Vault Microsoft.KeyVault
- Terbaru
- pratinjau 2024-12-01
- 2024-11-01
- pratinjau
2024-04-01 - 2023-07-01
-
2023-02-01 -
2022-11-01 -
2022-07-01 - 2022-02-01-preview
- pratinjau
2021-11-01 - 2021-10-01
- 2021-06-01-preview
- pratinjau
2021-04-01 - pratinjau
2020-04-01 - 2019-09-01
-
2018-02-14 - pratinjau
2018-02-14 - 2016-10-01
- 2015-06-01
Komentar
Untuk panduan tentang menggunakan brankas kunci untuk nilai aman, lihat Mengelola rahasia dengan menggunakan Bicep.
Untuk mulai cepat membuat rahasia, lihat mulai cepat : Mengatur dan mengambil rahasia dari Azure Key Vault menggunakan templat ARM.
Untuk mulai cepat membuat kunci, lihat mulai cepat : Membuat brankas kunci Azure dan kunci dengan menggunakan templat ARM.
Definisi sumber daya Bicep
Jenis sumber daya vault dapat disebarkan dengan operasi yang menargetkan:
- Grup sumber daya
- Lihat perintah penyebaran grup sumber daya
Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.
Format sumber daya
Untuk membuat sumber daya Microsoft.KeyVault/vaults, tambahkan Bicep berikut ke templat Anda.
resource symbolicname 'Microsoft.KeyVault/vaults@2024-12-01-preview' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'string'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
Nilai Properti
AccessPolicyEntry
| Nama | Deskripsi | Nilai |
|---|---|---|
| applicationId | ID aplikasi klien yang membuat permintaan atas nama prinsipal | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID objek pengguna, perwakilan layanan, atau grup keamanan di penyewa Azure Active Directory untuk vault. ID objek harus unik untuk daftar kebijakan akses. | string (diperlukan) |
| Izin | Izin yang dimiliki identitas untuk kunci, rahasia, dan sertifikat. | Izin |
| tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (diperlukan) |
IPRule
| Nama | Deskripsi | Nilai |
|---|---|---|
| nilai | Rentang alamat IPv4 dalam notasi CIDR, seperti '124.56.78.91' (alamat IP sederhana) atau '124.56.78.0/24' (semua alamat yang dimulai dengan 124.56.78). | string (diperlukan) |
Microsoft.KeyVault/vaults
| Nama | Deskripsi | Nilai |
|---|---|---|
| tempat | Lokasi Azure yang didukung tempat brankas kunci harus dibuat. | string (diperlukan) |
| Nama | Nama sumber daya | tali Kendala: Pola = ^[a-zA-Z0-9-]{3,24}$ (diperlukan) |
| Properti | Properti vault | VaultProperties (wajib) |
| Tags | Tag sumber daya | Kamus nama dan nilai tag. Lihat Tag dalam templat |
NetworkRuleSet
| Nama | Deskripsi | Nilai |
|---|---|---|
| Bypass | Memberi tahu lalu lintas apa yang dapat melewati aturan jaringan. Ini bisa menjadi 'AzureServices' atau 'None'. Jika tidak ditentukan, defaultnya adalah 'AzureServices'. | 'AzureServices' 'Tidak Ada' |
| defaultAction | Tindakan default ketika tidak ada aturan dari ipRules dan dari virtualNetworkRules yang cocok. Ini hanya digunakan setelah properti bypass dievaluasi. | 'Izinkan' 'Tolak' |
| ipRules | Daftar aturan alamat IP. | IPRule [] |
| virtualNetworkRules | Daftar aturan jaringan virtual. | VirtualNetworkRule[] |
Izin
| Nama | Deskripsi | Nilai |
|---|---|---|
| Sertifikat | Izin ke sertifikat | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'create' 'hapus' 'deleteissuers' 'get' 'getissuers' 'impor' 'daftar' 'listissuers' 'managecontacts' 'manageissuers' 'hapus menyeluruh' 'pulihkan' 'restore' 'setissuers' 'update' |
| Tombol | Izin ke kunci | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'create' 'dekripsi' 'hapus' 'enkripsi' 'get' 'getrotationpolicy' 'impor' 'daftar' 'hapus menyeluruh' 'pulihkan' 'rilis' 'restore' 'putar' 'setrotationpolicy' 'tanda tangan' 'unwrapKey' 'update' 'verifikasi' 'wrapKey' |
| Rahasia | Izin ke rahasia | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'hapus' 'get' 'daftar' 'hapus menyeluruh' 'pulihkan' 'restore' 'set' |
| penyimpanan | Izin ke akun penyimpanan | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'hapus' 'deletesas' 'get' 'getsas' 'daftar' 'listsas' 'hapus menyeluruh' 'pulihkan' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
Sku
| Nama | Deskripsi | Nilai |
|---|---|---|
| keluarga | Nama keluarga SKU | 'A' (diperlukan) |
| Nama | Nama SKU untuk menentukan apakah brankas kunci adalah vault standar atau brankas premium. | 'premium' 'standar' (diperlukan) |
VaultCreateOrUpdateParametersTags
| Nama | Deskripsi | Nilai |
|---|
VaultProperties
| Nama | Deskripsi | Nilai |
|---|---|---|
| accessPolicies | Array identitas 0 hingga 1024 yang memiliki akses ke brankas kunci. Semua identitas dalam array harus menggunakan ID penyewa yang sama dengan ID penyewa brankas kunci. Ketika createMode diatur ke recover, kebijakan akses tidak diperlukan. Jika tidak, kebijakan akses diperlukan. |
AccessPolicyEntry[] |
| createMode | Mode buat vault untuk menunjukkan apakah vault perlu dipulihkan atau tidak. | 'default' 'pulihkan' |
| enabledForDeployment | Properti untuk menentukan apakah Azure Virtual Machines diizinkan untuk mengambil sertifikat yang disimpan sebagai rahasia dari brankas kunci. | bool |
| enabledForDiskEncryption | Properti untuk menentukan apakah Azure Disk Encryption diizinkan untuk mengambil rahasia dari brankas dan membongkar kunci. | bool |
| enabledForTemplateDeployment | Properti untuk menentukan apakah Azure Resource Manager diizinkan untuk mengambil rahasia dari brankas kunci. | bool |
