Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
- neueste
- 2026-03-01-Vorschau
- 2026-02-01
- 2025-05-01
- 2024-12-01-Preview-
- 2024-11-01
- 2024-04-01-Preview-
- 2023-07-01
- 2023-02-01
- 2022-11-01
- 2022-07-01
- 2022-02-01-Preview-
- 2021-11-01-Preview-
- 2021-10-01
- 2021-06-01-Preview-
- 2021-04-01-Preview
- 2020-04-01-Preview-
- 2019-09-01
- 2018-02-14
- 2018-02-14-Preview-
- 2016-10-01
- 2015-06-01
Bemerkungen
Für Hinweise zur Verwendung von Schlüsseltresoren für sichere Werte siehe Verwalten Sie Geheimnisse mit Bicep.
Für einen Quickstart zur Erstellung eines Geheimnisses siehe Quickstart: Set and retrieve a secret from Azure Key Vault using a ARM template.
Für einen Quickstart zur Erstellung eines Schlüssels siehe Quickstart: Create an Azure Key Vault and a Key mit ARM template.
Bicep-Ressourcendefinition
Der Ressourcentyp "Vaults" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.KeyVault/vaults-Ressource zu erstellen, fügen Sie den folgenden Bicep Ihrer Vorlage hinzu.
resource symbolicname 'Microsoft.KeyVault/vaults@2026-03-01-preview' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'string'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
tokenBindingParameters: {
minimumTokenBindingStrength: 'string'
mode: 'string'
}
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
Eigenschaftswerte
Microsoft.KeyVault/Vaults
| Name | Beschreibung | Wert |
|---|---|---|
| Ort | Der unterstützte Azure-Standort, an dem der Schlüsseltresor erstellt werden sollte. | Zeichenfolge (erforderlich) |
| Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
| Eigenschaften | Eigenschaften des Tresors | VaultProperties- (erforderlich) |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
AccessPolicy-Eintrag
| Name | Beschreibung | Wert |
|---|---|---|
| Anwendungs-ID | Anwendungs-ID des Clients, der eine Anforderung im Auftrag eines Prinzipals durchführt | Schnur Zwänge: Min. Länge = 36 Maximale Länge = 36 Muster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| Objekt-ID | Die Objekt-ID eines Benutzers, Service Principals oder einer Sicherheitsgruppe im Azure Active Directory-Tenant für den Tresor. Die Objekt-ID muss für die Liste der Zugriffsrichtlinien eindeutig sein. | Zeichenfolge (erforderlich) |
| Erlaubnisse | Berechtigungen, die die Identität für Schlüssel, geheime Schlüssel und Zertifikate hat. | Berechtigungen (erforderlich) |
| Mandanten-ID | Die Azure Active Directory-Tenant-ID, die zur Authentifizierung von Anfragen am Schlüsseltresor verwendet werden sollte. | Schnur Zwänge: Min. Länge = 36 Maximale Länge = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (erforderlich) |
IPRule
| Name | Beschreibung | Wert |
|---|---|---|
| Wert | Ein IPv4-Adressbereich in CIDR-Notation, z. B. "124.56.78.91" (einfache IP-Adresse) oder "124.56.78.0/24" (alle Adressen, die mit 124.56.78 beginnen). | Zeichenfolge (erforderlich) |
Netzwerk-Regelsatz
| Name | Beschreibung | Wert |
|---|---|---|
| Umgehungsstraße | Gibt an, welcher Datenverkehr Netzwerkregeln umgehen kann. Dies kann 'AzureServices' oder 'None' sein. Wenn nicht angegeben, lautet der Standardwert "AzureServices". | "AzureServices" "Keine" |
| defaultAktion | Die Standardaktion, wenn keine Regel von "ipRules" und "virtualNetworkRules" übereinstimmen. Dies wird nur verwendet, nachdem die Umgehungseigenschaft ausgewertet wurde. | "Zulassen" "Ablehnen" |
| ipRegeln | Die Liste der IP-Adressregeln. | IPRule-[] |
| virtualNetworkRegeln | Die Liste der Regeln für virtuelle Netzwerke. | VirtualNetworkRule[] |
Erlaubnisse
| Name | Beschreibung | Wert |
|---|---|---|
| Atteste | Berechtigungen für Zertifikate | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "create" "delete" "deleteissuers" "get" 'GetIssuers' "import" "list" "listissuers" 'Kontakte verwalten' "manageissuers" "Löschen" "Wiederherstellen" "Wiederherstellen" 'setIssuers' "Update" |
| Tasten | Berechtigungen für Schlüssel | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "create" "entschlüsseln" "delete" "verschlüsseln" "get" 'getrotationpolicy' "import" "list" "Löschen" "Wiederherstellen" "Release" "Wiederherstellen" "drehen" 'setrotationpolicy' "Zeichen" "unwrapKey" "Update" "verify" "wrapKey" |
| Geheimnisse | Berechtigungen für geheime Schlüssel | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "delete" "get" "list" "Löschen" "Wiederherstellen" "Wiederherstellen" "set" |
| Lagerung | Berechtigungen für Speicherkonten | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "delete" "deletesas" "get" "getsas" "list" "listsas" "Löschen" "Wiederherstellen" "Regeneratekey" "Wiederherstellen" "set" "setsas" "Update" |
Sku
| Name | Beschreibung | Wert |
|---|---|---|
| Familie | SKU-Familienname | "A" (erforderlich) |
| Name | SKU-Name, um anzugeben, ob der Schlüsseltresor ein Standardtresor oder ein Premium Vault ist. | "Premium" "Standard" (erforderlich) |
TokenBindingParameters
| Name | Beschreibung | Wert |
|---|---|---|
| minimumTokenBindungsstärke | Muss einer der folgenden Werte sein: "Keine Validierung", "Unattestiert", "AttestiertVertrauenLaunch", "AttestiertVertraulich". Die Stärke der Token-Bindung steigt mit jedem Wert in dieser Reihenfolge. | 'BestätigtVertraulich' 'AttestierterVertrauensstart' 'NoValidation' 'Unbelegt' |
| mode | Dies legt fest, ob die Tokenbindung deaktiviert, aktiviert oder durchgesetzt wird. | "Erzwungen" 'Nicht durchgesetzt' |
VaultCreateOrUpdateParametersTags
| Name | Beschreibung | Wert |
|---|
Tresor-Eigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| accessPolicies | Ein Array von 0 bis 1024 Identitäten, die Zugriff auf den Schlüsseltresor haben. Alle Identitäten im Array müssen dieselbe Mandanten-ID wie die Mandanten-ID des Schlüsseltresors verwenden. Wenn createMode auf recoverfestgelegt ist, sind Zugriffsrichtlinien nicht erforderlich. Andernfalls sind Zugriffsrichtlinien erforderlich. |
AccessPolicyEntry-[] |
| createMode | Der Erstellungsmodus des Tresors, um anzugeben, ob der Tresor wiederhergestellt werden muss oder nicht. | "Standard" "Wiederherstellen" |
| enabledForDeployment | Eigenschaft zur Angabe anzugeben, ob Azure Virtual Machines Zertifikate, die als Geheimnisse gespeichert sind, aus dem Schlüsseltresor abrufen dürfen. | Bool |
| enabledForDiskEncryption | Eigenschaft, um anzugeben, ob Azure Disk Encryption Geheimnisse aus dem Tresor abrufen und Schlüssel entwickeln darf. | Bool |
| enabledForTemplateDeployment | Eigenschaft, um anzugeben, ob Azure Resource Manager Geheimnisse aus dem Schlüsseltresor abrufen darf. | Bool |
