Microsoft.KeyVault kasaları
Açıklamalar
Güvenli değerler için anahtar kasalarını kullanma yönergeleri için bkz. bicepkullanarak gizli dizileri yönetme
Gizli dizi oluşturma hakkında hızlı başlangıç için bkz. Hızlı Başlangıç: ARM şablonu kullanarak Azure Key Vault'tan gizli dizi ayarlama ve alma.
Anahtar oluşturmaya yönelik hızlı başlangıç için bkz. Hızlı Başlangıç: ARM şablonukullanarak Azure anahtar kasası ve anahtar oluşturma.
Bicep kaynak tanımı
Kasa kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- kaynak grupları
- Bkz. kaynak grubu dağıtım komutları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.KeyVault/vaults kaynağı oluşturmak için şablonunuza aşağıdaki Bicep'i ekleyin.
resource symbolicname 'Microsoft.KeyVault/vaults@2024-12-01-preview' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'string'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
Özellik Değerleri
AccessPolicyEntry
Ad | Açıklama | Değer |
---|---|---|
applicationId | Sorumlu adına istekte bulunan istemcinin uygulama kimliği | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Kasa için Azure Active Directory kiracısında bir kullanıcının, hizmet sorumlusunun veya güvenlik grubunun nesne kimliği. Nesne kimliği, erişim ilkeleri listesi için benzersiz olmalıdır. | dize (gerekli) |
izinler | Kimliğin anahtarlar, gizli diziler ve sertifikalar için sahip olduğu izinler. | İzinler (gerekli) |
tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (gerekli) |
IPRule
Ad | Açıklama | Değer |
---|---|---|
değer | CIDR gösteriminde '124.56.78.91' (basit IP adresi) veya '124.56.78.0/24' gibi bir IPv4 adres aralığı (124.56.78 ile başlayan tüm adresler). | dize (gerekli) |
Microsoft.KeyVault/vaults
Ad | Açıklama | Değer |
---|---|---|
yer | Anahtar kasasının oluşturulması gereken desteklenen Azure konumu. | dize (gerekli) |
ad | Kaynak adı | dizgi Kısıtlama -ları: Desen = ^[a-zA-Z0-9-]{3,24}$ (gerekli) |
Özellikler | Kasanın özellikleri | VaultProperties (gerekli) |
Etiketler | Kaynak etiketleri | Etiket adları ve değerleri sözlüğü. Bkz. şablonlardaki Etiketleri |
NetworkRuleSet
Ad | Açıklama | Değer |
---|---|---|
Bypass | Ağ kurallarını hangi trafiğin atlayabileceğinizi bildirir. Bu ,'AzureServices' veya 'None' olabilir. Belirtilmezse varsayılan değer 'AzureServices' olur. | 'AzureServices' 'Hiçbiri' |
defaultAction | IpRules ve virtualNetworkRules'tan hiçbir kural eşleşmediğinde varsayılan eylem. Bu yalnızca bypass özelliği değerlendirildikten sonra kullanılır. | 'İzin Ver' 'Reddet' |
ipRules | IP adresi kuralları listesi. | IPRule |
virtualNetworkRules | Sanal ağ kurallarının listesi. | VirtualNetworkRule |
İzinler
Ad | Açıklama | Değer |
---|---|---|
Sertifika | Sertifika izinleri | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'temizleme' 'recover' 'restore' 'setissuers' 'update' |
Anahtar | Anahtarlara yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'create' 'şifre çözme' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'temizleme' 'recover' 'release' 'restore' 'döndürme' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
Sır -larını | Gizli dizilere yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'delete' 'get' 'list' 'temizleme' 'recover' 'restore' 'set' |
depolama | Depolama hesaplarına yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'temizleme' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
Sku
Ad | Açıklama | Değer |
---|---|---|
aile | SKU aile adı | 'A' (gerekli) |
ad | Anahtar kasasının standart kasa mı yoksa premium kasa mı olduğunu belirtmek için SKU adı. | 'premium' 'standard' (gerekli) |
VaultCreateOrUpdateParametersTags
Ad | Açıklama | Değer |
---|
VaultProperties
Ad | Açıklama | Değer |
---|---|---|
accessPolicies | Anahtar kasasına erişimi olan 0 ile 1024 arasında kimlik dizisi. Dizideki tüm kimlikler, anahtar kasasının kiracı kimliğiyle aynı kiracı kimliğini kullanmalıdır.
createMode
recover olarak ayarlandığında erişim ilkeleri gerekli değildir. Aksi takdirde erişim ilkeleri gereklidir. |
AccessPolicyEntry[] |
createMode | Kasanın kurtarılması gerekip gerekmediğini belirtmek için kasanın oluşturma modu. | 'default' 'recover' |
enabledForDeployment | Azure Sanal Makineleri'nin anahtar kasasından gizli dizi olarak depolanan sertifikaları almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
enabledForDiskEncryption | Azure Disk Şifrelemesi'nin kasadan gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik ve anahtarları açın. | Bool |
enabledForTemplateDeployment | Azure Resource Manager'ın anahtar kasasından gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
enablePurgeProtection | Bu kasa için temizlemeye karşı korumanın etkinleştirilip etkinleştirilmediğini belirten özellik. Bu özelliğin true olarak ayarlanması, bu kasanın ve içeriğinin temizlenmesine karşı korumayı etkinleştirir. Yalnızca Key Vault hizmeti sabit, geri alınamaz bir silme işlemi başlatabilir. Bu ayar yalnızca geçici silme de etkinleştirildiğinde etkindir. Bu işlevselliğin etkinleştirilmesi geri alınamaz; yani özellik değeri olarak false değerini kabul etmez. | Bool |
enableRbacAuthorization | Veri eylemlerinin nasıl yetkilendirildiğini denetleen özellik. Doğru olduğunda, anahtar kasası veri eylemlerinin yetkilendirmesi için Rol Tabanlı Erişim Denetimi 'ni (RBAC) kullanır ve kasa özelliklerinde belirtilen erişim ilkeleri yoksayılır. False olduğunda, anahtar kasası kasa özelliklerinde belirtilen erişim ilkelerini kullanır ve Azure Resource Manager'da depolanan tüm ilkeler yoksayılır. Null veya belirtilmezse, kasa varsayılan false değeriyle oluşturulur. Yönetim eylemlerinin her zaman RBAC ile yetkilendirildiğini unutmayın. | Bool |
