Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bemerkungen
Für Hinweise zur Verwendung von Schlüsseltresoren für sichere Werte siehe Verwalten Sie Geheimnisse mit Bicep.
Für einen Quickstart zur Erstellung eines Geheimnisses siehe Quickstart: Set and retrieve a secret from Azure Key Vault using a ARM template.
Für einen Quickstart zur Erstellung eines Schlüssels siehe Quickstart: Create an Azure Key Vault and a Key mit ARM template.
Bicep-Ressourcendefinition
Der Ressourcentyp Tresore/Schlüssel kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.KeyVault/vaults/keys-Ressource zu erstellen, fügen Sie den folgenden Bicep Ihrer Vorlage hinzu.
resource symbolicname 'Microsoft.KeyVault/vaults/keys@2026-03-01-preview' = {
parent: resourceSymbolicName
name: 'string'
properties: {
attributes: {
enabled: bool
exp: int
exportable: bool
nbf: int
}
curveName: 'string'
keyOps: [
'string'
]
keySize: int
kty: 'string'
release_policy: {
contentType: 'string'
data: 'string'
}
rotationPolicy: {
attributes: {
expiryTime: 'string'
}
lifetimeActions: [
{
action: {
type: 'string'
}
trigger: {
timeAfterCreate: 'string'
timeBeforeExpiry: 'string'
}
}
]
}
}
tags: {
{customized property}: 'string'
}
}
Eigenschaftswerte
Microsoft.KeyVault/Vaults/Keys
| Name | Beschreibung | Wert |
|---|---|---|
| Name | Der Ressourcenname | Schnur Zwänge: Pattern = ^[a-zA-Z0-9-]{1,127}$ (erforderlich) |
| Elternteil | In Bicep kann man die Elternressource für eine Kindressource angeben. Sie müssen diese Eigenschaft nur hinzufügen, wenn die untergeordnete Ressource außerhalb der übergeordneten Ressource deklariert wird. Weitere Informationen finden Sie unter Untergeordnete Ressource außerhalb der übergeordneten Ressource. |
Symbolischer Name für Ressource des Typs: Tresore |
| Eigenschaften | Die Eigenschaften des zu erstellenden Schlüssels. | KeyProperties- (erforderlich) |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
Aktion
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Der Aktionstyp. | "notify" "drehen" |
Schlüsselattribute
| Name | Beschreibung | Wert |
|---|---|---|
| ermöglichte | Bestimmt, ob das Objekt aktiviert ist. | Bool |
| Exp | Ablaufdatum in Sekunden seit 1970-01-01T00:00:00Z. | Int |
| exportierbar | Gibt an, ob der private Schlüssel exportiert werden kann. | Bool |
| nbf | Nicht vor dem Datum in Sekunden seit 1970-01-01T00:00:00Z. | Int |
KeyCreateParametersTags
| Name | Beschreibung | Wert |
|---|
Schlüsseleigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| Attribute | Die Attribute des Schlüssels. | KeyAttributes- |
| Kurvenname | Der Name der elliptischen Kurve. Gültige Werte finden Sie unter JsonWebKeyCurveName. Standardeinstellung für EC- und EC-HSM-Schlüssel ist P-256 | 'P-256' 'P-256K' 'P-384' 'P-521' |
| Tasten-Ops | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "entschlüsseln" "verschlüsseln" "import" "Release" "Zeichen" "unwrapKey" "verify" "wrapKey" |
|
| keySize | Die Schlüsselgröße in Bits. Beispiel: 2048, 3072 oder 4096 für RSA. Der Standardwert für RSA und RSA-HSM Schlüssel ist 2048. Ausnahme für die Bring your own key (BYOK), Schlüsselaustauschschlüssel standardmäßig 4096. | Int |
| kty | Der Typ des Schlüssels. Gültige Werte finden Sie unter JsonWebKeyType. | "EG" "EC-HSM" "RSA" "RSA-HSM" |