| enablePurgeSchutz | Eigenschaft, die angibt, ob der Schutz vor Löschvorgängen für diesen Tresor aktiviert ist. Wenn diese Eigenschaft auf true aktiviert wird, erhält dieser Vault und seinen Inhalt Schutz gegen Säuberung – nur der Key Vault-Dienst kann eine harte, nicht wiederherstellbare Löschung einleiten. Die Einstellung ist nur wirksam, wenn auch das vorläufige Löschen aktiviert ist. Das Aktivieren dieser Funktionalität ist unumkehrbar – d. h. die Eigenschaft akzeptiert "false" nicht als Wert. | Bool |
| enableRbacAuthorization | Eigenschaft, die steuert, wie Datenaktionen autorisiert werden. Wenn zutreffend, verwendet der Key Vault Role Based Access Control (RBAC) zur Autorisierung von Datenaktionen, und die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien werden ignoriert. Wenn falsch, verwendet der Key Vault die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien, und alle im Azure Resource Manager gespeicherten Richtlinien werden ignoriert. Wenn null oder nicht angegeben wird, wird der Tresor mit dem Standardwert "false" erstellt. Beachten Sie, dass Verwaltungsaktionen immer mit RBAC autorisiert sind. | Bool |
| enableSoftDelete | Eigenschaft, die angibt, ob die Funktion "Vorläufiges Löschen" für diesen Schlüsseltresor aktiviert ist. Wenn er beim Erstellen eines neuen Schlüsseltresors nicht auf einen Wert (wahr oder falsch) festgelegt ist, wird er standardmäßig auf "true" festgelegt. Sobald dieser Wert auf "true" festgelegt ist, kann er nicht auf "false" zurückgesetzt werden. | Bool |
| NetzwerkAcls | Regeln für die Barrierefreiheit des Schlüsseltresors von bestimmten Netzwerkstandorten. | NetworkRuleSet- |
| provisioningState (Bereitstellen) | Bereitstellungsstatus des Tresors. | 'RegistrationDns' "Erfolgreich" |
| Öffentlicher Netzwerkzugang | Eigenschaft, um anzugeben, ob der Tresor Datenverkehr aus dem öffentlichen Internet akzeptiert. Bei Festlegung auf "deaktiviert" wird der gesamte Datenverkehr außer privatem Endpunktdatenverkehr blockiert, der von vertrauenswürdigen Diensten stammt. Dadurch werden die festgelegten Firewallregeln außer Kraft gesetzt, was bedeutet, dass auch wenn die Firewallregeln vorhanden sind, die Regeln nicht berücksichtigt werden. | Schnur |
| Sku | SKU-Details | Sku- (erforderlich) |
| softDeleteRetentionInDays | SoftDelete-Datenaufbewahrungstage. Sie akzeptiert >=7 und <=90. | Int |
| Mandanten-ID | Die Azure Active Directory-Tenant-ID, die zur Authentifizierung von Anfragen am Schlüsseltresor verwendet werden sollte. | Schnur Zwänge: Min. Länge = 36 Maximale Länge = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (erforderlich) |
| tokenBindingParameters | Konfiguration für Tokenbindung für Entra-Tokens | TokenBindingParameters |
| vaultUri | Der URI des Tresors zum Ausführen von Vorgängen für Schlüssel und geheime Schlüssel. | Schnur |
VirtualNetworkRule
| Name | Beschreibung | Wert |
|---|---|---|
| id | Vollständige Ressourcen-ID eines vnet-Subnetzes, z. B. "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | Zeichenfolge (erforderlich) |
| ignoreMissingVnetServiceEndpoint | Eigenschaft, um anzugeben, ob nrP die Überprüfung ignoriert, ob das übergeordnete Subnetz "serviceEndpoints" konfiguriert ist. | Bool |
Verwendungsbeispiele
Bicep-Proben
Ein grundlegendes Beispiel für die Bereitstellung von Key Vault.
param resourceName string = 'acctest0001'
param location string = 'westeurope'
resource vault 'Microsoft.KeyVault/vaults@2021-10-01' = {
name: resourceName
location: location
properties: {
accessPolicies: [
{
objectId: deployer().objectId
permissions: {
certificates: [
'ManageContacts'
]
keys: [
'Create'
]
secrets: [
'Set'
]
storage: []
}
tenantId: deployer().tenantId
}
]
createMode: 'default'
enableRbacAuthorization: false
enableSoftDelete: true
enabledForDeployment: false
enabledForDiskEncryption: false
enabledForTemplateDeployment: false
publicNetworkAccess: 'Enabled'
sku: {
family: 'A'
name: 'standard'
}
softDeleteRetentionInDays: 7
tenantId: deployer().tenantId
}
}
Azure Verified Modules
Die folgenden Azure Verifizierte Module können verwendet werden, um diesen Ressourcentyp bereitzustellen.
| Modul | Beschreibung |
|---|---|
| Key Vault | AVM-Ressourcenmodul für Key Vault |
Azure Quickstart Samples
Die folgenden Azure Quickstart-Vorlagen enthalten Bicep Beispiele für die Bereitstellung dieses Ressourcentyps.
| Bicep-Datei | Beschreibung |
|---|---|
| AKS-Cluster mit einem NAT-Gateway und einem Anwendungs-Gateway | In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit NAT-Gateway für ausgehende Verbindungen und ein Anwendungsgateway für eingehende Verbindungen bereitstellen. |
| AKS-Cluster mit dem Application Gateway Ingress Controller | Dieses Beispiel zeigt, wie man einen AKS-Cluster mit Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics und Key Vault bereitstellt |
| Application Gateway mit internem API-Management und Web App | Application Gateway leitet den Internetverkehr an eine virtuelle Netzwerk-API-Management-Instanz (im internen Modus), die eine Web-API in einer Azure-Webanwendung bedient. |
| Azure AI Foundry Grundausstattung | Diese Sammlung von Vorlagen zeigt, wie man Azure AI Foundry mit der Grundkonfiguration einrichtet, also mit aktiviertem öffentlichen Internetzugang, von Microsoft verwalteten Schlüsseln zur Verschlüsselung und Microsoft-verwalteter Identitätskonfiguration für die KI-Ressource. |
| Azure AI Foundry Grundausstattung | Diese Sammlung von Vorlagen zeigt, wie man Azure AI Foundry mit der Grundkonfiguration einrichtet, also mit aktiviertem öffentlichen Internetzugang, von Microsoft verwalteten Schlüsseln zur Verschlüsselung und Microsoft-verwalteter Identitätskonfiguration für die KI-Ressource. |
| Azure AI Foundry Netzwerk eingeschränkt | Diese Sammlung von Vorlagen zeigt, wie man Azure AI Foundry mit deaktivierter privater Verbindung und Ausgang einrichten kann, wobei Microsoft-verwaltete Schlüssel für die Verschlüsselung und die von Microsoft verwaltete Identitätskonfiguration für die KI-Ressource verwendet werden. |
| Azure AI Foundry mit Microsoft Entra ID Authentication | Diese Sammlung von Vorlagen zeigt, wie man Azure AI Foundry mit Microsoft Entra ID-Authentifizierung für abhängige Ressourcen wie Azure AI Services und Azure Storage einrichtet. |
| Azure AI Studio Grundeinstellung | Diese Sammlung von Vorlagen zeigt, wie man Azure AI Studio mit der grundlegenden Konfiguration einrichtet, also mit aktiviertem öffentlichen Internetzugang, Microsoft-verwalteten Schlüsseln zur Verschlüsselung und Microsoft-verwalteter Identitätskonfiguration für die KI-Ressource. |
| Azure AI Studio Network Restricted | Dieses Set von Vorlagen zeigt, wie man Azure AI Studio mit deaktivierter privater Verbindung und Ausgang einrichten kann, wobei Microsoft-verwaltete Schlüssel für die Verschlüsselung und die von Microsoft verwaltete Identitätskonfiguration für die KI-Ressource verwendet werden. |
