備考
キーボールトを安全な値に使うためのガイダンスについては、Manage secrets by using using Bicepを参照してください。
シークレット作成のクイックスタートについては、Quickstart: ARMテンプレートを使ってAzure Key Vaultから秘密を設定し取得する方法をご覧ください。
キー作成のクイックスタートについては、Quickstart: ARM templateを使ってAzureキーの金庫を作成してください。
Bicepリソースの定義
コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaultsリソースを作成するには、テンプレートに以下のBicepを追加します。
resource symbolicname 'Microsoft.KeyVault/vaults@2026-03-01-preview' = {
location: 'string'
name: 'string'
properties: {
accessPolicies: [
{
applicationId: 'string'
objectId: 'string'
permissions: {
certificates: [
'string'
]
keys: [
'string'
]
secrets: [
'string'
]
storage: [
'string'
]
}
tenantId: 'string'
}
]
createMode: 'string'
enabledForDeployment: bool
enabledForDiskEncryption: bool
enabledForTemplateDeployment: bool
enablePurgeProtection: bool
enableRbacAuthorization: bool
enableSoftDelete: bool
networkAcls: {
bypass: 'string'
defaultAction: 'string'
ipRules: [
{
value: 'string'
}
]
virtualNetworkRules: [
{
id: 'string'
ignoreMissingVnetServiceEndpoint: bool
}
]
}
provisioningState: 'string'
publicNetworkAccess: 'string'
sku: {
family: 'string'
name: 'string'
}
softDeleteRetentionInDays: int
tenantId: 'string'
tokenBindingParameters: {
minimumTokenBindingStrength: 'string'
mode: 'string'
}
vaultUri: 'string'
}
tags: {
{customized property}: 'string'
}
}
プロパティ値
Microsoft.KeyVault/ボールト
| 名前 | 形容 | 価値 |
|---|---|---|
| 位置 | キーボールトを作成するべきサポートされたAzureのロケーション。 | string (必須) |
| 名前 | リソース名 | string (必須) |
| プロパティ | コンテナーのプロパティ | VaultProperties (必須) |
| タグ | リソース タグ | タグ名と値のディクショナリ。 テンプレート の |
アクセスポリシーエントリ
| 名前 | 形容 | 価値 |
|---|---|---|
| アプリケーションID | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| オブジェクトID | Vault の Azure Active Directory テナント内のユーザー、サービスプリンシパル、またはセキュリティグループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
| アクセス許可 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
| テナントID | キーボールトへのリクエスト認証に使うべきAzure Active DirectoryのテナントIDです。 | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須) |
IPRuleの
| 名前 | 形容 | 価値 |
|---|---|---|
| 価値 | CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 | string (必須) |
ネットワークルールセット
| 名前 | 形容 | 価値 |
|---|---|---|
| バイパス | ネットワーク ルールをバイパスできるトラフィックを指定します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 | 「AzureServices」 「なし」 |
| デフォルトアクション | ipRules および virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 | 「許可する」 「否定する」 |
| ipルール | IP アドレス規則の一覧。 | IPRule[] |
| virtualNetworkRules (仮想ネットワークルール) | 仮想ネットワーク規則の一覧。 | VirtualNetworkRule[] |
権限
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '作成' '削除' 「deleteissuers」 'get' (取得) 「getissuers」 'インポート' 'リスト' 'リストイシュアーズ' 「連絡先の管理」 「発行者を管理する」 'パージ' 「回復」 「復元」 'setissuers' '更新' |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '作成' 「復号化」 '削除' 「暗号化」 'get' (取得) 'getRotationPolicy' 'インポート' 'リスト' 'パージ' 「回復」 'リリース' 「復元」 '回転' 'setRotationPolicy' 'sign' 'アンラップキー' '更新' 「確認」 'wrapKey' |
| 秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '削除' 'get' (取得) 'リスト' 'パージ' 「回復」 「復元」 'セット' |
| ストレージ | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '削除' 'deletesas' 'get' (取得) 「ゲツァス」 'リスト' 「リスト」 'パージ' 「回復」 'regeneratekey' 「復元」 'セット' 「セタス」 '更新' |
SKU
| 名前 | 形容 | 価値 |
|---|---|---|
| 家族 | SKU ファミリ名 | 'A' (必須) |
| 名前 | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | 「プレミアム」 'standard' (必須) |
トークンバインディングパラメータ
| 名前 | 形容 | 価値 |
|---|---|---|
| minimumTokenBindingStrength(最小トークンバインディングストレングス) | 「NoValidation」「Unattested」「AttestedTrustedLaunch」「AttestedConfidential」のいずれかの値でなければなりません。 トークンの結合力は、その順番で値が増すごとに増します。 | 『機密公認』 「信頼された発射」 「ノーバリデーション」 「記録なし」 |
| mode | これはトークンバインディングを無効化、有効化、または強制するかを指定します。 | '強制' 『強制されない』 |
VaultCreateOrUpdateParametersタグ
| 名前 | 形容 | 価値 |
|---|
ボールトプロパティ
| 名前 | 形容 | 価値 |
|---|---|---|
| accessPolicies (アクセスポリシー) | キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。
createMode が recoverに設定されている場合、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 |
AccessPolicyEntry[] |
| クリエイトモード | コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 | 'デフォルト' 「回復」 |
| enabledForDeployment (デプロイメント) | Azure Virtual Machinesがキーボールトから秘密として保存された証明書を取得することが許可されているかどうかを指定するプロパティ。 | ブール (bool) |
