatást. Ezzel az identitással lekéri az SSL-tanúsítványt a KeyVaultból, és 4 óránként ellenőrzi. |
|
Application Gateway V2 létrehozása Key Vault
|
Ez a sablon egy Application Gateway V2-t helyez üzembe egy virtuális hálózaton, egy felhasználó által definiált identitásban, a Key Vaultban, egy titkos kulcsban (tanúsítványadatok), valamint hozzáférési szabályzatban a Key Vaulton és az Application Gatewayen. |
|
Azure Key Vault és titkos létrehozása
|
Ez a sablon létrehoz egy Azure Key Vaultot és egy titkos kulcsot. |
|
Azure Key Vault létrehozása RBAC-vel és titkos
|
Ez a sablon létrehoz egy Azure Key Vaultot és egy titkos kulcsot. Ahelyett, hogy hozzáférési szabályzatokra támaszkodik, az Azure RBAC-t használja a titkos kódokra vonatkozó engedélyezés kezelésére |
|
Azure Machine Learning-szolgáltatás munkaterületének létrehozása
|
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció az Azure Machine Learning használatának megkezdéséhez szükséges minimális erőforráskészletet ismerteti. |
|
Azure Machine Learning Service-munkaterület (CMK) létrehozása
|
Ez az üzembe helyezési sablon azt határozza meg, hogyan hozhat létre Azure Machine Learning-munkaterületet szolgáltatásoldali titkosítással a titkosítási kulcsok használatával. |
|
Azure Machine Learning Service-munkaterület (CMK) létrehozása
|
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. A példa bemutatja, hogyan konfigurálható az Azure Machine Learning titkosításhoz egy ügyfél által felügyelt titkosítási kulccsal. |
|
Azure Machine Learning-szolgáltatás munkaterületének létrehozása (örökölt)
|
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció ismerteti az Azure Machine Learning használatának megkezdéséhez szükséges erőforrások készletét egy elkülönített hálózati beállításban. |
|
Azure Machine Learning Service-munkaterület (vnet) létrehozása
|
Ez az üzembe helyezési sablon egy Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait határozza meg, beleértve az Azure Key Vaultot, az Azure Storage-t, az Azure Application Insightst és az Azure Container Registryt. Ez a konfiguráció ismerteti az Azure Machine Learning használatának megkezdéséhez szükséges erőforrások készletét egy elkülönített hálózati beállításban. |
|
Új Windows VMSS létrehozása és titkosítása jumpbox
|
Ez a sablon lehetővé teszi a Windows rendszerű virtuális gépek egyszerű méretezési készletének üzembe helyezését a kiszolgálói Windows-verziók utolsó javított verziójával. Ez a sablon egy jumpboxot is üzembe helyez egy nyilvános IP-címmel ugyanabban a virtuális hálózaton. Ezzel a nyilvános IP-címmel csatlakozhat a jumpboxhoz, majd onnan csatlakozhat a méretezési csoport virtuális gépeihez privát IP-címeken keresztül. Ez a sablon lehetővé teszi a windowsos virtuális gépek virtuálisgép-méretezési csoportjának titkosítását. |
|
Application Gateway létrehozása tanúsítványokkal
|
Ez a sablon bemutatja, hogyan hozhat létre önaláírt Key Vault-tanúsítványokat, majd hogyan hivatkozhat az Application Gatewayről. |
|
Key Vault létrehozása naplózással engedélyezve
|
Ez a sablon létrehoz egy Azure Key Vaultot és egy naplózáshoz használt Azure Storage-fiókot. Szükség esetén erőforrás-zárolásokat hoz létre a Key Vault és a tár erőforrásainak védelme érdekében. |
|
Kulcstartó, felügyelt identitás és szerepkör-hozzárendelés létrehozása
|
Ez a sablon létrehoz egy kulcstartót, felügyelt identitást és szerepkör-hozzárendelést. |
|
Új titkosított felügyelt lemezek létrehozása win-vm katalógusképből
|