| Azure Funktions-App und eine HTTP-ausgelöste Funktion | Dieses Beispiel stellt eine Azure Function-App und eine HTTP-ausgelöste Funktion direkt in der Vorlage bereit. Es installiert außerdem einen Key Vault und füllt ein Geheimnis mit dem Host-Schlüssel der Funktions-App. |
| Azure Machine Learning End-to-End-sichere Einrichtung | Diese Sammlung von Bicep-Vorlagen zeigt, wie man Azure Machine Learning End-to-End-in einem sicheren Setup aufbaut. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, eine Computeinstanz und einen angefügten privaten AKS-Cluster. |
| Azure Machine Learning End-to-End-sichere Einrichtung (Legacy) | Diese Sammlung von Bicep-Vorlagen zeigt, wie man Azure Machine Learning End-to-End-in einem sicheren Setup aufbaut. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, eine Computeinstanz und einen angefügten privaten AKS-Cluster. |
| Azure Storage Kontoverschlüsselung mit kundenverwaltetem Schlüssel | Diese Vorlage bereitet ein Speicherkonto mit einem vom Kunden verwalteten Schlüssel zur Verschlüsselung bereit, der generiert und in einem Key Vault gespeichert wird. |
| Basic Agent Setup Identity | Diese Sammlung von Vorlagen zeigt, wie man den Azure AI Agent Service mit der grundlegenden Konfiguration mittels verwalteter Identitätsauthentikation für die KI-Service/AOAI-Verbindung einrichtet. Agents verwenden mehrinstanzenfähige Such- und Speicherressourcen, die vollständig von Microsoft verwaltet werden. Sie haben keine Sichtbarkeit ™oder Kontrolle über diese zugrunde liegenden Azure-Ressourcen. |
| Erstellen Sie einen Key Vault und eine Liste von Geheimnissen | Diese Vorlage erstellt einen Key Vault und eine Liste der Geheimnisse innerhalb des key vault, wie sie zusammen mit den Parametern weitergegeben wurden. |
| Erstellen Sie einen Netzwerksicherheitsperimeter | Diese Vorlage erstellt einen Netzwerksicherheitsperimeter und die zugehörige Ressource zum Schutz eines Azure-Schlüsselsafes. |
| Erstellen Sie ein AKS-Rechenziel mit einer privaten IP-Adresse | Diese Vorlage erstellt ein AKS-Rechenziel in einem gegebenen Azure Machine Learning-Service-Arbeitsbereich mit einer privaten IP-Adresse. |
| Erstellen Sie einen API-Management-Dienst mit SSL von KeyVault | Diese Vorlage stellt einen API-Verwaltungsdienst bereit, der mit der vom Benutzer zugewiesenen Identität konfiguriert ist. Sie verwendet diese Identität, um SSL-Zertifikat von KeyVault abzurufen und es alle 4 Stunden zu aktualisieren. |
| Erstelle ein Azure Key Vault und ein Geheimnis | Diese Vorlage erstellt einen Azure Key Vault und ein Geheimnis. |
| Erstellen Sie ein Azure Key Vault mit RBAC und einem Secret | Diese Vorlage erstellt einen Azure Key Vault und ein Geheimnis. Anstatt sich auf Zugriffsrichtlinien zu verlassen, nutzt es Azure RBAC, um die Autorisierung von Geheimnissen zu verwalten |
| Erstellen Sie einen Azure Machine Learning Service workspace | Diese Bereitstellungsvorlage spezifiziert einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen, darunter Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt die minimale Menge an Ressourcen, die Sie benötigen, um mit Azure Machine Learning zu beginnen. |
| Erstellen Sie einen Azure Machine Learning Service Workspace (CMK) | Diese Bereitstellungsvorlage legt fest, wie man einen Azure Machine Learning-Arbeitsbereich mit dienstseitiger Verschlüsselung mit Ihren Verschlüsselungsschlüsseln erstellt. |
| Erstellen Sie einen Azure Machine Learning Service Workspace (CMK) | Diese Bereitstellungsvorlage spezifiziert einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen, darunter Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Das Beispiel zeigt, wie man Azure Machine Learning für Verschlüsselung mit einem vom Kunden verwalteten Verschlüsselungsschlüssel konfigurieren kann. |
| Erstellen Sie einen Azure Machine Learning Service Workspace (legacy) | Diese Bereitstellungsvorlage spezifiziert einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen, darunter Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt die Menge an Ressourcen, die Sie benötigen, um mit Azure Machine Learning in einem netzwerkisolierten System zu beginnen. |
| Erstellen Sie einen Azure Machine Learning Service Workspace (vnet) | Diese Bereitstellungsvorlage spezifiziert einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen, darunter Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt die Menge an Ressourcen, die Sie benötigen, um mit Azure Machine Learning in einem netzwerkisolierten System zu beginnen. |
| Erstellen Sie Anwendungsgateway mit Zertifikaten | Diese Vorlage zeigt, wie man selbstsignierte Key Vault-Zertifikate generiert und dann aus Application Gateway referenziert. |
| Create Key Vault mit aktiviertem Logging | Diese Vorlage erstellt einen Azure Key Vault und ein Azure Storage-Konto, das für die Protokollierung verwendet wird. Optional werden Ressourcenschlösser erstellt, um deinen Key Vault und deine Lagerressourcen zu schützen. |
| Key Vault, verwaltete Identität und Rollenzuweisung erstellen | Diese Vorlage erstellt einen Schlüsseltresor, eine verwaltete Identität und rollenzuweisung. |
| Erstellt eine tenantübergreifende private Endpunktressource | Mit dieser Vorlage können Sie priavate Endpoint-Ressource innerhalb derselben oder mandantenübergreifenden Umgebung erstellen und dns-Zonenkonfiguration hinzufügen. |
| Erstellt eine Dapr pub-sub Servicebus-App mit Container Apps | Erstellen Sie eine Dapr pub-sub servicebus-App mit Container-Apps. |
| Sichere KI-Foundry mit einem verwalteten virtuellen Netzwerk bereitstellen | Diese Vorlage schafft eine sichere Azure AI Foundry-Umgebung mit robusten Netzwerk- und Identitätssicherheitsbeschränkungen. |
| Bereitstellen Sie die Sports Analytics auf Azure Architektur ein | Erstellt ein Azure-Speicherkonto mit aktiviertem ADLS Gen 2, eine Azure Data Factory-Instanz mit verknüpften Diensten für das Speicherkonto (und die Azure SQL Database, falls bereitgestellt) und eine Azure Databricks-Instanz. Die AAD-Identität für den Benutzer, der die Vorlage bereitstellt, und die verwaltete Identität für die ADF-Instanz wird der Rolle "Mitwirkender von Speicher-BLOB-Daten" für das Speicherkonto gewährt. Es gibt außerdem Optionen, eine Azure Key Vault-Instanz, eine Azure SQL Database und einen Azure Event Hub (für Streaming-Anwendungsfälle) bereitzustellen. Wenn ein Azure Key Vault bereitgestellt wird, erhalten die von Data Factory verwaltete Identität und die AAD-Identität des Benutzers, der die Vorlage bereitstellt, die Rolle des Key Vault Secrets User. |