| release_policy | Schlüsselfreigaberichtlinie als Reaktion. Sie wird sowohl für die Ausgabe als auch für die Eingabe verwendet. Wird weggelassen, wenn leer | KeyReleasePolicy- |
| Rotationspolitik | Schlüsseldrehungsrichtlinie als Reaktion. Sie wird sowohl für die Ausgabe als auch für die Eingabe verwendet. Wird weggelassen, wenn leer | RotationPolicy- |
KeyReleasePolicy (Schlüsselfreigaberichtlinie)
| Name | Beschreibung | Wert |
|---|---|---|
| Inhaltstyp | Inhaltstyp und Version der Schlüsselveröffentlichungsrichtlinie | Schnur |
| Daten | Blobcodierung der Richtlinienregeln, unter denen der Schlüssel freigegeben werden kann. | Schnur |
KeyRotationPolicy-Attribute
| Name | Beschreibung | Wert |
|---|---|---|
| AblaufZeit | Die Ablaufzeit für die neue Schlüsselversion. Er sollte im ISO8601 Format vorliegen. Beispiel: 'P90D', 'P1Y'. | Schnur |
LebenslangeAktion
| Name | Beschreibung | Wert |
|---|---|---|
| Aktion | Die Aktion der Lebensdauer der Schlüsseldrehungsrichtlinie. | Aktion |
| auslösen | Der Auslöser der Lebensdauer der Schlüsseldrehungsrichtlinie. | Trigger- |
Rotationspolitik
| Name | Beschreibung | Wert |
|---|---|---|
| Attribute | Die Attribute der Schlüsseldrehungsrichtlinie. | KeyRotationPolicy-Attribute |
| lebenslangeAktionen | Die lifetimeActions für die Tastendrehungsaktion. | LebenslangeAktion[] |
Auslösen
| Name | Beschreibung | Wert |
|---|---|---|
| timeAfterCreate | Die Zeitdauer nach der Schlüsselerstellung, um den Schlüssel zu drehen. Sie gilt nur für die Drehung. Er wird im ISO 8601-Dauerformat verwendet. Beispiel: 'P90D', 'P1Y'. | Schnur |
| ZeitVorAblauf | Die Zeitdauer vor dem Ablauf der Taste, um zu drehen oder zu benachrichtigen. Er wird im ISO 8601-Dauerformat verwendet. Beispiel: 'P90D', 'P1Y'. | Schnur |
Verwendungsbeispiele
Bicep-Proben
Ein grundlegendes Beispiel für die Bereitstellung von Key Vault Keys.
param resourceName string = 'acctest0001'
param location string = 'westeurope'
resource vault 'Microsoft.KeyVault/vaults@2023-02-01' = {
name: resourceName
location: location
properties: {
accessPolicies: []
enablePurgeProtection: true
enableSoftDelete: true
sku: {
family: 'A'
name: 'standard'
}
tenantId: deployer().tenantId
}
}
resource putAccesspolicy 'Microsoft.KeyVault/vaults/accessPolicies@2023-02-01' = {
parent: vault
name: 'add'
properties: {
accessPolicies: [
{
objectId: deployer().objectId
permissions: {
certificates: [
'ManageContacts'
]
keys: [
'Get'
'Create'
'Delete'
'List'
'Restore'
'Recover'
'UnwrapKey'
'WrapKey'
'Purge'
'Encrypt'
'Decrypt'
'Sign'
'Verify'
]
secrets: [
'Get'
]
storage: []
}
tenantId: deployer().tenantId
}
]
}
}
resource putKey 'Microsoft.KeyVault/vaults/keys@2023-02-01' = {
parent: vault
name: resourceName
properties: {
keyOps: [
'encrypt'
'decrypt'
'sign'
'verify'
'wrapKey'
'unwrapKey'
]
keySize: 2048
kty: 'RSA'
}
dependsOn: [
putAccesspolicy
]
}
Azure Verified Modules
Die folgenden Azure Verifizierte Module können verwendet werden, um diesen Ressourcentyp bereitzustellen.
| Modul | Beschreibung |
|---|---|
| Key Vault - Key | AVM Child Module für Key Vault – Schlüssel |
Azure Quickstart Samples
Die folgenden Azure Quickstart-Vorlagen enthalten Bicep Beispiele für die Bereitstellung dieses Ressourcentyps.