| enablePurgeProtection | Properti yang menentukan apakah perlindungan terhadap penghapusan menyeluruh diaktifkan untuk vault ini. Mengatur properti ini ke true mengaktifkan perlindungan terhadap penghapusan menyeluruh untuk brankas ini dan kontennya - hanya layanan Key Vault yang dapat memulai penghapusan yang sulit dan tidak dapat dipulihkan. Pengaturan ini hanya efektif jika penghapusan sementara juga diaktifkan. Mengaktifkan fungsionalitas ini tidak dapat diubah - artinya, properti tidak menerima false sebagai nilainya. | bool |
| enableRbacAuthorization | Properti yang mengontrol bagaimana tindakan data diotorisasi. Jika benar, brankas kunci akan menggunakan Kontrol Akses Berbasis Peran (RBAC) untuk otorisasi tindakan data, dan kebijakan akses yang ditentukan dalam properti vault akan diabaikan. Ketika false, brankas kunci akan menggunakan kebijakan akses yang ditentukan dalam properti vault, dan kebijakan apa pun yang disimpan di Azure Resource Manager akan diabaikan. Jika null atau tidak ditentukan, vault dibuat dengan nilai default false. Perhatikan bahwa tindakan manajemen selalu diotorisasi dengan RBAC. | bool |
| enableSoftDelete | Properti untuk menentukan apakah fungsionalitas 'penghapusan sementara' diaktifkan untuk brankas kunci ini. Jika tidak diatur ke nilai apa pun (benar atau salah) saat membuat brankas kunci baru, nilai tersebut akan diatur ke true secara default. Setelah diatur ke true, itu tidak dapat dikembalikan ke false. | bool |
| networkAcls | Aturan yang mengatur aksesibilitas brankas kunci dari lokasi jaringan tertentu. | |
| provisioningState | Status provisi vault. | 'RegisteringDns' 'Berhasil' |
| publicNetworkAccess | Properti untuk menentukan apakah vault akan menerima lalu lintas dari internet publik. Jika diatur ke 'dinonaktifkan' semua lalu lintas kecuali lalu lintas titik akhir privat dan yang berasal dari layanan tepercaya akan diblokir. Ini akan mengesampingkan aturan firewall yang ditetapkan, yang berarti bahwa bahkan jika aturan firewall ada, kami tidak akan mematuhi aturan. | tali |
| Sku | Detail SKU | Sku (diperlukan) |
| softDeleteRetentionInDays | softDelete data retention days. Ini menerima >=7 dan <=90. | Int |
| tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (diperlukan) |
| vaultUri | URI vault untuk melakukan operasi pada kunci dan rahasia. | tali |
VirtualNetworkRule
| Nama | Deskripsi | Nilai |
|---|---|---|
| Id | Id sumber daya lengkap subnet vnet, seperti '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | string (diperlukan) |
| ignoreMissingVnetServiceEndpoint | Properti untuk menentukan apakah NRP akan mengabaikan pemeriksaan apakah subnet induk memiliki serviceEndpoints yang dikonfigurasi. | bool |
Contoh Penggunaan
Modul Terverifikasi Azure
Modul Terverifikasi Azure berikut dapat digunakan untuk menyebarkan jenis sumber daya ini.
| Modul | Deskripsi |
|---|---|
| Penyimpanan Kunci | Modul Sumber Daya AVM untuk Key Vault |
Sampel Mulai Cepat Azure
Templat Mulai Cepat Azure berikut ini berisi sampel Bicep untuk menyebarkan jenis sumber daya ini.
| Bicep File | Deskripsi |
|---|---|
| Kluster AKS dengan NAT Gateway dan Application Gateway | Sampel ini menunjukkan cara menyebarkan kluster AKS dengan NAT Gateway untuk koneksi keluar dan Application Gateway untuk koneksi masuk. |
| kluster AKS dengan Pengontrol Ingress Application Gateway | Sampel ini menunjukkan cara menyebarkan kluster AKS dengan Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics, dan Key Vault |
| Application Gateway dengan API Management internal dan Aplikasi Web | Lalu lintas Internet perutean Application Gateway ke instans API Management jaringan virtual (mode internal) yang melayani API web yang dihosting di Azure Web App. |
| penyiapan dasar Azure AI Studio | Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
| penyiapan dasar Azure AI Studio | Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
| penyiapan dasar Azure AI Studio | Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
| Terbatas Jaringan Azure AI Studio | Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan tautan privat dan keluar yang dinonaktifkan, menggunakan kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
| Terbatas Jaringan Azure AI Studio | Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan tautan privat dan keluar yang dinonaktifkan, menggunakan kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
| Azure AI Studio dengan Autentikasi ID Microsoft Entra | Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan autentikasi ID Microsoft Entra untuk sumber daya dependen, seperti Azure AI Services dan Azure Storage. |
| aplikasi Azure Function dan fungsi yang dipicu HTTP | Contoh ini menyebarkan aplikasi Azure Function dan fungsi yang dipicu HTTP sebaris dalam templat. Ini juga menyebarkan Key Vault dan mengisi rahasia dengan kunci host aplikasi fungsi. |
| penyiapan aman end-to-end Azure Machine Learning | Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang. |
| penyiapan aman end-to-end (warisan) Azure Machine Learning | Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang. |
| Enkripsi Akun Azure Storage dengan kunci yang dikelola pelanggan | Templat ini menyebarkan Akun Penyimpanan dengan kunci yang dikelola pelanggan untuk enkripsi yang dihasilkan dan ditempatkan di dalam Key Vault. |