Ez a sablon egy új titkosított felügyelt lemezt hoz létre windowsos virtuális gépként a kiszolgáló 2k12 katalógusának rendszerképével. |
|
Bérlők közötti privát végpont erőforrást hoz létre
|
Ez a sablon lehetővé teszi, hogy priavate végponterőforrást hozzon létre ugyanazon vagy bérlőközi környezetben, és dns-zónakonfigurációt adjon hozzá. |
|
Dapr pub-sub servicebus-alkalmazás létrehozása a Container Apps használatával
|
Hozzon létre egy Dapr pub-sub servicebus alkalmazást a Container Apps használatával. |
|
létrehoz egy Azure Stack HCI 23H2-fürt
|
Ez a sablon létrehoz egy Azure Stack HCI 23H2-fürtöt EGY ARM-sablon használatával, egyéni tárolási IP-cím használatával |
|
Biztonságos Azure AI Studio üzembe helyezése felügyelt virtuális hálózattal
|
Ez a sablon biztonságos Azure AI Studio-környezetet hoz létre robusztus hálózati és identitásbiztonsági korlátozásokkal. |
|
A Sports Analytics üzembe helyezése az Azure Architecture
|
Létrehoz egy Azure-tárfiókot az ADLS Gen 2 engedélyezésével, egy Azure Data Factory-példányt a tárfiók társított szolgáltatásaival (üzembe helyezés esetén az Azure SQL Database-t), valamint egy Azure Databricks-példányt. A sablont üzembe helyező felhasználó AAD-identitása és az ADF-példány felügyelt identitása megkapja a tárfiókban a Storage Blob-adat közreműködői szerepkört. Az Azure Key Vault-példány, az Azure SQL Database és az Azure Event Hub üzembe helyezésére is van lehetőség (streamelési használati esetekben). Az Azure Key Vault üzembe helyezésekor a data factory által felügyelt identitás és a sablont üzembe helyező felhasználó AAD-identitása megkapja a Key Vault titkos kulcsfelhasználói szerepkörét. |
|
Titkosítás engedélyezése futó Windows rendszerű virtuális gépeken
|
Ez a sablon lehetővé teszi a titkosítást egy futó windowsos virtuális gépen. |
|
FinOps Hub
|
Ez a sablon létrehoz egy új FinOps Hub-példányt, beleértve az Adatkezelőt, a Data Lake Storage-t és a Data Factoryt. |
|
hálózat által védett ügynök felhasználói felügyelt identitással
|
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Agent Service-t virtuális hálózatelkülönítéssel az AI-szolgáltatás/AOAI-kapcsolat és a magánhálózati kapcsolatok felhasználói felügyelt identitásának hitelesítésével az ügynök biztonságos adatokhoz való csatlakoztatásához. |
|
standard ügynök beállítási
|
Ez a sablonkészlet bemutatja, hogyan állíthatja be az Azure AI Agent Service-t a standard beállítással, azaz a projekt-/központkapcsolatok felügyelt identitáshitelesítésével és a nyilvános internetkapcsolat engedélyezésével. Az ügynökök az ügyfél tulajdonában lévő, egybérlős keresési és tárolási erőforrásokat használják. Ezzel a beállítással teljes mértékben szabályozhatja és áttekintheti ezeket az erőforrásokat, de a használat alapján költségekkel kell számolnia. |
|
Prémium szintű Azure Firewall- tesztelési környezete
|
Ez a sablon prémium szintű Azure Firewall- és tűzfalszabályzatot hoz létre olyan prémium funkciókkal, mint a behatolásvizsgálat észlelése (IDPS), a TLS-vizsgálat és a webkategória-szűrés |
|
Ez a sablon titkosít egy futó Windows VMSS-
|
Ez a sablon lehetővé teszi a titkosítást egy futó Windows rendszerű virtuálisgép-méretezési csoporton |
|
Azure Stack HCI 22H2-fürtöt frissít 23H2-fürtre
|
Ez a sablon ARM-sablonnal frissít egy Azure Stack HCI 22H2-fürtöt 23H2-fürtre. |
Terraform (AzAPI-szolgáltató) erőforrásdefiníciója
A tárolók erőforrástípusa olyan műveletekkel helyezhető üzembe, amelyek a következő célokat célják:
- erőforráscsoportok
Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.
