Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
- más reciente
- Avance del 01-03-2026
- 2026-02-01
- 2025-05-01
- 2024-12-01-vista previa
- 2024-11-01
- 2024-04-01-vista previa
- 2023-07-01
- 2023-02-01
- 2022-11-01
- 2022-07-01
- 2022-02-01-vista previa
- 2021-11-01-vista previa
- 2021-10-01
- 2021-06-01-vista previa
- 2021-04-01-vista previa
- 2020-04-01-vista previa
- 2019-09-01
- 2018-02-14
- 2018-02-14-vista previa
- 2016-10-01
- 2015-06-01
Observaciones
Para orientación sobre cómo usar bóvedas de claves para valores seguros, véase Gestionar secretos usando Bicep.
Para un inicio rápido sobre cómo crear un secreto, consulta Quickstart: Establecer y recuperar un secreto de Azure Key Vault usando una plantilla ARM.
Para un inicio rápido sobre la creación de una clave, consulta Quickstart: Crea un vault de Azure claves y una clave usando la plantilla ARM.
Definición de recurso Bicep
El tipo de recurso vaults se puede implementar con operaciones destinadas a:
- grupos de recursos: consulte comandos de implementación de grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de recurso
Para crear un recurso Microsoft.KeyVault/vaults, añade el siguiente Bicep a tu plantilla.
resource symbolicname 'Microsoft.KeyVault/vaults@2026-03-01-preview' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'string'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
tokenBindingParameters: {
minimumTokenBindingStrength: 'string'
mode: 'string'
}
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
Valores de propiedad
Microsoft.KeyVault/vaults
| Nombre | Descripción | Valor |
|---|---|---|
| ubicación | La ubicación de Azure soportada donde debería crearse la bóveda de llaves. | string (obligatorio) |
| nombre | El nombre del recurso | string (obligatorio) |
| Propiedades | Propiedades del almacén | VaultProperties (obligatorio) |
| Etiquetas | Etiquetas de recursos | Diccionario de nombres y valores de etiqueta. Consulte etiquetas de en plantillas |
AccessPolicyEntry
| Nombre | Descripción | Valor |
|---|---|---|
| applicationId | Identificador de aplicación del cliente que realiza la solicitud en nombre de una entidad de seguridad | cuerda Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | El ID de objeto de un usuario, principal de servicio o grupo de seguridad en el tenant de Azure Active Directory para el vault. El identificador de objeto debe ser único para la lista de directivas de acceso. | string (obligatorio) |
| Permisos | Permisos que la identidad tiene para claves, secretos y certificados. | permisos (obligatorio) |
| ID del arrendatario | El ID de tenant de Azure Active Directory que debería usarse para autenticar solicitudes a la bóveda de claves. | cuerda Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatorio) |
IPRule
| Nombre | Descripción | Valor |
|---|---|---|
| valor | Intervalo de direcciones IPv4 en notación CIDR, como "124.56.78.91" (dirección IP simple) o "124.56.78.0/24" (todas las direcciones que comienzan por 124.56.78). | string (obligatorio) |
NetworkRuleSet
| Nombre | Descripción | Valor |
|---|---|---|
| puentear | Indica qué tráfico puede omitir las reglas de red. Puede ser "AzureServices" o "None". Si no se especifica el valor predeterminado es "AzureServices". | "AzureServices" 'Ninguno' |
| defaultAction | Acción predeterminada cuando no hay ninguna regla de ipRules y de virtualNetworkRules coinciden. Esto solo se usa después de evaluar la propiedad bypass. | 'Permitir' 'Denegar' |
| ipRules (Reglas de ip) | Lista de reglas de direcciones IP. | IPRule [] |
| virtualNetworkRules | Lista de reglas de red virtual. | virtualNetworkRule[] |
Permisos
| Nombre | Descripción | Valor |
|---|---|---|
| Certificados | Permisos para certificados | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Crear' 'Eliminar' 'Emisores de eliminación' 'obtener' 'getissuers' 'importar' 'lista' 'Emisores de listas' 'Gestionar contactos' «Gestores de emisores» 'purgar' 'Recuperar' 'Restaurar' 'Sedientes' 'Actualización' |
| Llaves | Permisos para claves | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Crear' 'descifrado' 'Eliminar' 'Cifrar' 'obtener' 'getrotationpolicy' 'importar' 'lista' 'purgar' 'Recuperar' 'Liberación' 'Restaurar' 'girar' 'setrotationpolicy' 'signo' 'unwrapKey' 'Actualización' 'Verificar' 'Llave de envoltura' |
| Secretos | Permisos para secretos | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Eliminar' 'obtener' 'lista' 'purgar' 'Recuperar' 'Restaurar' 'Conjunto' |
| almacenamiento | Permisos para cuentas de almacenamiento | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Eliminar' 'deletesas' 'obtener' 'getsas' 'lista' 'Listas' 'purgar' 'Recuperar' 'RegenerateKey' 'Restaurar' 'Conjunto' 'setsas' 'Actualización' |
SKU
| Nombre | Descripción | Valor |
|---|---|---|
| familia | Nombre de familia de SKU | 'A' (obligatorio) |
| nombre | Nombre de SKU para especificar si el almacén de claves es un almacén estándar o un almacén Premium. | 'Premium' 'estándar' (obligatorio) |
TokenBindingParameters
| Nombre | Descripción | Valor |
|---|---|---|
| mínimoTokenVinculaciónFuerza | Debe ser uno de los siguientes valores: "NoValidation", "Untested", "AttestedTrustedLaunch", "AttestedConfidential". La fuerza de la vinculación de fichas aumenta con cada valor en ese orden. | 'Confidencial Atestiguado' 'AtestadoLanzamientoDeConfiable' 'NoValidation' 'No atestiguado' |
| mode | Esto especifica si la vinculación de tokens está deshabilitada, habilitada o aplicada. | 'Aplicado' 'NoEnEnforced' |
VaultCreateOrUpdateParametersTags
| Nombre | Descripción | Valor |
|---|
VaultProperties (Propiedades de la bóveda)
| Nombre | Descripción | Valor |
|---|---|---|
| accessPolicies | Matriz de 0 a 1024 identidades que tienen acceso al almacén de claves. Todas las identidades de la matriz deben usar el mismo identificador de inquilino que el identificador de inquilino del almacén de claves. Cuando createMode se establece en recover, no se requieren directivas de acceso. De lo contrario, se requieren directivas de acceso. |
accessPolicyEntry[] |
| createMode | Modo de creación del almacén para indicar si el almacén debe recuperarse o no. | 'predeterminado' 'Recuperar' |
| enabledForDeployment | Propiedad para especificar si Azure Virtual Machines está permitido para recuperar certificados almacenados como secretos del Key Vault. | Bool |
| enabledForDiskEncryption | Propiedad para especificar si Azure Disk Encryption está permitido para recuperar secretos del vault y desplegar claves. | Bool |
| enabledForTemplateDeployment | Property para especificar si Azure Resource Manager está autorizado para recuperar secretos del Key Vault. | Bool |