| Identitas Penyiapan Agen Dasar | Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Agent Service dengan penyiapan dasar menggunakan autentikasi identitas terkelola untuk koneksi AI Service/AOAI. Agen menggunakan sumber daya pencarian dan penyimpanan multi-penyewa yang dikelola sepenuhnya oleh Microsoft. Anda tidak akan memiliki visibilitas atau kontrol atas sumber daya Azure yang mendasar ini. |
| Membuat Key Vault dan daftar rahasia | Templat ini membuat Key Vault dan daftar rahasia dalam brankas kunci seperti yang diteruskan bersama dengan parameter |
| Membuat target komputasi AKS dengan alamat IP Privat | Templat ini membuat target komputasi AKS di ruang kerja layanan Azure Machine Learning tertentu dengan alamat IP privat. |
| Membuat layanan API Management dengan SSL dari KeyVault | Templat ini menyebarkan layanan API Management yang dikonfigurasi dengan Identitas yang Ditetapkan Pengguna. Ini menggunakan identitas ini untuk mengambil sertifikat SSL dari KeyVault dan terus memperbaruinya dengan memeriksa setiap 4 jam. |
| Membuat Azure Key Vault dan rahasia | Templat ini membuat Azure Key Vault dan rahasia. |
| Membuat Azure Key Vault dengan RBAC dan rahasia | Templat ini membuat Azure Key Vault dan rahasia. Alih-alih mengandalkan kebijakan akses, ini memanfaatkan Azure RBAC untuk mengelola otorisasi pada rahasia |
| Membuat ruang kerja layanan Azure Machine Learning | Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan kumpulan sumber daya minimal yang Anda butuhkan untuk mulai menggunakan Azure Machine Learning. |
| Membuat ruang kerja layanan Azure Machine Learning (CMK) | Templat penyebaran ini menentukan cara membuat ruang kerja Azure Machine Learning dengan enkripsi sisi layanan menggunakan kunci enkripsi Anda. |
| Membuat ruang kerja layanan Azure Machine Learning (CMK) | Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Contoh menunjukkan cara mengonfigurasi Azure Machine Learning untuk enkripsi dengan kunci enkripsi yang dikelola pelanggan. |
| Membuat ruang kerja layanan Azure Machine Learning (warisan) | Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan. |
| Membuat ruang kerja layanan Azure Machine Learning (vnet) | Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan. |
| Membuat Application Gateway dengan Sertifikat | Templat ini menunjukkan cara membuat sertifikat yang ditandatangani sendiri Key Vault, lalu referensi dari Application Gateway. |
| Buat Key Vault dengan pengelogan diaktifkan | Templat ini membuat Azure Key Vault dan akun Azure Storage yang digunakan untuk pengelogan. Ini secara opsional membuat kunci sumber daya untuk melindungi Key Vault dan sumber daya penyimpanan Anda. |
| Membuat brankas kunci, identitas terkelola, dan penetapan peran | Templat ini membuat brankas kunci, identitas terkelola, dan penetapan peran. |
| Membuat sumber daya Titik Akhir Privat Lintas Penyewa | Templat ini memungkinkan Anda membuat sumber daya Titik Akhir Priavate dalam lingkungan yang sama atau lintas penyewa dan menambahkan konfigurasi zona dns. |
| Membuat aplikasi servicebus pub-sub Dapr menggunakan Container Apps | Buat aplikasi dapr pub-sub servicebus menggunakan Container Apps. |
| Menyebarkan Azure AI Studio aman dengan jaringan virtual terkelola | Templat ini membuat lingkungan Azure AI Studio yang aman dengan pembatasan keamanan jaringan dan identitas yang kuat. |
| Menyebarkan Analitik Olahraga di Arsitektur Azure | Membuat akun penyimpanan Azure dengan ADLS Gen 2 diaktifkan, instans Azure Data Factory dengan layanan tertaut untuk akun penyimpanan (Azure SQL Database jika disebarkan), dan instans Azure Databricks. Identitas AAD untuk pengguna yang menyebarkan templat dan identitas terkelola untuk instans ADF akan diberikan peran Kontributor Data Blob Penyimpanan pada akun penyimpanan. Ada juga opsi untuk menyebarkan instans Azure Key Vault, Azure SQL Database, dan Azure Event Hub (untuk kasus penggunaan streaming). Saat Azure Key Vault disebarkan, identitas terkelola pabrik data dan identitas AAD untuk pengguna yang menyebarkan templat akan diberikan peran Pengguna Rahasia Key Vault. |
| hub |
Templat ini membuat instans hub FinOps baru, termasuk Data Explorer, penyimpanan Data Lake, dan Data Factory. |
| Network Secured Agent dengan Identitas Terkelola Pengguna | Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Agent Service dengan isolasi jaringan virtual menggunakan autentikasi Identitas Terkelola Pengguna untuk koneksi AI Service/AOAI dan tautan jaringan privat untuk menghubungkan agen ke data aman Anda. |
| Penyiapan Agen Standar | Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Agent Service dengan penyiapan standar, yang berarti dengan autentikasi identitas terkelola untuk koneksi proyek/hub dan akses internet publik diaktifkan. Agen menggunakan sumber daya pencarian dan penyimpanan penyewa tunggal milik pelanggan. Dengan penyiapan ini, Anda memiliki kontrol dan visibilitas penuh atas sumber daya ini, tetapi Anda akan dikenakan biaya berdasarkan penggunaan Anda. |
| lingkungan Pengujian untuk Azure Firewall Premium | Templat ini membuat Azure Firewall Premium dan Firewall Policy dengan fitur premium seperti Intrusion Inspection Detection (IDPS), inspeksi TLS, dan pemfilteran Kategori Web |
Definisi sumber daya templat ARM
Jenis sumber daya vault dapat disebarkan dengan operasi yang menargetkan:
- Grup sumber daya
- Lihat perintah penyebaran grup sumber daya
Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.
