Cofres Microsoft.KeyVault 2018-02-14
Definição de recurso do Bicep
O tipo de recurso vaults pode ser implantado com operações direcionadas:
- Grupos de recursos – Consulte comandos de implantação do grupo de recursos
Para obter uma lista das propriedades alteradas em cada versão da API, consulte log de alterações.
Comentários
Para obter diretrizes sobre como usar cofres de chaves para valores seguros, consulte Gerenciar segredos usando o Bicep.
Para obter um início rápido sobre como criar um segredo, consulte Início Rápido: Definir e recuperar um segredo do Azure Key Vault usando um modelo do ARM.
Para obter um início rápido sobre como criar uma chave, consulte Início Rápido: Criar um cofre de chaves do Azure e uma chave usando o modelo do ARM.
Formato de recurso
Para criar um recurso Microsoft.KeyVault/vaults, adicione o Bicep a seguir ao modelo.
resource symbolicname 'Microsoft.KeyVault/vaults@2018-02-14' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
}
]
}
sku: {
family: 'A'
name: 'string'
}
tenantId: 'string'
vaultUri: 'string'
}
}
Valores de propriedade
vaults
| Nome | Descrição | Valor |
|---|---|---|
| name | O nome do recurso | cadeia de caracteres (obrigatório) Limite de caracteres: 3 a 24 Caracteres válidos: Caracteres alfanuméricos e hifens. Comece com letra. Termine com letra ou dígito. Não pode conter hifens consecutivos. O nome do recurso deve ser exclusivo no Azure. |
| local | O local do Azure com suporte em que o cofre de chaves deve ser criado. | cadeia de caracteres (obrigatório) |
| marcas | As marcas que serão atribuídas ao cofre de chaves. | Dicionário de nomes e valores de marcas. Confira Marcas em modelos |
| properties | Propriedades do cofre | VaultProperties (obrigatório) |
VaultProperties
| Nome | Descrição | Valor |
|---|---|---|
| accessPolicies | Uma matriz de 0 a 1024 identidades que têm acesso ao cofre de chaves. Todas as identidades na matriz devem usar a mesma ID de locatário que a ID de locatário do cofre de chaves. Quando createMode é definido como recover, as políticas de acesso não são necessárias. Caso contrário, as políticas de acesso serão necessárias. |
AccessPolicyEntry[] |
| createMode | O modo de criação do cofre para indicar se o cofre precisa ser recuperado ou não. | 'default' 'recover' |
| enabledForDeployment | Propriedade para especificar se os Máquinas Virtuais do Azure têm permissão para recuperar certificados armazenados como segredos do cofre de chaves. | bool |
| enabledForDiskEncryption | Propriedade para especificar se o Azure Disk Encryption tem permissão para recuperar segredos do cofre e desencapsular chaves. | bool |
| enabledForTemplateDeployment | Propriedade para especificar se o Azure Resource Manager tem permissão para recuperar segredos do cofre de chaves. | bool |
| enablePurgeProtection | Propriedade que especifica se a proteção contra limpeza está habilitada para esse cofre. Definir essa propriedade como true ativa a proteção contra limpeza para esse cofre e seu conteúdo – somente o serviço Key Vault pode iniciar uma exclusão dura e irrecuperável. A configuração só será efetiva se a exclusão reversível também estiver habilitada. Habilitar essa funcionalidade é irreversível, ou seja, a propriedade não aceita false como seu valor. | bool |
| enableSoftDelete | Propriedade para especificar se a funcionalidade de "exclusão reversível" está habilitada para esse cofre de chaves. Ele não aceita valor falso. | bool |
| networkAcls | Regras que regem a acessibilidade do cofre de chaves de locais de rede específicos. | NetworkRuleSet |
| sku | Detalhes do SKU | SKU (obrigatório) |
| tenantId | A ID de locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. | cadeia de caracteres (obrigatório) Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | O URI do cofre para executar operações em chaves e segredos. | string |
AccessPolicyEntry
| Nome | Descrição | Valor |
|---|---|---|
| applicationId | ID do aplicativo do cliente que está fazendo solicitação em nome de uma entidade de segurança | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | A ID de objeto de um usuário, entidade de serviço ou grupo de segurança no locatário do Azure Active Directory para o cofre. A ID do objeto deve ser exclusiva para a lista de políticas de acesso. | cadeia de caracteres (obrigatório) |
| permissões | Permissões que a identidade tem para chaves, segredos e certificados. | Permissões (obrigatório) |
| tenantId | A ID de locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. | cadeia de caracteres (obrigatório) Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Permissões
| Nome | Descrição | Valor |
|---|---|---|
| certificates | Permissões para certificados | Matriz de cadeia de caracteres que contém qualquer um dos: 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'limpar' 'recover' 'restore' 'setissuers' 'update' |