enableSoftDelete | Bu anahtar kasası için 'geçici silme' işlevinin etkinleştirilip etkinleştirilmediğini belirten özellik. Yeni anahtar kasası oluşturulurken herhangi bir değere (true veya false) ayarlanmadıysa, varsayılan olarak true olarak ayarlanır. True olarak ayarlandıktan sonra false değerine geri döndürülemez. | Bool |
networkAcls | Belirli ağ konumlarından anahtar kasasının erişilebilirliğini yöneten kurallar. | NetworkRuleSet |
provisioningState | Kasanın sağlama durumu. | 'RegisteringDns' 'Başarılı' |
publicNetworkAccess | Kasanın genel İnternet'ten gelen trafiği kabul edip etmeyeceğini belirten özellik. Özel uç nokta trafiği dışındaki ve güvenilen hizmetlerden gelen tüm trafik 'devre dışı' olarak ayarlanırsa engellenir. Bu, ayarlanan güvenlik duvarı kurallarını geçersiz kılar, yani güvenlik duvarı kuralları mevcut olsa bile kurallara uymayacağız. | dizgi |
Sku | SKU ayrıntıları | Sku (gerekli) |
softDeleteRetentionInDays | softDelete veri saklama günleri. =7 >ve =90 <kabul eder. | Int |
tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (gerekli) |
vaultUri | Anahtarlar ve gizli diziler üzerinde işlem gerçekleştirmek için kasanın URI'si. | dizgi |
VirtualNetworkRule
Ad | Açıklama | Değer |
---|---|---|
Kimliği | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' gibi bir sanal ağ alt ağının tam kaynak kimliği. | dize (gerekli) |
ignoreMissingVnetServiceEndpoint | NRP'nin üst alt ağın yapılandırılmış serviceEndpoint'leri olup olmadığını denetlemeyi yoksayıp yoksaymayacağını belirten özellik. | Bool |
Kullanım Örnekleri
Azure Doğrulanmış Modülleri
Aşağıdaki Azure Doğrulanmış Modüller bu kaynak türünü dağıtmak için kullanılabilir.
Modül | Açıklama |
---|---|
Anahtar Kasası | Key Vault için AVM Kaynak Modülü |
Azure Hızlı Başlangıç Örnekleri
Aşağıdaki Azure Hızlı Başlangıç şablonları bu kaynak türünü dağıtmak için Bicep örnekleri içerir.
Bicep Dosyası | Açıklama |
---|---|
NAT Ağ Geçidi ve Application Gateway ile AKS Kümesini |
Bu örnek, giden bağlantılar için NAT Ağ Geçidi ve gelen bağlantılar için Application Gateway ile AKS kümesinin nasıl dağıtılacağı gösterilmektedir. |
Application Gateway Giriş Denetleyicisi ile AKS kümesini |
Bu örnekte Application Gateway, Application Gateway Giriş Denetleyicisi, Azure Container Registry, Log Analytics ve Key Vault ile AKS kümesinin nasıl dağıtılacağı gösterilmektedir |
İç API Management ve Web App ile Application Gateway |
Application Gateway, İnternet trafiğini Azure Web App'te barındırılan bir web API'sine hizmet veren bir sanal ağ (iç mod) API Management örneğine yönlendirir. |
Azure AI Studio temel kurulum |
Bu şablon kümesi, Azure AI Studio'nun temel kurulumla nasıl ayarlandığını gösterir; yani genel İnternet erişimi etkinken, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması. |
Azure AI Studio temel kurulum |
Bu şablon kümesi, Azure AI Studio'nun temel kurulumla nasıl ayarlandığını gösterir; yani genel İnternet erişimi etkinken, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması. |
Azure AI Studio temel kurulum |
Bu şablon kümesi, Azure AI Studio'nun temel kurulumla nasıl ayarlandığını gösterir; yani genel İnternet erişimi etkinken, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması. |
Azure AI Studio Ağ Kısıtlanmış |
Bu şablon kümesinde, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması kullanılarak Azure AI Studio'nun özel bağlantı ve çıkış devre dışı bırakılarak nasıl ayarlanacağı gösterilmektedir. |
Azure AI Studio Ağ Kısıtlanmış |
Bu şablon kümesinde, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması kullanılarak Azure AI Studio'nun özel bağlantı ve çıkış devre dışı bırakılarak nasıl ayarlanacağı gösterilmektedir. |
Microsoft Entra ID Authentication ile Azure AI Studio'yu |
Bu şablon kümesi, Azure AI Hizmetleri ve Azure Depolama gibi bağımlı kaynaklar için Microsoft Entra ID kimlik doğrulaması ile Azure AI Studio'nun nasıl ayarlandığını gösterir. |
Azure İşlevi uygulaması ve HTTP ile tetiklenen bir işlev | Bu örnekte şablonda bir Azure İşlevi uygulaması ve HTTP ile tetiklenen bir işlev satır içi dağıtılır. Ayrıca bir Key Vault dağıtır ve bir gizli diziyi işlev uygulamasının konak anahtarıyla doldurur. |
Azure Machine Learning uçtan uca güvenli kurulum |
Bu Bicep şablonları kümesi, Azure Machine Learning'i güvenli bir kurulumda uçtan uca ayarlamayı gösterir. Bu başvuru uygulaması Çalışma Alanını, işlem kümesini, işlem örneğini ve ekli özel AKS kümesini içerir. |
Azure Machine Learning uçtan uca güvenli kurulum (eski) |
Bu Bicep şablonları kümesi, Azure Machine Learning'i güvenli bir kurulumda uçtan uca ayarlamayı gösterir. Bu başvuru uygulaması Çalışma Alanını, işlem kümesini, işlem örneğini ve ekli özel AKS kümesini içerir. |
Müşteri tarafından yönetilen anahtar ile Azure Depolama Hesabı Şifrelemesi' |
Bu şablon, oluşturulan ve Key Vault içine yerleştirilmiş şifreleme için müşteri tarafından yönetilen anahtara sahip bir Depolama Hesabı dağıtır. |
Temel Aracı Kurulum Kimliği | Bu şablon kümesinde, AI Hizmeti/AOAI bağlantısı için yönetilen kimlik doğrulaması kullanılarak temel kurulumla Azure AI Aracısı Hizmeti'nin nasıl ayarlanacağı gösterilmektedir. Aracılar, microsoft tarafından tam olarak yönetilen çok kiracılı arama ve depolama kaynaklarını kullanır. Bu temel Alınan Azure kaynakları üzerinde görünürlüğünüz veya denetiminiz olmayacaktır. |