| enablePurgeProtection | Propiedad que especifica si la protección contra purga está habilitada para este almacén. Poner esta propiedad en true activa la protección contra purga para este refugio y su contenido; solo el servicio Key Vault puede iniciar una eliminación dura e irrecuperable. La configuración solo es efectiva si la eliminación temporal también está habilitada. La habilitación de esta funcionalidad es irreversible; es decir, la propiedad no acepta false como su valor. | Bool |
| enableRbacAuthorization | Propiedad que controla cómo se autorizan las acciones de datos. Cuando es cierto, el vault de claves utilizará el Access Control basado en roles (RBAC) para autorizar acciones de datos, y las políticas de acceso especificadas en las propiedades del vault serán ignoradas. Cuando es falso, el bóveda de claves usará las políticas de acceso especificadas en las propiedades del refugio, y cualquier política almacenada en Azure Resource Manager será ignorada. Si se especifica null o no, el almacén se crea con el valor predeterminado de false. Tenga en cuenta que las acciones de administración siempre están autorizadas con RBAC. | Bool |
| enableSoftDelete | Propiedad para especificar si la funcionalidad de "eliminación temporal" está habilitada para este almacén de claves. Si no se establece en ningún valor (true o false) al crear un nuevo almacén de claves, se establecerá en true de forma predeterminada. Una vez establecido en true, no se puede revertir a false. | Bool |
| networkAcls | Reglas que rigen la accesibilidad del almacén de claves desde ubicaciones de red específicas. | NetworkRuleSet |
| provisioningState | Estado de aprovisionamiento del almacén. | "RegisteringDns" "Correcto" |
| publicNetworkAccess | Propiedad para especificar si el almacén aceptará el tráfico de la red pública de Internet. Si se establece en "deshabilitado" todo el tráfico excepto el tráfico del punto de conexión privado y que se origina en servicios de confianza se bloqueará. Esto invalidará las reglas de firewall establecidas, lo que significa que aunque las reglas de firewall estén presentes, no respetaremos las reglas. | cuerda |
| Sku | Detalles de la SKU | de Sku (obligatorio) |
| softDeleteRetentionInDays | días de retención de datos softDelete. Acepta >=7 y <=90. | Int |
| ID del arrendatario | El ID de tenant de Azure Active Directory que debería usarse para autenticar solicitudes a la bóveda de claves. | cuerda Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatorio) |
| tokenBindingParameters | Configuración para la vinculación de tokens para tokens Entra | TokenBindingParameters |
| vaultUri | Identificador URI del almacén para realizar operaciones en claves y secretos. | cuerda |
VirtualNetworkRule
| Nombre | Descripción | Valor |
|---|---|---|
| identificación | Identificador de recurso completo de una subred de red virtual, como "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (obligatorio) |
| ignoreMissingVnetServiceEndpoint | Propiedad para especificar si NRP omitirá la comprobación si la subred primaria tiene serviceEndpoints configurado. | Bool |
Ejemplos de uso
Muestras de Bicep
Un ejemplo básico de cómo desplegar Key Vault.
param resourceName string = 'acctest0001'
param location string = 'westeurope'
resource vault 'Microsoft.KeyVault/vaults@2021-10-01' = {
name: resourceName
location: location
properties: {
accessPolicies: [
{
objectId: deployer().objectId
permissions: {
certificates: [
'ManageContacts'
]
keys: [
'Create'
]
secrets: [
'Set'
]
storage: []
}
tenantId: deployer().tenantId
}
]
createMode: 'default'
enableRbacAuthorization: false
enableSoftDelete: true
enabledForDeployment: false
enabledForDiskEncryption: false
enabledForTemplateDeployment: false
publicNetworkAccess: 'Enabled'
sku: {
family: 'A'
name: 'standard'
}
softDeleteRetentionInDays: 7
tenantId: deployer().tenantId
}
}
Azure Verified Modules
Los siguientes módulos verificados
| Módulo | Descripción |
|---|---|
| Key Vault | Módulo de Recursos AVM para Key Vault |
Azure Quickstart Samples
Las siguientes plantillas de inicio rápido Azure contienen Bicep ejemplos para desplegar este tipo de recurso.
| Archivo Bicep | Descripción |
|---|---|
| En este ejemplo se muestra cómo implementar un clúster de AKS con NAT Gateway para las conexiones salientes y una instancia de Application Gateway para las conexiones entrantes. | |
| Este ejemplo muestra cómo desplegar un clúster AKS con Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics y Key Vault | |
| Application Gateway con gestión interna de API y aplicación web | Pasarela de aplicaciones que enruta el tráfico de Internet a una instancia de gestión de API de red virtual (modo interno) que da servicio a una API web alojada en una aplicación web de Azure. |
| Azure AI Foundry configuración básica | Este conjunto de plantillas demuestra cómo configurar Azure AI Foundry con la configuración básica, es decir, con acceso público a internet habilitado, claves gestionadas por Microsoft para cifrado y configuración de identidad gestionada por Microsoft para el recurso de IA. |
| Azure AI Foundry configuración básica | Este conjunto de plantillas demuestra cómo configurar Azure AI Foundry con la configuración básica, es decir, con acceso público a internet habilitado, claves gestionadas por Microsoft para cifrado y configuración de identidad gestionada por Microsoft para el recurso de IA. |
| Azure AI Foundry red restringida | Este conjunto de plantillas demuestra cómo configurar Azure AI Foundry con el enlace y salida privados deshabilitados, utilizando claves gestionadas por Microsoft para el cifrado y la configuración de identidad gestionada por Microsoft para el recurso de IA. |
| Azure AI Foundry con autenticación Microsoft Entra ID | Este conjunto de plantillas demuestra cómo configurar Azure AI Foundry con autenticación Microsoft Entra ID para recursos dependientes, como Azure AI Services y Azure Storage. |
| Azure AI Studio configuración básica | Este conjunto de plantillas demuestra cómo configurar Azure AI Studio con la configuración básica, es decir, con acceso público a internet habilitado, claves gestionadas por Microsoft para el cifrado y configuración de identidad gestionada por Microsoft para el recurso de IA. |
| Azure red AI Studio restringida | Este conjunto de plantillas demuestra cómo configurar Azure AI Studio con el enlace y salida privados deshabilitados, usando claves gestionadas por Microsoft para el cifrado y la configuración de identidad gestionada por Microsoft para el recurso de IA. |