Format sumber daya
Untuk membuat sumber daya Microsoft.KeyVault/vaults, tambahkan JSON berikut ke templat Anda.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2024-12-01-preview",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "string",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
Nilai Properti
AccessPolicyEntry
| Nama | Deskripsi | Nilai |
|---|---|---|
| applicationId | ID aplikasi klien yang membuat permintaan atas nama prinsipal | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID objek pengguna, perwakilan layanan, atau grup keamanan di penyewa Azure Active Directory untuk vault. ID objek harus unik untuk daftar kebijakan akses. | string (diperlukan) |
| Izin | Izin yang dimiliki identitas untuk kunci, rahasia, dan sertifikat. | Izin |
| tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (diperlukan) |
IPRule
| Nama | Deskripsi | Nilai |
|---|---|---|
| nilai | Rentang alamat IPv4 dalam notasi CIDR, seperti '124.56.78.91' (alamat IP sederhana) atau '124.56.78.0/24' (semua alamat yang dimulai dengan 124.56.78). | string (diperlukan) |
Microsoft.KeyVault/vaults
| Nama | Deskripsi | Nilai |
|---|---|---|
| apiVersion | Versi api | '2024-12-01-preview' |
| tempat | Lokasi Azure yang didukung tempat brankas kunci harus dibuat. | string (diperlukan) |
| Nama | Nama sumber daya | tali Kendala: Pola = ^[a-zA-Z0-9-]{3,24}$ (diperlukan) |
| Properti | Properti vault | VaultProperties (wajib) |
| Tags | Tag sumber daya | Kamus nama dan nilai tag. Lihat Tag dalam templat |
| jenis | Jenis sumber daya | 'Microsoft.KeyVault/vaults' |
NetworkRuleSet
| Nama | Deskripsi | Nilai |
|---|---|---|
| Bypass | Memberi tahu lalu lintas apa yang dapat melewati aturan jaringan. Ini bisa menjadi 'AzureServices' atau 'None'. Jika tidak ditentukan, defaultnya adalah 'AzureServices'. | 'AzureServices' 'Tidak Ada' |
| defaultAction | Tindakan default ketika tidak ada aturan dari ipRules dan dari virtualNetworkRules yang cocok. Ini hanya digunakan setelah properti bypass dievaluasi. | 'Izinkan' 'Tolak' |
| ipRules | Daftar aturan alamat IP. | IPRule [] |
| virtualNetworkRules | Daftar aturan jaringan virtual. | VirtualNetworkRule[] |
Izin
| Nama | Deskripsi | Nilai |
|---|---|---|
| Sertifikat | Izin ke sertifikat | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'create' 'hapus' 'deleteissuers' 'get' 'getissuers' 'impor' 'daftar' 'listissuers' 'managecontacts' 'manageissuers' 'hapus menyeluruh' 'pulihkan' 'restore' 'setissuers' 'update' |
| Tombol | Izin ke kunci | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'create' 'dekripsi' 'hapus' 'enkripsi' 'get' 'getrotationpolicy' 'impor' 'daftar' 'hapus menyeluruh' 'pulihkan' 'rilis' 'restore' 'putar' 'setrotationpolicy' 'tanda tangan' 'unwrapKey' 'update' 'verifikasi' 'wrapKey' |
| Rahasia | Izin ke rahasia | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'hapus' 'get' 'daftar' 'hapus menyeluruh' 'pulihkan' 'restore' 'set' |
| penyimpanan | Izin ke akun penyimpanan | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'hapus' 'deletesas' 'get' 'getsas' 'daftar' 'listsas' 'hapus menyeluruh' 'pulihkan' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
Sku
| Nama | Deskripsi | Nilai |
|---|---|---|
| keluarga | Nama keluarga SKU | 'A' (diperlukan) |
| Nama | Nama SKU untuk menentukan apakah brankas kunci adalah vault standar atau brankas premium. | 'premium' 'standar' (diperlukan) |
VaultCreateOrUpdateParametersTags
| Nama | Deskripsi | Nilai |
|---|
VaultProperties
| Nama | Deskripsi | Nilai |
|---|---|---|
| accessPolicies | Array identitas 0 hingga 1024 yang memiliki akses ke brankas kunci. Semua identitas dalam array harus menggunakan ID penyewa yang sama dengan ID penyewa brankas kunci. Ketika createMode diatur ke recover, kebijakan akses tidak diperlukan. Jika tidak, kebijakan akses diperlukan. |
AccessPolicyEntry[] |
| createMode | Mode buat vault untuk menunjukkan apakah vault perlu dipulihkan atau tidak. | 'default' 'pulihkan' |
| enabledForDeployment | Properti untuk menentukan apakah Azure Virtual Machines diizinkan untuk mengambil sertifikat yang disimpan sebagai rahasia dari brankas kunci. | bool |
| enabledForDiskEncryption | Properti untuk menentukan apakah Azure Disk Encryption diizinkan untuk mengambil rahasia dari brankas dan membongkar kunci. | bool |
| enabledForTemplateDeployment | Properti untuk menentukan apakah Azure Resource Manager diizinkan untuk mengambil rahasia dari brankas kunci. | bool |
| enablePurgeProtection | Properti yang menentukan apakah perlindungan terhadap penghapusan menyeluruh diaktifkan untuk vault ini. Mengatur properti ini ke true mengaktifkan perlindungan terhadap penghapusan menyeluruh untuk brankas ini dan kontennya - hanya layanan Key Vault yang dapat memulai penghapusan yang sulit dan tidak dapat dipulihkan. Pengaturan ini hanya efektif jika penghapusan sementara juga diaktifkan. Mengaktifkan fungsionalitas ini tidak dapat diubah - artinya, properti tidak menerima false sebagai nilainya. | bool |