Key Vault ve gizli dizi listesi oluşturma | Bu şablon, parametrelerle birlikte geçirildikçe anahtar kasası içinde bir Key Vault ve gizli dizi listesi oluşturur |
Özel IP adresi ile AKS işlem hedefi oluşturma | Bu şablon, belirli bir Azure Machine Learning hizmeti çalışma alanında özel IP adresiyle bir AKS işlem hedefi oluşturur. |
KeyVault SSL ile API Management hizmeti oluşturma | Bu şablon, Kullanıcı Tarafından Atanan Kimlik ile yapılandırılmış bir API Management hizmeti dağıtır. KeyVault'tan SSL sertifikası getirmek için bu kimliği kullanır ve her 4 saatte bir denetleyerek bu sertifikayı güncel tutar. |
Azure Key Vault ve gizli dizi oluşturma | Bu şablon bir Azure Key Vault ve bir gizli dizi oluşturur. |
RBAC ve gizli dizi ile Azure Key Vault oluşturma |
Bu şablon bir Azure Key Vault ve bir gizli dizi oluşturur. Erişim ilkelerine güvenmek yerine, gizli dizilerde yetkilendirmeyi yönetmek için Azure RBAC'yi kullanır |
Azure Machine Learning hizmeti çalışma alanı oluşturma | Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i kullanmaya başlamak için ihtiyacınız olan en düşük kaynak kümesini açıklar. |
Azure Machine Learning hizmet çalışma alanı (CMK) oluşturma | Bu dağıtım şablonu, şifreleme anahtarlarınızı kullanarak hizmet tarafı şifrelemesi ile Azure Machine Learning çalışma alanı oluşturmayı belirtir. |
Azure Machine Learning hizmet çalışma alanı (CMK) oluşturma | Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Örnekte, müşteri tarafından yönetilen bir şifreleme anahtarıyla şifreleme için Azure Machine Learning'in nasıl yapılandırılır gösterilmektedir. |
Azure Machine Learning hizmeti çalışma alanı oluşturma (eski) | Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i ağdan yalıtılmış bir kümede kullanmaya başlamak için ihtiyacınız olan kaynak kümesini açıklar. |
Azure Machine Learning hizmet çalışma alanı (vnet) oluşturma | Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i ağdan yalıtılmış bir kümede kullanmaya başlamak için ihtiyacınız olan kaynak kümesini açıklar. |
Sertifikalar ile Application Gateway Oluşturma | Bu şablonda Key Vault otomatik olarak imzalanan sertifikaların nasıl oluşturulacağı ve ardından Application Gateway'den nasıl başvurulacağı gösterilmektedir. |
Günlüğe kaydetme özelliği etkinleştirilmiş Key Vault oluşturma | Bu şablon bir Azure Key Vault ve günlüğe kaydetme için kullanılan bir Azure Depolama hesabı oluşturur. İsteğe bağlı olarak Key Vault'unuzu ve depolama kaynaklarınızı korumak için kaynak kilitleri oluşturur. |
Anahtar kasası, yönetilen kimlik ve rol ataması oluşturma | Bu şablon bir anahtar kasası, yönetilen kimlik ve rol ataması oluşturur. |
Kiracılar Arası Özel Uç Nokta kaynağı oluşturur | Bu şablon, aynı veya kiracılar arası ortamda Priavate Uç Noktası kaynağı oluşturmanıza ve dns bölgesi yapılandırması eklemenize olanak tanır. |
Container Apps kullanarak Bir Dapr pub-sub servicebus uygulaması oluşturur | Container Apps kullanarak bir Dapr pub-sub servicebus uygulaması oluşturun. |
Yönetilen sanal ağ ile Güvenli Azure AI Studio dağıtma | Bu şablon, güçlü ağ ve kimlik güvenliği kısıtlamalarıyla güvenli bir Azure AI Studio ortamı oluşturur. |
Azure Mimari'de Spor Analizi Dağıtma | ADLS 2. Nesil'in etkinleştirildiği bir Azure depolama hesabı, depolama hesabı için bağlı hizmetler içeren bir Azure Data Factory örneği (dağıtıldıysa Azure SQL Veritabanı) ve bir Azure Databricks örneği oluşturur. Şablonu dağıtan kullanıcının AAD kimliğine ve ADF örneğinin yönetilen kimliğine depolama hesabında Depolama Blob Verileri Katkıda Bulunanı rolü verilir. Azure Key Vault örneği, Azure SQL Veritabanı ve Azure Olay Hub'ı (akış kullanım örnekleri için) dağıtma seçenekleri de vardır. Azure Key Vault dağıtıldığında, şablonu dağıtan kullanıcının veri fabrikası tarafından yönetilen kimliğine ve AAD kimliğine Key Vault Gizli Dizileri Kullanıcı rolü verilir. |
FinOps hub | Bu şablon Veri Gezgini, Data Lake depolama ve Data Factory gibi yeni bir FinOps hub örneği oluşturur. |
Kullanıcı Tarafından Yönetilen Kimlik ile Ağ Güvenli Aracı | Bu şablon kümesinde, AI Hizmeti/AOAI bağlantısı için Kullanıcı Tarafından Yönetilen Kimlik kimlik doğrulaması ve aracıyı güvenli verilerinize bağlamak için özel ağ bağlantıları kullanılarak sanal ağ yalıtımı ile Azure AI Aracısı Hizmeti'nin nasıl ayarlanacağı gösterilmektedir. |
Standart Aracı Kurulumu | Bu şablon kümesinde Azure AI Agent Service'in standart kurulumla nasıl ayarlanacağı gösterilmektedir; başka bir deyişle proje/hub bağlantıları için yönetilen kimlik doğrulaması ve genel İnternet erişimi etkindir. Aracılar müşteriye ait, tek kiracılı arama ve depolama kaynaklarını kullanır. Bu kurulumla, bu kaynaklar üzerinde tam denetime ve görünürlüğe sahip olursunuz, ancak kullanımınıza göre maliyetler doğuracaksınız. |
Azure Güvenlik Duvarı Premium için |
Bu şablon yetkisiz erişim denetimi algılama (IDPS), TLS denetimi ve Web Kategorisi filtreleme gibi premium özelliklere sahip bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi oluşturur |
ARM şablonu kaynak tanımı
Kasa kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- kaynak grupları
- Bkz. kaynak grubu dağıtım komutları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.KeyVault/vaults kaynağı oluşturmak için şablonunuza aşağıdaki JSON'u ekleyin.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2024-12-01-preview",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "string",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