| chaves | Permissões para chaves | Matriz de cadeia de caracteres que contém qualquer um dos: 'backup' 'create' 'descriptografar' 'delete' 'encrypt' 'get' 'import' 'list' 'limpar' 'recover' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| segredos | Permissões para segredos | Matriz de cadeia de caracteres que contém qualquer um dos: 'backup' 'delete' 'get' 'list' 'limpar' 'recover' 'restore' 'set' |
| armazenamento | Permissões para contas de armazenamento | Matriz de cadeia de caracteres que contém qualquer um dos: 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'limpar' 'recover' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
| Nome | Descrição | Valor |
|---|---|---|
| ignorar | Informa qual tráfego pode ignorar as regras de rede. Isso pode ser 'AzureServices' ou 'None'. Se não for especificado, o padrão será 'AzureServices'. | 'AzureServices' 'None' |
| Defaultaction | A ação padrão quando nenhuma regra de ipRules e de virtualNetworkRules corresponder. Isso só é usado depois que a propriedade bypass é avaliada. | 'Allow' 'Deny' |
| ipRules | A lista de regras de endereço IP. | IPRule[] |
| virtualNetworkRules | A lista de regras de rede virtual. | VirtualNetworkRule[] |
IPRule
| Nome | Descrição | Valor |
|---|---|---|
| value | Um intervalo de endereços IPv4 na notação CIDR, como '124.56.78.91' (endereço IP simples) ou '124.56.78.0/24' (todos os endereços que começam com 124.56.78). | cadeia de caracteres (obrigatório) |
VirtualNetworkRule
| Nome | Descrição | Valor |
|---|---|---|
| id | ID de recurso completa de uma sub-rede vnet, como '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | cadeia de caracteres (obrigatório) |
Sku
| Nome | Descrição | Valor |
|---|---|---|
| família | Nome da família SKU | 'A' (obrigatório) |
| name | Nome da SKU para especificar se o cofre de chaves é um cofre padrão ou um cofre Premium. | 'premium' 'standard' (obrigatório) |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
| Modelo | Descrição |
|---|---|
Modelo de início rápido sas 9.4 e viya para o Azure |
O Modelo de Início Rápido SAS® 9.4 e Viya para Azure implanta esses produtos na nuvem: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 e SAS® Visual Analytics 8.5 no Linux e SAS® Visual Data Mining e Machine Learning 8.5 no Linux para Viya. Este Início Rápido é uma arquitetura de referência para usuários que desejam implantar a combinação de SAS® 9.4 e Viya no Azure usando tecnologias amigáveis à nuvem. Ao implantar a plataforma SAS® no Azure, você obtém um ambiente integrado de ambientes SAS® 9.4 e Viya para que você possa aproveitar os dois mundos. O SAS® Viya é um mecanismo de análise na memória habilitado para nuvem. Ele usa processamento elástico, escalonável e tolerante a falhas para enfrentar desafios analíticos complexos. O SAS® Viya fornece processamento mais rápido para análise usando uma base de código padronizada que dá suporte à programação em SAS®, Python, R, Java e Lua. Ele também dá suporte a ambientes de nuvem, locais ou híbridos e é implantado perfeitamente em qualquer infraestrutura ou ecossistema de aplicativos. |
| Cluster do AKS com um Gateway da NAT e um Gateway de Aplicativo |
Este exemplo mostra como implantar um cluster do AKS com o Gateway da NAT para conexões de saída e um Gateway de Aplicativo para conexões de entrada. |
| Criar um cluster do AKS privado com uma zona DNS pública |
Este exemplo mostra como implantar um cluster aks privado com uma zona DNS pública. |
| Implantar a Análise Esportiva na Arquitetura do Azure |
Cria uma conta de armazenamento do Azure com o ADLS Gen 2 habilitado, uma instância Azure Data Factory com serviços vinculados para a conta de armazenamento (um banco de dados SQL do Azure se implantado) e uma instância do Azure Databricks. A identidade do AAD para o usuário que implanta o modelo e a identidade gerenciada para a instância do ADF receberá a função Colaborador de Dados de Blob de Armazenamento na conta de armazenamento. Também há opções para implantar uma instância de Key Vault do Azure, um banco de dados SQL do Azure e um Hub de Eventos do Azure (para casos de uso de streaming). Quando um Key Vault do Azure for implantado, a identidade gerenciada do data factory e a identidade do AAD para o usuário que está implantando o modelo receberão a função Key Vault Usuário De Segredos. |
| Azure Machine Learning Workspace |
Este modelo cria um novo workspace do Azure Machine Learning, juntamente com uma conta de armazenamento criptografada, o KeyVault e o log do Application Insights |
| Criar um KeyVault |
Este módulo cria um recurso KeyVault com apiVersion 2019-09-01. |
| Criar um serviço de Gerenciamento de API com SSL do KeyVault |
Este modelo implanta um serviço de Gerenciamento de API configurado com a Identidade Atribuída pelo Usuário. Ele usa essa identidade para buscar o certificado SSL do KeyVault e o mantém atualizado verificando a cada 4 horas. |
| Cria um aplicativo pub-sub servicebus do Dapr usando Aplicativos de Contêiner |
