Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
- più recenti
- 2026-03-01-anteprima
- 2026-02-01
- 2025-05-01
- Anteprima 2024-12-01
- 2024-11-01
- 2024-04-01-anteprima
- 2023-07-01
- 2023-02-01
- 2022-11-01
- 2022-07-01
- Anteprima 2022-02-01
- 2021-11-01-anteprima
- 2021-10-01
- 2021-06-01-anteprima
- 2021-04-01-anteprima
- 2020-04-01-anteprima
- 2019-09-01
- 2018-02-14
- Anteprima 2018-02-14
- 2016-10-01
- 2015-06-01
Osservazioni
Per indicazioni sull'uso dei vault di chiavi per valori sicuri, vedi Gestire i segreti usando Bicep.
Per un avvio rapido sulla creazione di un segreto, vedi Quickstart: Imposta e recupera un segreto da Azure Key Vault usando un template ARM.
Per un avvio rapido nella creazione di una chiave, vedi Quickstart: Crea un vault Azure chiave e una chiave usando il template ARM.
Definizione della risorsa Bicep
Il tipo di risorsa insiemi di credenziali può essere distribuito con operazioni destinate a:
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato risorsa
Per creare una risorsa Microsoft.KeyVault/vaults, aggiungi il seguente Bicep al tuo template.
resource symbolicname 'Microsoft.KeyVault/vaults@2026-03-01-preview' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'string'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
tokenBindingParameters: {
minimumTokenBindingStrength: 'string'
mode: 'string'
}
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
Valori delle proprietà
Microsoft.KeyVault/vaults
| Nome | Descrizione | Valore |
|---|---|---|
| ubicazione | La posizione Azure supportata dove dovrebbe essere creata la cassaforte delle chiavi. | stringa (obbligatorio) |
| nome | Nome della risorsa | stringa (obbligatorio) |
| proprietà | Proprietà dell'insieme di credenziali | VaultProperties (obbligatorio) |
| Tag | Tag delle risorse | Dizionario di nomi e valori di tag. Vedere tag nei modelli |
AccessPolicyEntry
| Nome | Descrizione | Valore |
|---|---|---|
| ID dell'applicazione | ID applicazione del client che effettua una richiesta per conto di un'entità | corda Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Modello = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | L'ID oggetto di un utente, principale di servizio o gruppo di sicurezza nel tenant Azure Active Directory per il vault. L'ID oggetto deve essere univoco per l'elenco dei criteri di accesso. | stringa (obbligatorio) |
| Autorizzazioni | Autorizzazioni per l'identità per chiavi, segreti e certificati. | autorizzazioni (obbligatorio) |
| ID del cliente | L'ID tenant di Azure Active Directory dovrebbe essere usato per autenticare le richieste al vault delle chiavi. | corda Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obbligatorio) |
IPRule
| Nome | Descrizione | Valore |
|---|---|---|
| valore | Intervallo di indirizzi IPv4 nella notazione CIDR, ad esempio "124.56.78.91" (indirizzo IP semplice) o "124.56.78.0/24" (tutti gli indirizzi che iniziano con 124.56.78). | stringa (obbligatorio) |
Set di regole di rete
| Nome | Descrizione | Valore |
|---|---|---|
| circonvallazione | Indica il traffico che può ignorare le regole di rete. Può trattarsi di "AzureServices" o "None". Se non specificato, il valore predefinito è "AzureServices". | 'AzureServices' 'Nessuno' |
| defaultAction | Azione predefinita quando nessuna regola da ipRules e da virtualNetworkRules corrispondono. Questa proprietà viene utilizzata solo dopo la valutazione della proprietà bypass. | 'Consenti' 'Negare' |
| ipRegole | Elenco delle regole degli indirizzi IP. | IPRule[] |
| virtualNetworkRegole | Elenco delle regole di rete virtuale. | VirtualNetworkRule[] |
Autorizzazioni
| Nome | Descrizione | Valore |
|---|---|---|
| Certificati | Autorizzazioni per i certificati | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'creare' 'cancellare' 'deleteissuers' 'Prendi' 'GetIssuers' 'importazione' 'elenco' «Emittenti di elenchi» 'Gestisci contatti' «Gestire gli emittenti» 'ripulitura' 'Recuperare' 'ripristinare' «SETISSUERS» 'Aggiornamento' |
| Chiavi | Autorizzazioni per le chiavi | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'creare' 'decriptare' 'cancellare' 'crittografare' 'Prendi' 'getrotationpolicy' 'importazione' 'elenco' 'ripulitura' 'Recuperare' 'Liberazione' 'ripristinare' 'ruotare' 'setrotationpolicy' 'segno' 'unwrapKey' 'Aggiornamento' 'verificare' 'wrapKey' |
| segreti | Autorizzazioni per i segreti | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'cancellare' 'Prendi' 'elenco' 'ripulitura' 'Recuperare' 'ripristinare' 'impostato' |
| immagazzinamento | Autorizzazioni per gli account di archiviazione | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'cancellare' 'deletesas' 'Prendi' 'Getsas' 'elenco' 'liste' 'ripulitura' 'Recuperare' 'Chiave rigenerata' 'ripristinare' 'impostato' 'Setsas' 'Aggiornamento' |
Sku
| Nome | Descrizione | Valore |
|---|---|---|
| famiglia | Nome della famiglia di SKU | 'A' (obbligatorio) |
| nome | Nome SKU per specificare se l'insieme di credenziali delle chiavi è un insieme di credenziali standard o un insieme di credenziali Premium. | 'Premium' 'standard' (obbligatorio) |
TokenBindingParameters
| Nome | Descrizione | Valore |
|---|---|---|
| minimTokenBindingStrength | Deve essere uno dei seguenti valori: "NoValidation", "Unattested", "AttestedTrustedLaunch", "AttestedConfidential". La forza del binding dei gettoni aumenta con ogni valore in quell'ordine. | 'AttestatoConfidenziale' 'LancioAttestatoFidato' 'NessunaValidazione' 'Non attestato' |
| mode | Questo specifica se il token binding è disabilitato, abilitato o applicato. | 'Applicato' 'NonEnEnforced' |