Erőforrás formátuma
Microsoft.KeyVault/Vaults-erőforrás létrehozásához adja hozzá a következő Terraformot a sablonhoz.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2024-12-01-preview"
name = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "string"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Tulajdonságértékek
AccessPolicyEntry
| Név | Leírás | Érték |
|---|---|---|
| applicationId | A megbízó nevében kérelmet küldő ügyfél alkalmazásazonosítója | húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | Egy felhasználó, szolgáltatásnév vagy biztonsági csoport objektumazonosítója a tároló Azure Active Directory-bérlőjében. Az objektumazonosítónak egyedinek kell lennie a hozzáférési szabályzatok listájához. | sztring (kötelező) |
| Engedélyek | Az identitás kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz tartozó engedélyekkel rendelkezik. | engedélyek (kötelező) |
| tenantId | Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. | húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező) |
IPRule
| Név | Leírás | Érték |
|---|---|---|
| érték | Egy IPv4-címtartomány a CIDR-jelölésben, például "124.56.78.91" (egyszerű IP-cím) vagy "124.56.78.0/24" (minden cím, amely a 124.56.78-as számmal kezdődik). | sztring (kötelező) |
Microsoft.KeyVault/vaults
| Név | Leírás | Érték |
|---|---|---|
| hely | A támogatott Azure-hely, ahol létre kell hozni a kulcstartót. | sztring (kötelező) |
| név | Az erőforrás neve | húr Korlátok: Minta = ^[a-zA-Z0-9-]{3,24}$ (kötelező) |
| kellékek | A tároló tulajdonságai | VaultProperties (kötelező) |
| Címkék | Erőforráscímkék | Címkenevek és -értékek szótára. |
| típus | Az erőforrás típusa | "Microsoft.KeyVault/vaults@2024-12-01-preview" |
NetworkRuleSet
| Név | Leírás | Érték |
|---|---|---|
| Kitérő | Azt jelzi, hogy milyen forgalom kerülheti meg a hálózati szabályokat. Ez lehet "AzureServices" vagy "None". Ha nincs megadva, az alapértelmezett érték az "AzureServices". | "AzureServices" "Nincs" |
| defaultAction | Az alapértelmezett művelet, ha az ipRules és a virtualNetworkRules szabálya nem egyezik. Ezt csak a bypass tulajdonság kiértékelése után használja a rendszer. | "Engedélyezés" "Megtagadás" |
| ipRules | Az IP-címszabályok listája. | IPRule[] |
| virtualNetworkRules | A virtuális hálózati szabályok listája. | VirtualNetworkRule[] |
Engedélyek
| Név | Leírás | Érték |
|---|---|---|
| Tanúsítványok | Tanúsítványokra vonatkozó engedélyek | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "törlés" "deleteissuers" 'get' "getissuers" "importálás" "lista" "listissuers" "managecontacts" "kezelők" 'kiürítés' "helyreállítás" "visszaállítás" "setissuers" "frissítés" |
| Kulcsok | Kulcsok engedélyei | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "létrehozás" "visszafejtés" "törlés" "titkosítás" 'get' 'getrotationpolicy' "importálás" "lista" 'kiürítés' "helyreállítás" "kiadás" "visszaállítás" "forgatás" "setrotationpolicy" "sign" 'unwrapKey' "frissítés" "ellenőrzés" 'wrapKey' |
| Titkok | Titkos kódokra vonatkozó engedélyek | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" 'get' "lista" 'kiürítés' "helyreállítás" "visszaállítás" 'set' |
| raktározás | Tárfiókok engedélyei | Sztringtömb, amely a következők bármelyikét tartalmazza: "mind" "biztonsági mentés" "törlés" "deletesas" 'get' 'getsas' "lista" "listsas" 'kiürítés' "helyreállítás" 'regeneratekey' "visszaállítás" 'set' "setsas" "frissítés" |
Sku
| Név | Leírás | Érték |
|---|---|---|
| Család | Termékváltozat családneve | "A" (kötelező) |
| név | Termékváltozat neve annak megadásához, hogy a kulcstartó standard vagy prémium szintű tároló-e. | "prémium" "standard" (kötelező) |
VaultCreateOrUpdateParametersTags
| Név | Leírás | Érték |
|---|
VaultProperties
| Név | Leírás | Érték |
|---|---|---|
| accessPolicies | 0–1024 identitásból álló tömb, amely hozzáfér a kulcstartóhoz. A tömb minden identitásának ugyanazt a bérlőazonosítót kell használnia, mint a kulcstartó bérlőazonosítóját. Ha createModerecovervan beállítva, nincs szükség hozzáférési szabályzatra. Ellenkező esetben hozzáférési szabályzatok szükségesek. |