Özellik Değerleri
AccessPolicyEntry
Ad | Açıklama | Değer |
---|---|---|
applicationId | Sorumlu adına istekte bulunan istemcinin uygulama kimliği | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Kasa için Azure Active Directory kiracısında bir kullanıcının, hizmet sorumlusunun veya güvenlik grubunun nesne kimliği. Nesne kimliği, erişim ilkeleri listesi için benzersiz olmalıdır. | dize (gerekli) |
izinler | Kimliğin anahtarlar, gizli diziler ve sertifikalar için sahip olduğu izinler. | İzinler (gerekli) |
tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (gerekli) |
IPRule
Ad | Açıklama | Değer |
---|---|---|
değer | CIDR gösteriminde '124.56.78.91' (basit IP adresi) veya '124.56.78.0/24' gibi bir IPv4 adres aralığı (124.56.78 ile başlayan tüm adresler). | dize (gerekli) |
Microsoft.KeyVault/vaults
Ad | Açıklama | Değer |
---|---|---|
apiVersion | API sürümü | '2024-12-01-preview' |
yer | Anahtar kasasının oluşturulması gereken desteklenen Azure konumu. | dize (gerekli) |
ad | Kaynak adı | dizgi Kısıtlama -ları: Desen = ^[a-zA-Z0-9-]{3,24}$ (gerekli) |
Özellikler | Kasanın özellikleri | VaultProperties (gerekli) |
Etiketler | Kaynak etiketleri | Etiket adları ve değerleri sözlüğü. Bkz. şablonlardaki Etiketleri |
tür | Kaynak türü | 'Microsoft.KeyVault/vaults' |
NetworkRuleSet
Ad | Açıklama | Değer |
---|---|---|
Bypass | Ağ kurallarını hangi trafiğin atlayabileceğinizi bildirir. Bu ,'AzureServices' veya 'None' olabilir. Belirtilmezse varsayılan değer 'AzureServices' olur. | 'AzureServices' 'Hiçbiri' |
defaultAction | IpRules ve virtualNetworkRules'tan hiçbir kural eşleşmediğinde varsayılan eylem. Bu yalnızca bypass özelliği değerlendirildikten sonra kullanılır. | 'İzin Ver' 'Reddet' |
ipRules | IP adresi kuralları listesi. | IPRule |
virtualNetworkRules | Sanal ağ kurallarının listesi. | VirtualNetworkRule |
İzinler
Ad | Açıklama | Değer |
---|---|---|
Sertifika | Sertifika izinleri | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'temizleme' 'recover' 'restore' 'setissuers' 'update' |
Anahtar | Anahtarlara yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'create' 'şifre çözme' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'temizleme' 'recover' 'release' 'restore' 'döndürme' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
Sır -larını | Gizli dizilere yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'delete' 'get' 'list' 'temizleme' 'recover' 'restore' 'set' |
depolama | Depolama hesaplarına yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'temizleme' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
Sku
Ad | Açıklama | Değer |
---|---|---|
aile | SKU aile adı | 'A' (gerekli) |
ad | Anahtar kasasının standart kasa mı yoksa premium kasa mı olduğunu belirtmek için SKU adı. | 'premium' 'standard' (gerekli) |
VaultCreateOrUpdateParametersTags
Ad | Açıklama | Değer |
---|
VaultProperties
Ad | Açıklama | Değer |
---|---|---|
accessPolicies | Anahtar kasasına erişimi olan 0 ile 1024 arasında kimlik dizisi. Dizideki tüm kimlikler, anahtar kasasının kiracı kimliğiyle aynı kiracı kimliğini kullanmalıdır.
createMode
recover olarak ayarlandığında erişim ilkeleri gerekli değildir. Aksi takdirde erişim ilkeleri gereklidir. |
AccessPolicyEntry[] |
createMode | Kasanın kurtarılması gerekip gerekmediğini belirtmek için kasanın oluşturma modu. | 'default' 'recover' |
enabledForDeployment | Azure Sanal Makineleri'nin anahtar kasasından gizli dizi olarak depolanan sertifikaları almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
enabledForDiskEncryption | Azure Disk Şifrelemesi'nin kasadan gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik ve anahtarları açın. | Bool |
enabledForTemplateDeployment | Azure Resource Manager'ın anahtar kasasından gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
enablePurgeProtection | Bu kasa için temizlemeye karşı korumanın etkinleştirilip etkinleştirilmediğini belirten özellik. Bu özelliğin true olarak ayarlanması, bu kasanın ve içeriğinin temizlenmesine karşı korumayı etkinleştirir. Yalnızca Key Vault hizmeti sabit, geri alınamaz bir silme işlemi başlatabilir. Bu ayar yalnızca geçici silme de etkinleştirildiğinde etkindir. Bu işlevselliğin etkinleştirilmesi geri alınamaz; yani özellik değeri olarak false değerini kabul etmez. | Bool |
enableRbacAuthorization | Veri eylemlerinin nasıl yetkilendirildiğini denetleen özellik. Doğru olduğunda, anahtar kasası veri eylemlerinin yetkilendirmesi için Rol Tabanlı Erişim Denetimi 'ni (RBAC) kullanır ve kasa özelliklerinde belirtilen erişim ilkeleri yoksayılır. False olduğunda, anahtar kasası kasa özelliklerinde belirtilen erişim ilkelerini kullanır ve Azure Resource Manager'da depolanan tüm ilkeler yoksayılır. Null veya belirtilmezse, kasa varsayılan false değeriyle oluşturulur. Yönetim eylemlerinin her zaman RBAC ile yetkilendirildiğini unutmayın. | Bool |
enableSoftDelete | Bu anahtar kasası için 'geçici silme' işlevinin etkinleştirilip etkinleştirilmediğini belirten özellik. Yeni anahtar kasası oluşturulurken herhangi bir değere (true veya false) ayarlanmadıysa, varsayılan olarak true olarak ayarlanır. True olarak ayarlandıktan sonra false değerine geri döndürülemez. | Bool |
networkAcls | Belirli ağ konumlarından anahtar kasasının erişilebilirliğini yöneten kurallar. | NetworkRuleSet |