| FinOps hub | Diese Vorlage erstellt eine neue FinOps-Hub-Instanz, einschließlich Data Explorer, Data Lake-Speicher und Data Factory. |
| Netzwerk Secured Agent mit User Managed Identity | Diese Sammlung von Vorlagen zeigt, wie man den Azure AI Agent Service mit virtueller Netzwerkisolation unter Verwendung von User Managed Identity-Authetikation für die KI-Service/AOAI-Verbindung und private Netzwerkverbindungen einrichten kann, um den Agenten mit Ihren sicheren Daten zu verbinden. |
| Standard Agent Setup | Diese Sammlung von Vorlagen zeigt, wie man den Azure AI Agent Service mit der Standardkonfiguration einrichtet, also mit aktivierter verwalteter Identitätsauthentifizierung für Projekt-/Hub-Verbindungen und öffentlichem Internetzugang. Agents verwenden kundeneigene, einzelmandantenbasierte Such- und Speicherressourcen. Mit diesem Setup haben Sie die volle Kontrolle und Sichtbarkeit über diese Ressourcen, aber Sie verursachen Kosten basierend auf Ihrer Nutzung. |
| Testumgebung für Azure Firewall Premium | Diese Vorlage erstellt eine Azure Firewall Premium- und Firewall-Richtlinie mit Premium-Funktionen wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Web-Kategorie-Filterung |
ARM-Vorlagenressourcendefinition
Der Ressourcentyp "Vaults" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.KeyVault/Vaults-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2026-03-01-preview",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "string",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"tokenBindingParameters": {
"minimumTokenBindingStrength": "string",
"mode": "string"
},
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
Eigenschaftswerte
Microsoft.KeyVault/Vaults
| Name | Beschreibung | Wert |
|---|---|---|
| apiVersion (Englisch) | Die API-Version | '2026-03-01-Vorschau' |
| Ort | Der unterstützte Azure-Standort, an dem der Schlüsseltresor erstellt werden sollte. | Zeichenfolge (erforderlich) |
| Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
| Eigenschaften | Eigenschaften des Tresors | VaultProperties- (erforderlich) |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
| Art | Der Ressourcentyp | "Microsoft.KeyVault/Vaults" |
AccessPolicy-Eintrag
| Name | Beschreibung | Wert |
|---|---|---|
| Anwendungs-ID | Anwendungs-ID des Clients, der eine Anforderung im Auftrag eines Prinzipals durchführt | Schnur Zwänge: Min. Länge = 36 Maximale Länge = 36 Muster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| Objekt-ID | Die Objekt-ID eines Benutzers, Service Principals oder einer Sicherheitsgruppe im Azure Active Directory-Tenant für den Tresor. Die Objekt-ID muss für die Liste der Zugriffsrichtlinien eindeutig sein. | Zeichenfolge (erforderlich) |
| Erlaubnisse | Berechtigungen, die die Identität für Schlüssel, geheime Schlüssel und Zertifikate hat. | Berechtigungen (erforderlich) |
| Mandanten-ID | Die Azure Active Directory-Tenant-ID, die zur Authentifizierung von Anfragen am Schlüsseltresor verwendet werden sollte. | Schnur Zwänge: Min. Länge = 36 Maximale Länge = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (erforderlich) |
IPRule
| Name | Beschreibung | Wert |
|---|---|---|
| Wert | Ein IPv4-Adressbereich in CIDR-Notation, z. B. "124.56.78.91" (einfache IP-Adresse) oder "124.56.78.0/24" (alle Adressen, die mit 124.56.78 beginnen). | Zeichenfolge (erforderlich) |
Netzwerk-Regelsatz
| Name | Beschreibung | Wert |
|---|---|---|
| Umgehungsstraße | Gibt an, welcher Datenverkehr Netzwerkregeln umgehen kann. Dies kann 'AzureServices' oder 'None' sein. Wenn nicht angegeben, lautet der Standardwert "AzureServices". | "AzureServices" "Keine" |
| defaultAktion | Die Standardaktion, wenn keine Regel von "ipRules" und "virtualNetworkRules" übereinstimmen. Dies wird nur verwendet, nachdem die Umgehungseigenschaft ausgewertet wurde. | "Zulassen" "Ablehnen" |
| ipRegeln | Die Liste der IP-Adressregeln. | IPRule-[] |
| virtualNetworkRegeln | Die Liste der Regeln für virtuelle Netzwerke. | VirtualNetworkRule[] |
Erlaubnisse
| Name | Beschreibung | Wert |
|---|---|---|
| Atteste | Berechtigungen für Zertifikate | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "create" "delete" "deleteissuers" "get" 'GetIssuers' "import" "list" "listissuers" 'Kontakte verwalten' "manageissuers" "Löschen" "Wiederherstellen" "Wiederherstellen" 'setIssuers' "Update" |
| Tasten | Berechtigungen für Schlüssel | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "create" "entschlüsseln" "delete" "verschlüsseln" "get" 'getrotationpolicy' "import" "list" "Löschen" "Wiederherstellen" "Release" "Wiederherstellen" "drehen" 'setrotationpolicy' "Zeichen" "unwrapKey" "Update" "verify" "wrapKey" |
| Geheimnisse | Berechtigungen für geheime Schlüssel | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "delete" "get" "list" "Löschen" "Wiederherstellen" "Wiederherstellen" "set" |
| Lagerung | Berechtigungen für Speicherkonten | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "delete" "deletesas" "get" "getsas" "list" "listsas" "Löschen" "Wiederherstellen" "Regeneratekey" "Wiederherstellen" "set" "setsas" "Update" |
Sku
| Name | Beschreibung | Wert |
|---|---|---|
| Familie | SKU-Familienname | "A" (erforderlich) |
| Name | SKU-Name, um anzugeben, ob der Schlüsseltresor ein Standardtresor oder ein Premium Vault ist. | "Premium" "Standard" (erforderlich) |
TokenBindingParameters
| Name | Beschreibung | Wert |
|---|---|---|
| minimumTokenBindungsstärke | Muss einer der folgenden Werte sein: "Keine Validierung", "Unattestiert", "AttestiertVertrauenLaunch", "AttestiertVertraulich". Die Stärke der Token-Bindung steigt mit jedem Wert in dieser Reihenfolge. | 'BestätigtVertraulich' 'AttestierterVertrauensstart' 'NoValidation' 'Unbelegt' |
| mode | Dies legt fest, ob die Tokenbindung deaktiviert, aktiviert oder durchgesetzt wird. | "Erzwungen" 'Nicht durchgesetzt' |
VaultCreateOrUpdateParametersTags
| Name | Beschreibung | Wert |
|---|
Tresor-Eigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| accessPolicies | Ein Array von 0 bis 1024 Identitäten, die Zugriff auf den Schlüsseltresor haben. Alle Identitäten im Array müssen dieselbe Mandanten-ID wie die Mandanten-ID des Schlüsseltresors verwenden. Wenn createMode auf recoverfestgelegt ist, sind Zugriffsrichtlinien nicht erforderlich. Andernfalls sind Zugriffsrichtlinien erforderlich. |
AccessPolicyEntry-[] |
| createMode | Der Erstellungsmodus des Tresors, um anzugeben, ob der Tresor wiederhergestellt werden muss oder nicht. | "Standard" "Wiederherstellen" |
| enabledForDeployment | Eigenschaft zur Angabe anzugeben, ob Azure Virtual Machines Zertifikate, die als Geheimnisse gespeichert sind, aus dem Schlüsseltresor abrufen dürfen. | Bool |