VaultCreateOrUpdateParametersTags
| Nome | Descrizione | Valore |
|---|
Proprietà del Vault
| Nome | Descrizione | Valore |
|---|---|---|
| accessPolicies | Matrice da 0 a 1024 identità che hanno accesso all'insieme di credenziali delle chiavi. Tutte le identità nella matrice devono usare lo stesso ID tenant dell'ID tenant dell'insieme di credenziali delle chiavi. Quando createMode è impostato su recover, i criteri di accesso non sono necessari. In caso contrario, sono necessari criteri di accesso. |
AccessPolicyEntry[] |
| createMode | La modalità di creazione dell'insieme di credenziali per indicare se l'insieme di credenziali deve essere recuperato o meno. | 'predefinito' 'Recuperare' |
| enabledForDeployment | Proprietà per specificare se Azure Virtual Machines sono autorizzate a recuperare certificati memorizzati come segreti dal caveau delle chiavi. | Bool |
| enabledForDiskEncryption | Proprietà per specificare se Azure Disk Encryption è autorizzato a recuperare segreti dal vault e a srotolare chiavi. | Bool |
| enabledForTemplateDeployment | Property per specificare se Azure Resource Manager è autorizzato a recuperare segreti dal caveau delle chiavi. | Bool |
| abilitareProtezione Purga | Proprietà che specifica se la protezione da ripulitura è abilitata per questo insieme di credenziali. Impostare questa proprietà su true attiva la protezione contro la purga per questo vault e i suoi contenuti: solo il servizio Key Vault può avviare una cancellazione totale e irrecuperabile. L'impostazione è valida solo se è abilitata anche l'eliminazione temporanea. L'abilitazione di questa funzionalità è irreversibile, ovvero la proprietà non accetta false come valore. | Bool |
| enableRbacAuthorization | Proprietà che controlla la modalità di autorizzazione delle azioni dei dati. Quando è vero, il vault delle chiavi utilizzerà il Role Based Access Control (RBAC) per l'autorizzazione delle azioni sui dati, e le politiche di accesso specificate nelle proprietà del vault verranno ignorate. Quando è falso, il vault delle chiavi utilizzerà le policy di accesso specificate nelle proprietà del vault, e qualsiasi policy memorizzata su Azure Resource Manager verrà ignorata. Se viene specificato o meno null, l'insieme di credenziali viene creato con il valore predefinito false. Si noti che le azioni di gestione sono sempre autorizzate con il controllo degli accessi in base al ruolo. | Bool |
| enableSoftDelete | Proprietà per specificare se la funzionalità di eliminazione temporanea è abilitata per questo insieme di credenziali delle chiavi. Se non è impostato su alcun valore (true o false) durante la creazione di un nuovo insieme di credenziali delle chiavi, verrà impostato su true per impostazione predefinita. Una volta impostato su true, non può essere ripristinato su false. | Bool |
| Acl di rete | Regole che regolano l'accessibilità dell'insieme di credenziali delle chiavi da percorsi di rete specifici. | Set di regole di rete |
| provisioningStato | Stato di provisioning dell'insieme di credenziali. | 'RegistrazioneDns' 'Riuscito' |
| pubblicoAccesso alla rete | Proprietà per specificare se l'insieme di credenziali accetterà il traffico da Internet pubblico. Se impostato su "disabilitato" tutto il traffico, ad eccezione del traffico dell'endpoint privato e che ha origine da servizi attendibili, verrà bloccato. In questo modo verranno ignorate le regole del firewall impostate, ovvero anche se le regole del firewall sono presenti non verranno rispettate. | corda |
| Sku | Dettagli SKU | sku (obbligatorio) |
| softDeleteRetentionInDays | softDelete i giorni di conservazione dei dati. Accetta >=7 e <=90. | Int |
| ID del cliente | L'ID tenant di Azure Active Directory dovrebbe essere usato per autenticare le richieste al vault delle chiavi. | corda Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obbligatorio) |
| tokenBindingParameters | Configurazione per il Token Binding per i token Entra | TokenBindingParameters |
| vaultUri | URI dell'insieme di credenziali per l'esecuzione di operazioni su chiavi e segreti. | corda |
VirtualNetworkRule
| Nome | Descrizione | Valore |
|---|---|---|
| Id | ID risorsa completo di una subnet di rete virtuale, ad esempio "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | stringa (obbligatorio) |
| ignoreMissingVnetServiceEndpoint | Proprietà per specificare se NRP ignorerà il controllo se la subnet padre ha serviceEndpoints configurato. | Bool |
Esempi di utilizzo
Campioni di Bicep
Un esempio base di utilizzo di Key Vault.
param resourceName string = 'acctest0001'
param location string = 'westeurope'
resource vault 'Microsoft.KeyVault/vaults@2021-10-01' = {
name: resourceName
location: location
properties: {
accessPolicies: [
{
objectId: deployer().objectId
permissions: {
certificates: [
'ManageContacts'
]
keys: [
'Create'
]
secrets: [
'Set'
]
storage: []
}
tenantId: deployer().tenantId
}
]
createMode: 'default'
enableRbacAuthorization: false
enableSoftDelete: true
enabledForDeployment: false
enabledForDiskEncryption: false
enabledForTemplateDeployment: false
publicNetworkAccess: 'Enabled'
sku: {
family: 'A'
name: 'standard'
}
softDeleteRetentionInDays: 7
tenantId: deployer().tenantId
}
}
Azure Verified Modules
I seguenti Azure Moduli Verificati possono essere utilizzati per distribuire questo tipo di risorsa.
| Modulo | Descrizione |
|---|---|
| Key Vault | Modulo Risorse AVM per Key Vault |
Esempi di Azure Quickstart
I seguenti template Azure Quickstart contengono Bicep esempi per il deployment di questo tipo di risorsa.