Crie um aplicativo do dapr pub-sub servicebus usando Aplicativos de Contêiner. |
| cria um cluster do Azure Stack HCI 23H2 |
Este modelo cria um cluster do Azure Stack HCI 23H2 usando um modelo do ARM. |
| Criar uma nova VM criptografada do Windows por meio da imagem da galeria |
Este modelo cria uma nova VM criptografada do Windows usando a imagem da galeria do servidor 2k12. |
| Criar novos discos gerenciados criptografados win-vm a partir da imagem da galeria |
Este modelo cria uma nova VM windows de discos gerenciados criptografados usando a imagem da galeria do servidor 2k12. |
| Este modelo criptografa um VMSS do Windows em execução |
Este modelo habilita a criptografia em um Conjunto de Dimensionamento de VMs do Windows em execução |
| Habilitar a criptografia em uma VM do Windows em execução |
Esse modelo habilita a criptografia em uma VM do Windows em execução. |
| Criar e criptografar um novo VMSS do Windows com jumpbox |
Esse modelo permite implantar um conjunto de dimensionamento de VMs simples de VMs do Windows usando a última versão corrigida das versões serveral do Windows. Esse modelo também implanta um jumpbox com um endereço IP público na mesma rede virtual. Você pode se conectar ao jumpbox por meio desse endereço IP público e, em seguida, conectar-se de lá a VMs no conjunto de dimensionamento por meio de endereços IP privados. Esse modelo habilita a criptografia no Conjunto de Dimensionamento de VMs do Windows. |
| Criar um Azure Key Vault e um segredo |
Este modelo cria um Key Vault do Azure e um segredo. |
| Criar um Key Vault do Azure com RBAC e um segredo |
Este modelo cria um Key Vault do Azure e um segredo. Em vez de depender de políticas de acesso, ele aproveita o RBAC do Azure para gerenciar a autorização em segredos |
| Criar cofre de chaves, identidade gerenciada e atribuição de função |
Esse modelo cria um cofre de chaves, uma identidade gerenciada e uma atribuição de função. |
| Conectar-se a um Key Vault por meio de um ponto de extremidade privado |
Este exemplo mostra como usar configurar uma rede virtual e uma zona DNS privada para acessar Key Vault por meio de ponto de extremidade privado. |
| Criar um Cofre de Chaves e uma lista de segredos |
Este modelo cria uma Key Vault e uma lista de segredos dentro do cofre de chaves, conforme passado junto com os parâmetros |
| Criar Key Vault com o registro em log habilitado |
Este modelo cria um Key Vault do Azure e uma conta de Armazenamento do Azure usada para registro em log. Opcionalmente, ele cria bloqueios de recursos para proteger seus recursos de armazenamento e Key Vault. |
| Criar workspace do AML com vários conjuntos de dados & Datastores |
Este modelo cria o workspace do Azure Machine Learning com vários conjuntos de dados & armazenamentos de dados. |
| Configuração segura de ponta a ponta do Azure Machine Learning |
Esse conjunto de modelos do Bicep demonstra como configurar o Azure Machine Learning de ponta a ponta em uma configuração segura. Essa implementação de referência inclui o Workspace, um cluster de computação, uma instância de computação e um cluster AKS privado anexado. |
| Configuração segura de ponta a ponta do Azure Machine Learning (herdada) |
Esse conjunto de modelos do Bicep demonstra como configurar o Azure Machine Learning de ponta a ponta em uma configuração segura. Essa implementação de referência inclui o Workspace, um cluster de computação, uma instância de computação e um cluster AKS privado anexado. |
| Criar um destino de computação do AKS com um endereço IP privado |
Este modelo cria um destino de computação do AKS em determinado workspace do serviço do Azure Machine Learning com um endereço IP privado. |
| Criar um workspace do serviço do Azure Machine Learning |
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo Key Vault do Azure, Armazenamento do Azure, Insights Aplicativo Azure e Registro de Contêiner do Azure. Essa configuração descreve o conjunto mínimo de recursos necessários para começar a usar o Azure Machine Learning. |
| Criar um CMK (workspace do serviço do Azure Machine Learning) |
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo Key Vault do Azure, Armazenamento do Azure, Insights Aplicativo Azure e Registro de Contêiner do Azure. O exemplo mostra como configurar o Azure Machine Learning para criptografia com uma chave de criptografia gerenciada pelo cliente. |
| Criar um workspace do serviço do Azure Machine Learning (vnet) |
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo Key Vault do Azure, Armazenamento do Azure, Insights Aplicativo Azure e Registro de Contêiner do Azure. Essa configuração descreve o conjunto de recursos necessários para começar a usar o Azure Machine Learning em uma configuração isolada de rede. |
| Criar um workspace do serviço do Azure Machine Learning (herdado) |