| enabledForDiskEncryption | Eigenschaft, um anzugeben, ob Azure Disk Encryption Geheimnisse aus dem Tresor abrufen und Schlüssel entwickeln darf. | Bool |
| enabledForTemplateDeployment | Eigenschaft, um anzugeben, ob Azure Resource Manager Geheimnisse aus dem Schlüsseltresor abrufen darf. | Bool |
| enablePurgeSchutz | Eigenschaft, die angibt, ob der Schutz vor Löschvorgängen für diesen Tresor aktiviert ist. Wenn diese Eigenschaft auf true aktiviert wird, erhält dieser Vault und seinen Inhalt Schutz gegen Säuberung – nur der Key Vault-Dienst kann eine harte, nicht wiederherstellbare Löschung einleiten. Die Einstellung ist nur wirksam, wenn auch das vorläufige Löschen aktiviert ist. Das Aktivieren dieser Funktionalität ist unumkehrbar – d. h. die Eigenschaft akzeptiert "false" nicht als Wert. | Bool |
| enableRbacAuthorization | Eigenschaft, die steuert, wie Datenaktionen autorisiert werden. Wenn zutreffend, verwendet der Key Vault Role Based Access Control (RBAC) zur Autorisierung von Datenaktionen, und die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien werden ignoriert. Wenn falsch, verwendet der Key Vault die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien, und alle im Azure Resource Manager gespeicherten Richtlinien werden ignoriert. Wenn null oder nicht angegeben wird, wird der Tresor mit dem Standardwert "false" erstellt. Beachten Sie, dass Verwaltungsaktionen immer mit RBAC autorisiert sind. | Bool |
| enableSoftDelete | Eigenschaft, die angibt, ob die Funktion "Vorläufiges Löschen" für diesen Schlüsseltresor aktiviert ist. Wenn er beim Erstellen eines neuen Schlüsseltresors nicht auf einen Wert (wahr oder falsch) festgelegt ist, wird er standardmäßig auf "true" festgelegt. Sobald dieser Wert auf "true" festgelegt ist, kann er nicht auf "false" zurückgesetzt werden. | Bool |
| NetzwerkAcls | Regeln für die Barrierefreiheit des Schlüsseltresors von bestimmten Netzwerkstandorten. | NetworkRuleSet- |
| provisioningState (Bereitstellen) | Bereitstellungsstatus des Tresors. | 'RegistrationDns' "Erfolgreich" |
| Öffentlicher Netzwerkzugang | Eigenschaft, um anzugeben, ob der Tresor Datenverkehr aus dem öffentlichen Internet akzeptiert. Bei Festlegung auf "deaktiviert" wird der gesamte Datenverkehr außer privatem Endpunktdatenverkehr blockiert, der von vertrauenswürdigen Diensten stammt. Dadurch werden die festgelegten Firewallregeln außer Kraft gesetzt, was bedeutet, dass auch wenn die Firewallregeln vorhanden sind, die Regeln nicht berücksichtigt werden. | Schnur |
| Sku | SKU-Details | Sku- (erforderlich) |
| softDeleteRetentionInDays | SoftDelete-Datenaufbewahrungstage. Sie akzeptiert >=7 und <=90. | Int |
| Mandanten-ID | Die Azure Active Directory-Tenant-ID, die zur Authentifizierung von Anfragen am Schlüsseltresor verwendet werden sollte. | Schnur Zwänge: Min. Länge = 36 Maximale Länge = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (erforderlich) |
| tokenBindingParameters | Konfiguration für Tokenbindung für Entra-Tokens | TokenBindingParameters |
| vaultUri | Der URI des Tresors zum Ausführen von Vorgängen für Schlüssel und geheime Schlüssel. | Schnur |
VirtualNetworkRule
| Name | Beschreibung | Wert |
|---|---|---|
| id | Vollständige Ressourcen-ID eines vnet-Subnetzes, z. B. "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | Zeichenfolge (erforderlich) |
| ignoreMissingVnetServiceEndpoint | Eigenschaft, um anzugeben, ob nrP die Überprüfung ignoriert, ob das übergeordnete Subnetz "serviceEndpoints" konfiguriert ist. | Bool |
Verwendungsbeispiele
Azure Quickstart Templates
Die folgenden Azure Quickstart-Vorlagen bereitstellen diesen Ressourcentyp aus.
| Schablone | Beschreibung |
|---|---|
AKS-Cluster mit einem NAT-Gateway und einem Anwendungs-Gateway
|
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit NAT-Gateway für ausgehende Verbindungen und ein Anwendungsgateway für eingehende Verbindungen bereitstellen. |
|
AKS-Cluster mit dem Application Gateway Ingress Controller
|
Dieses Beispiel zeigt, wie man einen AKS-Cluster mit Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics und Key Vault bereitstellt |
|
App Service Environment mit Azure SQL Backend
|
Diese Vorlage erstellt eine App Service Environment mit einem Azure SQL-Backend sowie private Endpunkte und zugehörige Ressourcen, die typischerweise in einer privaten/isolierten Umgebung verwendet werden. |
|
Application Gateway mit internem API-Management und Web App
|
Application Gateway leitet den Internetverkehr an eine virtuelle Netzwerk-API-Management-Instanz (im internen Modus), die eine Web-API in einer Azure-Webanwendung bedient. |
|
Azure AI Foundry Grundausstattung
|
Diese Sammlung von Vorlagen zeigt, wie man Azure AI Foundry mit der Grundkonfiguration einrichtet, also mit aktiviertem öffentlichen Internetzugang, von Microsoft verwalteten Schlüsseln zur Verschlüsselung und Microsoft-verwalteter Identitätskonfiguration für die KI-Ressource. |
|
Azure AI Foundry Grundausstattung
|
Diese Sammlung von Vorlagen zeigt, wie man Azure AI Foundry mit der Grundkonfiguration einrichtet, also mit aktiviertem öffentlichen Internetzugang, von Microsoft verwalteten Schlüsseln zur Verschlüsselung und Microsoft-verwalteter Identitätskonfiguration für die KI-Ressource. |
|
Azure AI Foundry Netzwerk eingeschränkt
|
Diese Sammlung von Vorlagen zeigt, wie man Azure AI Foundry mit deaktivierter privater Verbindung und Ausgang einrichten kann, wobei Microsoft-verwaltete Schlüssel für die Verschlüsselung und die von Microsoft verwaltete Identitätskonfiguration für die KI-Ressource verwendet werden. |
|
Azure AI Foundry mit Microsoft Entra ID Authentication
|
Diese Sammlung von Vorlagen zeigt, wie man Azure AI Foundry mit Microsoft Entra ID-Authentifizierung für abhängige Ressourcen wie Azure AI Services und Azure Storage einrichtet. |
|
Azure AI Studio Grundeinstellung
|
Diese Sammlung von Vorlagen zeigt, wie man Azure AI Studio mit der grundlegenden Konfiguration einrichtet, also mit aktiviertem öffentlichen Internetzugang, Microsoft-verwalteten Schlüsseln zur Verschlüsselung und Microsoft-verwalteter Identitätskonfiguration für die KI-Ressource. |
|
Azure AI Studio Network Restricted
|
Dieses Set von Vorlagen zeigt, wie man Azure AI Studio mit deaktivierter privater Verbindung und Ausgang einrichten kann, wobei Microsoft-verwaltete Schlüssel für die Verschlüsselung und die von Microsoft verwaltete Identitätskonfiguration für die KI-Ressource verwendet werden. |
|
Azure Funktions-App und eine HTTP-ausgelöste Funktion
|
Dieses Beispiel stellt eine Azure Function-App und eine HTTP-ausgelöste Funktion direkt in der Vorlage bereit. Es installiert außerdem einen Key Vault und füllt ein Geheimnis mit dem Host-Schlüssel der Funktions-App. |