| enabledForDiskEncryption (英語) | Azure Disk Encryptionがヴォールトから秘密を取得し、鍵を展開するかどうかを指定するプロパティです。 | ブール (bool) |
| enabledForTemplateDeployment | Azure Resource Managerがキーボールトから秘密を取得することが許可されているかどうかを指定するプロパティです。 | ブール (bool) |
| enablePurgeProtection | このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティをtrueに設定すると、このVaultおよびそのコンテンツの削除防止が有効化されます。ただし、ハードで回復不可能な削除を開始できるのはKey Vaultサービスのみです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 | ブール (bool) |
| enableRbacAuthorization(英語) | データ アクションの承認方法を制御するプロパティ。 もし真の場合、キーボールトはデータ操作の承認にRole Based Access Control(RBAC)を使用し、ボールトプロパティで指定されたアクセスポリシーは無視されます。 falseの場合、キーボールトはVault プロパティで指定されたアクセスポリシーを使用し、Azure Resource Managerに保存されているポリシーは無視されます。 null を指定しない場合、既定値が false のコンテナーが作成されます。 管理アクションは常に RBAC で承認されることに注意してください。 | ブール (bool) |
| enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 新しいキー コンテナーの作成時に値 (true または false) に設定されていない場合は、既定で true に設定されます。 true に設定すると、false に戻すことはできません。 | ブール (bool) |
| ネットワークACL | 特定のネットワークの場所からのキー コンテナーのアクセシビリティを制御する規則。 | ネットワークルールセット |
| プロビジョニング状態 | コンテナーのプロビジョニング状態。 | 「RegisteringDns」 「成功しました」 |
| publicNetworkAccess (パブリックネットワークアクセス) | コンテナーがパブリック インターネットからのトラフィックを受け入れるかどうかを指定するプロパティ。 プライベート エンドポイント トラフィックを除くすべてのトラフィックを "無効" に設定すると、信頼されたサービスから送信されたトラフィックはブロックされます。 これにより、設定されたファイアウォール規則がオーバーライドされます。つまり、ファイアウォール規則が存在する場合でも、その規則は適用されません。 | 文字列 |
| エスケーユー | SKU の詳細 | SKU (必須) |
| softDelete保持日数 | softDelete データ保有日数。 >=7 と <=90 を受け入れます。 | 整数 (int) |
| テナントID | キーボールトへのリクエスト認証に使うべきAzure Active DirectoryのテナントIDです。 | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須) |
| tokenBindingParameters(トークンバインディングパラメータ) | Entraトークンのトークンバインディングの設定 | トークンバインディングパラメータ |
| vaultUri (英語) | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | 文字列 |
VirtualNetworkRule (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 | string (必須) |
| ignoreMissingVnetServiceEndpoint | 親サブネットに serviceEndpoints が構成されているかどうかを NRP が無視するかどうかを指定するプロパティ。 | ブール (bool) |
使用例
Bicep サンプル
Key Vaultのデプロイの基本的な例です。
param resourceName string = 'acctest0001'
param location string = 'westeurope'
resource vault 'Microsoft.KeyVault/vaults@2021-10-01' = {
name: resourceName
location: location
properties: {
accessPolicies: [
{
objectId: deployer().objectId
permissions: {
certificates: [
'ManageContacts'
]
keys: [
'Create'
]
secrets: [
'Set'
]
storage: []
}
tenantId: deployer().tenantId
}
]
createMode: 'default'
enableRbacAuthorization: false
enableSoftDelete: true
enabledForDeployment: false
enabledForDiskEncryption: false
enabledForTemplateDeployment: false
publicNetworkAccess: 'Enabled'
sku: {
family: 'A'
name: 'standard'
}
softDeleteRetentionInDays: 7
tenantId: deployer().tenantId
}
}
Azure Verified Modules
以下のAzure検証済みモジュールはこのリソースタイプの展開に使用できます。
| モジュール | 形容 |
|---|---|
| Key Vault | Key Vault用AVMリソースモジュール |
Azure Quickstart Samples
以下の Azure クイックスタートテンプレートには、このリソースタイプのデプロイのためのBicepサンプルが含まれています。
| Bicepファイル | 形容 |
|---|---|
| このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用の Application Gateway を使用して AKS クラスターをデプロイする方法を示します。 | |
| AKSクラスターとアプリケーションゲートウェイのIngress Controller | このサンプルは、Application Gateway、Application Gateway Ingress Controller、Azure Container Registry、Log Analytics、Key Vaultを使ってAKSクラスターを展開する方法を示しています |
| Application Gateway、内部API管理およびWeb App | アプリケーションゲートウェイは、インターネットトラフィックを仮想ネットワーク(内部モード)にルーティングし、Azure Web App上でホストされるWeb APIをサービスします。 |
| Azure AI Foundry基本セットアップ | このテンプレートセットは、Azure AI Foundryを基本設定でセットアップする方法を示しており、公開インターネットアクセスを有効にし、暗号化のためのMicrosoft管理キーとAIリソースのID設定をMicrosoft管理します。 |
| Azure AI Foundry基本セットアップ | このテンプレートセットは、Azure AI Foundryを基本設定でセットアップする方法を示しており、公開インターネットアクセスを有効にし、暗号化のためのMicrosoft管理キーとAIリソースのID設定をMicrosoft管理します。 |
| Azure AI Foundry ネットワーク制限 | このテンプレートセットは、プライベートリンクと出口を無効にした状態で、暗号化にはMicrosoft管理キー、AIリソースにはMicrosoft管理のID設定を用い、プライベートリンクと出口を無効にした状態でAzure AI Foundryを設定する方法を示しています。 |
| Azure AI Foundry Microsoft Entra ID認証 | このテンプレートセットは、Azure AI ServicesやAzure Storageなどの依存リソースに対してMicrosoft Entra ID認証を用いてAzure AI Foundryを設定する方法を示しています。 |