| enableRbacAuthorization | Properti yang mengontrol bagaimana tindakan data diotorisasi. Jika benar, brankas kunci akan menggunakan Kontrol Akses Berbasis Peran (RBAC) untuk otorisasi tindakan data, dan kebijakan akses yang ditentukan dalam properti vault akan diabaikan. Ketika false, brankas kunci akan menggunakan kebijakan akses yang ditentukan dalam properti vault, dan kebijakan apa pun yang disimpan di Azure Resource Manager akan diabaikan. Jika null atau tidak ditentukan, vault dibuat dengan nilai default false. Perhatikan bahwa tindakan manajemen selalu diotorisasi dengan RBAC. | bool |
| enableSoftDelete | Properti untuk menentukan apakah fungsionalitas 'penghapusan sementara' diaktifkan untuk brankas kunci ini. Jika tidak diatur ke nilai apa pun (benar atau salah) saat membuat brankas kunci baru, nilai tersebut akan diatur ke true secara default. Setelah diatur ke true, itu tidak dapat dikembalikan ke false. | bool |
| networkAcls | Aturan yang mengatur aksesibilitas brankas kunci dari lokasi jaringan tertentu. | |
| provisioningState | Status provisi vault. | 'RegisteringDns' 'Berhasil' |
| publicNetworkAccess | Properti untuk menentukan apakah vault akan menerima lalu lintas dari internet publik. Jika diatur ke 'dinonaktifkan' semua lalu lintas kecuali lalu lintas titik akhir privat dan yang berasal dari layanan tepercaya akan diblokir. Ini akan mengesampingkan aturan firewall yang ditetapkan, yang berarti bahwa bahkan jika aturan firewall ada, kami tidak akan mematuhi aturan. | tali |
| Sku | Detail SKU | Sku (diperlukan) |
| softDeleteRetentionInDays | softDelete data retention days. Ini menerima >=7 dan <=90. | Int |
| tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (diperlukan) |
| vaultUri | URI vault untuk melakukan operasi pada kunci dan rahasia. | tali |
VirtualNetworkRule
| Nama | Deskripsi | Nilai |
|---|---|---|
| Id | Id sumber daya lengkap subnet vnet, seperti '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | string (diperlukan) |
| ignoreMissingVnetServiceEndpoint | Properti untuk menentukan apakah NRP akan mengabaikan pemeriksaan apakah subnet induk memiliki serviceEndpoints yang dikonfigurasi. | bool |
Contoh Penggunaan
Templat Quickstart Azure
Templat Mulai Cepat Azure berikut ini menyebarkan jenis sumber daya ini.
| Templat | Deskripsi |
|---|---|
Kluster AKS dengan NAT Gateway dan Application Gateway
|
Sampel ini menunjukkan cara menyebarkan kluster AKS dengan NAT Gateway untuk koneksi keluar dan Application Gateway untuk koneksi masuk. |
|
kluster AKS dengan Pengontrol Ingress Application Gateway
|
Sampel ini menunjukkan cara menyebarkan kluster AKS dengan Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics, dan Key Vault |
|
App Service Environment dengan backend Azure SQL
|
Templat ini membuat Lingkungan App Service dengan backend Azure SQL bersama dengan titik akhir privat bersama dengan sumber daya terkait yang biasanya digunakan di lingkungan privat/terisolasi. |
|
Application Gateway dengan API Management internal dan Aplikasi Web
|
Lalu lintas Internet perutean Application Gateway ke instans API Management jaringan virtual (mode internal) yang melayani API web yang dihosting di Azure Web App. |
|
penyiapan dasar Azure AI Studio
|
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
|
penyiapan dasar Azure AI Studio
|
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
|
penyiapan dasar Azure AI Studio
|
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan penyiapan dasar, yang berarti dengan akses internet publik diaktifkan, kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
|
Terbatas Jaringan Azure AI Studio
|
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan tautan privat dan keluar yang dinonaktifkan, menggunakan kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
|
Terbatas Jaringan Azure AI Studio
|
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan tautan privat dan keluar yang dinonaktifkan, menggunakan kunci yang dikelola Microsoft untuk enkripsi dan konfigurasi identitas yang dikelola Microsoft untuk sumber daya AI. |
|
Azure AI Studio dengan Autentikasi ID Microsoft Entra
|
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Studio dengan autentikasi ID Microsoft Entra untuk sumber daya dependen, seperti Azure AI Services dan Azure Storage. |
|
aplikasi Azure Function dan fungsi yang dipicu HTTP
|
Contoh ini menyebarkan aplikasi Azure Function dan fungsi yang dipicu HTTP sebaris dalam templat. Ini juga menyebarkan Key Vault dan mengisi rahasia dengan kunci host aplikasi fungsi. |
|
penyiapan aman end-to-end Azure Machine Learning
|
Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang. |
|
penyiapan aman end-to-end (warisan) Azure Machine Learning
|
Kumpulan templat Bicep ini menunjukkan cara menyiapkan Azure Machine Learning secara end-to-end dalam pengaturan aman. Implementasi referensi ini mencakup Ruang Kerja, kluster komputasi, instans komputasi, dan kluster AKS privat yang terpasang. |
|
Ruang Kerja Azure Machine Learning
|
Templat ini membuat Ruang Kerja Azure Machine Learning baru, bersama dengan Akun Penyimpanan terenkripsi, KeyVault, dan Pengelogan Application Insights |
|
Enkripsi Akun Azure Storage dengan kunci yang dikelola pelanggan
|
Templat ini menyebarkan Akun Penyimpanan dengan kunci yang dikelola pelanggan untuk enkripsi yang dihasilkan dan ditempatkan di dalam Key Vault. |