provisioningState | Kasanın sağlama durumu. | 'RegisteringDns' 'Başarılı' |
publicNetworkAccess | Kasanın genel İnternet'ten gelen trafiği kabul edip etmeyeceğini belirten özellik. Özel uç nokta trafiği dışındaki ve güvenilen hizmetlerden gelen tüm trafik 'devre dışı' olarak ayarlanırsa engellenir. Bu, ayarlanan güvenlik duvarı kurallarını geçersiz kılar, yani güvenlik duvarı kuralları mevcut olsa bile kurallara uymayacağız. | dizgi |
Sku | SKU ayrıntıları | Sku (gerekli) |
softDeleteRetentionInDays | softDelete veri saklama günleri. =7 >ve =90 <kabul eder. | Int |
tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (gerekli) |
vaultUri | Anahtarlar ve gizli diziler üzerinde işlem gerçekleştirmek için kasanın URI'si. | dizgi |
VirtualNetworkRule
Ad | Açıklama | Değer |
---|---|---|
Kimliği | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' gibi bir sanal ağ alt ağının tam kaynak kimliği. | dize (gerekli) |
ignoreMissingVnetServiceEndpoint | NRP'nin üst alt ağın yapılandırılmış serviceEndpoint'leri olup olmadığını denetlemeyi yoksayıp yoksaymayacağını belirten özellik. | Bool |
Kullanım Örnekleri
Azure Hızlı Başlangıç Şablonları
Aşağıdaki Azure Hızlı Başlangıç şablonları bu kaynak türünü dağıtmak.
Şablon | Açıklama |
---|---|
NAT Ağ Geçidi ve Application Gateway ile AKS Kümesini |
Bu örnek, giden bağlantılar için NAT Ağ Geçidi ve gelen bağlantılar için Application Gateway ile AKS kümesinin nasıl dağıtılacağı gösterilmektedir. |
Application Gateway Giriş Denetleyicisi ile AKS kümesini |
Bu örnekte Application Gateway, Application Gateway Giriş Denetleyicisi, Azure Container Registry, Log Analytics ve Key Vault ile AKS kümesinin nasıl dağıtılacağı gösterilmektedir |
Azure SQL arka uç ile App Service Ortamını |
Bu şablon genellikle özel/yalıtılmış bir ortamda kullanılan ilişkili kaynaklarla birlikte özel uç noktaların yanı sıra Azure SQL arka ucuna sahip bir App Service Ortamı oluşturur. |
İç API Management ve Web App ile Application Gateway |
Application Gateway, İnternet trafiğini Azure Web App'te barındırılan bir web API'sine hizmet veren bir sanal ağ (iç mod) API Management örneğine yönlendirir. |
Azure AI Studio temel kurulum |
Bu şablon kümesi, Azure AI Studio'nun temel kurulumla nasıl ayarlandığını gösterir; yani genel İnternet erişimi etkinken, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması. |
Azure AI Studio temel kurulum |
Bu şablon kümesi, Azure AI Studio'nun temel kurulumla nasıl ayarlandığını gösterir; yani genel İnternet erişimi etkinken, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması. |
Azure AI Studio temel kurulum |
Bu şablon kümesi, Azure AI Studio'nun temel kurulumla nasıl ayarlandığını gösterir; yani genel İnternet erişimi etkinken, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması. |
Azure AI Studio Ağ Kısıtlanmış |
Bu şablon kümesinde, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması kullanılarak Azure AI Studio'nun özel bağlantı ve çıkış devre dışı bırakılarak nasıl ayarlanacağı gösterilmektedir. |
Azure AI Studio Ağ Kısıtlanmış |
Bu şablon kümesinde, şifreleme için Microsoft tarafından yönetilen anahtarlar ve yapay zeka kaynağı için Microsoft tarafından yönetilen kimlik yapılandırması kullanılarak Azure AI Studio'nun özel bağlantı ve çıkış devre dışı bırakılarak nasıl ayarlanacağı gösterilmektedir. |
Microsoft Entra ID Authentication ile Azure AI Studio'yu |
Bu şablon kümesi, Azure AI Hizmetleri ve Azure Depolama gibi bağımlı kaynaklar için Microsoft Entra ID kimlik doğrulaması ile Azure AI Studio'nun nasıl ayarlandığını gösterir. |
Azure İşlevi uygulaması ve HTTP ile tetiklenen bir işlev |
Bu örnekte şablonda bir Azure İşlevi uygulaması ve HTTP ile tetiklenen bir işlev satır içi dağıtılır. Ayrıca bir Key Vault dağıtır ve bir gizli diziyi işlev uygulamasının konak anahtarıyla doldurur. |
Azure Machine Learning uçtan uca güvenli kurulum |
Bu Bicep şablonları kümesi, Azure Machine Learning'i güvenli bir kurulumda uçtan uca ayarlamayı gösterir. Bu başvuru uygulaması Çalışma Alanını, işlem kümesini, işlem örneğini ve ekli özel AKS kümesini içerir. |
Azure Machine Learning uçtan uca güvenli kurulum (eski) |
Bu Bicep şablonları kümesi, Azure Machine Learning'i güvenli bir kurulumda uçtan uca ayarlamayı gösterir. Bu başvuru uygulaması Çalışma Alanını, işlem kümesini, işlem örneğini ve ekli özel AKS kümesini içerir. |
Azure Machine Learning Çalışma Alanı |
Bu şablon şifrelenmiş bir Depolama Hesabı, KeyVault ve Applications Insights Günlüğü ile birlikte yeni bir Azure Machine Learning Çalışma Alanı oluşturur |
Müşteri tarafından yönetilen anahtar ile Azure Depolama Hesabı Şifrelemesi' |
Bu şablon, oluşturulan ve Key Vault içine yerleştirilmiş şifreleme için müşteri tarafından yönetilen anahtara sahip bir Depolama Hesabı dağıtır. |
Temel Aracı Kurulum Kimliği |
Bu şablon kümesinde, AI Hizmeti/AOAI bağlantısı için yönetilen kimlik doğrulaması kullanılarak temel kurulumla Azure AI Aracısı Hizmeti'nin nasıl ayarlanacağı gösterilmektedir. Aracılar, microsoft tarafından tam olarak yönetilen çok kiracılı arama ve depolama kaynaklarını kullanır. Bu temel Alınan Azure kaynakları üzerinde görünürlüğünüz veya denetiminiz olmayacaktır. |
Özel uç nokta üzerinden Key Vault'a bağlanma |
Bu örnek, özel uç nokta üzerinden Key Vault'a erişmek için sanal ağ ve özel DNS bölgesi yapılandırmanın nasıl kullanılacağını gösterir. |
Key Vault ve gizli dizi listesi oluşturma |