| Azure AI Studioの基本セットアップ | このテンプレートセットは、基本的なセットアップ、つまりパブリックインターネットアクセスを有効にし、Microsoft管理の暗号化鍵、AIリソースのMicrosoft管理ID設定でAzure AI Studioを設定する方法を示しています。 |
| Azure AI Studio Network Restricted | このテンプレートセットは、プライベートリンクと退出を無効にした状態でAzure AI Studioを設定する方法を示しており、暗号化にはMicrosoft管理キー、AIリソースにはMicrosoft管理のアイデンティティ設定を用います。 |
| Azure 関数アプリとHTTPトリガー関数 | この例では、テンプレート内にAzure関数アプリとHTTPトリガー関数をインラインでデプロイしています。 また、Key Vaultを展開し、関数アプリのホストキーで秘密を埋め込みます。 |
| Azure Machine Learningエンドツーエンドのセキュアセットアップ | このBicepテンプレートセットは、安全なセットアップでAzure Machine Learningをエンドツーエンドでセットアップする方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
| Azure Machine Learningエンドツーエンドのセキュアセットアップ(レガシー) | このBicepテンプレートセットは、安全なセットアップでAzure Machine Learningをエンドツーエンドでセットアップする方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
| このテンプレートは、顧客管理の暗号鍵を生成しKey Vault内に配置したストレージアカウントを展開します。 | |
| Basic Agent Setup Identity | このテンプレートセットは、Azure AIエージェントサービスの設定方法を示しており、管理ID認証を用いてAIサービス/AOAI接続の基本設定を行っています。 エージェントは、Microsoft が完全に管理するマルチテナント検索リソースとストレージ リソースを使用します。 ™これらの基盤となるAzureリソースを可視化したりコントロールしたりすることはできません。 |
| Key Vaultと秘密のリストを作成する | このテンプレートはKey Vaultと、パラメータとともに渡されたkey vault内の秘密リストを作成します |
| ネットワークセキュリティ境界を作成 | このテンプレートはネットワークセキュリティの境界と、Azureキーボールトを保護するための関連リソースを作成します。 |
| このテンプレートは、指定されたAzure Machine Learningサービスワークスペース内にプライベートIPアドレスを持つAKS計算ターゲットを作成します。 | |
| このテンプレートは、ユーザー割り当て ID で構成された API Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。 | |
| このテンプレートはAzure Key Vaultとシークレットを作成します。 | |
| このテンプレートはAzure Key Vaultとシークレットを作成します。 アクセスポリシーに頼る代わりに、Azure RBACを活用してシークレットの認可を管理しています | |
| Create a Azure Machine Learning service workspace | このデプロイメントテンプレートは、Azure Machine Learningワークスペースと、Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registryなどの関連リソースを指定しています。 この構成は、Azure Machine Learningを始めるために必要な最小限のリソースセットを示しています。 |
| Create an Azure Machine Learning service workspace (CMK) | このデプロイメントテンプレートは、暗号化キーを使ってサービス側の暗号化を持つAzure Machine Learningワークスペースを作成する方法を規定しています。 |
| Create an Azure Machine Learning service workspace (CMK) | このデプロイメントテンプレートは、Azure Machine Learningワークスペースと、Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registryなどの関連リソースを指定しています。 この例は、顧客管理の暗号鍵を用いたAzure Machine Learningの暗号化設定方法を示しています。 |
| Create a Azure Machine Learning service workspace (legacy) | このデプロイメントテンプレートは、Azure Machine Learningワークスペースと、Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registryなどの関連リソースを指定しています。 この構成は、ネットワーク隔離環境でAzure Machine Learningを始めるために必要なリソースセットを説明しています。 |
| Create an Azure Machine Learning service workspace (vnet) | このデプロイメントテンプレートは、Azure Machine Learningワークスペースと、Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registryなどの関連リソースを指定しています。 この構成は、ネットワーク隔離環境でAzure Machine Learningを始めるために必要なリソースセットを説明しています。 |
| 証明書付きアプリケーションゲートウェイを作成 | このテンプレートは、Key Vaultの自己署名証明書の生成方法を示しており、その後Application Gatewayから参照します。 |
| このテンプレートはAzure Key Vaultとログ作業用のAzure Storageアカウントを作成します。 オプションで、Key Vaultやストレージリソースを保護するためのリソースロックも作成します。 | |
| Create key vault、managed identity, and role assignment | このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。 |
| このテンプレートを使用すると、同じまたはテナント間の環境内に Priavate エンドポイント リソースを作成し、DNS ゾーン構成を追加できます。 | |
| Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。 | |
| 管理された仮想ネットワークを備えたSecure AI Foundryを展開 | このテンプレートは、堅牢なネットワークおよびアイデンティティセキュリティ制限を備えた安全なAzure AI Foundry環境を作成します。 |
| ADLS Gen 2を有効にしたAzureストレージアカウント、ストレージアカウント用のリンクサービスを持つAzure Data Factoryインスタンス(展開されている場合はAzure SQL Database)、そしてAzure Databricksインスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントのストレージ BLOB データ共同作成者ロールが付与されます。 また、Azure Key Vaultインスタンス、Azure SQL Database、ストリーミング利用のためのAzure Event Hubを展開するオプションもあります。 Azure Key Vaultが展開されると、テンプレートをデプロイするユーザーのData Factory管理IDとAADアイデンティティにKey Vault Secretsユーザーロールが付与されます。 | |
| FinOps hub | このテンプレートは新しいFinOpsハブインスタンスを作成し、Data Explorer、Data Lakeストレージ、Data Factoryを含みます。 |
| ネットワークセキュアドエージェント(ユーザー管理アイデンティティ | このテンプレートセットは、ユーザーマネージデンティティ認証を用いて仮想ネットワーク分離を行ったAzure AIエージェントサービスの設定方法を示し、AIサービス/AOAI接続とプライベートネットワークリンクでエージェントを安全なデータに接続する方法を示しています。 |
| Standard Agent Setup | このテンプレートセットは、プロジェクト/ハブ接続の管理されたID認証と公共インターネットアクセスを有効にした標準設定でAzure AIエージェントサービスを設定する方法を示しています。 エージェントは、顧客所有のシングルテナント検索およびストレージ リソースを使用します。 このセットアップでは、これらのリソースを完全に制御して表示できますが、使用量に基づいてコストが発生します。 |