|
Identitas Penyiapan Agen Dasar
|
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Agent Service dengan penyiapan dasar menggunakan autentikasi identitas terkelola untuk koneksi AI Service/AOAI. Agen menggunakan sumber daya pencarian dan penyimpanan multi-penyewa yang dikelola sepenuhnya oleh Microsoft. Anda tidak akan memiliki visibilitas atau kontrol atas sumber daya Azure yang mendasar ini. |
|
Menyambungkan ke Key Vault melalui titik akhir privat
|
Sampel ini menunjukkan cara menggunakan konfigurasi jaringan virtual dan zona DNS privat untuk mengakses Key Vault melalui titik akhir privat. |
|
Membuat Key Vault dan daftar rahasia
|
Templat ini membuat Key Vault dan daftar rahasia dalam brankas kunci seperti yang diteruskan bersama dengan parameter |
|
Membuat KeyVault
|
Modul ini membuat sumber daya KeyVault dengan apiVersion 2019-09-01. |
|
Membuat vm windows terenkripsi baru dari gambar galeri
|
Templat ini membuat vm windows terenkripsi baru menggunakan gambar galeri server 2k12. |
|
Membuat Kluster AKS Privat dengan Zona DNS Publik
|
Sampel ini menunjukkan cara menyebarkan kluster AKS privat dengan Zona DNS Publik. |
|
Membuat ruang kerja AML dengan beberapa Himpunan Data & Datastore
|
Templat ini membuat ruang kerja Azure Machine Learning dengan beberapa himpunan data & datastore. |
|
Membuat target komputasi AKS dengan alamat IP Privat
|
Templat ini membuat target komputasi AKS di ruang kerja layanan Azure Machine Learning tertentu dengan alamat IP privat. |
|
Membuat layanan API Management dengan SSL dari KeyVault
|
Templat ini menyebarkan layanan API Management yang dikonfigurasi dengan Identitas yang Ditetapkan Pengguna. Ini menggunakan identitas ini untuk mengambil sertifikat SSL dari KeyVault dan terus memperbaruinya dengan memeriksa setiap 4 jam. |
|
Membuat Application Gateway V2 dengan Key Vault
|
Templat ini menyebarkan Application Gateway V2 di Virtual Network, identitas yang ditentukan pengguna, Key Vault, rahasia (data sertifikasi), dan kebijakan akses di Key Vault dan Application Gateway. |
|
Membuat Azure Key Vault dan rahasia
|
Templat ini membuat Azure Key Vault dan rahasia. |
|
Membuat Azure Key Vault dengan RBAC dan rahasia
|
Templat ini membuat Azure Key Vault dan rahasia. Alih-alih mengandalkan kebijakan akses, ini memanfaatkan Azure RBAC untuk mengelola otorisasi pada rahasia |
|
Membuat ruang kerja layanan Azure Machine Learning
|
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan kumpulan sumber daya minimal yang Anda butuhkan untuk mulai menggunakan Azure Machine Learning. |
|
Membuat ruang kerja layanan Azure Machine Learning (CMK)
|
Templat penyebaran ini menentukan cara membuat ruang kerja Azure Machine Learning dengan enkripsi sisi layanan menggunakan kunci enkripsi Anda. |
|
Membuat ruang kerja layanan Azure Machine Learning (CMK)
|
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Contoh menunjukkan cara mengonfigurasi Azure Machine Learning untuk enkripsi dengan kunci enkripsi yang dikelola pelanggan. |
|
Membuat ruang kerja layanan Azure Machine Learning (warisan)
|
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan. |
|
Membuat ruang kerja layanan Azure Machine Learning (vnet)
|
Templat penyebaran ini menentukan ruang kerja Azure Machine Learning, dan sumber daya terkait termasuk Azure Key Vault, Azure Storage, Azure Application Insights, dan Azure Container Registry. Konfigurasi ini menjelaskan sekumpulan sumber daya yang Anda perlukan untuk mulai menggunakan Azure Machine Learning dalam penyiapan terisolasi jaringan. |
|
Membuat dan mengenkripsi VMSS Windows baru dengan jumpbox
|
Templat ini memungkinkan Anda untuk menyebarkan VM Scale Set sederhana VM Windows menggunakan versi Windows serveral yang di-patch terakhir. Templat ini juga menyebarkan jumpbox dengan alamat IP publik di jaringan virtual yang sama. Anda dapat terhubung ke jumpbox melalui alamat IP publik ini, lalu menyambungkan dari sana ke VM dalam set skala melalui alamat IP privat. Templat ini memungkinkan enkripsi pada VM Scale Set VM Windows VM. |
|
Membuat Application Gateway dengan Sertifikat
|
Templat ini menunjukkan cara membuat sertifikat yang ditandatangani sendiri Key Vault, lalu referensi dari Application Gateway. |
|
Buat Key Vault dengan pengelogan diaktifkan
|
Templat ini membuat Azure Key Vault dan akun Azure Storage yang digunakan untuk pengelogan. Ini secara opsional membuat kunci sumber daya untuk melindungi Key Vault dan sumber daya penyimpanan Anda. |
|
Membuat brankas kunci, identitas terkelola, dan penetapan peran
|
Templat ini membuat brankas kunci, identitas terkelola, dan penetapan peran. |
|
Membuat disk terkelola baru yang dienkripsi win-vm dari gambar galeri
|
Templat ini membuat vm windows disk terkelola terenkripsi baru menggunakan gambar galeri server 2k12. |
|
Membuat sumber daya Titik Akhir Privat Lintas Penyewa
|
Templat ini memungkinkan Anda membuat sumber daya Titik Akhir Priavate dalam lingkungan yang sama atau lintas penyewa dan menambahkan konfigurasi zona dns. |
|
Membuat aplikasi servicebus pub-sub Dapr menggunakan Container Apps
|
Buat aplikasi dapr pub-sub servicebus menggunakan Container Apps. |