| File Bicep | Descrizione |
|---|---|
| AKS Cluster con un NAT Gateway e un Application Gateway | Questo esempio illustra come distribuire un cluster del servizio Azure Kubernetes con il gateway NAT per le connessioni in uscita e un gateway applicazione per le connessioni in ingresso. |
| Questo esempio mostra come distribuire un cluster AKS con Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics e Key Vault | |
| Application Gateway con gestione interna delle API e Web App | Application Gateway che instrada il traffico Internet verso un'istanza di gestione API virtuale (modalità interna) che serve un'API web ospitata in un'app web Azure. |
| Azure AI Foundry configurazione base | Questo set di modelli dimostra come configurare Azure AI Foundry con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di IA. |
| Azure AI Foundry configurazione base | Questo set di modelli dimostra come configurare Azure AI Foundry con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di IA. |
| Azure AI Foundry rete limitata | Questo set di modelli dimostra come configurare Azure AI Foundry con il collegamento e uscita privati disabilitati, utilizzando chiavi gestite da Microsoft per la crittografia e la configurazione dell'identità gestita da Microsoft per la risorsa di IA. |
| Azure AI Foundry con Microsoft Entra ID Autenticazione | Questo insieme di template dimostra come configurare Azure AI Foundry con l'autenticazione Microsoft Entra ID per risorse dipendenti, come Azure AI Services e Azure Storage. |
| Azure AI Studio configurazione base | Questo set di template dimostra come configurare Azure AI Studio con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di IA. |
| Azure AI Studio Network Limitata | Questo set di template dimostra come configurare Azure AI Studio con il collegamento e uscita privati disabilitati, utilizzando chiavi gestite da Microsoft per la crittografia e la configurazione dell'identità gestita da Microsoft per la risorsa AI. |
| Azure app funzione e una funzione attivata da HTTP | Questo esempio distribuisce un'app Azure Function e una funzione attivata da HTTP in linea nel template. Implementa anche un Key Vault e popola un segreto con la chiave host dell'app funzionale. |
| Azure Machine Learning configurazione sicura end-to-end | Questo set di template Bicep dimostra come configurare Azure Machine Learning end-to-end in un setup sicuro. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato. |
| Azure Machine Learning configurazione sicura end-to-end (legacy) | Questo set di template Bicep dimostra come configurare Azure Machine Learning end-to-end in un setup sicuro. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato. |
| Azure Storage Crittografia dell'account con chiave gestita dal cliente | Questo template distribuisce un Account di Archiviazione con una chiave gestita dal cliente per la crittografia, generata e collocata all'interno di un Key Vault. |
| Identità di Configurazione Base dell'Agente | Questo set di template dimostra come configurare Azure AI Agent Service con la configurazione di base utilizzando l'autenticazione dell'identità gestita per la connessione AI Service/AOAI. Gli agenti usano risorse di ricerca e archiviazione multi-tenant completamente gestite da Microsoft. Non avrai ™visibilità o controllo su queste risorse Azure sottostanti. |
| Crea un Key Vault e una lista di segreti | Questo template crea un Key Vault e una lista dei segreti all'interno del Key vault come vengono passati insieme ai parametri |
| Crea un perimetro di sicurezza di rete | Questo modello crea un perimetro di sicurezza di rete e la risorsa associata per proteggere un vault di chiavi Azure. |
| Crea un target di calcolo AKS con un indirizzo IP privato | Questo template crea un target di calcolo AKS in un dato spazio di lavoro del servizio Azure Machine Learning con un indirizzo IP privato. |
| Crea un servizio di gestione API con SSL da KeyVault | Questo modello distribuisce un servizio Gestione API configurato con identità assegnata dall'utente. Usa questa identità per recuperare il certificato SSL da KeyVault e lo mantiene aggiornato controllando ogni 4 ore. |
| Crea un Azure Key Vault e un segreto | Questo modello crea un Azure Key Vault e un segreto. |
| Crea un Azure Key Vault con RBAC e un segreto | Questo modello crea un Azure Key Vault e un segreto. Invece di affidarsi alle policy di accesso, sfrutta Azure RBAC per gestire l'autorizzazione sui segreti |
| Crea uno spazio di lavoro Azure Machine Learning servizi | Questo modello di distribuzione specifica uno spazio di lavoro Azure Machine Learning e le sue risorse associate tra cui Azure Key Vault, Azure Storage, Azure Application Insights e Azure Container Registry. Questa configurazione descrive il set minimo di risorse di cui hai bisogno per iniziare con Azure Machine Learning. |
| Crea uno spazio di lavoro di Azure Machine Learning servizi (CMK) | Questo template di deployment specifica come creare uno spazio di lavoro Azure Machine Learning con crittografia lato servizio utilizzando le tue chiavi di crittografia. |
| Crea uno spazio di lavoro di Azure Machine Learning servizi (CMK) | Questo modello di distribuzione specifica uno spazio di lavoro Azure Machine Learning e le sue risorse associate tra cui Azure Key Vault, Azure Storage, Azure Application Insights e Azure Container Registry. L'esempio mostra come configurare Azure Machine Learning per la crittografia con una chiave di crittografia gestita dal cliente. |
| Crea uno spazio di lavoro Azure Machine Learning servizio (legacy) | Questo modello di distribuzione specifica uno spazio di lavoro Azure Machine Learning e le sue risorse associate tra cui Azure Key Vault, Azure Storage, Azure Application Insights e Azure Container Registry. Questa configurazione descrive il set di risorse di cui hai bisogno per iniziare con Azure Machine Learning in una configurazione isolata in rete. |
| Crea uno spazio di lavoro di servizio Azure Machine Learning (vnet) | Questo modello di distribuzione specifica uno spazio di lavoro Azure Machine Learning e le sue risorse associate tra cui Azure Key Vault, Azure Storage, Azure Application Insights e Azure Container Registry. Questa configurazione descrive il set di risorse di cui hai bisogno per iniziare con Azure Machine Learning in una configurazione isolata in rete. |
| Crea un Gateway Applicativo con Certificati | Questo modello mostra come generare certificati autofirmati di Key Vault, poi fare riferimento da Application Gateway. |
| Crea Key Vault con il logging attivato | Questo template crea un account Azure Key Vault e un account Azure Storage che viene utilizzato per il log. Opzionalmente crea blocchi di risorse per proteggere il tuo Key Vault e le risorse di stoccaggio. |
| Crea vault di chiavi, identità gestita e assegnazione di ruoli | Questo modello crea un insieme di credenziali delle chiavi, un'identità gestita e un'assegnazione di ruolo. |
| Crea una risorsa Cross-tenant Private Endpoint | Questo modello consente di creare una risorsa endpoint Priavate all'interno dello stesso ambiente o tra tenant e di aggiungere la configurazione della zona DNS. |
| Crea un'app Servicebus pub-sub Dapr usando Container Apps | Creare un'app pub-sub servicebus dapr usando App contenitore. |
| Implementa Secure AI Foundry con una rete virtuale gestita | Questo modello crea un ambiente sicuro di Azure AI Foundry con robuste restrizioni di sicurezza di rete e identità. |
| Deploy the Sports Analytics su Azure Architecture | Crea un account di storage Azure con ADLS Gen 2 abilitato, un'istanza di Azure Data Factory con servizi collegati per l'account di storage (e il Azure SQL Database se distribuito) e un'istanza di Azure Databricks. All'identità di AAD per l'utente che distribuisce il modello e all'identità gestita per l'istanza di Azure Data Factory verrà concesso il ruolo Collaboratore ai dati del BLOB di archiviazione nell'account di archiviazione. Ci sono anche opzioni per distribuire un'istanza Azure Key Vault, un Azure SQL Database e un Azure Event Hub (per casi d'uso in streaming). Quando viene distribuito un Azure Key Vault, l'identità gestita dalla data factory e l'identità AAD per l'utente che distribuisce il template riceveranno il ruolo di utente Key Vault Secrets. |
| Questo template crea una nuova istanza hub FinOps, che include Data Explorer, Data Lake storage e Data Factory. | |
| Agente Protetto di Rete con Identità Gestita dall'Utente | Questo set di template dimostra come configurare Azure AI Agent Service con isolamento virtuale della rete utilizzando l'autenticazione User Managed Identity per la connessione AI Service/AOAI e collegamenti di rete privati per collegare l'agente ai tuoi dati sicuri. |
| Configurazione Agente Standard | Questo set di template dimostra come configurare Azure AI Agent Service con la configurazione standard, cioè con l'autenticazione dell'identità gestita per connessioni progetto/hub e l'accesso pubblico a internet abilitato. Gli agenti usano risorse di ricerca e archiviazione a tenant singolo di proprietà del cliente. Con questa configurazione, si ha il controllo completo e la visibilità su queste risorse, ma si comportano costi in base all'utilizzo. |
| Ambiente di test per Azure Firewall Premium | Questo modello crea una Azure Firewall Premium e una Firewall Policy con funzionalità premium come Rilevamento di Ispezione di Intrusione (IDPS), ispezione TLS e filtraggio per categoria Web |
Definizione di risorsa del modello di Resource Manager
Il tipo di risorsa insiemi di credenziali può essere distribuito con operazioni destinate a:
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato risorsa
Per creare una risorsa Microsoft.KeyVault/vaults, aggiungere il codice JSON seguente al modello.