|
Azure Machine Learning End-to-End-sichere Einrichtung
|
Diese Sammlung von Bicep-Vorlagen zeigt, wie man Azure Machine Learning End-to-End-in einem sicheren Setup aufbaut. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, eine Computeinstanz und einen angefügten privaten AKS-Cluster. |
|
Azure Machine Learning End-to-End-sichere Einrichtung (Legacy)
|
Diese Sammlung von Bicep-Vorlagen zeigt, wie man Azure Machine Learning End-to-End-in einem sicheren Setup aufbaut. Diese Referenzimplementierung umfasst den Arbeitsbereich, einen Computecluster, eine Computeinstanz und einen angefügten privaten AKS-Cluster. |
|
Azure Machine Learning Workspace
|
Diese Vorlage erstellt einen neuen Azure Machine Learning Workspace sowie ein verschlüsseltes Speicherkonto, KeyVault und Applications Insights Logging |
|
Azure Storage Kontoverschlüsselung mit kundenverwaltetem Schlüssel
|
Diese Vorlage bereitet ein Speicherkonto mit einem vom Kunden verwalteten Schlüssel zur Verschlüsselung bereit, der generiert und in einem Key Vault gespeichert wird. |
|
Basic Agent Setup Identity
|
Diese Sammlung von Vorlagen zeigt, wie man den Azure AI Agent Service mit der grundlegenden Konfiguration mittels verwalteter Identitätsauthentikation für die KI-Service/AOAI-Verbindung einrichtet. Agents verwenden mehrinstanzenfähige Such- und Speicherressourcen, die vollständig von Microsoft verwaltet werden. Sie haben keine Sichtbarkeit ™oder Kontrolle über diese zugrunde liegenden Azure-Ressourcen. |
|
Verbinden Sie sich mit einem Key Vault über privaten Endpunkt
|
Dieses Beispiel zeigt, wie man ein virtuelles Netzwerk und eine private DNS-Zone konfiguriert, um über einen privaten Endpunkt auf Key Vault zuzugreifen. |
|
Erstellen Sie einen Key Vault und eine Liste von Geheimnissen
|
Diese Vorlage erstellt einen Key Vault und eine Liste der Geheimnisse innerhalb des key vault, wie sie zusammen mit den Parametern weitergegeben wurden. |
|
Create a KeyVault
|
Dieses Modul erstellt eine KeyVault-Ressource mit apiVersion 2019-09-01. |
|
Erstellen Sie einen Netzwerksicherheitsperimeter
|
Diese Vorlage erstellt einen Netzwerksicherheitsperimeter und die zugehörige Ressource zum Schutz eines Azure-Schlüsselsafes. |
|
Erstelle eine neue verschlüsselte Windows-VM aus Galerie-Image
|
Diese Vorlage erstellt eine neue verschlüsselte Windows-VM mit dem Server 2k12-Katalogimage. |
|
Erstellen Sie einen privaten AKS-Cluster mit einer öffentlichen DNS-Zone
|
In diesem Beispiel wird gezeigt, wie Sie einen privaten AKS-Cluster mit einer öffentlichen DNS-Zone bereitstellen. |
|
|
Diese Vorlage erstellt einen Azure Machine Learning-Arbeitsbereich mit mehreren Datensätzen und Datenspeichern. |
|
Erstellen Sie ein AKS-Rechenziel mit einer privaten IP-Adresse
|
Diese Vorlage erstellt ein AKS-Rechenziel in einem gegebenen Azure Machine Learning-Service-Arbeitsbereich mit einer privaten IP-Adresse. |
|
Erstellen Sie einen API-Management-Dienst mit SSL von KeyVault
|
Diese Vorlage stellt einen API-Verwaltungsdienst bereit, der mit der vom Benutzer zugewiesenen Identität konfiguriert ist. Sie verwendet diese Identität, um SSL-Zertifikat von KeyVault abzurufen und es alle 4 Stunden zu aktualisieren. |
|
Erstellen Sie ein Anwendungsgateway V2 mit Key Vault
|
Diese Vorlage stellt ein Application Gateway V2 in einem Virtual Network, eine benutzerdefinierte Identität, einen Key Vault, ein Secret (Zertifikatsdaten) und eine Zugriffsrichtlinie auf Key Vault und Application Gateway bereit. |
|
Erstelle ein Azure Key Vault und ein Geheimnis
|
Diese Vorlage erstellt einen Azure Key Vault und ein Geheimnis. |
|
Erstellen Sie ein Azure Key Vault mit RBAC und einem Secret
|
Diese Vorlage erstellt einen Azure Key Vault und ein Geheimnis. Anstatt sich auf Zugriffsrichtlinien zu verlassen, nutzt es Azure RBAC, um die Autorisierung von Geheimnissen zu verwalten |
|
Erstellen Sie einen Azure Machine Learning Service workspace
|
Diese Bereitstellungsvorlage spezifiziert einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen, darunter Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt die minimale Menge an Ressourcen, die Sie benötigen, um mit Azure Machine Learning zu beginnen. |
|
Erstellen Sie einen Azure Machine Learning Service Workspace (CMK)
|
Diese Bereitstellungsvorlage legt fest, wie man einen Azure Machine Learning-Arbeitsbereich mit dienstseitiger Verschlüsselung mit Ihren Verschlüsselungsschlüsseln erstellt. |
|
Erstellen Sie einen Azure Machine Learning Service Workspace (CMK)
|
Diese Bereitstellungsvorlage spezifiziert einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen, darunter Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Das Beispiel zeigt, wie man Azure Machine Learning für Verschlüsselung mit einem vom Kunden verwalteten Verschlüsselungsschlüssel konfigurieren kann. |
|
Erstellen Sie einen Azure Machine Learning Service Workspace (legacy)
|
Diese Bereitstellungsvorlage spezifiziert einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen, darunter Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt die Menge an Ressourcen, die Sie benötigen, um mit Azure Machine Learning in einem netzwerkisolierten System zu beginnen. |
|
Erstellen Sie einen Azure Machine Learning Service Workspace (vnet)
|
Diese Bereitstellungsvorlage spezifiziert einen Azure Machine Learning-Arbeitsbereich und die zugehörigen Ressourcen, darunter Azure Key Vault, Azure Storage, Azure Application Insights und Azure Container Registry. Diese Konfiguration beschreibt die Menge an Ressourcen, die Sie benötigen, um mit Azure Machine Learning in einem netzwerkisolierten System zu beginnen. |
|
Erstellen und verschlüsseln Sie ein neues Windows VMSS mit jumpbox
|
Diese Vorlage ermöglicht es Ihnen, ein einfaches VM Scale Set von Windows-VMs mit der aktuellsten gepatchten Version der Server-Windows-Versionen bereitzustellen. Diese Vorlage stellt auch einen Jumpbox mit einer öffentlichen IP-Adresse im selben virtuellen Netzwerk bereit. Man kann sich über diese öffentliche IP-Adresse mit der Jumpbox verbinden und dann von dort mit VMs im Skalierungsbereich über private IP-Adressen verbinden. Diese Vorlage ermöglicht die Verschlüsselung auf dem VM Scale Set von Windows-VMs. |
|
Erstellen Sie Anwendungsgateway mit Zertifikaten
|
Diese Vorlage zeigt, wie man selbstsignierte Key Vault-Zertifikate generiert und dann aus Application Gateway referenziert. |
|
Create Key Vault mit aktiviertem Logging
|
Diese Vorlage erstellt einen Azure Key Vault und ein Azure Storage-Konto, das für die Protokollierung verwendet wird. Optional werden Ressourcenschlösser erstellt, um deinen Key Vault und deine Lagerressourcen zu schützen. |