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo Key Vault do Azure, Armazenamento do Azure, Insights Aplicativo Azure e Registro de Contêiner do Azure. Essa configuração descreve o conjunto de recursos necessários para começar a usar o Azure Machine Learning em uma configuração isolada de rede. |
| Cluster do AKS com o controlador de entrada Gateway de Aplicativo |
Este exemplo mostra como implantar um cluster do AKS com Gateway de Aplicativo, controlador de entrada Gateway de Aplicativo, Registro de Contêiner do Azure, Log Analytics e Key Vault |
| Criar um Gateway de Aplicativo V2 com Key Vault |
Esse modelo implanta um Gateway de Aplicativo V2 em um Rede Virtual, uma identidade definida pelo usuário, Key Vault, um segredo (dados de certificado) e uma política de acesso em Key Vault e Gateway de Aplicativo. |
| Ambiente de teste para Firewall do Azure Premium |
Este modelo cria uma política de Firewall do Azure Premium e firewall com recursos premium, como IDPS (Detecção de Inspeção de Intrusão), inspeção TLS e filtragem de categoria da Web |
| Criar Gateway de Aplicativo com certificados |
Este modelo mostra como gerar Key Vault certificados autoassinados e, em seguida, fazer referência de Gateway de Aplicativo. |
| Criptografia de Conta de Armazenamento do Azure com chave gerenciada pelo cliente |
Este modelo implanta uma Conta de Armazenamento com uma chave gerenciada pelo cliente para criptografia gerada e colocada dentro de um Key Vault. |
| Ambiente do Serviço de Aplicativo com SQL do Azure back-end |
Esse modelo cria uma Ambiente do Serviço de Aplicativo com um back-end SQL do Azure juntamente com pontos de extremidade privados, juntamente com recursos associados normalmente usados em um ambiente privado/isolado. |
| Aplicativo de funções do Azure e uma função disparada por HTTP |
Este exemplo implanta um aplicativo de funções do Azure e uma função disparada por HTTP embutida no modelo. Ele também implanta um Key Vault e preenche um segredo com a chave de host do aplicativo de funções. |
| Gateway de Aplicativo com Gerenciamento de API interna e Aplicativo Web |
Gateway de Aplicativo roteamento do tráfego da Internet para uma rede virtual (modo interno) Gerenciamento de API instância que atende a uma API Web hospedada em um Aplicativo Web do Azure. |
Definição de recurso de modelo do ARM
O tipo de recurso vaults pode ser implantado com operações direcionadas:
- Grupos de recursos – Consulte comandos de implantação do grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Comentários
Para obter diretrizes sobre como usar cofres de chaves para valores seguros, consulte Gerenciar segredos usando o Bicep.
Para obter um início rápido sobre como criar um segredo, consulte Início Rápido: Definir e recuperar um segredo do Azure Key Vault usando um modelo do ARM.
Para obter um início rápido sobre como criar uma chave, consulte Início Rápido: Criar um cofre de chaves do Azure e uma chave usando o modelo do ARM.
Formato de recurso
Para criar um recurso Microsoft.KeyVault/vaults, adicione o JSON a seguir ao modelo.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2018-02-14",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string"
}
]
},
"sku": {
"family": "A",
"name": "string"
},
"tenantId": "string",
"vaultUri": "string"
}
}
Valores de propriedade
vaults
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | 'Microsoft.KeyVault/vaults' |
| apiVersion | A versão da API de recursos | '2018-02-14' |
| name | O nome do recurso | cadeia de caracteres (obrigatório) Limite de caracteres: 3 a 24 Caracteres válidos: Caracteres alfanuméricos e hifens. Comece com letra. Termine com letra ou dígito. Não pode conter hifens consecutivos. O nome do recurso deve ser exclusivo no Azure. |
| local | O local do Azure com suporte em que o cofre de chaves deve ser criado. | cadeia de caracteres (obrigatório) |
| marcas | As marcas que serão atribuídas ao cofre de chaves. | Dicionário de nomes e valores de marcas. Consulte Marcas em modelos |
| properties | Propriedades do cofre | VaultProperties (obrigatório) |
VaultProperties
| Nome | Descrição | Valor |
|---|---|---|
| accessPolicies | Uma matriz de 0 a 1024 identidades que têm acesso ao cofre de chaves. Todas as identidades na matriz devem usar a mesma ID de locatário que a ID de locatário do cofre de chaves. Quando createMode é definido como recover, as políticas de acesso não são necessárias. Caso contrário, as políticas de acesso serão necessárias. |
AccessPolicyEntry[] |
| createMode | O modo de criação do cofre para indicar se o cofre precisa ser recuperado ou não. | 'default' 'recuperar' |
| enabledForDeployment | Propriedade para especificar se os Máquinas Virtuais do Azure têm permissão para recuperar certificados armazenados como segredos do cofre de chaves. | bool |
| enabledForDiskEncryption | Propriedade para especificar se o Azure Disk Encryption tem permissão para recuperar segredos do cofre e desembrulhar chaves. | bool |