| Testing environment for Azure Firewall Premium | このテンプレートは、侵入検査検出(IDPS)、TLS検査、ウェブカテゴリフィルタリングなどのプレミアム機能を備えたAzure Firewallプレミアムおよびファイアウォールポリシーを作成します |
ARM テンプレート リソース定義
コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaults リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2026-03-01-preview",
"name": "string",
"location": "string",
"properties": {
"accessPolicies": [
{
"applicationId": "string",
"objectId": "string",
"permissions": {
"certificates": [ "string" ],
"keys": [ "string" ],
"secrets": [ "string" ],
"storage": [ "string" ]
},
"tenantId": "string"
}
],
"createMode": "string",
"enabledForDeployment": "bool",
"enabledForDiskEncryption": "bool",
"enabledForTemplateDeployment": "bool",
"enablePurgeProtection": "bool",
"enableRbacAuthorization": "bool",
"enableSoftDelete": "bool",
"networkAcls": {
"bypass": "string",
"defaultAction": "string",
"ipRules": [
{
"value": "string"
}
],
"virtualNetworkRules": [
{
"id": "string",
"ignoreMissingVnetServiceEndpoint": "bool"
}
]
},
"provisioningState": "string",
"publicNetworkAccess": "string",
"sku": {
"family": "string",
"name": "string"
},
"softDeleteRetentionInDays": "int",
"tenantId": "string",
"tokenBindingParameters": {
"minimumTokenBindingStrength": "string",
"mode": "string"
},
"vaultUri": "string"
},
"tags": {
"{customized property}": "string"
}
}
プロパティ値
Microsoft.KeyVault/ボールト
| 名前 | 形容 | 価値 |
|---|---|---|
| apiVersion (英語) | API のバージョン | 『2026-03-01-プレビュー』 |
| 位置 | キーボールトを作成するべきサポートされたAzureのロケーション。 | string (必須) |
| 名前 | リソース名 | string (必須) |
| プロパティ | コンテナーのプロパティ | VaultProperties (必須) |
| タグ | リソース タグ | タグ名と値のディクショナリ。 テンプレート の |
| 型 | リソースの種類 | 'Microsoft.KeyVault/vaults' |
アクセスポリシーエントリ
| 名前 | 形容 | 価値 |
|---|---|---|
| アプリケーションID | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| オブジェクトID | Vault の Azure Active Directory テナント内のユーザー、サービスプリンシパル、またはセキュリティグループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
| アクセス許可 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
| テナントID | キーボールトへのリクエスト認証に使うべきAzure Active DirectoryのテナントIDです。 | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須) |
IPRuleの
| 名前 | 形容 | 価値 |
|---|---|---|
| 価値 | CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 | string (必須) |
ネットワークルールセット
| 名前 | 形容 | 価値 |
|---|---|---|
| バイパス | ネットワーク ルールをバイパスできるトラフィックを指定します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 | 「AzureServices」 「なし」 |
| デフォルトアクション | ipRules および virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 | 「許可する」 「否定する」 |
| ipルール | IP アドレス規則の一覧。 | IPRule[] |
| virtualNetworkRules (仮想ネットワークルール) | 仮想ネットワーク規則の一覧。 | VirtualNetworkRule[] |
権限
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '作成' '削除' 「deleteissuers」 'get' (取得) 「getissuers」 'インポート' 'リスト' 'リストイシュアーズ' 「連絡先の管理」 「発行者を管理する」 'パージ' 「回復」 「復元」 'setissuers' '更新' |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '作成' 「復号化」 '削除' 「暗号化」 'get' (取得) 'getRotationPolicy' 'インポート' 'リスト' 'パージ' 「回復」 'リリース' 「復元」 '回転' 'setRotationPolicy' 'sign' 'アンラップキー' '更新' 「確認」 'wrapKey' |
| 秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '削除' 'get' (取得) 'リスト' 'パージ' 「回復」 「復元」 'セット' |
| ストレージ | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '削除' 'deletesas' 'get' (取得) 「ゲツァス」 'リスト' 「リスト」 'パージ' 「回復」 'regeneratekey' 「復元」 'セット' 「セタス」 '更新' |
SKU
| 名前 | 形容 | 価値 |
|---|---|---|
| 家族 | SKU ファミリ名 | 'A' (必須) |
| 名前 | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | 「プレミアム」 'standard' (必須) |
トークンバインディングパラメータ
| 名前 | 形容 | 価値 |
|---|---|---|
| minimumTokenBindingStrength(最小トークンバインディングストレングス) | 「NoValidation」「Unattested」「AttestedTrustedLaunch」「AttestedConfidential」のいずれかの値でなければなりません。 トークンの結合力は、その順番で値が増すごとに増します。 | 『機密公認』 「信頼された発射」 「ノーバリデーション」 「記録なし」 |
| mode | これはトークンバインディングを無効化、有効化、または強制するかを指定します。 | '強制' 『強制されない』 |
VaultCreateOrUpdateParametersタグ
| 名前 | 形容 | 価値 |
|---|
ボールトプロパティ
| 名前 | 形容 | 価値 |
|---|---|---|
| accessPolicies (アクセスポリシー) | キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。
createMode が recoverに設定されている場合、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 |
AccessPolicyEntry[] |