| Azure aplicación de funciones y una función activada por HTTP | Este ejemplo despliega una aplicación de función de Azure y una función activada por HTTP en línea dentro de la plantilla. También despliega un Key Vault y rellena un secreto con la clave host de la aplicación de funciones. |
| Azure Machine Learning configuración segura de extremo a extremo | Este conjunto de plantillas Bicep demuestra cómo configurar Azure Machine Learning de extremo a extremo en una configuración segura. Esta implementación de referencia incluye el área de trabajo, un clúster de proceso, una instancia de proceso y un clúster de AKS privado asociado. |
| Azure Machine Learning configuración segura de extremo a extremo (legacy) | Este conjunto de plantillas Bicep demuestra cómo configurar Azure Machine Learning de extremo a extremo en una configuración segura. Esta implementación de referencia incluye el área de trabajo, un clúster de proceso, una instancia de proceso y un clúster de AKS privado asociado. |
| Azure Storage Cifrado de cuentas con clave gestionada por el cliente | Esta plantilla despliega una Cuenta de Almacenamiento con una clave gestionada por el cliente para el cifrado que se genera y coloca dentro de un Key Vault. |
| Identidad básica de configuración de agente | Este conjunto de plantillas demuestra cómo configurar Azure AI Agent Service con la configuración básica usando la autenticación de identidad gestionada para la conexión AI Service/AOAI. Los agentes usan recursos de almacenamiento y búsqueda multiinquilino totalmente administrados por Microsoft. No tendrás ™visibilidad ni control sobre estos recursos subyacentes de Azure. |
| Crea un Key Vault y una lista de secretos | Esta plantilla crea un Key Vault y una lista de secretos dentro del Key vault tal como se pasan junto con los parámetros |
| Crea un perímetro de seguridad de red | Esta plantilla crea un perímetro de seguridad de red y su recurso asociado para proteger una bóveda de llaves de Azure. |
| Crea un destino de cómputo AKS con una dirección IP privada | Esta plantilla crea un objetivo de cómputo AKS en un espacio de trabajo de servicio de Azure Machine Learning dado con una dirección IP privada. |
| Crea un servicio de gestión de API con SSL desde KeyVault | Esta plantilla implementa un servicio de API Management configurado con identidad asignada por el usuario. Usa esta identidad para capturar el certificado SSL de KeyVault y lo mantiene actualizado comprobando cada 4 horas. |
| Crea un Azure Key Vault y un secreto | Esta plantilla crea un Azure Key Vault y un secreto. |
| Crea una Azure Key Vault con RBAC y un secreto | Esta plantilla crea un Azure Key Vault y un secreto. En lugar de depender de políticas de acceso, aprovecha Azure RBAC para gestionar la autorización de secretos |
| Crear un espacio de trabajo de Azure Machine Learning servicios | Esta plantilla de despliegue especifica un espacio de trabajo de Azure Machine Learning y sus recursos asociados, incluyendo Azure Key Vault, Azure Storage, Azure Application Insights y Azure Container Registry. Esta configuración describe el conjunto mínimo de recursos que necesitas para empezar con Azure Machine Learning. |
| Crear un espacio de trabajo de Azure Machine Learning servicios (CMK) | Esta plantilla de despliegue especifica cómo crear un espacio de trabajo de Azure Machine Learning con cifrado en el lado del servicio utilizando tus claves de cifrado. |
| Crear un espacio de trabajo de Azure Machine Learning servicios (CMK) | Esta plantilla de despliegue especifica un espacio de trabajo de Azure Machine Learning y sus recursos asociados, incluyendo Azure Key Vault, Azure Storage, Azure Application Insights y Azure Container Registry. El ejemplo muestra cómo configurar Azure Machine Learning para cifrado con una clave de cifrado gestionada por el cliente. |
| Crear un espacio de trabajo de Azure Machine Learning servicios (legacy) | Esta plantilla de despliegue especifica un espacio de trabajo de Azure Machine Learning y sus recursos asociados, incluyendo Azure Key Vault, Azure Storage, Azure Application Insights y Azure Container Registry. Esta configuración describe el conjunto de recursos que necesitas para empezar con Azure Machine Learning en una configuración de red aislada. |
| Crear un espacio de trabajo de Azure Machine Learning servicios (vnet) | Esta plantilla de despliegue especifica un espacio de trabajo de Azure Machine Learning y sus recursos asociados, incluyendo Azure Key Vault, Azure Storage, Azure Application Insights y Azure Container Registry. Esta configuración describe el conjunto de recursos que necesitas para empezar con Azure Machine Learning en una configuración de red aislada. |
| Crear pasarela de aplicaciones con certificados | Esta plantilla muestra cómo generar certificados autofirmados de Key Vault y luego referenciarlos desde Application Gateway. |
| Create Key Vault con el logging activado | Esta plantilla crea una cuenta de Azure Key Vault y una cuenta de Azure Storage que se utiliza para registrar registros. Opcionalmente crea bloqueos de recursos para proteger tu Key Vault y tus recursos de almacenamiento. |
| Crear bóveda de claves, identidad gestionada y asignación de roles | Esta plantilla crea un almacén de claves, una identidad administrada y una asignación de roles. |
| Crea un recurso de endpoint privado entre inquilinos | Esta plantilla le permite crear un recurso de punto de conexión priavate dentro del mismo entorno de inquilino o entre inquilinos y agregar la configuración de zona dns. |
| Crea una aplicación de Servicebus pub-sub Dapr usando Contenedores Apps | Cree una aplicación pub-sub servicebus de Dapr mediante Container Apps. |
| Despliegue Secure AI Foundry con una red virtual gestionada | Esta plantilla crea un entorno seguro de Azure AI Foundry con restricciones robustas de red e identidad de seguridad. |
| Despliega la analítica deportiva en Azure Arquitectura | Crea una cuenta de almacenamiento de Azure con ADLS Gen 2 habilitada, una instancia de Azure Data Factory con servicios vinculados para la cuenta de almacenamiento (y la Azure SQL Database si está desplegada), y una instancia de Azure Databricks. AAD identity for the user deploying the template and the managed identity for the ADF instance will be granted the Storage Blob Data Contributor role on the storage account. También hay opciones para desplegar una instancia de Azure Key Vault, una Azure SQL Database y un Azure Event Hub (para casos de uso en streaming). Cuando se despliega un Azure Key Vault, la identidad gestionada por la fábrica de datos y la identidad AAD del usuario que despliega la plantilla recibirán el rol de usuario de Key Vault Secrets. |