| enabledForTemplateDeployment | Propriedade para especificar se o Resource Manager do Azure tem permissão para recuperar segredos do cofre de chaves. | bool |
| enablePurgeProtection | Propriedade que especifica se a proteção contra limpeza está habilitada para esse cofre. Definir essa propriedade como true ativa a proteção contra limpeza para esse cofre e seu conteúdo – somente o serviço Key Vault pode iniciar uma exclusão dura e irrecuperável. A configuração só será eficaz se a exclusão reversível também estiver habilitada. Habilitar essa funcionalidade é irreversível– ou seja, a propriedade não aceita false como seu valor. | bool |
| enableSoftDelete | Propriedade para especificar se a funcionalidade "exclusão reversível" está habilitada para esse cofre de chaves. Ele não aceita valor falso. | bool |
| networkAcls | Regras que regem a acessibilidade do cofre de chaves de locais de rede específicos. | NetworkRuleSet |
| sku | Detalhes do SKU | SKU (obrigatório) |
| tenantId | A ID de locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. | cadeia de caracteres (obrigatório) Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | O URI do cofre para executar operações em chaves e segredos. | string |
AccessPolicyEntry
| Nome | Descrição | Valor |
|---|---|---|
| applicationId | ID do aplicativo do cliente que está fazendo solicitação em nome de uma entidade de segurança | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | A ID de objeto de um usuário, entidade de serviço ou grupo de segurança no locatário do Azure Active Directory para o cofre. A ID do objeto deve ser exclusiva para a lista de políticas de acesso. | cadeia de caracteres (obrigatório) |
| permissões | Permissões que a identidade tem para chaves, segredos e certificados. | Permissões (obrigatório) |
| tenantId | A ID de locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. | cadeia de caracteres (obrigatório) Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Permissões
| Nome | Descrição | Valor |
|---|---|---|
| certificates | Permissões para certificados | Matriz de cadeia de caracteres que contém qualquer um dos: 'backup' 'create' 'delete' 'deleteissuers' 'get' 'getissuers' 'import' 'list' 'listissuers' 'managecontacts' 'manageissuers' 'purge' 'recuperar' 'restore' 'setissuers' 'update' |
| chaves | Permissões para chaves | Matriz de cadeia de caracteres que contém qualquer um dos: 'backup' 'create' 'descriptografar' 'delete' 'encrypt' 'get' 'import' 'list' 'purge' 'recuperar' 'restore' 'sign' 'unwrapKey' 'update' 'verify' 'wrapKey' |
| segredos | Permissões para segredos | Matriz de cadeia de caracteres que contém qualquer um dos: 'backup' 'delete' 'get' 'list' 'purge' 'recuperar' 'restore' 'set' |
| armazenamento | Permissões para contas de armazenamento | Matriz de cadeia de caracteres que contém qualquer um dos: 'backup' 'delete' 'deletesas' 'get' 'getsas' 'list' 'listsas' 'purge' 'recuperar' 'regeneratekey' 'restore' 'set' 'setsas' 'update' |
NetworkRuleSet
| Nome | Descrição | Valor |
|---|---|---|
| ignorar | Informa qual tráfego pode ignorar as regras de rede. Isso pode ser 'AzureServices' ou 'None'. Se não for especificado, o padrão será 'AzureServices'. | 'AzureServices' 'None' |
| Defaultaction | A ação padrão quando nenhuma regra de ipRules e de virtualNetworkRules corresponder. Isso só é usado depois que a propriedade bypass é avaliada. | 'Allow' 'Deny' |
| ipRules | A lista de regras de endereço IP. | IPRule[] |
| virtualNetworkRules | A lista de regras de rede virtual. | VirtualNetworkRule[] |
IPRule
| Nome | Descrição | Valor |
|---|---|---|
| value | Um intervalo de endereços IPv4 na notação CIDR, como '124.56.78.91' (endereço IP simples) ou '124.56.78.0/24' (todos os endereços que começam com 124.56.78). | cadeia de caracteres (obrigatório) |
VirtualNetworkRule
| Nome | Descrição | Valor |
|---|---|---|
| id | ID de recurso completa de uma sub-rede vnet, como '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | cadeia de caracteres (obrigatório) |
Sku
| Nome | Descrição | Valor |
|---|---|---|
| família | Nome da família SKU | 'A' (obrigatório) |
| name | Nome da SKU para especificar se o cofre de chaves é um cofre padrão ou um cofre Premium. | 'premium' 'standard' (obrigatório) |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
| Modelo | Descrição |
|---|---|
| Modelo de início rápido sas 9.4 e viya para o Azure |
O Modelo de Início Rápido SAS® 9.4 e Viya para Azure implanta esses produtos na nuvem: SAS® Enterprise BI Server 9.4, SAS® Enterprise Miner 15.1 e SAS® Visual Analytics 8.5 no Linux e SAS® Visual Data Mining e Machine Learning 8.5 no Linux para Viya. Este Início Rápido é uma arquitetura de referência para usuários que desejam implantar a combinação de SAS® 9.4 e Viya no Azure usando tecnologias amigáveis à nuvem. Ao implantar a plataforma SAS® no Azure, você obtém um ambiente integrado de ambientes SAS® 9.4 e Viya para que você possa aproveitar os dois mundos. O SAS® Viya é um mecanismo de análise na memória habilitado para nuvem. Ele usa processamento elástico, escalonável e tolerante a falhas para enfrentar desafios analíticos complexos. O SAS® Viya fornece processamento mais rápido para análise usando uma base de código padronizada que dá suporte à programação em SAS®, Python, R, Java e Lua. Ele também dá suporte a ambientes de nuvem, locais ou híbridos e é implantado perfeitamente em qualquer infraestrutura ou ecossistema de aplicativos. |