AccessPolicyEntry[] |
| createMode | A tároló létrehozási módja jelzi, hogy a tárolót helyre kell-e állítani. | 'alapértelmezett' "helyreállítás" |
| enabledForDeployment | Tulajdonság annak megadásához, hogy az Azure-beli virtuális gépek jogosultak-e titkos kulcsként tárolt tanúsítványok lekérésére a kulcstartóból. | Bool |
| enabledForDiskEncryption | Tulajdonság annak megadásához, hogy az Azure Disk Encryption jogosult-e titkos kulcsok lekérésére a tárolóból és a kulcsok kicsomagolására. | Bool |
| enabledForTemplateDeployment | Tulajdonság annak megadásához, hogy az Azure Resource Manager jogosult-e titkos kulcsok lekérésére a kulcstartóból. | Bool |
| enablePurgeProtection | Tulajdonság, amely megadja, hogy engedélyezve van-e a törlés elleni védelem ehhez a tárolóhoz. A tulajdonság igaz értékre állítása aktiválja a tároló és tartalma kiürítése elleni védelmet – csak a Key Vault szolgáltatás kezdeményezhet helyreállíthatatlan törlést. A beállítás csak akkor érvényes, ha a helyreállítható törlés is engedélyezve van. Ennek a funkciónak a engedélyezése visszavonhatatlan , vagyis a tulajdonság értéke nem fogadja el a hamis értéket. | Bool |
| enableRbacAuthorization | Az adatműveletek engedélyezését vezérlő tulajdonság. Ha igaz, a kulcstartó szerepköralapú hozzáférés-vezérlést (RBAC) használ az adatműveletek engedélyezéséhez, és a tároló tulajdonságaiban megadott hozzáférési szabályzatok figyelmen kívül lesznek hagyva. Ha hamis, a kulcstartó a tároló tulajdonságaiban megadott hozzáférési szabályzatokat fogja használni, és az Azure Resource Managerben tárolt házirendek figyelmen kívül lesznek hagyva. Ha null vagy nincs megadva, a tároló az alapértelmezett hamis értékkel jön létre. Vegye figyelembe, hogy a felügyeleti műveletek mindig engedélyezve vannak az RBAC-vel. | Bool |
| enableSoftDelete | Tulajdonság annak megadásához, hogy engedélyezve van-e a "helyreállítható törlés" funkció ehhez a kulcstartóhoz. Ha az új kulcstartó létrehozásakor nincs érték (igaz vagy hamis), alapértelmezés szerint igaz értékre lesz állítva. Ha igaz értékre van állítva, nem állítható vissza hamisra. | Bool |
| networkAcls | A kulcstartó adott hálózati helyekről való akadálymentességét szabályozó szabályok. | NetworkRuleSet |
| provisioningState | A tároló kiépítési állapota. | "RegisteringDns" "Sikeres" |
| publicNetworkAccess | Tulajdonság annak megadásához, hogy a tároló fogadja-e a nyilvános internetről érkező forgalmat. Ha "letiltott" értékre van állítva az összes forgalom, kivéve a privát végpontok forgalmát, és amelyek megbízható szolgáltatásokból származnak, le lesz tiltva. Ez felülbírálja a beállított tűzfalszabályokat, ami azt jelenti, hogy még ha a tűzfalszabályok is jelen vannak, akkor sem fogjuk tiszteletben tartani a szabályokat. | húr |
| Sku | Termékváltozat részletei | termékváltozat (kötelező) |
| softDeleteRetentionInDays | softDelete adatmegőrzési napok. Elfogadja >=7 és <=90 értékeket. | Int |
| tenantId | Az Azure Active Directory bérlőazonosítója, amelyet a key vaultba irányuló kérések hitelesítéséhez kell használni. | húr Korlátok: Minimális hossz = 36 Maximális hossz = 36 Minta = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (kötelező) |
| vaultUri | A tároló URI-ja a kulcsokon és titkos kulcsokon végzett műveletek végrehajtásához. | húr |
VirtualNetworkRule
| Név | Leírás | Érték |
|---|---|---|
| azonosító | Egy virtuális hálózat alhálózatának teljes erőforrás-azonosítója, például "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | sztring (kötelező) |
| ignoreMissingVnetServiceEndpoint | Tulajdonság annak megadásához, hogy az NRP figyelmen kívül hagyja-e azt az ellenőrzést, hogy a szülő alhálózat rendelkezik-e serviceEndpoints konfigurálva. | Bool |
Használati példák
Azure-ból ellenőrzött modulok
Az alábbi Azure Verified Modules használható az erőforrástípus üzembe helyezéséhez.
| Modul | Leírás |
|---|---|
| Kulcsrakéta | AVM-erőforrásmodul a Key Vaulthoz |