| Bicep-Datei | Beschreibung |
|---|---|
| Azure Storage Kontoverschlüsselung mit kundenverwaltetem Schlüssel | Diese Vorlage bereitet ein Speicherkonto mit einem vom Kunden verwalteten Schlüssel zur Verschlüsselung bereit, der generiert und in einem Key Vault gespeichert wird. |
ARM-Vorlagenressourcendefinition
Der Ressourcentyp Tresore/Schlüssel kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.KeyVault/vaults/keys-Ressource zu erstellen, fügen Sie Ihrer Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2026-03-01-preview",
"name": "string",
"properties": {
"attributes": {
"enabled": "bool",
"exp": "int",
"exportable": "bool",
"nbf": "int"
},
"curveName": "string",
"keyOps": [ "string" ],
"keySize": "int",
"kty": "string",
"release_policy": {
"contentType": "string",
"data": "string"
},
"rotationPolicy": {
"attributes": {
"expiryTime": "string"
},
"lifetimeActions": [
{
"action": {
"type": "string"
},
"trigger": {
"timeAfterCreate": "string",
"timeBeforeExpiry": "string"
}
}
]
}
},
"tags": {
"{customized property}": "string"
}
}
Eigenschaftswerte
Microsoft.KeyVault/Vaults/Keys
| Name | Beschreibung | Wert |
|---|---|---|
| apiVersion (Englisch) | Die API-Version | '2026-03-01-Vorschau' |
| Name | Der Ressourcenname | Schnur Zwänge: Pattern = ^[a-zA-Z0-9-]{1,127}$ (erforderlich) |
| Eigenschaften | Die Eigenschaften des zu erstellenden Schlüssels. | KeyProperties- (erforderlich) |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
| Art | Der Ressourcentyp | "Microsoft.KeyVault/vaults/keys" |
Aktion
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Der Aktionstyp. | "notify" "drehen" |
Schlüsselattribute
| Name | Beschreibung | Wert |
|---|---|---|
| ermöglichte | Bestimmt, ob das Objekt aktiviert ist. | Bool |
| Exp | Ablaufdatum in Sekunden seit 1970-01-01T00:00:00Z. | Int |
| exportierbar | Gibt an, ob der private Schlüssel exportiert werden kann. | Bool |
| nbf | Nicht vor dem Datum in Sekunden seit 1970-01-01T00:00:00Z. | Int |
KeyCreateParametersTags
| Name | Beschreibung | Wert |
|---|
Schlüsseleigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| Attribute | Die Attribute des Schlüssels. | KeyAttributes- |
| Kurvenname | Der Name der elliptischen Kurve. Gültige Werte finden Sie unter JsonWebKeyCurveName. Standardeinstellung für EC- und EC-HSM-Schlüssel ist P-256 | 'P-256' 'P-256K' 'P-384' 'P-521' |
| Tasten-Ops | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "entschlüsseln" "verschlüsseln" "import" "Release" "Zeichen" "unwrapKey" "verify" "wrapKey" |
|
| keySize | Die Schlüsselgröße in Bits. Beispiel: 2048, 3072 oder 4096 für RSA. Der Standardwert für RSA und RSA-HSM Schlüssel ist 2048. Ausnahme für die Bring your own key (BYOK), Schlüsselaustauschschlüssel standardmäßig 4096. | Int |
| kty | Der Typ des Schlüssels. Gültige Werte finden Sie unter JsonWebKeyType. | "EG" "EC-HSM" "RSA" "RSA-HSM" |
| release_policy | Schlüsselfreigaberichtlinie als Reaktion. Sie wird sowohl für die Ausgabe als auch für die Eingabe verwendet. Wird weggelassen, wenn leer | KeyReleasePolicy- |
| Rotationspolitik | Schlüsseldrehungsrichtlinie als Reaktion. Sie wird sowohl für die Ausgabe als auch für die Eingabe verwendet. Wird weggelassen, wenn leer | RotationPolicy- |
KeyReleasePolicy (Schlüsselfreigaberichtlinie)
| Name | Beschreibung | Wert |
|---|---|---|
| Inhaltstyp | Inhaltstyp und Version der Schlüsselveröffentlichungsrichtlinie | Schnur |
| Daten | Blobcodierung der Richtlinienregeln, unter denen der Schlüssel freigegeben werden kann. | Schnur |
KeyRotationPolicy-Attribute
| Name | Beschreibung | Wert |
|---|---|---|
| AblaufZeit | Die Ablaufzeit für die neue Schlüsselversion. Er sollte im ISO8601 Format vorliegen. Beispiel: 'P90D', 'P1Y'. | Schnur |
LebenslangeAktion
| Name | Beschreibung | Wert |
|---|---|---|
| Aktion | Die Aktion der Lebensdauer der Schlüsseldrehungsrichtlinie. | Aktion |
| auslösen | Der Auslöser der Lebensdauer der Schlüsseldrehungsrichtlinie. | Trigger- |
Rotationspolitik
| Name | Beschreibung | Wert |
|---|---|---|
| Attribute | Die Attribute der Schlüsseldrehungsrichtlinie. | KeyRotationPolicy-Attribute |
| lebenslangeAktionen | Die lifetimeActions für die Tastendrehungsaktion. | LebenslangeAktion[] |
Auslösen
| Name | Beschreibung | Wert |
|---|---|---|
| timeAfterCreate | Die Zeitdauer nach der Schlüsselerstellung, um den Schlüssel zu drehen. Sie gilt nur für die Drehung. Er wird im ISO 8601-Dauerformat verwendet. Beispiel: 'P90D', 'P1Y'. | Schnur |
| ZeitVorAblauf | Die Zeitdauer vor dem Ablauf der Taste, um zu drehen oder zu benachrichtigen. Er wird im ISO 8601-Dauerformat verwendet. Beispiel: 'P90D', 'P1Y'. | Schnur |
Verwendungsbeispiele
Azure Quickstart Templates
Die folgenden Azure Quickstart-Vorlagen bereitstellen diesen Ressourcentyp aus.