| Cluster do AKS com um Gateway da NAT e um Gateway de Aplicativo |
Este exemplo mostra como implantar um cluster do AKS com o Gateway da NAT para conexões de saída e um Gateway de Aplicativo para conexões de entrada. |
| Criar um cluster do AKS privado com uma zona DNS pública |
Este exemplo mostra como implantar um cluster aks privado com uma zona DNS pública. |
| Implantar a Análise Esportiva na Arquitetura do Azure |
Cria uma conta de armazenamento do Azure com o ADLS Gen 2 habilitado, uma instância Azure Data Factory com serviços vinculados para a conta de armazenamento (um banco de dados SQL do Azure se implantado) e uma instância do Azure Databricks. A identidade do AAD para o usuário que implanta o modelo e a identidade gerenciada para a instância do ADF receberá a função Colaborador de Dados de Blob de Armazenamento na conta de armazenamento. Também há opções para implantar uma instância de Key Vault do Azure, um banco de dados SQL do Azure e um Hub de Eventos do Azure (para casos de uso de streaming). Quando um Key Vault do Azure for implantado, a identidade gerenciada do data factory e a identidade do AAD para o usuário que está implantando o modelo receberão a função Key Vault Usuário De Segredos. |
| Azure Machine Learning Workspace |
Este modelo cria um novo workspace do Azure Machine Learning, juntamente com uma conta de armazenamento criptografada, o KeyVault e o log do Application Insights |
| Criar um KeyVault |
Este módulo cria um recurso KeyVault com apiVersion 2019-09-01. |
| Criar um serviço de Gerenciamento de API com SSL do KeyVault |
Este modelo implanta um serviço de Gerenciamento de API configurado com a Identidade Atribuída pelo Usuário. Ele usa essa identidade para buscar o certificado SSL do KeyVault e o mantém atualizado verificando a cada 4 horas. |
| Cria um aplicativo pub-sub servicebus do Dapr usando Aplicativos de Contêiner |
Crie um aplicativo do dapr pub-sub servicebus usando Aplicativos de Contêiner. |
| cria um cluster do Azure Stack HCI 23H2 |
Este modelo cria um cluster do Azure Stack HCI 23H2 usando um modelo do ARM. |
| Criar uma nova VM criptografada do Windows por meio da imagem da galeria |
Este modelo cria uma nova VM criptografada do Windows usando a imagem da galeria do servidor 2k12. |
| Criar novos discos gerenciados criptografados win-vm a partir da imagem da galeria |
Este modelo cria uma nova VM windows de discos gerenciados criptografados usando a imagem da galeria do servidor 2k12. |
| Este modelo criptografa um VMSS do Windows em execução |
Este modelo habilita a criptografia em um Conjunto de Dimensionamento de VMs do Windows em execução |
| Habilitar a criptografia em uma VM do Windows em execução |
Esse modelo habilita a criptografia em uma VM do Windows em execução. |
| Criar e criptografar um novo VMSS do Windows com jumpbox |
Esse modelo permite implantar um conjunto de dimensionamento de VMs simples de VMs do Windows usando a última versão corrigida das versões serveral do Windows. Esse modelo também implanta um jumpbox com um endereço IP público na mesma rede virtual. Você pode se conectar ao jumpbox por meio desse endereço IP público e, em seguida, conectar-se de lá a VMs no conjunto de dimensionamento por meio de endereços IP privados. Esse modelo habilita a criptografia no Conjunto de Dimensionamento de VMs do Windows. |
| Criar um Azure Key Vault e um segredo |
Este modelo cria um Key Vault do Azure e um segredo. |
| Criar um Key Vault do Azure com RBAC e um segredo |
Este modelo cria um Key Vault do Azure e um segredo. Em vez de depender de políticas de acesso, ele aproveita o RBAC do Azure para gerenciar a autorização em segredos |
| Criar cofre de chaves, identidade gerenciada e atribuição de função |
Esse modelo cria um cofre de chaves, uma identidade gerenciada e uma atribuição de função. |
| Conectar-se a um Key Vault por meio de um ponto de extremidade privado |
Este exemplo mostra como usar configurar uma rede virtual e uma zona DNS privada para acessar Key Vault por meio de ponto de extremidade privado. |
| Criar um Cofre de Chaves e uma lista de segredos |
Este modelo cria uma Key Vault e uma lista de segredos dentro do cofre de chaves, conforme passado junto com os parâmetros |
| Criar Key Vault com o registro em log habilitado |
Este modelo cria um Key Vault do Azure e uma conta de Armazenamento do Azure usada para registro em log. Opcionalmente, ele cria bloqueios de recursos para proteger seus recursos de armazenamento e Key Vault. |