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2026-03-01-preview",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "string",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"tokenBindingParameters": {
"minimumTokenBindingStrength": "string",
"mode": "string"
},
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
Valori delle proprietà
Microsoft.KeyVault/vaults
| Nome | Descrizione | Valore |
|---|---|---|
| versione dell'API | Versione dell'API | 'Anteprima 2026-03-01' |
| ubicazione | La posizione Azure supportata dove dovrebbe essere creata la cassaforte delle chiavi. | stringa (obbligatorio) |
| nome | Nome della risorsa | stringa (obbligatorio) |
| proprietà | Proprietà dell'insieme di credenziali | VaultProperties (obbligatorio) |
| Tag | Tag delle risorse | Dizionario di nomi e valori di tag. Vedere tag nei modelli |
| digitare | Tipo di risorsa | 'Microsoft.KeyVault/insiemi di credenziali' |
AccessPolicyEntry
| Nome | Descrizione | Valore |
|---|---|---|
| ID dell'applicazione | ID applicazione del client che effettua una richiesta per conto di un'entità | corda Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Modello = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | L'ID oggetto di un utente, principale di servizio o gruppo di sicurezza nel tenant Azure Active Directory per il vault. L'ID oggetto deve essere univoco per l'elenco dei criteri di accesso. | stringa (obbligatorio) |
| Autorizzazioni | Autorizzazioni per l'identità per chiavi, segreti e certificati. | autorizzazioni (obbligatorio) |
| ID del cliente | L'ID tenant di Azure Active Directory dovrebbe essere usato per autenticare le richieste al vault delle chiavi. | corda Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obbligatorio) |
IPRule
| Nome | Descrizione | Valore |
|---|---|---|
| valore | Intervallo di indirizzi IPv4 nella notazione CIDR, ad esempio "124.56.78.91" (indirizzo IP semplice) o "124.56.78.0/24" (tutti gli indirizzi che iniziano con 124.56.78). | stringa (obbligatorio) |
Set di regole di rete
| Nome | Descrizione | Valore |
|---|---|---|
| circonvallazione | Indica il traffico che può ignorare le regole di rete. Può trattarsi di "AzureServices" o "None". Se non specificato, il valore predefinito è "AzureServices". | 'AzureServices' 'Nessuno' |
| defaultAction | Azione predefinita quando nessuna regola da ipRules e da virtualNetworkRules corrispondono. Questa proprietà viene utilizzata solo dopo la valutazione della proprietà bypass. | 'Consenti' 'Negare' |
| ipRegole | Elenco delle regole degli indirizzi IP. | IPRule[] |
| virtualNetworkRegole | Elenco delle regole di rete virtuale. | VirtualNetworkRule[] |
Autorizzazioni
| Nome | Descrizione | Valore |
|---|---|---|
| Certificati | Autorizzazioni per i certificati | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'creare' 'cancellare' 'deleteissuers' 'Prendi' 'GetIssuers' 'importazione' 'elenco' «Emittenti di elenchi» 'Gestisci contatti' «Gestire gli emittenti» 'ripulitura' 'Recuperare' 'ripristinare' «SETISSUERS» 'Aggiornamento' |
| Chiavi | Autorizzazioni per le chiavi | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'creare' 'decriptare' 'cancellare' 'crittografare' 'Prendi' 'getrotationpolicy' 'importazione' 'elenco' 'ripulitura' 'Recuperare' 'Liberazione' 'ripristinare' 'ruotare' 'setrotationpolicy' 'segno' 'unwrapKey' 'Aggiornamento' 'verificare' 'wrapKey' |
| segreti | Autorizzazioni per i segreti | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'cancellare' 'Prendi' 'elenco' 'ripulitura' 'Recuperare' 'ripristinare' 'impostato' |
| immagazzinamento | Autorizzazioni per gli account di archiviazione | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'cancellare' 'deletesas' 'Prendi' 'Getsas' 'elenco' 'liste' 'ripulitura' 'Recuperare' 'Chiave rigenerata' 'ripristinare' 'impostato' 'Setsas' 'Aggiornamento' |
Sku
| Nome | Descrizione | Valore |
|---|---|---|
| famiglia | Nome della famiglia di SKU | 'A' (obbligatorio) |
| nome | Nome SKU per specificare se l'insieme di credenziali delle chiavi è un insieme di credenziali standard o un insieme di credenziali Premium. | 'Premium' 'standard' (obbligatorio) |
TokenBindingParameters
| Nome | Descrizione | Valore |
|---|---|---|
| minimTokenBindingStrength | Deve essere uno dei seguenti valori: "NoValidation", "Unattested", "AttestedTrustedLaunch", "AttestedConfidential". La forza del binding dei gettoni aumenta con ogni valore in quell'ordine. | 'AttestatoConfidenziale' 'LancioAttestatoFidato' 'NessunaValidazione' 'Non attestato' |
| mode | Questo specifica se il token binding è disabilitato, abilitato o applicato. | 'Applicato' 'NonEnEnforced' |
VaultCreateOrUpdateParametersTags
| Nome | Descrizione | Valore |
|---|
Proprietà del Vault
| Nome | Descrizione | Valore |
|---|---|---|
| accessPolicies | Matrice da 0 a 1024 identità che hanno accesso all'insieme di credenziali delle chiavi. Tutte le identità nella matrice devono usare lo stesso ID tenant dell'ID tenant dell'insieme di credenziali delle chiavi. Quando createMode è impostato su recover, i criteri di accesso non sono necessari. In caso contrario, sono necessari criteri di accesso. |
AccessPolicyEntry[] |
| createMode | La modalità di creazione dell'insieme di credenziali per indicare se l'insieme di credenziali deve essere recuperato o meno. | 'predefinito' 'Recuperare' |
| enabledForDeployment | Proprietà per specificare se Azure Virtual Machines sono autorizzate a recuperare certificati memorizzati come segreti dal caveau delle chiavi. | Bool |
| enabledForDiskEncryption | Proprietà per specificare se Azure Disk Encryption è autorizzato a recuperare segreti dal vault e a srotolare chiavi. | Bool |
| enabledForTemplateDeployment | Property per specificare se Azure Resource Manager è autorizzato a recuperare segreti dal caveau delle chiavi. | Bool |
| abilitareProtezione Purga | Proprietà che specifica se la protezione da ripulitura è abilitata per questo insieme di credenziali. Impostare questa proprietà su true attiva la protezione contro la purga per questo vault e i suoi contenuti: solo il servizio Key Vault può avviare una cancellazione totale e irrecuperabile. L'impostazione è valida solo se è abilitata anche l'eliminazione temporanea. L'abilitazione di questa funzionalità è irreversibile, ovvero la proprietà non accetta false come valore. | Bool |