| Esta plantilla crea una nueva instancia hub de FinOps, que incluye Data Explorer, Data Lake storage y Data Factory. | |
| Este conjunto de plantillas demuestra cómo configurar Azure AI Agent Service con aislamiento de red virtual utilizando la autenticación de User Managed Identity para la conexión AI Service/AOAI y enlaces de red privada para conectar el agente a tus datos seguros. | |
| Este conjunto de plantillas demuestra cómo configurar Azure AI Agent Service con la configuración estándar, es decir, con autenticación de identidad gestionada para conexiones proyecto/hub y acceso público a internet habilitado. Los agentes usan recursos de almacenamiento y búsqueda de un solo inquilino propiedad del cliente. Con esta configuración, tiene control total y visibilidad sobre estos recursos, pero incurrirá en costos en función del uso. | |
| Entorno de pruebas para Azure Firewall Premium | Esta plantilla crea una Azure Firewall Premium y una Política de Firewall con funciones premium como Detección de Inspección de Intrusiones (IDPS), inspección TLS y filtrado por categoría web |
Definición de recursos de plantilla de ARM
El tipo de recurso vaults se puede implementar con operaciones destinadas a:
- grupos de recursos: consulte comandos de implementación de grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de recurso
Para crear un recurso Microsoft.KeyVault/vaults, agregue el siguiente JSON a la plantilla.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2026-03-01-preview",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "string",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"tokenBindingParameters": {
"minimumTokenBindingStrength": "string",
"mode": "string"
},
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
Valores de propiedad
Microsoft.KeyVault/vaults
| Nombre | Descripción | Valor |
|---|---|---|
| apiVersion | La versión de api | 'Avance del 01-03-2026' |
| ubicación | La ubicación de Azure soportada donde debería crearse la bóveda de llaves. | string (obligatorio) |
| nombre | El nombre del recurso | string (obligatorio) |
| Propiedades | Propiedades del almacén | VaultProperties (obligatorio) |
| Etiquetas | Etiquetas de recursos | Diccionario de nombres y valores de etiqueta. Consulte etiquetas de en plantillas |
| tipo | El tipo de recurso | "Microsoft.KeyVault/vaults" |
AccessPolicyEntry
| Nombre | Descripción | Valor |
|---|---|---|
| applicationId | Identificador de aplicación del cliente que realiza la solicitud en nombre de una entidad de seguridad | cuerda Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | El ID de objeto de un usuario, principal de servicio o grupo de seguridad en el tenant de Azure Active Directory para el vault. El identificador de objeto debe ser único para la lista de directivas de acceso. | string (obligatorio) |
| Permisos | Permisos que la identidad tiene para claves, secretos y certificados. | permisos (obligatorio) |
| ID del arrendatario | El ID de tenant de Azure Active Directory que debería usarse para autenticar solicitudes a la bóveda de claves. | cuerda Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatorio) |
IPRule
| Nombre | Descripción | Valor |
|---|---|---|
| valor | Intervalo de direcciones IPv4 en notación CIDR, como "124.56.78.91" (dirección IP simple) o "124.56.78.0/24" (todas las direcciones que comienzan por 124.56.78). | string (obligatorio) |
NetworkRuleSet
| Nombre | Descripción | Valor |
|---|---|---|
| puentear | Indica qué tráfico puede omitir las reglas de red. Puede ser "AzureServices" o "None". Si no se especifica el valor predeterminado es "AzureServices". | "AzureServices" 'Ninguno' |
| defaultAction | Acción predeterminada cuando no hay ninguna regla de ipRules y de virtualNetworkRules coinciden. Esto solo se usa después de evaluar la propiedad bypass. | 'Permitir' 'Denegar' |
| ipRules (Reglas de ip) | Lista de reglas de direcciones IP. | IPRule [] |
| virtualNetworkRules | Lista de reglas de red virtual. | virtualNetworkRule[] |
Permisos
| Nombre | Descripción | Valor |
|---|---|---|
| Certificados | Permisos para certificados | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Crear' 'Eliminar' 'Emisores de eliminación' 'obtener' 'getissuers' 'importar' 'lista' 'Emisores de listas' 'Gestionar contactos' «Gestores de emisores» 'purgar' 'Recuperar' 'Restaurar' 'Sedientes' 'Actualización' |
| Llaves | Permisos para claves | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Crear' 'descifrado' 'Eliminar' 'Cifrar' 'obtener' 'getrotationpolicy' 'importar' 'lista' 'purgar' 'Recuperar' 'Liberación' 'Restaurar' 'girar' 'setrotationpolicy' 'signo' 'unwrapKey' 'Actualización' 'Verificar' 'Llave de envoltura' |
| Secretos | Permisos para secretos | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Eliminar' 'obtener' 'lista' 'purgar' 'Recuperar' 'Restaurar' 'Conjunto' |
| almacenamiento | Permisos para cuentas de almacenamiento | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Eliminar' 'deletesas' 'obtener' 'getsas' 'lista' 'Listas' 'purgar' 'Recuperar' 'RegenerateKey' 'Restaurar' 'Conjunto' 'setsas' 'Actualización' |
SKU
| Nombre | Descripción | Valor |
|---|---|---|
| familia | Nombre de familia de SKU | 'A' (obligatorio) |
| nombre | Nombre de SKU para especificar si el almacén de claves es un almacén estándar o un almacén Premium. | 'Premium' 'estándar' (obligatorio) |
TokenBindingParameters
| Nombre | Descripción | Valor |
|---|---|---|
| mínimoTokenVinculaciónFuerza | Debe ser uno de los siguientes valores: "NoValidation", "Untested", "AttestedTrustedLaunch", "AttestedConfidential". La fuerza de la vinculación de fichas aumenta con cada valor en ese orden. | 'Confidencial Atestiguado' 'AtestadoLanzamientoDeConfiable' 'NoValidation' 'No atestiguado' |
| mode | Esto especifica si la vinculación de tokens está deshabilitada, habilitada o aplicada. | 'Aplicado' 'NoEnEnforced' |
VaultCreateOrUpdateParametersTags
| Nombre | Descripción | Valor |
|---|
VaultProperties (Propiedades de la bóveda)
| Nombre | Descripción | Valor |
|---|---|---|
| accessPolicies | Matriz de 0 a 1024 identidades que tienen acceso al almacén de claves. Todas las identidades de la matriz deben usar el mismo identificador de inquilino que el identificador de inquilino del almacén de claves. Cuando createMode se establece en recover, no se requieren directivas de acceso. De lo contrario, se requieren directivas de acceso. |
accessPolicyEntry[] |
| createMode | Modo de creación del almacén para indicar si el almacén debe recuperarse o no. | 'predeterminado' 'Recuperar' |