| Criar workspace do AML com vários conjuntos de dados & Datastores |
Este modelo cria o workspace do Azure Machine Learning com vários conjuntos de dados & armazenamentos de dados. |
| Configuração segura de ponta a ponta do Azure Machine Learning |
Esse conjunto de modelos do Bicep demonstra como configurar o Azure Machine Learning de ponta a ponta em uma configuração segura. Essa implementação de referência inclui o Workspace, um cluster de computação, uma instância de computação e um cluster AKS privado anexado. |
| Configuração segura de ponta a ponta do Azure Machine Learning (herdada) |
Esse conjunto de modelos do Bicep demonstra como configurar o Azure Machine Learning de ponta a ponta em uma configuração segura. Essa implementação de referência inclui o Workspace, um cluster de computação, uma instância de computação e um cluster AKS privado anexado. |
| Criar um destino de computação do AKS com um endereço IP privado |
Esse modelo cria um destino de computação do AKS em determinado workspace do serviço do Azure Machine Learning com um endereço IP privado. |
| Criar um workspace do serviço do Azure Machine Learning |
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo Key Vault do Azure, Armazenamento do Azure, insights Aplicativo Azure e Registro de Contêiner do Azure. Essa configuração descreve o conjunto mínimo de recursos necessários para começar a usar o Azure Machine Learning. |
| Criar um workspace do serviço do Azure Machine Learning (CMK) |
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo Key Vault do Azure, Armazenamento do Azure, insights Aplicativo Azure e Registro de Contêiner do Azure. O exemplo mostra como configurar o Azure Machine Learning para criptografia com uma chave de criptografia gerenciada pelo cliente. |
| Criar um workspace do serviço do Azure Machine Learning (vnet) |
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo Key Vault do Azure, Armazenamento do Azure, insights Aplicativo Azure e Registro de Contêiner do Azure. Essa configuração descreve o conjunto de recursos necessários para começar a usar o Azure Machine Learning em uma configuração isolada de rede. |
| Criar um workspace do serviço do Azure Machine Learning (herdado) |
Esse modelo de implantação especifica um workspace do Azure Machine Learning e seus recursos associados, incluindo Key Vault do Azure, Armazenamento do Azure, insights Aplicativo Azure e Registro de Contêiner do Azure. Essa configuração descreve o conjunto de recursos necessários para começar a usar o Azure Machine Learning em uma configuração isolada de rede. |
| Cluster do AKS com o controlador de entrada do Gateway de Aplicativo |
Este exemplo mostra como implantar um cluster do AKS com Gateway de Aplicativo, controlador de entrada Gateway de Aplicativo, Registro de Contêiner do Azure, Log Analytics e Key Vault |
| Criar um Gateway de Aplicativo V2 com Key Vault |
Esse modelo implanta um Gateway de Aplicativo V2 em um Rede Virtual, uma identidade definida pelo usuário, Key Vault, um segredo (dados de certificado) e uma política de acesso em Key Vault e Gateway de Aplicativo. |
| Ambiente de teste para Firewall do Azure Premium |
Este modelo cria um Firewall do Azure Política de Firewall e Premium com recursos premium, como IDPS (detecção de inspeção de intrusão), inspeção TLS e filtragem de categoria da Web |
| Criar Gateway de Aplicativo com certificados |
Este modelo mostra como gerar Key Vault certificados autoassinados e, em seguida, fazer referência de Gateway de Aplicativo. |
| Criptografia da Conta de Armazenamento do Azure com chave gerenciada pelo cliente |
Este modelo implanta uma Conta de Armazenamento com uma chave gerenciada pelo cliente para criptografia gerada e colocada dentro de um Key Vault. |
| Ambiente do Serviço de Aplicativo com SQL do Azure back-end |
Esse modelo cria um Ambiente do Serviço de Aplicativo com um back-end SQL do Azure juntamente com pontos de extremidade privados, juntamente com recursos associados normalmente usados em um ambiente privado/isolado. |
| Aplicativo de funções do Azure e uma função disparada por HTTP |
Este exemplo implanta um aplicativo de funções do Azure e uma função disparada por HTTP embutida no modelo. Ele também implanta um Key Vault e preenche um segredo com a chave de host do aplicativo de funções. |
| Gateway de Aplicativo com Gerenciamento de API interna e Aplicativo Web |
Gateway de Aplicativo roteamento do tráfego da Internet para uma rede virtual (modo interno) Gerenciamento de API instância que atende a uma API Web hospedada em um Aplicativo Web do Azure. |
Definição de recurso do Terraform (provedor de AzAPI)
O tipo de recurso vaults pode ser implantado com operações direcionadas:
- Grupos de recursos
Para obter uma lista das propriedades alteradas em cada versão da API, consulte log de alterações.