|
Key Vault, verwaltete Identität und Rollenzuweisung erstellen
|
Diese Vorlage erstellt einen Schlüsseltresor, eine verwaltete Identität und rollenzuweisung. |
|
|
Diese Vorlage erstellt eine neue verschlüsselte verwaltete Datenträger-VM mit dem Server 2k12-Katalogimage. |
|
Erstellt eine tenantübergreifende private Endpunktressource
|
Mit dieser Vorlage können Sie priavate Endpoint-Ressource innerhalb derselben oder mandantenübergreifenden Umgebung erstellen und dns-Zonenkonfiguration hinzufügen. |
|
Erstellt eine Dapr pub-sub Servicebus-App mit Container Apps
|
Erstellen Sie eine Dapr pub-sub servicebus-App mit Container-Apps. |
|
Sichere KI-Foundry mit einem verwalteten virtuellen Netzwerk bereitstellen
|
Diese Vorlage schafft eine sichere Azure AI Foundry-Umgebung mit robusten Netzwerk- und Identitätssicherheitsbeschränkungen. |
|
Bereitstellen Sie die Sports Analytics auf Azure Architektur ein
|
Erstellt ein Azure-Speicherkonto mit aktiviertem ADLS Gen 2, eine Azure Data Factory-Instanz mit verknüpften Diensten für das Speicherkonto (und die Azure SQL Database, falls bereitgestellt) und eine Azure Databricks-Instanz. Die AAD-Identität für den Benutzer, der die Vorlage bereitstellt, und die verwaltete Identität für die ADF-Instanz wird der Rolle "Mitwirkender von Speicher-BLOB-Daten" für das Speicherkonto gewährt. Es gibt außerdem Optionen, eine Azure Key Vault-Instanz, eine Azure SQL Database und einen Azure Event Hub (für Streaming-Anwendungsfälle) bereitzustellen. Wenn ein Azure Key Vault bereitgestellt wird, erhalten die von Data Factory verwaltete Identität und die AAD-Identität des Benutzers, der die Vorlage bereitstellt, die Rolle des Key Vault Secrets User. |
|
|
Diese Vorlage aktiviert die Verschlüsselung auf einer ausgeführten Windows-VM. |
|
FinOps hub
|
Diese Vorlage erstellt eine neue FinOps-Hub-Instanz, einschließlich Data Explorer, Data Lake-Speicher und Data Factory. |
|
Netzwerk Secured Agent mit User Managed Identity
|
Diese Sammlung von Vorlagen zeigt, wie man den Azure AI Agent Service mit virtueller Netzwerkisolation unter Verwendung von User Managed Identity-Authetikation für die KI-Service/AOAI-Verbindung und private Netzwerkverbindungen einrichten kann, um den Agenten mit Ihren sicheren Daten zu verbinden. |
|
Standard Agent Setup
|
Diese Sammlung von Vorlagen zeigt, wie man den Azure AI Agent Service mit der Standardkonfiguration einrichtet, also mit aktivierter verwalteter Identitätsauthentifizierung für Projekt-/Hub-Verbindungen und öffentlichem Internetzugang. Agents verwenden kundeneigene, einzelmandantenbasierte Such- und Speicherressourcen. Mit diesem Setup haben Sie die volle Kontrolle und Sichtbarkeit über diese Ressourcen, aber Sie verursachen Kosten basierend auf Ihrer Nutzung. |
|
Testumgebung für Azure Firewall Premium
|
Diese Vorlage erstellt eine Azure Firewall Premium- und Firewall-Richtlinie mit Premium-Funktionen wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Web-Kategorie-Filterung |
|
Diese Vorlage verschlüsselt ein laufendes Windows VMSS
|
Diese Vorlage ermöglicht die Verschlüsselung auf einem laufenden Windows VM Scale Set |
Terraform -Ressourcendefinition (AzAPI-Anbieter)
Der Ressourcentyp "Vaults" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.KeyVault/Vaults-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2026-03-01-preview"
name = "string"
parent_id = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "string"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
tokenBindingParameters = {
minimumTokenBindingStrength = "string"
mode = "string"
}
vaultUri = "string"
}
}
}
Eigenschaftswerte
Microsoft.KeyVault/Vaults
| Name | Beschreibung | Wert |
|---|---|---|
| Ort | Der unterstützte Azure-Standort, an dem der Schlüsseltresor erstellt werden sollte. | Zeichenfolge (erforderlich) |
| Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
| Eigenschaften | Eigenschaften des Tresors | VaultProperties- (erforderlich) |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. |
| Art | Der Ressourcentyp | "Microsoft.KeyVault/vaults@2026-03-01-preview" |
AccessPolicy-Eintrag
| Name | Beschreibung | Wert |
|---|---|---|
| Anwendungs-ID | Anwendungs-ID des Clients, der eine Anforderung im Auftrag eines Prinzipals durchführt | Schnur Zwänge: Min. Länge = 36 Maximale Länge = 36 Muster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| Objekt-ID | Die Objekt-ID eines Benutzers, Service Principals oder einer Sicherheitsgruppe im Azure Active Directory-Tenant für den Tresor. Die Objekt-ID muss für die Liste der Zugriffsrichtlinien eindeutig sein. | Zeichenfolge (erforderlich) |
| Erlaubnisse | Berechtigungen, die die Identität für Schlüssel, geheime Schlüssel und Zertifikate hat. | Berechtigungen (erforderlich) |
| Mandanten-ID | Die Azure Active Directory-Tenant-ID, die zur Authentifizierung von Anfragen am Schlüsseltresor verwendet werden sollte. | Schnur Zwänge: Min. Länge = 36 Maximale Länge = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (erforderlich) |
IPRule
| Name | Beschreibung | Wert |
|---|---|---|
| Wert | Ein IPv4-Adressbereich in CIDR-Notation, z. B. "124.56.78.91" (einfache IP-Adresse) oder "124.56.78.0/24" (alle Adressen, die mit 124.56.78 beginnen). | Zeichenfolge (erforderlich) |
Netzwerk-Regelsatz
| Name | Beschreibung | Wert |
|---|---|---|
| Umgehungsstraße | Gibt an, welcher Datenverkehr Netzwerkregeln umgehen kann. Dies kann 'AzureServices' oder 'None' sein. Wenn nicht angegeben, lautet der Standardwert "AzureServices". | "AzureServices" "Keine" |
| defaultAktion | Die Standardaktion, wenn keine Regel von "ipRules" und "virtualNetworkRules" übereinstimmen. Dies wird nur verwendet, nachdem die Umgehungseigenschaft ausgewertet wurde. | "Zulassen" "Ablehnen" |
| ipRegeln | Die Liste der IP-Adressregeln. | IPRule-[] |
| virtualNetworkRegeln | Die Liste der Regeln für virtuelle Netzwerke. | VirtualNetworkRule[] |
Erlaubnisse
| Name | Beschreibung | Wert |
|---|---|---|
| Atteste | Berechtigungen für Zertifikate | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "create" "delete" "deleteissuers" "get" 'GetIssuers' "import" "list" "listissuers" 'Kontakte verwalten' "manageissuers" "Löschen" "Wiederherstellen" "Wiederherstellen" 'setIssuers' "Update" |
| Tasten | Berechtigungen für Schlüssel | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "create" "entschlüsseln" "delete" "verschlüsseln" "get" 'getrotationpolicy' "import" "list" "Löschen" "Wiederherstellen" "Release" "Wiederherstellen" "drehen" 'setrotationpolicy' "Zeichen" "unwrapKey" "Update" "verify" "wrapKey" |
| Geheimnisse | Berechtigungen für geheime Schlüssel | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "delete" "get" "list" "Löschen" "Wiederherstellen" "Wiederherstellen" "set" |