| enableRbacAuthorization | Proprietà che controlla la modalità di autorizzazione delle azioni dei dati. Quando è vero, il vault delle chiavi utilizzerà il Role Based Access Control (RBAC) per l'autorizzazione delle azioni sui dati, e le politiche di accesso specificate nelle proprietà del vault verranno ignorate. Quando è falso, il vault delle chiavi utilizzerà le policy di accesso specificate nelle proprietà del vault, e qualsiasi policy memorizzata su Azure Resource Manager verrà ignorata. Se viene specificato o meno null, l'insieme di credenziali viene creato con il valore predefinito false. Si noti che le azioni di gestione sono sempre autorizzate con il controllo degli accessi in base al ruolo. | Bool |
| enableSoftDelete | Proprietà per specificare se la funzionalità di eliminazione temporanea è abilitata per questo insieme di credenziali delle chiavi. Se non è impostato su alcun valore (true o false) durante la creazione di un nuovo insieme di credenziali delle chiavi, verrà impostato su true per impostazione predefinita. Una volta impostato su true, non può essere ripristinato su false. | Bool |
| Acl di rete | Regole che regolano l'accessibilità dell'insieme di credenziali delle chiavi da percorsi di rete specifici. | Set di regole di rete |
| provisioningStato | Stato di provisioning dell'insieme di credenziali. | 'RegistrazioneDns' 'Riuscito' |
| pubblicoAccesso alla rete | Proprietà per specificare se l'insieme di credenziali accetterà il traffico da Internet pubblico. Se impostato su "disabilitato" tutto il traffico, ad eccezione del traffico dell'endpoint privato e che ha origine da servizi attendibili, verrà bloccato. In questo modo verranno ignorate le regole del firewall impostate, ovvero anche se le regole del firewall sono presenti non verranno rispettate. | corda |
| Sku | Dettagli SKU | sku (obbligatorio) |
| softDeleteRetentionInDays | softDelete i giorni di conservazione dei dati. Accetta >=7 e <=90. | Int |
| ID del cliente | L'ID tenant di Azure Active Directory dovrebbe essere usato per autenticare le richieste al vault delle chiavi. | corda Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obbligatorio) |
| tokenBindingParameters | Configurazione per il Token Binding per i token Entra | TokenBindingParameters |
| vaultUri | URI dell'insieme di credenziali per l'esecuzione di operazioni su chiavi e segreti. | corda |
VirtualNetworkRule
| Nome | Descrizione | Valore |
|---|---|---|
| Id | ID risorsa completo di una subnet di rete virtuale, ad esempio "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | stringa (obbligatorio) |
| ignoreMissingVnetServiceEndpoint | Proprietà per specificare se NRP ignorerà il controllo se la subnet padre ha serviceEndpoints configurato. | Bool |
Esempi di utilizzo
Modelli di Avvio Rapido Azure
I seguenti template Azure Quickstart distribuiscono questo tipo di risorsa.
| Sagoma | Descrizione |
|---|---|
AKS Cluster con un NAT Gateway e un Application Gateway
|
Questo esempio illustra come distribuire un cluster del servizio Azure Kubernetes con il gateway NAT per le connessioni in uscita e un gateway applicazione per le connessioni in ingresso. |
|
|
Questo esempio mostra come distribuire un cluster AKS con Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics e Key Vault |
|
App Service Environment con Azure SQL backend
|
Questo template crea un App Service Environment con un backend Azure SQL insieme a endpoint privati e risorse associate tipicamente utilizzate in un ambiente privato/isolato. |
|
Application Gateway con gestione interna delle API e Web App
|
Application Gateway che instrada il traffico Internet verso un'istanza di gestione API virtuale (modalità interna) che serve un'API web ospitata in un'app web Azure. |
|
Azure AI Foundry configurazione base
|
Questo set di modelli dimostra come configurare Azure AI Foundry con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di IA. |
|
Azure AI Foundry configurazione base
|
Questo set di modelli dimostra come configurare Azure AI Foundry con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di IA. |
|
Azure AI Foundry rete limitata
|
Questo set di modelli dimostra come configurare Azure AI Foundry con il collegamento e uscita privati disabilitati, utilizzando chiavi gestite da Microsoft per la crittografia e la configurazione dell'identità gestita da Microsoft per la risorsa di IA. |
|
Azure AI Foundry con Microsoft Entra ID Autenticazione
|
Questo insieme di template dimostra come configurare Azure AI Foundry con l'autenticazione Microsoft Entra ID per risorse dipendenti, come Azure AI Services e Azure Storage. |
|
Azure AI Studio configurazione base
|
Questo set di template dimostra come configurare Azure AI Studio con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di IA. |
|
Azure AI Studio Network Limitata
|
Questo set di template dimostra come configurare Azure AI Studio con il collegamento e uscita privati disabilitati, utilizzando chiavi gestite da Microsoft per la crittografia e la configurazione dell'identità gestita da Microsoft per la risorsa AI. |
|
Azure app funzione e una funzione attivata da HTTP
|
Questo esempio distribuisce un'app Azure Function e una funzione attivata da HTTP in linea nel template. Implementa anche un Key Vault e popola un segreto con la chiave host dell'app funzionale. |
|
Azure Machine Learning configurazione sicura end-to-end
|
Questo set di template Bicep dimostra come configurare Azure Machine Learning end-to-end in un setup sicuro. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato. |
|
Azure Machine Learning configurazione sicura end-to-end (legacy)
|
Questo set di template Bicep dimostra come configurare Azure Machine Learning end-to-end in un setup sicuro. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato. |
|
Azure Machine Learning Spazio di lavoro
|
Questo template crea un nuovo Azure Machine Learning Workspace, insieme a un account di archiviazione criptato, KeyVault e Applications Insights Logging |
|
Azure Storage Crittografia dell'account con chiave gestita dal cliente
|
Questo template distribuisce un Account di Archiviazione con una chiave gestita dal cliente per la crittografia, generata e collocata all'interno di un Key Vault. |
|
Identità di Configurazione Base dell'Agente
|