| enabledForDeployment | Propiedad para especificar si Azure Virtual Machines está permitido para recuperar certificados almacenados como secretos del Key Vault. | Bool |
| enabledForDiskEncryption | Propiedad para especificar si Azure Disk Encryption está permitido para recuperar secretos del vault y desplegar claves. | Bool |
| enabledForTemplateDeployment | Property para especificar si Azure Resource Manager está autorizado para recuperar secretos del Key Vault. | Bool |
| enablePurgeProtection | Propiedad que especifica si la protección contra purga está habilitada para este almacén. Poner esta propiedad en true activa la protección contra purga para este refugio y su contenido; solo el servicio Key Vault puede iniciar una eliminación dura e irrecuperable. La configuración solo es efectiva si la eliminación temporal también está habilitada. La habilitación de esta funcionalidad es irreversible; es decir, la propiedad no acepta false como su valor. | Bool |
| enableRbacAuthorization | Propiedad que controla cómo se autorizan las acciones de datos. Cuando es cierto, el vault de claves utilizará el Access Control basado en roles (RBAC) para autorizar acciones de datos, y las políticas de acceso especificadas en las propiedades del vault serán ignoradas. Cuando es falso, el bóveda de claves usará las políticas de acceso especificadas en las propiedades del refugio, y cualquier política almacenada en Azure Resource Manager será ignorada. Si se especifica null o no, el almacén se crea con el valor predeterminado de false. Tenga en cuenta que las acciones de administración siempre están autorizadas con RBAC. | Bool |
| enableSoftDelete | Propiedad para especificar si la funcionalidad de "eliminación temporal" está habilitada para este almacén de claves. Si no se establece en ningún valor (true o false) al crear un nuevo almacén de claves, se establecerá en true de forma predeterminada. Una vez establecido en true, no se puede revertir a false. | Bool |
| networkAcls | Reglas que rigen la accesibilidad del almacén de claves desde ubicaciones de red específicas. | NetworkRuleSet |
| provisioningState | Estado de aprovisionamiento del almacén. | "RegisteringDns" "Correcto" |
| publicNetworkAccess | Propiedad para especificar si el almacén aceptará el tráfico de la red pública de Internet. Si se establece en "deshabilitado" todo el tráfico excepto el tráfico del punto de conexión privado y que se origina en servicios de confianza se bloqueará. Esto invalidará las reglas de firewall establecidas, lo que significa que aunque las reglas de firewall estén presentes, no respetaremos las reglas. | cuerda |
| Sku | Detalles de la SKU | de Sku (obligatorio) |
| softDeleteRetentionInDays | días de retención de datos softDelete. Acepta >=7 y <=90. | Int |
| ID del arrendatario | El ID de tenant de Azure Active Directory que debería usarse para autenticar solicitudes a la bóveda de claves. | cuerda Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatorio) |
| tokenBindingParameters | Configuración para la vinculación de tokens para tokens Entra | TokenBindingParameters |
| vaultUri | Identificador URI del almacén para realizar operaciones en claves y secretos. | cuerda |
VirtualNetworkRule
| Nombre | Descripción | Valor |
|---|---|---|
| identificación | Identificador de recurso completo de una subred de red virtual, como "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (obligatorio) |
| ignoreMissingVnetServiceEndpoint | Propiedad para especificar si NRP omitirá la comprobación si la subred primaria tiene serviceEndpoints configurado. | Bool |
Ejemplos de uso
Plantillas de inicio rápido de Azure
Las siguientes plantillas Azure Quickstart despliegan este tipo de recurso.
| Plantilla | Descripción |
|---|---|
|
En este ejemplo se muestra cómo implementar un clúster de AKS con NAT Gateway para las conexiones salientes y una instancia de Application Gateway para las conexiones entrantes. |
|
|
Este ejemplo muestra cómo desplegar un clúster AKS con Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics y Key Vault |
|
App Service Environment con Azure SQL backend
|
Esta plantilla crea un App Service Environment con un backend de Azure SQL junto con endpoints privados y recursos asociados que normalmente se usan en entornos privados o aislados. |
|
Application Gateway con gestión interna de API y aplicación web
|
Pasarela de aplicaciones que enruta el tráfico de Internet a una instancia de gestión de API de red virtual (modo interno) que da servicio a una API web alojada en una aplicación web de Azure. |
|
Azure AI Foundry configuración básica
|
Este conjunto de plantillas demuestra cómo configurar Azure AI Foundry con la configuración básica, es decir, con acceso público a internet habilitado, claves gestionadas por Microsoft para cifrado y configuración de identidad gestionada por Microsoft para el recurso de IA. |
|
Azure AI Foundry configuración básica
|
Este conjunto de plantillas demuestra cómo configurar Azure AI Foundry con la configuración básica, es decir, con acceso público a internet habilitado, claves gestionadas por Microsoft para cifrado y configuración de identidad gestionada por Microsoft para el recurso de IA. |
|
Azure AI Foundry red restringida
|
Este conjunto de plantillas demuestra cómo configurar Azure AI Foundry con el enlace y salida privados deshabilitados, utilizando claves gestionadas por Microsoft para el cifrado y la configuración de identidad gestionada por Microsoft para el recurso de IA. |
|
Azure AI Foundry con autenticación Microsoft Entra ID
|
Este conjunto de plantillas demuestra cómo configurar Azure AI Foundry con autenticación Microsoft Entra ID para recursos dependientes, como Azure AI Services y Azure Storage. |
|
Azure AI Studio configuración básica
|
Este conjunto de plantillas demuestra cómo configurar Azure AI Studio con la configuración básica, es decir, con acceso público a internet habilitado, claves gestionadas por Microsoft para el cifrado y configuración de identidad gestionada por Microsoft para el recurso de IA. |
|
Azure red AI Studio restringida
|
Este conjunto de plantillas demuestra cómo configurar Azure AI Studio con el enlace y salida privados deshabilitados, usando claves gestionadas por Microsoft para el cifrado y la configuración de identidad gestionada por Microsoft para el recurso de IA. |
|
Azure aplicación de funciones y una función activada por HTTP
|
Este ejemplo despliega una aplicación de función de Azure y una función activada por HTTP en línea dentro de la plantilla. También despliega un Key Vault y rellena un secreto con la clave host de la aplicación de funciones. |
|
Azure Machine Learning configuración segura de extremo a extremo
|