| クリエイトモード | コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 | 'デフォルト' 「回復」 |
| enabledForDeployment (デプロイメント) | Azure Virtual Machinesがキーボールトから秘密として保存された証明書を取得することが許可されているかどうかを指定するプロパティ。 | ブール (bool) |
| enabledForDiskEncryption (英語) | Azure Disk Encryptionがヴォールトから秘密を取得し、鍵を展開するかどうかを指定するプロパティです。 | ブール (bool) |
| enabledForTemplateDeployment | Azure Resource Managerがキーボールトから秘密を取得することが許可されているかどうかを指定するプロパティです。 | ブール (bool) |
| enablePurgeProtection | このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティをtrueに設定すると、このVaultおよびそのコンテンツの削除防止が有効化されます。ただし、ハードで回復不可能な削除を開始できるのはKey Vaultサービスのみです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 | ブール (bool) |
| enableRbacAuthorization(英語) | データ アクションの承認方法を制御するプロパティ。 もし真の場合、キーボールトはデータ操作の承認にRole Based Access Control(RBAC)を使用し、ボールトプロパティで指定されたアクセスポリシーは無視されます。 falseの場合、キーボールトはVault プロパティで指定されたアクセスポリシーを使用し、Azure Resource Managerに保存されているポリシーは無視されます。 null を指定しない場合、既定値が false のコンテナーが作成されます。 管理アクションは常に RBAC で承認されることに注意してください。 | ブール (bool) |
| enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 新しいキー コンテナーの作成時に値 (true または false) に設定されていない場合は、既定で true に設定されます。 true に設定すると、false に戻すことはできません。 | ブール (bool) |
| ネットワークACL | 特定のネットワークの場所からのキー コンテナーのアクセシビリティを制御する規則。 | ネットワークルールセット |
| プロビジョニング状態 | コンテナーのプロビジョニング状態。 | 「RegisteringDns」 「成功しました」 |
| publicNetworkAccess (パブリックネットワークアクセス) | コンテナーがパブリック インターネットからのトラフィックを受け入れるかどうかを指定するプロパティ。 プライベート エンドポイント トラフィックを除くすべてのトラフィックを "無効" に設定すると、信頼されたサービスから送信されたトラフィックはブロックされます。 これにより、設定されたファイアウォール規則がオーバーライドされます。つまり、ファイアウォール規則が存在する場合でも、その規則は適用されません。 | 文字列 |
| エスケーユー | SKU の詳細 | SKU (必須) |
| softDelete保持日数 | softDelete データ保有日数。 >=7 と <=90 を受け入れます。 | 整数 (int) |
| テナントID | キーボールトへのリクエスト認証に使うべきAzure Active DirectoryのテナントIDです。 | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須) |
| tokenBindingParameters(トークンバインディングパラメータ) | Entraトークンのトークンバインディングの設定 | トークンバインディングパラメータ |
| vaultUri (英語) | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | 文字列 |
VirtualNetworkRule (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 | string (必須) |
| ignoreMissingVnetServiceEndpoint | 親サブネットに serviceEndpoints が構成されているかどうかを NRP が無視するかどうかを指定するプロパティ。 | ブール (bool) |
使用例
Azure Quickstart Templates
以下のAzureクイックスタートテンプレートはこのリソースタイプを展開します。
| テンプレート | 形容 |
|---|---|
| このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用の Application Gateway を使用して AKS クラスターをデプロイする方法を示します。 | |
|
AKSクラスターとアプリケーションゲートウェイのIngress Controller |
このサンプルは、Application Gateway、Application Gateway Ingress Controller、Azure Container Registry、Log Analytics、Key Vaultを使ってAKSクラスターを展開する方法を示しています |
| このテンプレートはAzure SQLバックエンドとプライベートエンドポイント、そして通常プライベート/隔離環境で使用される関連リソースを備えたApp Service Environmentを作成します。 | |
|
Application Gateway、内部API管理およびWeb App |
アプリケーションゲートウェイは、インターネットトラフィックを仮想ネットワーク(内部モード)にルーティングし、Azure Web App上でホストされるWeb APIをサービスします。 |
|
Azure AI Foundry基本セットアップ |
このテンプレートセットは、Azure AI Foundryを基本設定でセットアップする方法を示しており、公開インターネットアクセスを有効にし、暗号化のためのMicrosoft管理キーとAIリソースのID設定をMicrosoft管理します。 |
|
Azure AI Foundry基本セットアップ |
このテンプレートセットは、Azure AI Foundryを基本設定でセットアップする方法を示しており、公開インターネットアクセスを有効にし、暗号化のためのMicrosoft管理キーとAIリソースのID設定をMicrosoft管理します。 |
|
Azure AI Foundry ネットワーク制限 |
このテンプレートセットは、プライベートリンクと出口を無効にした状態で、暗号化にはMicrosoft管理キー、AIリソースにはMicrosoft管理のID設定を用い、プライベートリンクと出口を無効にした状態でAzure AI Foundryを設定する方法を示しています。 |
|
Azure AI Foundry Microsoft Entra ID認証 |
このテンプレートセットは、Azure AI ServicesやAzure Storageなどの依存リソースに対してMicrosoft Entra ID認証を用いてAzure AI Foundryを設定する方法を示しています。 |
|
Azure AI Studioの基本セットアップ |
このテンプレートセットは、基本的なセットアップ、つまりパブリックインターネットアクセスを有効にし、Microsoft管理の暗号化鍵、AIリソースのMicrosoft管理ID設定でAzure AI Studioを設定する方法を示しています。 |
|
Azure AI Studio Network Restricted |
このテンプレートセットは、プライベートリンクと退出を無効にした状態でAzure AI Studioを設定する方法を示しており、暗号化にはMicrosoft管理キー、AIリソースにはMicrosoft管理のアイデンティティ設定を用います。 |
|
Azure 関数アプリとHTTPトリガー関数 |
この例では、テンプレート内にAzure関数アプリとHTTPトリガー関数をインラインでデプロイしています。 また、Key Vaultを展開し、関数アプリのホストキーで秘密を埋め込みます。 |
|
Azure Machine Learningエンドツーエンドのセキュアセットアップ |
このBicepテンプレートセットは、安全なセットアップでAzure Machine Learningをエンドツーエンドでセットアップする方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
|
Azure Machine Learningエンドツーエンドのセキュアセットアップ(レガシー) |