Questo set di template dimostra come configurare Azure AI Agent Service con la configurazione di base utilizzando l'autenticazione dell'identità gestita per la connessione AI Service/AOAI. Gli agenti usano risorse di ricerca e archiviazione multi-tenant completamente gestite da Microsoft. Non avrai ™visibilità o controllo su queste risorse Azure sottostanti. |
|
Connettiti a un Key Vault tramite endpoint privato
|
Questo esempio mostra come configurare una rete virtuale e una zona DNS privata per accedere a Key Vault tramite endpoint privato. |
|
Crea un Key Vault e una lista di segreti
|
Questo template crea un Key Vault e una lista dei segreti all'interno del Key vault come vengono passati insieme ai parametri |
|
Crea un KeyVault
|
Questo modulo crea una risorsa KeyVault con apiVersion 2019-09-01. |
|
Crea un perimetro di sicurezza di rete
|
Questo modello crea un perimetro di sicurezza di rete e la risorsa associata per proteggere un vault di chiavi Azure. |
|
Crea una nuova VM Windows criptata dall'immagine galleria
|
Questo modello crea una nuova macchina virtuale Windows crittografata usando l'immagine della raccolta server 2k12. |
|
Crea un cluster AKS privato con una zona DNS pubblica
|
Questo esempio illustra come distribuire un cluster del servizio Azure Kubernetes privato con una zona DNS pubblica. |
|
Crea uno spazio di lavoro AML con più dataset e dataset Datastores
|
Questo template crea un workspace Azure Machine Learning con molteplici dataset e datastore. |
|
Crea un target di calcolo AKS con un indirizzo IP privato
|
Questo template crea un target di calcolo AKS in un dato spazio di lavoro del servizio Azure Machine Learning con un indirizzo IP privato. |
|
Crea un servizio di gestione API con SSL da KeyVault
|
Questo modello distribuisce un servizio Gestione API configurato con identità assegnata dall'utente. Usa questa identità per recuperare il certificato SSL da KeyVault e lo mantiene aggiornato controllando ogni 4 ore. |
|
Crea un Application Gateway V2 con Key Vault
|
Questo template implementa un Application Gateway V2 in una Virtual Network, un'identità definita dall'utente, Key Vault, un segreto (dati di certificazione) e una policy di accesso su Key Vault e Application Gateway. |
|
Crea un Azure Key Vault e un segreto
|
Questo modello crea un Azure Key Vault e un segreto. |
|
Crea un Azure Key Vault con RBAC e un segreto
|
Questo modello crea un Azure Key Vault e un segreto. Invece di affidarsi alle policy di accesso, sfrutta Azure RBAC per gestire l'autorizzazione sui segreti |
|
Crea uno spazio di lavoro Azure Machine Learning servizi
|
Questo modello di distribuzione specifica uno spazio di lavoro Azure Machine Learning e le sue risorse associate tra cui Azure Key Vault, Azure Storage, Azure Application Insights e Azure Container Registry. Questa configurazione descrive il set minimo di risorse di cui hai bisogno per iniziare con Azure Machine Learning. |
|
Crea uno spazio di lavoro di Azure Machine Learning servizi (CMK)
|
Questo template di deployment specifica come creare uno spazio di lavoro Azure Machine Learning con crittografia lato servizio utilizzando le tue chiavi di crittografia. |
|
Crea uno spazio di lavoro di Azure Machine Learning servizi (CMK)
|
Questo modello di distribuzione specifica uno spazio di lavoro Azure Machine Learning e le sue risorse associate tra cui Azure Key Vault, Azure Storage, Azure Application Insights e Azure Container Registry. L'esempio mostra come configurare Azure Machine Learning per la crittografia con una chiave di crittografia gestita dal cliente. |
|
Crea uno spazio di lavoro Azure Machine Learning servizio (legacy)
|
Questo modello di distribuzione specifica uno spazio di lavoro Azure Machine Learning e le sue risorse associate tra cui Azure Key Vault, Azure Storage, Azure Application Insights e Azure Container Registry. Questa configurazione descrive il set di risorse di cui hai bisogno per iniziare con Azure Machine Learning in una configurazione isolata in rete. |
|
Crea uno spazio di lavoro di servizio Azure Machine Learning (vnet)
|
Questo modello di distribuzione specifica uno spazio di lavoro Azure Machine Learning e le sue risorse associate tra cui Azure Key Vault, Azure Storage, Azure Application Insights e Azure Container Registry. Questa configurazione descrive il set di risorse di cui hai bisogno per iniziare con Azure Machine Learning in una configurazione isolata in rete. |
|
Crea e cripta un nuovo VMSS Windows con jumpbox
|
Questo template ti permette di distribuire un semplice VM Scale Set di VM Windows utilizzando l'ultima versione patchata delle versioni serverali di Windows. Questo modello distribuisce anche un jumpbox con un indirizzo IP pubblico nella stessa rete virtuale. Puoi connetterti al jumpbox tramite questo indirizzo IP pubblico, poi collegarti da lì alle VM del set scalabile tramite indirizzi IP privati. Questo template consente la crittografia sul VM Scale Set di VM di Windows. |
|
Crea un Gateway Applicativo con Certificati
|
Questo modello mostra come generare certificati autofirmati di Key Vault, poi fare riferimento da Application Gateway. |
|
Crea Key Vault con il logging attivato
|
Questo template crea un account Azure Key Vault e un account Azure Storage che viene utilizzato per il log. Opzionalmente crea blocchi di risorse per proteggere il tuo Key Vault e le risorse di stoccaggio. |
|
Crea vault di chiavi, identità gestita e assegnazione di ruoli
|
Questo modello crea un insieme di credenziali delle chiavi, un'identità gestita e un'assegnazione di ruolo. |
|
Crea nuovi dischi gestiti criptati win-vm da immagine galleria
|
Questo modello crea una nuova macchina virtuale windows con dischi gestiti crittografati usando l'immagine della raccolta server 2k12. |
|
Crea una risorsa Cross-tenant Private Endpoint
|
Questo modello consente di creare una risorsa endpoint Priavate all'interno dello stesso ambiente o tra tenant e di aggiungere la configurazione della zona DNS. |
|
Crea un'app Servicebus pub-sub Dapr usando Container Apps
|
Creare un'app pub-sub servicebus dapr usando App contenitore. |
|
Implementa Secure AI Foundry con una rete virtuale gestita
|
Questo modello crea un ambiente sicuro di Azure AI Foundry con robuste restrizioni di sicurezza di rete e identità. |
|
Deploy the Sports Analytics su Azure Architecture
|