| Schablone | Beschreibung |
|---|---|
Azure Storage Kontoverschlüsselung mit kundenverwaltetem Schlüssel
|
Diese Vorlage bereitet ein Speicherkonto mit einem vom Kunden verwalteten Schlüssel zur Verschlüsselung bereit, der generiert und in einem Key Vault gespeichert wird. |
|
|
Mit diesem Modul können Sie einen Schlüssel in einem vorhandenen KeyVault erstellen. |
Terraform -Ressourcendefinition (AzAPI-Anbieter)
Der Ressourcentyp Tresore/Schlüssel kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.KeyVault/Vaults/Keys-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/keys@2026-03-01-preview"
name = "string"
parent_id = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
attributes = {
enabled = bool
exp = int
exportable = bool
nbf = int
}
curveName = "string"
keyOps = [
"string"
]
keySize = int
kty = "string"
release_policy = {
contentType = "string"
data = "string"
}
rotationPolicy = {
attributes = {
expiryTime = "string"
}
lifetimeActions = [
{
action = {
type = "string"
}
trigger = {
timeAfterCreate = "string"
timeBeforeExpiry = "string"
}
}
]
}
}
}
}
Eigenschaftswerte
Microsoft.KeyVault/Vaults/Keys
| Name | Beschreibung | Wert |
|---|---|---|
| Name | Der Ressourcenname | Schnur Zwänge: Pattern = ^[a-zA-Z0-9-]{1,127}$ (erforderlich) |
| Eltern-ID | Die ID der Ressource, die das übergeordnete Element für diese Ressource ist. | ID für Ressource vom Typ: Vaults |
| Eigenschaften | Die Eigenschaften des zu erstellenden Schlüssels. | KeyProperties- (erforderlich) |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. |
| Art | Der Ressourcentyp | "Microsoft.KeyVault/vaults/keys@2026-03-01-preview" |
Aktion
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Der Aktionstyp. | "notify" "drehen" |
Schlüsselattribute
| Name | Beschreibung | Wert |
|---|---|---|
| ermöglichte | Bestimmt, ob das Objekt aktiviert ist. | Bool |
| Exp | Ablaufdatum in Sekunden seit 1970-01-01T00:00:00Z. | Int |
| exportierbar | Gibt an, ob der private Schlüssel exportiert werden kann. | Bool |
| nbf | Nicht vor dem Datum in Sekunden seit 1970-01-01T00:00:00Z. | Int |
KeyCreateParametersTags
| Name | Beschreibung | Wert |
|---|
Schlüsseleigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| Attribute | Die Attribute des Schlüssels. | KeyAttributes- |
| Kurvenname | Der Name der elliptischen Kurve. Gültige Werte finden Sie unter JsonWebKeyCurveName. Standardeinstellung für EC- und EC-HSM-Schlüssel ist P-256 | 'P-256' 'P-256K' 'P-384' 'P-521' |
| Tasten-Ops | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "entschlüsseln" "verschlüsseln" "import" "Release" "Zeichen" "unwrapKey" "verify" "wrapKey" |
|
| keySize | Die Schlüsselgröße in Bits. Beispiel: 2048, 3072 oder 4096 für RSA. Der Standardwert für RSA und RSA-HSM Schlüssel ist 2048. Ausnahme für die Bring your own key (BYOK), Schlüsselaustauschschlüssel standardmäßig 4096. | Int |
| kty | Der Typ des Schlüssels. Gültige Werte finden Sie unter JsonWebKeyType. | "EG" "EC-HSM" "RSA" "RSA-HSM" |
| release_policy | Schlüsselfreigaberichtlinie als Reaktion. Sie wird sowohl für die Ausgabe als auch für die Eingabe verwendet. Wird weggelassen, wenn leer | KeyReleasePolicy- |
| Rotationspolitik | Schlüsseldrehungsrichtlinie als Reaktion. Sie wird sowohl für die Ausgabe als auch für die Eingabe verwendet. Wird weggelassen, wenn leer | RotationPolicy- |