|
membuat kluster Azure Stack HCI 23H2
|
Templat ini membuat kluster Azure Stack HCI 23H2 menggunakan templat ARM, menggunakan IP penyimpanan kustom |
|
Menyebarkan Azure AI Studio aman dengan jaringan virtual terkelola
|
Templat ini membuat lingkungan Azure AI Studio yang aman dengan pembatasan keamanan jaringan dan identitas yang kuat. |
|
Menyebarkan Analitik Olahraga di Arsitektur Azure
|
Membuat akun penyimpanan Azure dengan ADLS Gen 2 diaktifkan, instans Azure Data Factory dengan layanan tertaut untuk akun penyimpanan (Azure SQL Database jika disebarkan), dan instans Azure Databricks. Identitas AAD untuk pengguna yang menyebarkan templat dan identitas terkelola untuk instans ADF akan diberikan peran Kontributor Data Blob Penyimpanan pada akun penyimpanan. Ada juga opsi untuk menyebarkan instans Azure Key Vault, Azure SQL Database, dan Azure Event Hub (untuk kasus penggunaan streaming). Saat Azure Key Vault disebarkan, identitas terkelola pabrik data dan identitas AAD untuk pengguna yang menyebarkan templat akan diberikan peran Pengguna Rahasia Key Vault. |
|
Mengaktifkan enkripsi pada windows VM yang sedang berjalan
|
Templat ini memungkinkan enkripsi pada vm windows yang sedang berjalan. |
| hub
|
Templat ini membuat instans hub FinOps baru, termasuk Data Explorer, penyimpanan Data Lake, dan Data Factory. |
|
Network Secured Agent dengan Identitas Terkelola Pengguna
|
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Agent Service dengan isolasi jaringan virtual menggunakan autentikasi Identitas Terkelola Pengguna untuk koneksi AI Service/AOAI dan tautan jaringan privat untuk menghubungkan agen ke data aman Anda. |
|
Penyiapan Agen Standar
|
Kumpulan templat ini menunjukkan cara menyiapkan Azure AI Agent Service dengan penyiapan standar, yang berarti dengan autentikasi identitas terkelola untuk koneksi proyek/hub dan akses internet publik diaktifkan. Agen menggunakan sumber daya pencarian dan penyimpanan penyewa tunggal milik pelanggan. Dengan penyiapan ini, Anda memiliki kontrol dan visibilitas penuh atas sumber daya ini, tetapi Anda akan dikenakan biaya berdasarkan penggunaan Anda. |
| lingkungan Pengujian untuk Azure Firewall Premium
|
Templat ini membuat Azure Firewall Premium dan Firewall Policy dengan fitur premium seperti Intrusion Inspection Detection (IDPS), inspeksi TLS, dan pemfilteran Kategori Web |
|
Templat ini mengenkripsi windows VMSS yang sedang berjalan
|
Templat ini memungkinkan enkripsi pada Windows VM Scale Set yang sedang berjalan |
|
meningkatkan kluster Azure Stack HCI 22H2 ke kluster 23H2
|
Templat ini meningkatkan kluster Azure Stack HCI 22H2 ke kluster 23H2 menggunakan templat ARM. |
Definisi sumber daya Terraform (penyedia AzAPI)
Jenis sumber daya vault dapat disebarkan dengan operasi yang menargetkan:
- grup Sumber Daya
Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.
Format sumber daya
Untuk membuat sumber daya Microsoft.KeyVault/vaults, tambahkan Terraform berikut ke templat Anda.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2024-12-01-preview"
name = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "string"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Nilai Properti
AccessPolicyEntry
| Nama | Deskripsi | Nilai |
|---|---|---|
| applicationId | ID aplikasi klien yang membuat permintaan atas nama prinsipal | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | ID objek pengguna, perwakilan layanan, atau grup keamanan di penyewa Azure Active Directory untuk vault. ID objek harus unik untuk daftar kebijakan akses. | string (diperlukan) |
| Izin | Izin yang dimiliki identitas untuk kunci, rahasia, dan sertifikat. | Izin |
| tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (diperlukan) |
IPRule
| Nama | Deskripsi | Nilai |
|---|---|---|
| nilai | Rentang alamat IPv4 dalam notasi CIDR, seperti '124.56.78.91' (alamat IP sederhana) atau '124.56.78.0/24' (semua alamat yang dimulai dengan 124.56.78). | string (diperlukan) |
Microsoft.KeyVault/vaults
| Nama | Deskripsi | Nilai |
|---|---|---|
| tempat | Lokasi Azure yang didukung tempat brankas kunci harus dibuat. | string (diperlukan) |
| Nama | Nama sumber daya | tali Kendala: Pola = ^[a-zA-Z0-9-]{3,24}$ (diperlukan) |
| Properti | Properti vault | VaultProperties (wajib) |
| Tags | Tag sumber daya | Kamus nama dan nilai tag. |
| jenis | Jenis sumber daya | "Microsoft.KeyVault/vaults@2024-12-01-preview" |
NetworkRuleSet
| Nama | Deskripsi | Nilai |
|---|---|---|
| Bypass | Memberi tahu lalu lintas apa yang dapat melewati aturan jaringan. Ini bisa menjadi 'AzureServices' atau 'None'. Jika tidak ditentukan, defaultnya adalah 'AzureServices'. | 'AzureServices' 'Tidak Ada' |
| defaultAction | Tindakan default ketika tidak ada aturan dari ipRules dan dari virtualNetworkRules yang cocok. Ini hanya digunakan setelah properti bypass dievaluasi. | 'Izinkan' 'Tolak' |
| ipRules | Daftar aturan alamat IP. | IPRule [] |
| virtualNetworkRules | Daftar aturan jaringan virtual. | VirtualNetworkRule[] |
Izin
| Nama | Deskripsi | Nilai |
|---|---|---|
| Sertifikat | Izin ke sertifikat | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'create' 'hapus' 'deleteissuers' 'get' 'getissuers' 'impor' 'daftar' 'listissuers' 'managecontacts' 'manageissuers' 'hapus menyeluruh' 'pulihkan' 'restore' 'setissuers' 'update' |