Crea un account di storage Azure con ADLS Gen 2 abilitato, un'istanza di Azure Data Factory con servizi collegati per l'account di storage (e il Azure SQL Database se distribuito) e un'istanza di Azure Databricks. All'identità di AAD per l'utente che distribuisce il modello e all'identità gestita per l'istanza di Azure Data Factory verrà concesso il ruolo Collaboratore ai dati del BLOB di archiviazione nell'account di archiviazione. Ci sono anche opzioni per distribuire un'istanza Azure Key Vault, un Azure SQL Database e un Azure Event Hub (per casi d'uso in streaming). Quando viene distribuito un Azure Key Vault, l'identità gestita dalla data factory e l'identità AAD per l'utente che distribuisce il template riceveranno il ruolo di utente Key Vault Secrets. |
|
Abilita la crittografia su una VM Windows in esecuzione
|
Questo modello abilita la crittografia in una macchina virtuale Windows in esecuzione. |
|
|
Questo template crea una nuova istanza hub FinOps, che include Data Explorer, Data Lake storage e Data Factory. |
|
Agente Protetto di Rete con Identità Gestita dall'Utente
|
Questo set di template dimostra come configurare Azure AI Agent Service con isolamento virtuale della rete utilizzando l'autenticazione User Managed Identity per la connessione AI Service/AOAI e collegamenti di rete privati per collegare l'agente ai tuoi dati sicuri. |
|
Configurazione Agente Standard
|
Questo set di template dimostra come configurare Azure AI Agent Service con la configurazione standard, cioè con l'autenticazione dell'identità gestita per connessioni progetto/hub e l'accesso pubblico a internet abilitato. Gli agenti usano risorse di ricerca e archiviazione a tenant singolo di proprietà del cliente. Con questa configurazione, si ha il controllo completo e la visibilità su queste risorse, ma si comportano costi in base all'utilizzo. |
|
Ambiente di test per Azure Firewall Premium
|
Questo modello crea una Azure Firewall Premium e una Firewall Policy con funzionalità premium come Rilevamento di Ispezione di Intrusione (IDPS), ispezione TLS e filtraggio per categoria Web |
|
Questo template cripta un Windows in esecuzione VMSS
|
Questo template consente la crittografia su una scala di macchine virtuali Windows in esecuzione |
Definizione di risorsa Terraform (provider AzAPI)
Il tipo di risorsa insiemi di credenziali può essere distribuito con operazioni destinate a:
- Gruppi di risorse
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato risorsa
Per creare una risorsa Microsoft.KeyVault/vaults, aggiungere il codice Terraform seguente al modello.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2026-03-01-preview"
name = "string"
parent_id = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "string"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
tokenBindingParameters = {
minimumTokenBindingStrength = "string"
mode = "string"
}
vaultUri = "string"
}
}
}
Valori delle proprietà
Microsoft.KeyVault/vaults
| Nome | Descrizione | Valore |
|---|---|---|
| ubicazione | La posizione Azure supportata dove dovrebbe essere creata la cassaforte delle chiavi. | stringa (obbligatorio) |
| nome | Nome della risorsa | stringa (obbligatorio) |
| proprietà | Proprietà dell'insieme di credenziali | VaultProperties (obbligatorio) |
| Tag | Tag delle risorse | Dizionario di nomi e valori di tag. |
| digitare | Tipo di risorsa | "Microsoft.KeyVault/vaults@2026-03-01-preview" |
AccessPolicyEntry
| Nome | Descrizione | Valore |
|---|---|---|
| ID dell'applicazione | ID applicazione del client che effettua una richiesta per conto di un'entità | corda Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Modello = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| objectId | L'ID oggetto di un utente, principale di servizio o gruppo di sicurezza nel tenant Azure Active Directory per il vault. L'ID oggetto deve essere univoco per l'elenco dei criteri di accesso. | stringa (obbligatorio) |
| Autorizzazioni | Autorizzazioni per l'identità per chiavi, segreti e certificati. | autorizzazioni (obbligatorio) |
| ID del cliente | L'ID tenant di Azure Active Directory dovrebbe essere usato per autenticare le richieste al vault delle chiavi. | corda Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obbligatorio) |
IPRule
| Nome | Descrizione | Valore |
|---|---|---|
| valore | Intervallo di indirizzi IPv4 nella notazione CIDR, ad esempio "124.56.78.91" (indirizzo IP semplice) o "124.56.78.0/24" (tutti gli indirizzi che iniziano con 124.56.78). | stringa (obbligatorio) |
Set di regole di rete
| Nome | Descrizione | Valore |
|---|---|---|
| circonvallazione | Indica il traffico che può ignorare le regole di rete. Può trattarsi di "AzureServices" o "None". Se non specificato, il valore predefinito è "AzureServices". | 'AzureServices' 'Nessuno' |
| defaultAction | Azione predefinita quando nessuna regola da ipRules e da virtualNetworkRules corrispondono. Questa proprietà viene utilizzata solo dopo la valutazione della proprietà bypass. | 'Consenti' 'Negare' |
| ipRegole | Elenco delle regole degli indirizzi IP. | IPRule[] |
| virtualNetworkRegole | Elenco delle regole di rete virtuale. | VirtualNetworkRule[] |
Autorizzazioni
| Nome | Descrizione | Valore |
|---|---|---|
| Certificati | Autorizzazioni per i certificati | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'creare' 'cancellare' 'deleteissuers' 'Prendi' 'GetIssuers' 'importazione' 'elenco' «Emittenti di elenchi» 'Gestisci contatti' «Gestire gli emittenti» 'ripulitura' 'Recuperare' 'ripristinare' «SETISSUERS» 'Aggiornamento' |
| Chiavi | Autorizzazioni per le chiavi | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'creare' 'decriptare' 'cancellare' 'crittografare' 'Prendi' 'getrotationpolicy' 'importazione' 'elenco' 'ripulitura' 'Recuperare' 'Liberazione' 'ripristinare' 'ruotare' 'setrotationpolicy' 'segno' 'unwrapKey' 'Aggiornamento' 'verificare' 'wrapKey' |
| segreti | Autorizzazioni per i segreti | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'cancellare' 'Prendi' 'elenco' 'ripulitura' 'Recuperare' 'ripristinare' 'impostato' |
| immagazzinamento | Autorizzazioni per gli account di archiviazione | Matrice di stringhe contenente uno dei seguenti elementi: 'tutti' 'Backup' 'cancellare' 'deletesas' 'Prendi' 'Getsas' 'elenco' 'liste' 'ripulitura' 'Recuperare' 'Chiave rigenerata' 'ripristinare' 'impostato' 'Setsas' 'Aggiornamento' |
Sku
| Nome | Descrizione | Valore |
|---|---|---|