KeyReleasePolicy (Schlüsselfreigaberichtlinie)
| Name | Beschreibung | Wert |
|---|---|---|
| Inhaltstyp | Inhaltstyp und Version der Schlüsselveröffentlichungsrichtlinie | Schnur |
| Daten | Blobcodierung der Richtlinienregeln, unter denen der Schlüssel freigegeben werden kann. | Schnur |
KeyRotationPolicy-Attribute
| Name | Beschreibung | Wert |
|---|---|---|
| AblaufZeit | Die Ablaufzeit für die neue Schlüsselversion. Er sollte im ISO8601 Format vorliegen. Beispiel: 'P90D', 'P1Y'. | Schnur |
LebenslangeAktion
| Name | Beschreibung | Wert |
|---|---|---|
| Aktion | Die Aktion der Lebensdauer der Schlüsseldrehungsrichtlinie. | Aktion |
| auslösen | Der Auslöser der Lebensdauer der Schlüsseldrehungsrichtlinie. | Trigger- |
Rotationspolitik
| Name | Beschreibung | Wert |
|---|---|---|
| Attribute | Die Attribute der Schlüsseldrehungsrichtlinie. | KeyRotationPolicy-Attribute |
| lebenslangeAktionen | Die lifetimeActions für die Tastendrehungsaktion. | LebenslangeAktion[] |
Auslösen
| Name | Beschreibung | Wert |
|---|---|---|
| timeAfterCreate | Die Zeitdauer nach der Schlüsselerstellung, um den Schlüssel zu drehen. Sie gilt nur für die Drehung. Er wird im ISO 8601-Dauerformat verwendet. Beispiel: 'P90D', 'P1Y'. | Schnur |
| ZeitVorAblauf | Die Zeitdauer vor dem Ablauf der Taste, um zu drehen oder zu benachrichtigen. Er wird im ISO 8601-Dauerformat verwendet. Beispiel: 'P90D', 'P1Y'. | Schnur |
Verwendungsbeispiele
Terraform-Beispiele
Ein grundlegendes Beispiel für die Bereitstellung von Key Vault Keys.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
data "azurerm_client_config" "current" {
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "vault" {
type = "Microsoft.KeyVault/vaults@2023-02-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
sku = {
family = "A"
name = "standard"
}
accessPolicies = []
enableSoftDelete = true
enablePurgeProtection = true
tenantId = data.azurerm_client_config.current.tenant_id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
lifecycle {
ignore_changes = [body.properties.accessPolicies]
}
}
resource "azapi_resource_action" "put_accessPolicy" {
type = "Microsoft.KeyVault/vaults/accessPolicies@2023-02-01"
resource_id = "${azapi_resource.vault.id}/accessPolicies/add"
method = "PUT"
body = {
properties = {
accessPolicies = [
{
objectId = data.azurerm_client_config.current.object_id
permissions = {
certificates = [
"ManageContacts",
]
keys = [
"Get", "Create", "Delete", "List", "Restore", "Recover", "UnwrapKey", "WrapKey", "Purge", "Encrypt", "Decrypt", "Sign", "Verify"
]
secrets = [
"Get",
]
storage = [
]
}
tenantId = data.azurerm_client_config.current.tenant_id
},
]
}
}
response_export_values = ["*"]
}
data "azapi_resource_id" "key" {
type = "Microsoft.KeyVault/vaults/keys@2023-02-01"
parent_id = azapi_resource.vault.id
name = var.resource_name
}
resource "azapi_resource_action" "put_key" {
type = "Microsoft.KeyVault/vaults/keys@2023-02-01"
resource_id = data.azapi_resource_id.key.id
method = "PUT"
body = {
properties = {
keySize = 2048
kty = "RSA"
keyOps = ["encrypt", "decrypt", "sign", "verify", "wrapKey", "unwrapKey"]
}
}
response_export_values = ["*"]
depends_on = [azapi_resource_action.put_accessPolicy]
}