Este conjunto de plantillas Bicep demuestra cómo configurar Azure Machine Learning de extremo a extremo en una configuración segura. Esta implementación de referencia incluye el área de trabajo, un clúster de proceso, una instancia de proceso y un clúster de AKS privado asociado. |
|
Azure Machine Learning configuración segura de extremo a extremo (legacy)
|
Este conjunto de plantillas Bicep demuestra cómo configurar Azure Machine Learning de extremo a extremo en una configuración segura. Esta implementación de referencia incluye el área de trabajo, un clúster de proceso, una instancia de proceso y un clúster de AKS privado asociado. |
|
Azure Machine Learning Espacio de trabajo
|
Esta plantilla crea un nuevo Azure Machine Learning Workspace, junto con una cuenta de almacenamiento cifrada, KeyVault y Applications Insights Logging |
|
Azure Storage Cifrado de cuentas con clave gestionada por el cliente
|
Esta plantilla despliega una Cuenta de Almacenamiento con una clave gestionada por el cliente para el cifrado que se genera y coloca dentro de un Key Vault. |
|
Identidad básica de configuración de agente
|
Este conjunto de plantillas demuestra cómo configurar Azure AI Agent Service con la configuración básica usando la autenticación de identidad gestionada para la conexión AI Service/AOAI. Los agentes usan recursos de almacenamiento y búsqueda multiinquilino totalmente administrados por Microsoft. No tendrás ™visibilidad ni control sobre estos recursos subyacentes de Azure. |
|
Conecta a un Key Vault vía punto de enlace privado
|
Este ejemplo muestra cómo configurar una red virtual y una zona DNS privada para acceder a Key Vault a través del punto final privado. |
|
Crea un Key Vault y una lista de secretos
|
Esta plantilla crea un Key Vault y una lista de secretos dentro del Key vault tal como se pasan junto con los parámetros |
|
Crea un KeyVault
|
Este módulo crea un recurso keyVault con apiVersion 2019-09-01. |
|
Crea un perímetro de seguridad de red
|
Esta plantilla crea un perímetro de seguridad de red y su recurso asociado para proteger una bóveda de llaves de Azure. |
|
Crea una nueva máquina virtual cifrada de Windows a partir de la imagen de galería
|
Esta plantilla crea una nueva máquina virtual windows cifrada con la imagen de la galería server 2k12. |
|
Crea un clúster AKS privado con una zona DNS pública
|
En este ejemplo se muestra cómo implementar un clúster de AKS privado con una zona DNS pública. |
|
Crear espacio de trabajo AML con múltiples conjuntos de datos y conjuntos de datos Datastores
|
Esta plantilla crea un espacio de trabajo de Azure Machine Learning con múltiples conjuntos de datos y almacenes de datos. |
|
Crea un destino de cómputo AKS con una dirección IP privada
|
Esta plantilla crea un objetivo de cómputo AKS en un espacio de trabajo de servicio de Azure Machine Learning dado con una dirección IP privada. |
|
Crea un servicio de gestión de API con SSL desde KeyVault
|
Esta plantilla implementa un servicio de API Management configurado con identidad asignada por el usuario. Usa esta identidad para capturar el certificado SSL de KeyVault y lo mantiene actualizado comprobando cada 4 horas. |
|
Crear una Pasarela de Aplicaciones V2 con Key Vault
|
Esta plantilla despliega un Application Gateway V2 en una Virtual Network, una identidad definida por el usuario, Key Vault, un secreto (datos de certificación) y una política de acceso en Key Vault y Application Gateway. |
|
Crea un Azure Key Vault y un secreto
|
Esta plantilla crea un Azure Key Vault y un secreto. |
|
Crea una Azure Key Vault con RBAC y un secreto
|
Esta plantilla crea un Azure Key Vault y un secreto. En lugar de depender de políticas de acceso, aprovecha Azure RBAC para gestionar la autorización de secretos |
|
Crear un espacio de trabajo de Azure Machine Learning servicios
|
Esta plantilla de despliegue especifica un espacio de trabajo de Azure Machine Learning y sus recursos asociados, incluyendo Azure Key Vault, Azure Storage, Azure Application Insights y Azure Container Registry. Esta configuración describe el conjunto mínimo de recursos que necesitas para empezar con Azure Machine Learning. |
|
Crear un espacio de trabajo de Azure Machine Learning servicios (CMK)
|
Esta plantilla de despliegue especifica cómo crear un espacio de trabajo de Azure Machine Learning con cifrado en el lado del servicio utilizando tus claves de cifrado. |
|
Crear un espacio de trabajo de Azure Machine Learning servicios (CMK)
|
Esta plantilla de despliegue especifica un espacio de trabajo de Azure Machine Learning y sus recursos asociados, incluyendo Azure Key Vault, Azure Storage, Azure Application Insights y Azure Container Registry. El ejemplo muestra cómo configurar Azure Machine Learning para cifrado con una clave de cifrado gestionada por el cliente. |
|
Crear un espacio de trabajo de Azure Machine Learning servicios (legacy)
|
Esta plantilla de despliegue especifica un espacio de trabajo de Azure Machine Learning y sus recursos asociados, incluyendo Azure Key Vault, Azure Storage, Azure Application Insights y Azure Container Registry. Esta configuración describe el conjunto de recursos que necesitas para empezar con Azure Machine Learning en una configuración de red aislada. |
|
Crear un espacio de trabajo de Azure Machine Learning servicios (vnet)
|
Esta plantilla de despliegue especifica un espacio de trabajo de Azure Machine Learning y sus recursos asociados, incluyendo Azure Key Vault, Azure Storage, Azure Application Insights y Azure Container Registry. Esta configuración describe el conjunto de recursos que necesitas para empezar con Azure Machine Learning en una configuración de red aislada. |
|
Crea y cifra un nuevo VMSS de Windows con jumpbox
|
Esta plantilla te permite desplegar un conjunto sencillo de VM de Windows usando la última versión parcheada de las versiones de Windows de Server. Esta plantilla también implementa un jumpbox con una dirección IP pública en la misma red virtual. Puedes conectarte al jumpbox a través de esta dirección IP pública y luego conectar desde ahí a las máquinas virtuales del conjunto de escalas mediante direcciones IP privadas. Esta plantilla permite el cifrado en el VM Scale Set de VMs de Windows. |
|
Crear pasarela de aplicaciones con certificados
|
Esta plantilla muestra cómo generar certificados autofirmados de Key Vault y luego referenciarlos desde Application Gateway. |
|
Create Key Vault con el logging activado
|
Esta plantilla crea una cuenta de Azure Key Vault y una cuenta de Azure Storage que se utiliza para registrar registros. Opcionalmente crea bloqueos de recursos para proteger tu Key Vault y tus recursos de almacenamiento. |