このBicepテンプレートセットは、安全なセットアップでAzure Machine Learningをエンドツーエンドでセットアップする方法を示しています。 この参照実装には、ワークスペース、コンピューティング クラスター、コンピューティング インスタンス、接続されたプライベート AKS クラスターが含まれます。 |
|
Azure Machine Learning Workspace |
このテンプレートは新しいAzure Machine Learning Workspaceを作成し、暗号化されたストレージアカウント、KeyVault、Applications Insights Loggingも含まれます |
| このテンプレートは、顧客管理の暗号鍵を生成しKey Vault内に配置したストレージアカウントを展開します。 | |
|
Basic Agent Setup Identity |
このテンプレートセットは、Azure AIエージェントサービスの設定方法を示しており、管理ID認証を用いてAIサービス/AOAI接続の基本設定を行っています。 エージェントは、Microsoft が完全に管理するマルチテナント検索リソースとストレージ リソースを使用します。 ™これらの基盤となるAzureリソースを可視化したりコントロールしたりすることはできません。 |
| このサンプルは、仮想ネットワークとプライベートDNSゾーンの設定を使ってプライベートエンドポイント経由でKey Vaultにアクセスする方法を示しています。 | |
|
Key Vaultと秘密のリストを作成する |
このテンプレートはKey Vaultと、パラメータとともに渡されたkey vault内の秘密リストを作成します |
|
Create a KeyVault |
このモジュールでは、apiVersion 2019-09-01 を使用して KeyVault リソースを作成します。 |
|
ネットワークセキュリティ境界を作成 |
このテンプレートはネットワークセキュリティの境界と、Azureキーボールトを保護するための関連リソースを作成します。 |
| このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化された Windows VM を作成します。 | |
| このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。 | |
| このテンプレートは複数のデータセットとデータストアを持つAzure Machine Learningワークスペースを作成します。 | |
| このテンプレートは、指定されたAzure Machine Learningサービスワークスペース内にプライベートIPアドレスを持つAKS計算ターゲットを作成します。 | |
| このテンプレートは、ユーザー割り当て ID で構成された API Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとにチェックすることで更新を維持します。 | |
| このテンプレートは、Virtual NetworkにApplication Gateway V2、ユーザー定義のアイデンティティ、Key Vault、シークレット(証明書データ)、およびKey VaultおよびApplication Gateway上のアクセスポリシーを展開します。 | |
| このテンプレートはAzure Key Vaultとシークレットを作成します。 | |
| このテンプレートはAzure Key Vaultとシークレットを作成します。 アクセスポリシーに頼る代わりに、Azure RBACを活用してシークレットの認可を管理しています | |
|
Create a Azure Machine Learning service workspace |
このデプロイメントテンプレートは、Azure Machine Learningワークスペースと、Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registryなどの関連リソースを指定しています。 この構成は、Azure Machine Learningを始めるために必要な最小限のリソースセットを示しています。 |
|
Create an Azure Machine Learning service workspace (CMK) |
このデプロイメントテンプレートは、暗号化キーを使ってサービス側の暗号化を持つAzure Machine Learningワークスペースを作成する方法を規定しています。 |
|
Create an Azure Machine Learning service workspace (CMK) |
このデプロイメントテンプレートは、Azure Machine Learningワークスペースと、Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registryなどの関連リソースを指定しています。 この例は、顧客管理の暗号鍵を用いたAzure Machine Learningの暗号化設定方法を示しています。 |
|
Create a Azure Machine Learning service workspace (legacy) |
このデプロイメントテンプレートは、Azure Machine Learningワークスペースと、Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registryなどの関連リソースを指定しています。 この構成は、ネットワーク隔離環境でAzure Machine Learningを始めるために必要なリソースセットを説明しています。 |
|
Create an Azure Machine Learning service workspace (vnet) |
このデプロイメントテンプレートは、Azure Machine Learningワークスペースと、Azure Key Vault、Azure Storage、Azure Application Insights、Azure Container Registryなどの関連リソースを指定しています。 この構成は、ネットワーク隔離環境でAzure Machine Learningを始めるために必要なリソースセットを説明しています。 |
| このテンプレートを使えば、いくつかのWindowsバージョンの最新パッチを使い、シンプルなVM Scale SetのWindows VMを展開できます。 このテンプレートでは、パブリック IP アドレスを持つジャンプボックスも同じ仮想ネットワークにデプロイされます。 このパブリックIPアドレスを使ってジャンプボックスに接続し、そこからプライベートIPアドレスでスケールセット内のVMに接続できます。このテンプレートはWindowsのVMスケールセットで暗号化を可能にします。 | |
|
証明書付きアプリケーションゲートウェイを作成 |
このテンプレートは、Key Vaultの自己署名証明書の生成方法を示しており、その後Application Gatewayから参照します。 |
| このテンプレートはAzure Key Vaultとログ作業用のAzure Storageアカウントを作成します。 オプションで、Key Vaultやストレージリソースを保護するためのリソースロックも作成します。 | |
|
Create key vault、managed identity, and role assignment |
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。 |
| このテンプレートは、サーバー 2k12 ギャラリー イメージを使用して、新しい暗号化されたマネージド ディスク Windows VM を作成します。 | |
| このテンプレートを使用すると、同じまたはテナント間の環境内に Priavate エンドポイント リソースを作成し、DNS ゾーン構成を追加できます。 | |
| Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。 | |
|
管理された仮想ネットワークを備えたSecure AI Foundryを展開 |
このテンプレートは、堅牢なネットワークおよびアイデンティティセキュリティ制限を備えた安全なAzure AI Foundry環境を作成します。 |
| ADLS Gen 2を有効にしたAzureストレージアカウント、ストレージアカウント用のリンクサービスを持つAzure Data Factoryインスタンス(展開されている場合はAzure SQL Database)、そしてAzure Databricksインスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントのストレージ BLOB データ共同作成者ロールが付与されます。 また、Azure Key Vaultインスタンス、Azure SQL Database、ストリーミング利用のためのAzure Event Hubを展開するオプションもあります。 Azure Key Vaultが展開されると、テンプレートをデプロイするユーザーのData Factory管理IDとAADアイデンティティにKey Vault Secretsユーザーロールが付与されます。 | |