Bu şablon, parametrelerle birlikte geçirildikçe anahtar kasası içinde bir Key Vault ve gizli dizi listesi oluşturur |
KeyVault oluşturma |
Bu modül apiVersion 2019-09-01 ile bir KeyVault kaynağı oluşturur. |
Galeri görüntüsünden yeni şifrelenmiş windows vm oluşturma |
Bu şablon, sunucu 2k12 galeri görüntüsünü kullanarak yeni bir şifrelenmiş Windows vm oluşturur. |
Genel DNS Bölgesi ile Özel AKS Kümesi Oluşturma |
Bu örnekte, Genel DNS Bölgesi ile özel AKS kümesinin nasıl dağıtılacağı gösterilmektedir. |
Birden çok Veri Kümesi & Veri Depoları ile AML çalışma alanı oluşturma |
Bu şablon, veri depoları & birden çok veri kümesiyle Azure Machine Learning çalışma alanı oluşturur. |
Özel IP adresi ile AKS işlem hedefi oluşturma |
Bu şablon, belirli bir Azure Machine Learning hizmeti çalışma alanında özel IP adresiyle bir AKS işlem hedefi oluşturur. |
KeyVault SSL ile API Management hizmeti oluşturma |
Bu şablon, Kullanıcı Tarafından Atanan Kimlik ile yapılandırılmış bir API Management hizmeti dağıtır. KeyVault'tan SSL sertifikası getirmek için bu kimliği kullanır ve her 4 saatte bir denetleyerek bu sertifikayı güncel tutar. |
Key Vault ile Application Gateway V2 oluşturma |
Bu şablon bir Sanal Ağa Application Gateway V2, kullanıcı tanımlı kimlik, Key Vault, gizli dizi (sertifika verileri) ve Key Vault ile Application Gateway'e erişim ilkesi dağıtır. |
Azure Key Vault ve gizli dizi oluşturma |
Bu şablon bir Azure Key Vault ve bir gizli dizi oluşturur. |
RBAC ve gizli dizi ile Azure Key Vault oluşturma |
Bu şablon bir Azure Key Vault ve bir gizli dizi oluşturur. Erişim ilkelerine güvenmek yerine, gizli dizilerde yetkilendirmeyi yönetmek için Azure RBAC'yi kullanır |
Azure Machine Learning hizmeti çalışma alanı oluşturma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i kullanmaya başlamak için ihtiyacınız olan en düşük kaynak kümesini açıklar. |
Azure Machine Learning hizmet çalışma alanı (CMK) oluşturma |
Bu dağıtım şablonu, şifreleme anahtarlarınızı kullanarak hizmet tarafı şifrelemesi ile Azure Machine Learning çalışma alanı oluşturmayı belirtir. |
Azure Machine Learning hizmet çalışma alanı (CMK) oluşturma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Örnekte, müşteri tarafından yönetilen bir şifreleme anahtarıyla şifreleme için Azure Machine Learning'in nasıl yapılandırılır gösterilmektedir. |
Azure Machine Learning hizmeti çalışma alanı oluşturma (eski) |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i ağdan yalıtılmış bir kümede kullanmaya başlamak için ihtiyacınız olan kaynak kümesini açıklar. |
Azure Machine Learning hizmet çalışma alanı (vnet) oluşturma |
Bu dağıtım şablonu bir Azure Machine Learning çalışma alanını ve Azure Key Vault, Azure Depolama, Azure Application Insights ve Azure Container Registry gibi ilişkili kaynaklarını belirtir. Bu yapılandırma, Azure Machine Learning'i ağdan yalıtılmış bir kümede kullanmaya başlamak için ihtiyacınız olan kaynak kümesini açıklar. |
Sıçrama kutusu ile yeni bir Windows VMSS oluşturma ve şifreleme |
Bu şablon, sunucu Windows sürümlerinin en son düzeltme eki uygulanmış sürümünü kullanarak basit bir Windows VM Ölçek Kümesi dağıtmanıza olanak tanır. Bu şablon aynı sanal ağda genel IP adresine sahip bir sıçrama kutusu da dağıtır. Bu genel IP adresi aracılığıyla sıçrama kutusuna bağlanabilir, ardından buradan özel IP adresleri aracılığıyla ölçek kümesindeki VM'lere bağlanabilirsiniz. Bu şablon, Windows VM'lerinin VM Ölçek Kümesinde şifrelemeyi etkinleştirir. |
Sertifikalar ile Application Gateway Oluşturma |
Bu şablonda Key Vault otomatik olarak imzalanan sertifikaların nasıl oluşturulacağı ve ardından Application Gateway'den nasıl başvurulacağı gösterilmektedir. |
Günlüğe kaydetme özelliği etkinleştirilmiş Key Vault oluşturma |
Bu şablon bir Azure Key Vault ve günlüğe kaydetme için kullanılan bir Azure Depolama hesabı oluşturur. İsteğe bağlı olarak Key Vault'unuzu ve depolama kaynaklarınızı korumak için kaynak kilitleri oluşturur. |
Anahtar kasası, yönetilen kimlik ve rol ataması oluşturma |
Bu şablon bir anahtar kasası, yönetilen kimlik ve rol ataması oluşturur. |
Galeri görüntüsünden yeni şifrelenmiş yönetilen diskler win-vm oluşturma |
Bu şablon, sunucu 2k12 galeri görüntüsünü kullanarak yeni bir şifrelenmiş yönetilen diskler Windows vm oluşturur. |
Kiracılar Arası Özel Uç Nokta kaynağı oluşturur |
Bu şablon, aynı veya kiracılar arası ortamda Priavate Uç Noktası kaynağı oluşturmanıza ve dns bölgesi yapılandırması eklemenize olanak tanır. |
Container Apps kullanarak Bir Dapr pub-sub servicebus uygulaması oluşturur |
Container Apps kullanarak bir Dapr pub-sub servicebus uygulaması oluşturun. |
bir Azure Stack HCI 23H2 kümesi oluşturur |
Bu şablon, özel depolama IP'sini kullanarak ARM şablonu kullanarak bir Azure Stack HCI 23H2 kümesi oluşturur |
Yönetilen sanal ağ ile Güvenli Azure AI Studio dağıtma |
Bu şablon, güçlü ağ ve kimlik güvenliği kısıtlamalarıyla güvenli bir Azure AI Studio ortamı oluşturur. |
Azure Mimari'de Spor Analizi Dağıtma |
ADLS 2. Nesil'in etkinleştirildiği bir Azure depolama hesabı, depolama hesabı için bağlı hizmetler içeren bir Azure Data Factory örneği (dağıtıldıysa Azure SQL Veritabanı) ve bir Azure Databricks örneği oluşturur. Şablonu dağıtan kullanıcının AAD kimliğine ve ADF örneğinin yönetilen kimliğine depolama hesabında Depolama Blob Verileri Katkıda Bulunanı rolü verilir. Azure Key Vault örneği, Azure SQL Veritabanı ve Azure Olay Hub'ı (akış kullanım örnekleri için) dağıtma seçenekleri de vardır. Azure Key Vault dağıtıldığında, şablonu dağıtan kullanıcının veri fabrikası tarafından yönetilen kimliğine ve AAD kimliğine Key Vault Gizli Dizileri Kullanıcı rolü verilir. |