| famiglia | Nome della famiglia di SKU | 'A' (obbligatorio) |
| nome | Nome SKU per specificare se l'insieme di credenziali delle chiavi è un insieme di credenziali standard o un insieme di credenziali Premium. | 'Premium' 'standard' (obbligatorio) |
TokenBindingParameters
| Nome | Descrizione | Valore |
|---|---|---|
| minimTokenBindingStrength | Deve essere uno dei seguenti valori: "NoValidation", "Unattested", "AttestedTrustedLaunch", "AttestedConfidential". La forza del binding dei gettoni aumenta con ogni valore in quell'ordine. | 'AttestatoConfidenziale' 'LancioAttestatoFidato' 'NessunaValidazione' 'Non attestato' |
| mode | Questo specifica se il token binding è disabilitato, abilitato o applicato. | 'Applicato' 'NonEnEnforced' |
VaultCreateOrUpdateParametersTags
| Nome | Descrizione | Valore |
|---|
Proprietà del Vault
| Nome | Descrizione | Valore |
|---|---|---|
| accessPolicies | Matrice da 0 a 1024 identità che hanno accesso all'insieme di credenziali delle chiavi. Tutte le identità nella matrice devono usare lo stesso ID tenant dell'ID tenant dell'insieme di credenziali delle chiavi. Quando createMode è impostato su recover, i criteri di accesso non sono necessari. In caso contrario, sono necessari criteri di accesso. |
AccessPolicyEntry[] |
| createMode | La modalità di creazione dell'insieme di credenziali per indicare se l'insieme di credenziali deve essere recuperato o meno. | 'predefinito' 'Recuperare' |
| enabledForDeployment | Proprietà per specificare se Azure Virtual Machines sono autorizzate a recuperare certificati memorizzati come segreti dal caveau delle chiavi. | Bool |
| enabledForDiskEncryption | Proprietà per specificare se Azure Disk Encryption è autorizzato a recuperare segreti dal vault e a srotolare chiavi. | Bool |
| enabledForTemplateDeployment | Property per specificare se Azure Resource Manager è autorizzato a recuperare segreti dal caveau delle chiavi. | Bool |
| abilitareProtezione Purga | Proprietà che specifica se la protezione da ripulitura è abilitata per questo insieme di credenziali. Impostare questa proprietà su true attiva la protezione contro la purga per questo vault e i suoi contenuti: solo il servizio Key Vault può avviare una cancellazione totale e irrecuperabile. L'impostazione è valida solo se è abilitata anche l'eliminazione temporanea. L'abilitazione di questa funzionalità è irreversibile, ovvero la proprietà non accetta false come valore. | Bool |
| enableRbacAuthorization | Proprietà che controlla la modalità di autorizzazione delle azioni dei dati. Quando è vero, il vault delle chiavi utilizzerà il Role Based Access Control (RBAC) per l'autorizzazione delle azioni sui dati, e le politiche di accesso specificate nelle proprietà del vault verranno ignorate. Quando è falso, il vault delle chiavi utilizzerà le policy di accesso specificate nelle proprietà del vault, e qualsiasi policy memorizzata su Azure Resource Manager verrà ignorata. Se viene specificato o meno null, l'insieme di credenziali viene creato con il valore predefinito false. Si noti che le azioni di gestione sono sempre autorizzate con il controllo degli accessi in base al ruolo. | Bool |
| enableSoftDelete | Proprietà per specificare se la funzionalità di eliminazione temporanea è abilitata per questo insieme di credenziali delle chiavi. Se non è impostato su alcun valore (true o false) durante la creazione di un nuovo insieme di credenziali delle chiavi, verrà impostato su true per impostazione predefinita. Una volta impostato su true, non può essere ripristinato su false. | Bool |
| Acl di rete | Regole che regolano l'accessibilità dell'insieme di credenziali delle chiavi da percorsi di rete specifici. | Set di regole di rete |
| provisioningStato | Stato di provisioning dell'insieme di credenziali. | 'RegistrazioneDns' 'Riuscito' |
| pubblicoAccesso alla rete | Proprietà per specificare se l'insieme di credenziali accetterà il traffico da Internet pubblico. Se impostato su "disabilitato" tutto il traffico, ad eccezione del traffico dell'endpoint privato e che ha origine da servizi attendibili, verrà bloccato. In questo modo verranno ignorate le regole del firewall impostate, ovvero anche se le regole del firewall sono presenti non verranno rispettate. | corda |
| Sku | Dettagli SKU | sku (obbligatorio) |
| softDeleteRetentionInDays | softDelete i giorni di conservazione dei dati. Accetta >=7 e <=90. | Int |
| ID del cliente | L'ID tenant di Azure Active Directory dovrebbe essere usato per autenticare le richieste al vault delle chiavi. | corda Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (obbligatorio) |
| tokenBindingParameters | Configurazione per il Token Binding per i token Entra | TokenBindingParameters |
| vaultUri | URI dell'insieme di credenziali per l'esecuzione di operazioni su chiavi e segreti. | corda |
VirtualNetworkRule
| Nome | Descrizione | Valore |
|---|---|---|
| Id | ID risorsa completo di una subnet di rete virtuale, ad esempio "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1". | stringa (obbligatorio) |
| ignoreMissingVnetServiceEndpoint | Proprietà per specificare se NRP ignorerà il controllo se la subnet padre ha serviceEndpoints configurato. | Bool |
Esempi di utilizzo
Esempi di Terraform
Un esempio base di utilizzo di Key Vault.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
data "azurerm_client_config" "current" {
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "vault" {
type = "Microsoft.KeyVault/vaults@2021-10-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
accessPolicies = [
{
objectId = data.azurerm_client_config.current.object_id
permissions = {
certificates = [
"ManageContacts",
]
keys = [
"Create",
]
secrets = [
"Set",
]
storage = [
]
}
tenantId = data.azurerm_client_config.current.tenant_id
},
]
createMode = "default"
enableRbacAuthorization = false
enableSoftDelete = true
enabledForDeployment = false
enabledForDiskEncryption = false
enabledForTemplateDeployment = false
publicNetworkAccess = "Enabled"
sku = {
family = "A"
name = "standard"
}
softDeleteRetentionInDays = 7
tenantId = data.azurerm_client_config.current.tenant_id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Azure Verified Modules
I seguenti Azure Moduli Verificati possono essere utilizzati per distribuire questo tipo di risorsa.
| Modulo | Descrizione |
|---|---|
| Key Vault | Modulo Risorse AVM per Key Vault |