|
実行中のWindows VMで暗号化を有効にする |
このテンプレートにより、実行中の Windows VM での暗号化が有効になります。 |
|
FinOps hub |
このテンプレートは新しいFinOpsハブインスタンスを作成し、Data Explorer、Data Lakeストレージ、Data Factoryを含みます。 |
|
ネットワークセキュアドエージェント(ユーザー管理アイデンティティ |
このテンプレートセットは、ユーザーマネージデンティティ認証を用いて仮想ネットワーク分離を行ったAzure AIエージェントサービスの設定方法を示し、AIサービス/AOAI接続とプライベートネットワークリンクでエージェントを安全なデータに接続する方法を示しています。 |
|
Standard Agent Setup |
このテンプレートセットは、プロジェクト/ハブ接続の管理されたID認証と公共インターネットアクセスを有効にした標準設定でAzure AIエージェントサービスを設定する方法を示しています。 エージェントは、顧客所有のシングルテナント検索およびストレージ リソースを使用します。 このセットアップでは、これらのリソースを完全に制御して表示できますが、使用量に基づいてコストが発生します。 |
|
Testing environment for Azure Firewall Premium |
このテンプレートは、侵入検査検出(IDPS)、TLS検査、ウェブカテゴリフィルタリングなどのプレミアム機能を備えたAzure Firewallプレミアムおよびファイアウォールポリシーを作成します |
| このテンプレートは、実行中のWindows VMスケールセット上で暗号化を可能にします |
Terraform (AzAPI プロバイダー) リソース定義
コンテナーのリソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループ
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.KeyVault/vaults リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults@2026-03-01-preview"
name = "string"
parent_id = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
accessPolicies = [
{
applicationId = "string"
objectId = "string"
permissions = {
certificates = [
"string"
]
keys = [
"string"
]
secrets = [
"string"
]
storage = [
"string"
]
}
tenantId = "string"
}
]
createMode = "string"
enabledForDeployment = bool
enabledForDiskEncryption = bool
enabledForTemplateDeployment = bool
enablePurgeProtection = bool
enableRbacAuthorization = bool
enableSoftDelete = bool
networkAcls = {
bypass = "string"
defaultAction = "string"
ipRules = [
{
value = "string"
}
]
virtualNetworkRules = [
{
id = "string"
ignoreMissingVnetServiceEndpoint = bool
}
]
}
provisioningState = "string"
publicNetworkAccess = "string"
sku = {
family = "string"
name = "string"
}
softDeleteRetentionInDays = int
tenantId = "string"
tokenBindingParameters = {
minimumTokenBindingStrength = "string"
mode = "string"
}
vaultUri = "string"
}
}
}
プロパティ値
Microsoft.KeyVault/ボールト
| 名前 | 形容 | 価値 |
|---|---|---|
| 位置 | キーボールトを作成するべきサポートされたAzureのロケーション。 | string (必須) |
| 名前 | リソース名 | string (必須) |
| プロパティ | コンテナーのプロパティ | VaultProperties (必須) |
| タグ | リソース タグ | タグ名と値のディクショナリ。 |
| 型 | リソースの種類 | "Microsoft.KeyVault/vaults@2026-03-01-preview" |
アクセスポリシーエントリ
| 名前 | 形容 | 価値 |
|---|---|---|
| アプリケーションID | プリンシパルに代わって要求を行うクライアントのアプリケーション ID | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| オブジェクトID | Vault の Azure Active Directory テナント内のユーザー、サービスプリンシパル、またはセキュリティグループのオブジェクト ID。 オブジェクト ID は、アクセス ポリシーの一覧で一意である必要があります。 | string (必須) |
| アクセス許可 | キー、シークレット、証明書に対して ID に付与されるアクセス許可。 | アクセス許可の (必須) |
| テナントID | キーボールトへのリクエスト認証に使うべきAzure Active DirectoryのテナントIDです。 | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須) |
IPRuleの
| 名前 | 形容 | 価値 |
|---|---|---|
| 価値 | CIDR 表記の IPv4 アドレス範囲 ('124.56.78.91' (単純な IP アドレス) や '124.56.78.0/24' (124.56.78 で始まるすべてのアドレス) など)。 | string (必須) |
ネットワークルールセット
| 名前 | 形容 | 価値 |
|---|---|---|
| バイパス | ネットワーク ルールをバイパスできるトラフィックを指定します。 "AzureServices" または "None" を指定できます。 指定しない場合、既定値は 'AzureServices' です。 | 「AzureServices」 「なし」 |
| デフォルトアクション | ipRules および virtualNetworkRules からのルールが一致しない場合の既定のアクション。 これは、バイパス プロパティが評価された後にのみ使用されます。 | 「許可する」 「否定する」 |
| ipルール | IP アドレス規則の一覧。 | IPRule[] |
| virtualNetworkRules (仮想ネットワークルール) | 仮想ネットワーク規則の一覧。 | VirtualNetworkRule[] |
権限
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明 書 | 証明書へのアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '作成' '削除' 「deleteissuers」 'get' (取得) 「getissuers」 'インポート' 'リスト' 'リストイシュアーズ' 「連絡先の管理」 「発行者を管理する」 'パージ' 「回復」 「復元」 'setissuers' '更新' |
| キー | キーに対するアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '作成' 「復号化」 '削除' 「暗号化」 'get' (取得) 'getRotationPolicy' 'インポート' 'リスト' 'パージ' 「回復」 'リリース' 「復元」 '回転' 'setRotationPolicy' 'sign' 'アンラップキー' '更新' 「確認」 'wrapKey' |
| 秘密 | シークレットへのアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '削除' 'get' (取得) 'リスト' 'パージ' 「回復」 「復元」 'セット' |
| ストレージ | ストレージ アカウントへのアクセス許可 | 次のいずれかを含む文字列配列: 「すべて」 'バックアップ' '削除' 'deletesas' 'get' (取得) 「ゲツァス」 'リスト' 「リスト」 'パージ' 「回復」 'regeneratekey' 「復元」 'セット' 「セタス」 '更新' |