| Lagerung | Berechtigungen für Speicherkonten | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "alle" "Sicherung" "delete" "deletesas" "get" "getsas" "list" "listsas" "Löschen" "Wiederherstellen" "Regeneratekey" "Wiederherstellen" "set" "setsas" "Update" |
Sku
| Name | Beschreibung | Wert |
|---|---|---|
| Familie | SKU-Familienname | "A" (erforderlich) |
| Name | SKU-Name, um anzugeben, ob der Schlüsseltresor ein Standardtresor oder ein Premium Vault ist. | "Premium" "Standard" (erforderlich) |
TokenBindingParameters
| Name | Beschreibung | Wert |
|---|---|---|
| minimumTokenBindungsstärke | Muss einer der folgenden Werte sein: "Keine Validierung", "Unattestiert", "AttestiertVertrauenLaunch", "AttestiertVertraulich". Die Stärke der Token-Bindung steigt mit jedem Wert in dieser Reihenfolge. | 'BestätigtVertraulich' 'AttestierterVertrauensstart' 'NoValidation' 'Unbelegt' |
| mode | Dies legt fest, ob die Tokenbindung deaktiviert, aktiviert oder durchgesetzt wird. | "Erzwungen" 'Nicht durchgesetzt' |
VaultCreateOrUpdateParametersTags
| Name | Beschreibung | Wert |
|---|
Tresor-Eigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| accessPolicies | Ein Array von 0 bis 1024 Identitäten, die Zugriff auf den Schlüsseltresor haben. Alle Identitäten im Array müssen dieselbe Mandanten-ID wie die Mandanten-ID des Schlüsseltresors verwenden. Wenn createMode auf recoverfestgelegt ist, sind Zugriffsrichtlinien nicht erforderlich. Andernfalls sind Zugriffsrichtlinien erforderlich. |
AccessPolicyEntry-[] |
| createMode | Der Erstellungsmodus des Tresors, um anzugeben, ob der Tresor wiederhergestellt werden muss oder nicht. | "Standard" "Wiederherstellen" |
| enabledForDeployment | Eigenschaft zur Angabe anzugeben, ob Azure Virtual Machines Zertifikate, die als Geheimnisse gespeichert sind, aus dem Schlüsseltresor abrufen dürfen. | Bool |
| enabledForDiskEncryption | Eigenschaft, um anzugeben, ob Azure Disk Encryption Geheimnisse aus dem Tresor abrufen und Schlüssel entwickeln darf. | Bool |
| enabledForTemplateDeployment | Eigenschaft, um anzugeben, ob Azure Resource Manager Geheimnisse aus dem Schlüsseltresor abrufen darf. | Bool |
| enablePurgeSchutz | Eigenschaft, die angibt, ob der Schutz vor Löschvorgängen für diesen Tresor aktiviert ist. Wenn diese Eigenschaft auf true aktiviert wird, erhält dieser Vault und seinen Inhalt Schutz gegen Säuberung – nur der Key Vault-Dienst kann eine harte, nicht wiederherstellbare Löschung einleiten. Die Einstellung ist nur wirksam, wenn auch das vorläufige Löschen aktiviert ist. Das Aktivieren dieser Funktionalität ist unumkehrbar – d. h. die Eigenschaft akzeptiert "false" nicht als Wert. | Bool |
| enableRbacAuthorization | Eigenschaft, die steuert, wie Datenaktionen autorisiert werden. Wenn zutreffend, verwendet der Key Vault Role Based Access Control (RBAC) zur Autorisierung von Datenaktionen, und die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien werden ignoriert. Wenn falsch, verwendet der Key Vault die in den Tresoreigenschaften angegebenen Zugriffsrichtlinien, und alle im Azure Resource Manager gespeicherten Richtlinien werden ignoriert. Wenn null oder nicht angegeben wird, wird der Tresor mit dem Standardwert "false" erstellt. Beachten Sie, dass Verwaltungsaktionen immer mit RBAC autorisiert sind. | Bool |
| enableSoftDelete | Eigenschaft, die angibt, ob die Funktion "Vorläufiges Löschen" für diesen Schlüsseltresor aktiviert ist. Wenn er beim Erstellen eines neuen Schlüsseltresors nicht auf einen Wert (wahr oder falsch) festgelegt ist, wird er standardmäßig auf "true" festgelegt. Sobald dieser Wert auf "true" festgelegt ist, kann er nicht auf "false" zurückgesetzt werden. | Bool |
| NetzwerkAcls | Regeln für die Barrierefreiheit des Schlüsseltresors von bestimmten Netzwerkstandorten. | NetworkRuleSet- |
| provisioningState (Bereitstellen) | Bereitstellungsstatus des Tresors. | 'RegistrationDns' "Erfolgreich" |
| Öffentlicher Netzwerkzugang | Eigenschaft, um anzugeben, ob der Tresor Datenverkehr aus dem öffentlichen Internet akzeptiert. Bei Festlegung auf "deaktiviert" wird der gesamte Datenverkehr außer privatem Endpunktdatenverkehr blockiert, der von vertrauenswürdigen Diensten stammt. Dadurch werden die festgelegten Firewallregeln außer Kraft gesetzt, was bedeutet, dass auch wenn die Firewallregeln vorhanden sind, die Regeln nicht berücksichtigt werden. | Schnur |
| Sku | SKU-Details | Sku- (erforderlich) |
| softDeleteRetentionInDays | SoftDelete-Datenaufbewahrungstage. Sie akzeptiert >=7 und <=90. | Int |
| Mandanten-ID | Die Azure Active Directory-Tenant-ID, die zur Authentifizierung von Anfragen am Schlüsseltresor verwendet werden sollte. | Schnur Zwänge: Min. Länge = 36 Maximale Länge = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (erforderlich) |
| tokenBindingParameters | Konfiguration für Tokenbindung für Entra-Tokens | TokenBindingParameters |
| vaultUri | Der URI des Tresors zum Ausführen von Vorgängen für Schlüssel und geheime Schlüssel. | Schnur |
VirtualNetworkRule
| Name | Beschreibung | Wert |
|---|---|---|
| id | Vollständige Ressourcen-ID eines vnet-Subnetzes, z. B. "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | Zeichenfolge (erforderlich) |
| ignoreMissingVnetServiceEndpoint | Eigenschaft, um anzugeben, ob nrP die Überprüfung ignoriert, ob das übergeordnete Subnetz "serviceEndpoints" konfiguriert ist. | Bool |
Verwendungsbeispiele
Terraform-Beispiele
Ein grundlegendes Beispiel für die Bereitstellung von Key Vault.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
data "azurerm_client_config" "current" {
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "vault" {
type = "Microsoft.KeyVault/vaults@2021-10-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
accessPolicies = [
{
objectId = data.azurerm_client_config.current.object_id
permissions = {
certificates = [
"ManageContacts",
]
keys = [
"Create",
]
secrets = [
"Set",
]
storage = [
]
}
tenantId = data.azurerm_client_config.current.tenant_id
},
]
createMode = "default"
enableRbacAuthorization = false
enableSoftDelete = true
enabledForDeployment = false
enabledForDiskEncryption = false
enabledForTemplateDeployment = false
publicNetworkAccess = "Enabled"
sku = {
family = "A"
name = "standard"
}
softDeleteRetentionInDays = 7
tenantId = data.azurerm_client_config.current.tenant_id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Azure Verified Modules
Die folgenden Azure Verifizierte Module können verwendet werden, um diesen Ressourcentyp bereitzustellen.
| Modul | Beschreibung |
|---|---|
| Key Vault | AVM-Ressourcenmodul für Key Vault |