Çalışan bir Windows VM'de şifrelemeyi etkinleştirme |
Bu şablon, çalışan bir Windows vm'sinde şifrelemeyi etkinleştirir. |
FinOps hub |
Bu şablon Veri Gezgini, Data Lake depolama ve Data Factory gibi yeni bir FinOps hub örneği oluşturur. |
Kullanıcı Tarafından Yönetilen Kimlik ile Ağ Güvenli Aracı |
Bu şablon kümesinde, AI Hizmeti/AOAI bağlantısı için Kullanıcı Tarafından Yönetilen Kimlik kimlik doğrulaması ve aracıyı güvenli verilerinize bağlamak için özel ağ bağlantıları kullanılarak sanal ağ yalıtımı ile Azure AI Aracısı Hizmeti'nin nasıl ayarlanacağı gösterilmektedir. |
Standart Aracı Kurulumu |
Bu şablon kümesinde Azure AI Agent Service'in standart kurulumla nasıl ayarlanacağı gösterilmektedir; başka bir deyişle proje/hub bağlantıları için yönetilen kimlik doğrulaması ve genel İnternet erişimi etkindir. Aracılar müşteriye ait, tek kiracılı arama ve depolama kaynaklarını kullanır. Bu kurulumla, bu kaynaklar üzerinde tam denetime ve görünürlüğe sahip olursunuz, ancak kullanımınıza göre maliyetler doğuracaksınız. |
Azure Güvenlik Duvarı Premium için |
Bu şablon yetkisiz erişim denetimi algılama (IDPS), TLS denetimi ve Web Kategorisi filtreleme gibi premium özelliklere sahip bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi oluşturur |
Bu şablon çalışan bir Windows VMSS şifreler |
Bu şablon, çalışan bir Windows VM Ölçek Kümesinde şifrelemeyi etkinleştirir |
bir Azure Stack HCI 22H2 kümesini 23H2 kümesine yükselt |
Bu şablon, ARM şablonu kullanarak bir Azure Stack HCI 22H2 kümesini 23H2 kümesine yükseltmektedir. |
Terraform (AzAPI sağlayıcısı) kaynak tanımı
Kasa kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- Kaynak grupları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.KeyVault/vaults kaynağı oluşturmak için şablonunuza aşağıdaki Terraform'u ekleyin.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2024-12-01-preview"
name = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "string"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
vaultUri = "string"
}
})
}
Özellik Değerleri
AccessPolicyEntry
Ad | Açıklama | Değer |
---|---|---|
applicationId | Sorumlu adına istekte bulunan istemcinin uygulama kimliği | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
objectId | Kasa için Azure Active Directory kiracısında bir kullanıcının, hizmet sorumlusunun veya güvenlik grubunun nesne kimliği. Nesne kimliği, erişim ilkeleri listesi için benzersiz olmalıdır. | dize (gerekli) |
izinler | Kimliğin anahtarlar, gizli diziler ve sertifikalar için sahip olduğu izinler. | İzinler (gerekli) |
tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (gerekli) |
IPRule
Ad | Açıklama | Değer |
---|---|---|
değer | CIDR gösteriminde '124.56.78.91' (basit IP adresi) veya '124.56.78.0/24' gibi bir IPv4 adres aralığı (124.56.78 ile başlayan tüm adresler). | dize (gerekli) |
Microsoft.KeyVault/vaults
Ad | Açıklama | Değer |
---|---|---|
yer | Anahtar kasasının oluşturulması gereken desteklenen Azure konumu. | dize (gerekli) |
ad | Kaynak adı | dizgi Kısıtlama -ları: Desen = ^[a-zA-Z0-9-]{3,24}$ (gerekli) |
Özellikler | Kasanın özellikleri | VaultProperties (gerekli) |
Etiketler | Kaynak etiketleri | Etiket adları ve değerleri sözlüğü. |
tür | Kaynak türü | "Microsoft.KeyVault/vaults@2024-12-01-preview" |
NetworkRuleSet
Ad | Açıklama | Değer |
---|---|---|
Bypass | Ağ kurallarını hangi trafiğin atlayabileceğinizi bildirir. Bu ,'AzureServices' veya 'None' olabilir. Belirtilmezse varsayılan değer 'AzureServices' olur. | 'AzureServices' 'Hiçbiri' |
defaultAction | IpRules ve virtualNetworkRules'tan hiçbir kural eşleşmediğinde varsayılan eylem. Bu yalnızca bypass özelliği değerlendirildikten sonra kullanılır. | 'İzin Ver' 'Reddet' |
ipRules | IP adresi kuralları listesi. | IPRule |
virtualNetworkRules | Sanal ağ kurallarının listesi. | VirtualNetworkRule |
İzinler
Ad | Açıklama | Değer |
---|---|---|
Sertifika | Sertifika izinleri | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'temizleme' 'recover' 'restore' 'setissuers' 'update' |
Anahtar | Anahtarlara yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'create' 'şifre çözme' 'delete' 'encrypt' 'get' 'getrotationpolicy' 'import' 'list' 'temizleme' 'recover' 'release' 'restore' 'döndürme' 'setrotationpolicy' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
Sır -larını | Gizli dizilere yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'delete' 'get' 'list' 'temizleme' 'recover' 'restore' 'set' |
depolama | Depolama hesaplarına yönelik izinler | Herhangi birini içeren dize dizisi: 'tümü' 'yedekleme' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'temizleme' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
Sku
Ad | Açıklama | Değer |
---|---|---|
aile | SKU aile adı | 'A' (gerekli) |
ad | Anahtar kasasının standart kasa mı yoksa premium kasa mı olduğunu belirtmek için SKU adı. | 'premium' 'standard' (gerekli) |
VaultCreateOrUpdateParametersTags
Ad | Açıklama | Değer |
---|
VaultProperties
Ad | Açıklama | Değer |
---|---|---|
accessPolicies | Anahtar kasasına erişimi olan 0 ile 1024 arasında kimlik dizisi. Dizideki tüm kimlikler, anahtar kasasının kiracı kimliğiyle aynı kiracı kimliğini kullanmalıdır.