|
Crear bóveda de claves, identidad gestionada y asignación de roles
|
Esta plantilla crea un almacén de claves, una identidad administrada y una asignación de roles. |
|
Crear nuevos discos gestionados cifrados win-vm desde la imagen de galería
|
Esta plantilla crea una nueva máquina virtual windows de discos administrados cifrados mediante la imagen de la galería de server 2k12. |
|
Crea un recurso de endpoint privado entre inquilinos
|
Esta plantilla le permite crear un recurso de punto de conexión priavate dentro del mismo entorno de inquilino o entre inquilinos y agregar la configuración de zona dns. |
|
Crea una aplicación de Servicebus pub-sub Dapr usando Contenedores Apps
|
Cree una aplicación pub-sub servicebus de Dapr mediante Container Apps. |
|
Despliegue Secure AI Foundry con una red virtual gestionada
|
Esta plantilla crea un entorno seguro de Azure AI Foundry con restricciones robustas de red e identidad de seguridad. |
|
Despliega la analítica deportiva en Azure Arquitectura
|
Crea una cuenta de almacenamiento de Azure con ADLS Gen 2 habilitada, una instancia de Azure Data Factory con servicios vinculados para la cuenta de almacenamiento (y la Azure SQL Database si está desplegada), y una instancia de Azure Databricks. AAD identity for the user deploying the template and the managed identity for the ADF instance will be granted the Storage Blob Data Contributor role on the storage account. También hay opciones para desplegar una instancia de Azure Key Vault, una Azure SQL Database y un Azure Event Hub (para casos de uso en streaming). Cuando se despliega un Azure Key Vault, la identidad gestionada por la fábrica de datos y la identidad AAD del usuario que despliega la plantilla recibirán el rol de usuario de Key Vault Secrets. |
|
Habilitar el cifrado en una VM Windows en ejecución
|
Esta plantilla habilita el cifrado en una máquina virtual windows en ejecución. |
|
|
Esta plantilla crea una nueva instancia hub de FinOps, que incluye Data Explorer, Data Lake storage y Data Factory. |
|
|
Este conjunto de plantillas demuestra cómo configurar Azure AI Agent Service con aislamiento de red virtual utilizando la autenticación de User Managed Identity para la conexión AI Service/AOAI y enlaces de red privada para conectar el agente a tus datos seguros. |
|
|
Este conjunto de plantillas demuestra cómo configurar Azure AI Agent Service con la configuración estándar, es decir, con autenticación de identidad gestionada para conexiones proyecto/hub y acceso público a internet habilitado. Los agentes usan recursos de almacenamiento y búsqueda de un solo inquilino propiedad del cliente. Con esta configuración, tiene control total y visibilidad sobre estos recursos, pero incurrirá en costos en función del uso. |
|
Entorno de pruebas para Azure Firewall Premium
|
Esta plantilla crea una Azure Firewall Premium y una Política de Firewall con funciones premium como Detección de Inspección de Intrusiones (IDPS), inspección TLS y filtrado por categoría web |
|
Esta plantilla cifra un Windows en ejecución VMSS
|
Esta plantilla permite el cifrado en un conjunto de escalado de máquinas virtuales de Windows en ejecución |
Definición de recursos de Terraform (proveedor AzAPI)
El tipo de recurso vaults se puede implementar con operaciones destinadas a:
- Grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de recurso
Para crear un recurso Microsoft.KeyVault/vaults, agregue lo siguiente a la plantilla de Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2026-03-01-preview"
name = "string"
parent_id = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "string"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
tokenBindingParameters = {
minimumTokenBindingStrength = "string"
mode = "string"
}
vaultUri = "string"
}
}
}
Valores de propiedad
Microsoft.KeyVault/vaults
| Nombre | Descripción | Valor |
|---|---|---|
| ubicación | La ubicación de Azure soportada donde debería crearse la bóveda de llaves. | string (obligatorio) |
| nombre | El nombre del recurso | string (obligatorio) |
| Propiedades | Propiedades del almacén | VaultProperties (obligatorio) |
| Etiquetas | Etiquetas de recursos | Diccionario de nombres y valores de etiqueta. |
| tipo | El tipo de recurso | "Microsoft.KeyVault/vaults@2026-03-01-preview" |
AccessPolicyEntry
| Nombre | Descripción | Valor |
|---|---|---|
| applicationId | Identificador de aplicación del cliente que realiza la solicitud en nombre de una entidad de seguridad | cuerda Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | El ID de objeto de un usuario, principal de servicio o grupo de seguridad en el tenant de Azure Active Directory para el vault. El identificador de objeto debe ser único para la lista de directivas de acceso. | string (obligatorio) |
| Permisos | Permisos que la identidad tiene para claves, secretos y certificados. | permisos (obligatorio) |
| ID del arrendatario | El ID de tenant de Azure Active Directory que debería usarse para autenticar solicitudes a la bóveda de claves. | cuerda Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatorio) |
IPRule
| Nombre | Descripción | Valor |
|---|---|---|
| valor | Intervalo de direcciones IPv4 en notación CIDR, como "124.56.78.91" (dirección IP simple) o "124.56.78.0/24" (todas las direcciones que comienzan por 124.56.78). | string (obligatorio) |
NetworkRuleSet
| Nombre | Descripción | Valor |
|---|---|---|
| puentear | Indica qué tráfico puede omitir las reglas de red. Puede ser "AzureServices" o "None". Si no se especifica el valor predeterminado es "AzureServices". | "AzureServices" 'Ninguno' |
| defaultAction | Acción predeterminada cuando no hay ninguna regla de ipRules y de virtualNetworkRules coinciden. Esto solo se usa después de evaluar la propiedad bypass. | 'Permitir' 'Denegar' |
| ipRules (Reglas de ip) | Lista de reglas de direcciones IP. | IPRule [] |
| virtualNetworkRules | Lista de reglas de red virtual. | virtualNetworkRule[] |
Permisos
| Nombre | Descripción | Valor |
|---|---|---|
| Certificados | Permisos para certificados | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Crear' 'Eliminar' 'Emisores de eliminación' 'obtener' 'getissuers' 'importar' 'lista' 'Emisores de listas' 'Gestionar contactos' «Gestores de emisores» 'purgar' 'Recuperar' 'Restaurar' 'Sedientes' 'Actualización' |
| Llaves | Permisos para claves | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Crear' 'descifrado' 'Eliminar' 'Cifrar' 'obtener' 'getrotationpolicy' 'importar' 'lista' 'purgar' 'Recuperar' 'Liberación' 'Restaurar' 'girar' 'setrotationpolicy' 'signo' 'unwrapKey' 'Actualización' 'Verificar' 'Llave de envoltura' |