| Tombol | Izin ke kunci | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'create' 'dekripsi' 'hapus' 'enkripsi' 'get' 'getrotationpolicy' 'impor' 'daftar' 'hapus menyeluruh' 'pulihkan' 'rilis' 'restore' 'putar' 'setrotationpolicy' 'tanda tangan' 'unwrapKey' 'update' 'verifikasi' 'wrapKey' |
| Rahasia | Izin ke rahasia | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'hapus' 'get' 'daftar' 'hapus menyeluruh' 'pulihkan' 'restore' 'set' |
| penyimpanan | Izin ke akun penyimpanan | Array string yang berisi salah satu dari: 'semua' 'cadangan' 'hapus' 'deletesas' 'get' 'getsas' 'daftar' 'listsas' 'hapus menyeluruh' 'pulihkan' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
Sku
| Nama | Deskripsi | Nilai |
|---|---|---|
| keluarga | Nama keluarga SKU | 'A' (diperlukan) |
| Nama | Nama SKU untuk menentukan apakah brankas kunci adalah vault standar atau brankas premium. | 'premium' 'standar' (diperlukan) |
VaultCreateOrUpdateParametersTags
| Nama | Deskripsi | Nilai |
|---|
VaultProperties
| Nama | Deskripsi | Nilai |
|---|---|---|
| accessPolicies | Array identitas 0 hingga 1024 yang memiliki akses ke brankas kunci. Semua identitas dalam array harus menggunakan ID penyewa yang sama dengan ID penyewa brankas kunci. Ketika createMode diatur ke recover, kebijakan akses tidak diperlukan. Jika tidak, kebijakan akses diperlukan. |
AccessPolicyEntry[] |
| createMode | Mode buat vault untuk menunjukkan apakah vault perlu dipulihkan atau tidak. | 'default' 'pulihkan' |
| enabledForDeployment | Properti untuk menentukan apakah Azure Virtual Machines diizinkan untuk mengambil sertifikat yang disimpan sebagai rahasia dari brankas kunci. | bool |
| enabledForDiskEncryption | Properti untuk menentukan apakah Azure Disk Encryption diizinkan untuk mengambil rahasia dari brankas dan membongkar kunci. | bool |
| enabledForTemplateDeployment | Properti untuk menentukan apakah Azure Resource Manager diizinkan untuk mengambil rahasia dari brankas kunci. | bool |
| enablePurgeProtection | Properti yang menentukan apakah perlindungan terhadap penghapusan menyeluruh diaktifkan untuk vault ini. Mengatur properti ini ke true mengaktifkan perlindungan terhadap penghapusan menyeluruh untuk brankas ini dan kontennya - hanya layanan Key Vault yang dapat memulai penghapusan yang sulit dan tidak dapat dipulihkan. Pengaturan ini hanya efektif jika penghapusan sementara juga diaktifkan. Mengaktifkan fungsionalitas ini tidak dapat diubah - artinya, properti tidak menerima false sebagai nilainya. | bool |
| enableRbacAuthorization | Properti yang mengontrol bagaimana tindakan data diotorisasi. Jika benar, brankas kunci akan menggunakan Kontrol Akses Berbasis Peran (RBAC) untuk otorisasi tindakan data, dan kebijakan akses yang ditentukan dalam properti vault akan diabaikan. Ketika false, brankas kunci akan menggunakan kebijakan akses yang ditentukan dalam properti vault, dan kebijakan apa pun yang disimpan di Azure Resource Manager akan diabaikan. Jika null atau tidak ditentukan, vault dibuat dengan nilai default false. Perhatikan bahwa tindakan manajemen selalu diotorisasi dengan RBAC. | bool |
| enableSoftDelete | Properti untuk menentukan apakah fungsionalitas 'penghapusan sementara' diaktifkan untuk brankas kunci ini. Jika tidak diatur ke nilai apa pun (benar atau salah) saat membuat brankas kunci baru, nilai tersebut akan diatur ke true secara default. Setelah diatur ke true, itu tidak dapat dikembalikan ke false. | bool |
| networkAcls | Aturan yang mengatur aksesibilitas brankas kunci dari lokasi jaringan tertentu. | |
| provisioningState | Status provisi vault. | 'RegisteringDns' 'Berhasil' |
| publicNetworkAccess | Properti untuk menentukan apakah vault akan menerima lalu lintas dari internet publik. Jika diatur ke 'dinonaktifkan' semua lalu lintas kecuali lalu lintas titik akhir privat dan yang berasal dari layanan tepercaya akan diblokir. Ini akan mengesampingkan aturan firewall yang ditetapkan, yang berarti bahwa bahkan jika aturan firewall ada, kami tidak akan mematuhi aturan. | tali |
| Sku | Detail SKU | Sku (diperlukan) |
| softDeleteRetentionInDays | softDelete data retention days. Ini menerima >=7 dan <=90. | Int |
| tenantId | ID penyewa Azure Active Directory yang harus digunakan untuk mengautentikasi permintaan ke brankas kunci. | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (diperlukan) |
| vaultUri | URI vault untuk melakukan operasi pada kunci dan rahasia. | tali |
VirtualNetworkRule
| Nama | Deskripsi | Nilai |
|---|---|---|
| Id | Id sumber daya lengkap subnet vnet, seperti '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | string (diperlukan) |
| ignoreMissingVnetServiceEndpoint | Properti untuk menentukan apakah NRP akan mengabaikan pemeriksaan apakah subnet induk memiliki serviceEndpoints yang dikonfigurasi. | bool |
Contoh Penggunaan
Modul Terverifikasi Azure
Modul Terverifikasi Azure berikut dapat digunakan untuk menyebarkan jenis sumber daya ini.
| Modul | Deskripsi |
|---|---|
| Penyimpanan Kunci | Modul Sumber Daya AVM untuk Key Vault |