createMode
recover olarak ayarlandığında erişim ilkeleri gerekli değildir. Aksi takdirde erişim ilkeleri gereklidir. |
AccessPolicyEntry[] |
createMode | Kasanın kurtarılması gerekip gerekmediğini belirtmek için kasanın oluşturma modu. | 'default' 'recover' |
enabledForDeployment | Azure Sanal Makineleri'nin anahtar kasasından gizli dizi olarak depolanan sertifikaları almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
enabledForDiskEncryption | Azure Disk Şifrelemesi'nin kasadan gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik ve anahtarları açın. | Bool |
enabledForTemplateDeployment | Azure Resource Manager'ın anahtar kasasından gizli dizileri almasına izin verilip verilmeyeceğini belirten özellik. | Bool |
enablePurgeProtection | Bu kasa için temizlemeye karşı korumanın etkinleştirilip etkinleştirilmediğini belirten özellik. Bu özelliğin true olarak ayarlanması, bu kasanın ve içeriğinin temizlenmesine karşı korumayı etkinleştirir. Yalnızca Key Vault hizmeti sabit, geri alınamaz bir silme işlemi başlatabilir. Bu ayar yalnızca geçici silme de etkinleştirildiğinde etkindir. Bu işlevselliğin etkinleştirilmesi geri alınamaz; yani özellik değeri olarak false değerini kabul etmez. | Bool |
enableRbacAuthorization | Veri eylemlerinin nasıl yetkilendirildiğini denetleen özellik. Doğru olduğunda, anahtar kasası veri eylemlerinin yetkilendirmesi için Rol Tabanlı Erişim Denetimi 'ni (RBAC) kullanır ve kasa özelliklerinde belirtilen erişim ilkeleri yoksayılır. False olduğunda, anahtar kasası kasa özelliklerinde belirtilen erişim ilkelerini kullanır ve Azure Resource Manager'da depolanan tüm ilkeler yoksayılır. Null veya belirtilmezse, kasa varsayılan false değeriyle oluşturulur. Yönetim eylemlerinin her zaman RBAC ile yetkilendirildiğini unutmayın. | Bool |
enableSoftDelete | Bu anahtar kasası için 'geçici silme' işlevinin etkinleştirilip etkinleştirilmediğini belirten özellik. Yeni anahtar kasası oluşturulurken herhangi bir değere (true veya false) ayarlanmadıysa, varsayılan olarak true olarak ayarlanır. True olarak ayarlandıktan sonra false değerine geri döndürülemez. | Bool |
networkAcls | Belirli ağ konumlarından anahtar kasasının erişilebilirliğini yöneten kurallar. | NetworkRuleSet |
provisioningState | Kasanın sağlama durumu. | 'RegisteringDns' 'Başarılı' |
publicNetworkAccess | Kasanın genel İnternet'ten gelen trafiği kabul edip etmeyeceğini belirten özellik. Özel uç nokta trafiği dışındaki ve güvenilen hizmetlerden gelen tüm trafik 'devre dışı' olarak ayarlanırsa engellenir. Bu, ayarlanan güvenlik duvarı kurallarını geçersiz kılar, yani güvenlik duvarı kuralları mevcut olsa bile kurallara uymayacağız. | dizgi |
Sku | SKU ayrıntıları | Sku (gerekli) |
softDeleteRetentionInDays | softDelete veri saklama günleri. =7 >ve =90 <kabul eder. | Int |
tenantId | Anahtar kasasına yönelik isteklerin kimliğini doğrulamak için kullanılması gereken Azure Active Directory kiracı kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (gerekli) |
vaultUri | Anahtarlar ve gizli diziler üzerinde işlem gerçekleştirmek için kasanın URI'si. | dizgi |
VirtualNetworkRule
Ad | Açıklama | Değer |
---|---|---|
Kimliği | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' gibi bir sanal ağ alt ağının tam kaynak kimliği. | dize (gerekli) |
ignoreMissingVnetServiceEndpoint | NRP'nin üst alt ağın yapılandırılmış serviceEndpoint'leri olup olmadığını denetlemeyi yoksayıp yoksaymayacağını belirten özellik. | Bool |
Kullanım Örnekleri
Azure Doğrulanmış Modülleri
Aşağıdaki Azure Doğrulanmış Modüller bu kaynak türünü dağıtmak için kullanılabilir.
Modül | Açıklama |
---|---|
Anahtar Kasası | Key Vault için AVM Kaynak Modülü |