Formato de recurso
Para criar um recurso Microsoft.KeyVault/vaults, adicione o Terraform a seguir ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2018-02-14"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
}
]
}
sku = {
family = "A"
name = "string"
}
tenantId = "string"
vaultUri = "string"
}
})
}
Valores de propriedade
vaults
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | "Microsoft.KeyVault/vaults@2018-02-14" |
| name | O nome do recurso | cadeia de caracteres (obrigatório) Limite de caracteres: 3 a 24 Caracteres válidos: Caracteres alfanuméricos e hifens. Comece com letra. Termine com letra ou dígito. Não pode conter hifens consecutivos. O nome do recurso deve ser exclusivo no Azure. |
| local | O local do Azure com suporte em que o cofre de chaves deve ser criado. | cadeia de caracteres (obrigatório) |
| parent_id | Para implantar em um grupo de recursos, use a ID desse grupo de recursos. | cadeia de caracteres (obrigatório) |
| marcas | As marcas que serão atribuídas ao cofre de chaves. | Dicionário de nomes e valores de marcas. |
| properties | Propriedades do cofre | VaultProperties (obrigatório) |
VaultProperties
| Nome | Descrição | Valor |
|---|---|---|
| accessPolicies | Uma matriz de 0 a 1024 identidades que têm acesso ao cofre de chaves. Todas as identidades na matriz devem usar a mesma ID de locatário que a ID de locatário do cofre de chaves. Quando createMode é definido como recover, as políticas de acesso não são necessárias. Caso contrário, as políticas de acesso serão necessárias. |
AccessPolicyEntry[] |
| createMode | O modo de criação do cofre para indicar se o cofre precisa ser recuperado ou não. | "default" "recuperar" |
| enabledForDeployment | Propriedade para especificar se os Máquinas Virtuais do Azure têm permissão para recuperar certificados armazenados como segredos do cofre de chaves. | bool |
| enabledForDiskEncryption | Propriedade para especificar se o Azure Disk Encryption tem permissão para recuperar segredos do cofre e desencapsular chaves. | bool |
| enabledForTemplateDeployment | Propriedade para especificar se o Azure Resource Manager tem permissão para recuperar segredos do cofre de chaves. | bool |
| enablePurgeProtection | Propriedade que especifica se a proteção contra limpeza está habilitada para esse cofre. Definir essa propriedade como true ativa a proteção contra limpeza para esse cofre e seu conteúdo – somente o serviço Key Vault pode iniciar uma exclusão dura e irrecuperável. A configuração só será efetiva se a exclusão reversível também estiver habilitada. Habilitar essa funcionalidade é irreversível, ou seja, a propriedade não aceita false como seu valor. | bool |
| enableSoftDelete | Propriedade para especificar se a funcionalidade de "exclusão reversível" está habilitada para esse cofre de chaves. Ele não aceita valor falso. | bool |
| networkAcls | Regras que regem a acessibilidade do cofre de chaves de locais de rede específicos. | NetworkRuleSet |
| sku | Detalhes do SKU | SKU (obrigatório) |
| tenantId | A ID de locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. | cadeia de caracteres (obrigatório) Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| vaultUri | O URI do cofre para executar operações em chaves e segredos. | string |
AccessPolicyEntry
| Nome | Descrição | Valor |
|---|---|---|
| applicationId | ID do aplicativo do cliente que está fazendo solicitação em nome de uma entidade de segurança | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | A ID de objeto de um usuário, entidade de serviço ou grupo de segurança no locatário do Azure Active Directory para o cofre. A ID do objeto deve ser exclusiva para a lista de políticas de acesso. | cadeia de caracteres (obrigatório) |
| permissões | Permissões que a identidade tem para chaves, segredos e certificados. | Permissões (obrigatório) |
| tenantId | A ID de locatário do Azure Active Directory que deve ser usada para autenticar solicitações no cofre de chaves. | cadeia de caracteres (obrigatório) Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
Permissões
| Nome | Descrição | Valor |
|---|---|---|
| certificates | Permissões para certificados | Matriz de cadeia de caracteres que contém qualquer um dos: "backup" "criar" "delete" "deleteissuers" "get" "getissuers" "importar" "lista" "listissuers" "managecontacts" "manageissuers" "limpar" "recuperar" "restaurar" "setissuers" "update" |
| chaves | Permissões para chaves | Matriz de cadeia de caracteres que contém qualquer um dos: "backup" "criar" "descriptografar" "delete" "criptografar" "get" "importar" "lista" "limpar" "recuperar" "restaurar" "sign" "unwrapKey" "update" "verificar" "wrapKey" |
| segredos | Permissões para segredos | Matriz de cadeia de caracteres que contém qualquer um dos: "backup" "delete" "get" "lista" "limpar" "recuperar" "restore" "set" |
| armazenamento | Permissões para contas de armazenamento | Matriz de cadeia de caracteres que contém qualquer um dos: "backup" "delete" "deletesas" "get" "getsas" "lista" "listsas" "limpar" "recuperar" "regeneratekey" "restore" "set" "setsas" "update" |
NetworkRuleSet
| Nome | Descrição | Valor |
|---|---|---|
| ignorar | Informa qual tráfego pode ignorar as regras de rede. Isso pode ser 'AzureServices' ou 'None'. Se não for especificado, o padrão será 'AzureServices'. | "AzureServices" "None" |
| Defaultaction | A ação padrão quando nenhuma regra de ipRules e de virtualNetworkRules corresponder. Isso só é usado depois que a propriedade bypass é avaliada. | "Permitir" "Negar" |
| ipRules | A lista de regras de endereço IP. | IPRule[] |
| virtualNetworkRules | A lista de regras de rede virtual. | VirtualNetworkRule[] |
IPRule
| Nome | Descrição | Valor |
|---|---|---|
| value | Um intervalo de endereços IPv4 na notação CIDR, como '124.56.78.91' (endereço IP simples) ou '124.56.78.0/24' (todos os endereços que começam com 124.56.78). | cadeia de caracteres (obrigatório) |
VirtualNetworkRule
| Nome | Descrição | Valor |
|---|---|---|
| id | ID de recurso completa de uma sub-rede vnet, como '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. | cadeia de caracteres (obrigatório) |
Sku
| Nome | Descrição | Valor |
|---|---|---|
| família | Nome da família SKU | "A" (obrigatório) |
| name | Nome da SKU para especificar se o cofre de chaves é um cofre padrão ou um cofre Premium. | "premium" "standard" (obrigatório) |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de