SKU
| 名前 | 形容 | 価値 |
|---|---|---|
| 家族 | SKU ファミリ名 | 'A' (必須) |
| 名前 | キー コンテナーが Standard コンテナーか Premium コンテナーかを指定する SKU 名。 | 「プレミアム」 'standard' (必須) |
トークンバインディングパラメータ
| 名前 | 形容 | 価値 |
|---|---|---|
| minimumTokenBindingStrength(最小トークンバインディングストレングス) | 「NoValidation」「Unattested」「AttestedTrustedLaunch」「AttestedConfidential」のいずれかの値でなければなりません。 トークンの結合力は、その順番で値が増すごとに増します。 | 『機密公認』 「信頼された発射」 「ノーバリデーション」 「記録なし」 |
| mode | これはトークンバインディングを無効化、有効化、または強制するかを指定します。 | '強制' 『強制されない』 |
VaultCreateOrUpdateParametersタグ
| 名前 | 形容 | 価値 |
|---|
ボールトプロパティ
| 名前 | 形容 | 価値 |
|---|---|---|
| accessPolicies (アクセスポリシー) | キー コンテナーにアクセスできる 0 から 1024 の ID の配列。 配列内のすべての ID は、キー コンテナーのテナント ID と同じテナント ID を使用する必要があります。
createMode が recoverに設定されている場合、アクセス ポリシーは必要ありません。 それ以外の場合は、アクセス ポリシーが必要です。 |
AccessPolicyEntry[] |
| クリエイトモード | コンテナーを復旧する必要があるかどうかを示すコンテナーの作成モード。 | 'デフォルト' 「回復」 |
| enabledForDeployment (デプロイメント) | Azure Virtual Machinesがキーボールトから秘密として保存された証明書を取得することが許可されているかどうかを指定するプロパティ。 | ブール (bool) |
| enabledForDiskEncryption (英語) | Azure Disk Encryptionがヴォールトから秘密を取得し、鍵を展開するかどうかを指定するプロパティです。 | ブール (bool) |
| enabledForTemplateDeployment | Azure Resource Managerがキーボールトから秘密を取得することが許可されているかどうかを指定するプロパティです。 | ブール (bool) |
| enablePurgeProtection | このコンテナーに対して消去に対する保護を有効にするかどうかを指定するプロパティ。 このプロパティをtrueに設定すると、このVaultおよびそのコンテンツの削除防止が有効化されます。ただし、ハードで回復不可能な削除を開始できるのはKey Vaultサービスのみです。 この設定は、論理的な削除も有効になっている場合にのみ有効です。 この機能を有効にすることは元に戻すことはできません。つまり、プロパティは false を値として受け入れません。 | ブール (bool) |
| enableRbacAuthorization(英語) | データ アクションの承認方法を制御するプロパティ。 もし真の場合、キーボールトはデータ操作の承認にRole Based Access Control(RBAC)を使用し、ボールトプロパティで指定されたアクセスポリシーは無視されます。 falseの場合、キーボールトはVault プロパティで指定されたアクセスポリシーを使用し、Azure Resource Managerに保存されているポリシーは無視されます。 null を指定しない場合、既定値が false のコンテナーが作成されます。 管理アクションは常に RBAC で承認されることに注意してください。 | ブール (bool) |
| enableSoftDelete | このキー コンテナーに対して "論理的な削除" 機能を有効にするかどうかを指定するプロパティ。 新しいキー コンテナーの作成時に値 (true または false) に設定されていない場合は、既定で true に設定されます。 true に設定すると、false に戻すことはできません。 | ブール (bool) |
| ネットワークACL | 特定のネットワークの場所からのキー コンテナーのアクセシビリティを制御する規則。 | ネットワークルールセット |
| プロビジョニング状態 | コンテナーのプロビジョニング状態。 | 「RegisteringDns」 「成功しました」 |
| publicNetworkAccess (パブリックネットワークアクセス) | コンテナーがパブリック インターネットからのトラフィックを受け入れるかどうかを指定するプロパティ。 プライベート エンドポイント トラフィックを除くすべてのトラフィックを "無効" に設定すると、信頼されたサービスから送信されたトラフィックはブロックされます。 これにより、設定されたファイアウォール規則がオーバーライドされます。つまり、ファイアウォール規則が存在する場合でも、その規則は適用されません。 | 文字列 |
| エスケーユー | SKU の詳細 | SKU (必須) |
| softDelete保持日数 | softDelete データ保有日数。 >=7 と <=90 を受け入れます。 | 整数 (int) |
| テナントID | キーボールトへのリクエスト認証に使うべきAzure Active DirectoryのテナントIDです。 | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ (必須) |
| tokenBindingParameters(トークンバインディングパラメータ) | Entraトークンのトークンバインディングの設定 | トークンバインディングパラメータ |
| vaultUri (英語) | キーとシークレットに対する操作を実行するためのコンテナーの URI。 | 文字列 |
VirtualNetworkRule (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1' など、vnet サブネットの完全なリソース ID。 | string (必須) |
| ignoreMissingVnetServiceEndpoint | 親サブネットに serviceEndpoints が構成されているかどうかを NRP が無視するかどうかを指定するプロパティ。 | ブール (bool) |
使用例
Terraformサンプル
Key Vaultのデプロイの基本的な例です。
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
data "azurerm_client_config" "current" {
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "vault" {
type = "Microsoft.KeyVault/vaults@2021-10-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
accessPolicies = [
{
objectId = data.azurerm_client_config.current.object_id
permissions = {
certificates = [
"ManageContacts",
]
keys = [
"Create",
]
secrets = [
"Set",
]
storage = [
]
}
tenantId = data.azurerm_client_config.current.tenant_id
},
]
createMode = "default"
enableRbacAuthorization = false
enableSoftDelete = true
enabledForDeployment = false
enabledForDiskEncryption = false
enabledForTemplateDeployment = false
publicNetworkAccess = "Enabled"
sku = {
family = "A"
name = "standard"
}
softDeleteRetentionInDays = 7
tenantId = data.azurerm_client_config.current.tenant_id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Azure Verified Modules
以下のAzure検証済みモジュールはこのリソースタイプの展開に使用できます。
| モジュール | 形容 |
|---|---|
| Key Vault | Key Vault用AVMリソースモジュール |