| Secretos | Permisos para secretos | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Eliminar' 'obtener' 'lista' 'purgar' 'Recuperar' 'Restaurar' 'Conjunto' |
| almacenamiento | Permisos para cuentas de almacenamiento | Matriz de cadenas que contiene cualquiera de: 'Todos' "copia de seguridad" 'Eliminar' 'deletesas' 'obtener' 'getsas' 'lista' 'Listas' 'purgar' 'Recuperar' 'RegenerateKey' 'Restaurar' 'Conjunto' 'setsas' 'Actualización' |
SKU
| Nombre | Descripción | Valor |
|---|---|---|
| familia | Nombre de familia de SKU | 'A' (obligatorio) |
| nombre | Nombre de SKU para especificar si el almacén de claves es un almacén estándar o un almacén Premium. | 'Premium' 'estándar' (obligatorio) |
TokenBindingParameters
| Nombre | Descripción | Valor |
|---|---|---|
| mínimoTokenVinculaciónFuerza | Debe ser uno de los siguientes valores: "NoValidation", "Untested", "AttestedTrustedLaunch", "AttestedConfidential". La fuerza de la vinculación de fichas aumenta con cada valor en ese orden. | 'Confidencial Atestiguado' 'AtestadoLanzamientoDeConfiable' 'NoValidation' 'No atestiguado' |
| mode | Esto especifica si la vinculación de tokens está deshabilitada, habilitada o aplicada. | 'Aplicado' 'NoEnEnforced' |
VaultCreateOrUpdateParametersTags
| Nombre | Descripción | Valor |
|---|
VaultProperties (Propiedades de la bóveda)
| Nombre | Descripción | Valor |
|---|---|---|
| accessPolicies | Matriz de 0 a 1024 identidades que tienen acceso al almacén de claves. Todas las identidades de la matriz deben usar el mismo identificador de inquilino que el identificador de inquilino del almacén de claves. Cuando createMode se establece en recover, no se requieren directivas de acceso. De lo contrario, se requieren directivas de acceso. |
accessPolicyEntry[] |
| createMode | Modo de creación del almacén para indicar si el almacén debe recuperarse o no. | 'predeterminado' 'Recuperar' |
| enabledForDeployment | Propiedad para especificar si Azure Virtual Machines está permitido para recuperar certificados almacenados como secretos del Key Vault. | Bool |
| enabledForDiskEncryption | Propiedad para especificar si Azure Disk Encryption está permitido para recuperar secretos del vault y desplegar claves. | Bool |
| enabledForTemplateDeployment | Property para especificar si Azure Resource Manager está autorizado para recuperar secretos del Key Vault. | Bool |
| enablePurgeProtection | Propiedad que especifica si la protección contra purga está habilitada para este almacén. Poner esta propiedad en true activa la protección contra purga para este refugio y su contenido; solo el servicio Key Vault puede iniciar una eliminación dura e irrecuperable. La configuración solo es efectiva si la eliminación temporal también está habilitada. La habilitación de esta funcionalidad es irreversible; es decir, la propiedad no acepta false como su valor. | Bool |
| enableRbacAuthorization | Propiedad que controla cómo se autorizan las acciones de datos. Cuando es cierto, el vault de claves utilizará el Access Control basado en roles (RBAC) para autorizar acciones de datos, y las políticas de acceso especificadas en las propiedades del vault serán ignoradas. Cuando es falso, el bóveda de claves usará las políticas de acceso especificadas en las propiedades del refugio, y cualquier política almacenada en Azure Resource Manager será ignorada. Si se especifica null o no, el almacén se crea con el valor predeterminado de false. Tenga en cuenta que las acciones de administración siempre están autorizadas con RBAC. | Bool |
| enableSoftDelete | Propiedad para especificar si la funcionalidad de "eliminación temporal" está habilitada para este almacén de claves. Si no se establece en ningún valor (true o false) al crear un nuevo almacén de claves, se establecerá en true de forma predeterminada. Una vez establecido en true, no se puede revertir a false. | Bool |
| networkAcls | Reglas que rigen la accesibilidad del almacén de claves desde ubicaciones de red específicas. | NetworkRuleSet |
| provisioningState | Estado de aprovisionamiento del almacén. | "RegisteringDns" "Correcto" |
| publicNetworkAccess | Propiedad para especificar si el almacén aceptará el tráfico de la red pública de Internet. Si se establece en "deshabilitado" todo el tráfico excepto el tráfico del punto de conexión privado y que se origina en servicios de confianza se bloqueará. Esto invalidará las reglas de firewall establecidas, lo que significa que aunque las reglas de firewall estén presentes, no respetaremos las reglas. | cuerda |
| Sku | Detalles de la SKU | de Sku (obligatorio) |
| softDeleteRetentionInDays | días de retención de datos softDelete. Acepta >=7 y <=90. | Int |
| ID del arrendatario | El ID de tenant de Azure Active Directory que debería usarse para autenticar solicitudes a la bóveda de claves. | cuerda Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obligatorio) |
| tokenBindingParameters | Configuración para la vinculación de tokens para tokens Entra | TokenBindingParameters |
| vaultUri | Identificador URI del almacén para realizar operaciones en claves y secretos. | cuerda |
VirtualNetworkRule
| Nombre | Descripción | Valor |
|---|---|---|
| identificación | Identificador de recurso completo de una subred de red virtual, como "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | string (obligatorio) |
| ignoreMissingVnetServiceEndpoint | Propiedad para especificar si NRP omitirá la comprobación si la subred primaria tiene serviceEndpoints configurado. | Bool |
Ejemplos de uso
Ejemplos de Terraform
Un ejemplo básico de cómo desplegar Key Vault.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
data "azurerm_client_config" "current" {
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "vault" {
type = "Microsoft.KeyVault/vaults@2021-10-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
accessPolicies = [
{
objectId = data.azurerm_client_config.current.object_id
permissions = {
certificates = [
"ManageContacts",
]
keys = [
"Create",
]
secrets = [
"Set",
]
storage = [
]
}
tenantId = data.azurerm_client_config.current.tenant_id
},
]
createMode = "default"
enableRbacAuthorization = false
enableSoftDelete = true
enabledForDeployment = false
enabledForDiskEncryption = false
enabledForTemplateDeployment = false
publicNetworkAccess = "Enabled"
sku = {
family = "A"
name = "standard"
}
softDeleteRetentionInDays = 7
tenantId = data.azurerm_client_config.current.tenant_id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Azure Verified Modules
Los siguientes módulos verificados
| Módulo | Descripción |
|---|---|
| Key Vault | Módulo de Recursos AVM para Key Vault |