Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarques
Pour obtenir des conseils sur l’utilisation de coffres de clés pour des valeurs sécurisées, consultez Gérer les secrets à l’aide de Bicep.
Pour obtenir un guide de démarrage rapide sur la création d’un secret, consultez Démarrage rapide : Définir et récupérer un secret à partir d’Azure Key Vault à l’aide d’un modèle ARM.
Pour obtenir un guide de démarrage rapide sur la création d’une clé, consultez Démarrage rapide : Créer un coffre de clés Azure et une clé à l’aide d’un modèle ARM.
Définition de ressource Bicep
Le type de ressource de coffres/secrets peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.KeyVault/vaults/secrets, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.KeyVault/vaults/secrets@2025-05-01' = {
parent: resourceSymbolicName
name: 'string'
properties: {
attributes: {
enabled: bool
exp: int
nbf: int
}
contentType: 'string'
value: 'string'
}
tags: {
{customized property}: 'string'
}
}
Valeurs de propriété
Microsoft.KeyVault/coffres/secrets
| Nom | Descriptif | Valeur |
|---|---|---|
| nom | Nom de la ressource | chaîne (obligatoire) |
| parent | Dans Bicep, vous pouvez spécifier la ressource parente d’une ressource enfant. Vous devez uniquement ajouter cette propriété lorsque la ressource enfant est déclarée en dehors de la ressource parente. Pour plus d’informations, consultez ressource enfant en dehors de la ressource parente. |
Nom symbolique de la ressource de type : coffres |
| Propriétés | Propriétés du secret | SecretProperties (obligatoire) |
| étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
SecretAttributes
| Nom | Descriptif | Valeur |
|---|---|---|
| Activé | Détermine si l’objet est activé. | Bool |
| Exp | Date d’expiration en secondes depuis 1970-01-01T00:00:00Z. | Int |
| FBN | Pas avant la date en secondes depuis 1970-01-01T00:00:00Z. | Int |
SecretCreateOrUpdateParametersTags
| Nom | Descriptif | Valeur |
|---|
SecretProperties
| Nom | Descriptif | Valeur |
|---|---|---|
| Attributs | Attributs du secret. | SecretAttributes |
| type de contenu | Type de contenu du secret. | corde |
| valeur | Valeur du secret. REMARQUE : « value » ne sera jamais retourné par le service, car les API utilisant ce modèle sont destinées à une utilisation interne dans les déploiements ARM. Les utilisateurs doivent utiliser le service REST de plan de données pour interagir avec les secrets du coffre. | corde |
Exemples d’utilisation
Exemples de démarrage rapide Azure
Les modèles de démarrage rapide Azure suivants contiennent des exemples Bicep pour le déploiement de ce type de ressource.
| Fichier Bicep | Descriptif |
|---|---|
| Application Gateway avec gestion des API internes et d’application web | Application Gateway achemine le trafic Internet vers une instance de gestion des API de réseau virtuel (mode interne) qui services une API web hébergée dans une application web Azure. |
| application de fonction Azure et une fonction déclenchée par HTTP | Cet exemple déploie une application de fonction Azure et une fonction déclenchée par HTTP inline dans le modèle. Il déploie également un coffre de clés et remplit un secret avec la clé hôte de l’application de fonction. |
| Créer un coffre de clés et une liste de secrets | Ce modèle crée un coffre de clés et une liste de secrets dans le coffre de clés comme transmis avec les paramètres |
| Créer un service Gestion des API avec SSL à partir de KeyVault | Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour récupérer le certificat SSL à partir de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
| Créer un coffre de clés Azure et un secret | Ce modèle crée un coffre de clés Azure et un secret. |
| Créer un coffre de clés Azure avec RBAC et un secret | Ce modèle crée un coffre de clés Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
| hub FinOps | Ce modèle crée une instance de hub FinOps, notamment Data Explorer, Data Lake Storage et Data Factory. |
| environnement de test pour le pare-feu Azure Premium | Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
Définition de ressource de modèle ARM
Le type de ressource de coffres/secrets peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.KeyVault/vaults/secrets, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.KeyVault/vaults/secrets",
"apiVersion": "2025-05-01",
"name": "string",
"properties": {
"attributes": {
"enabled": "bool",
"exp": "int",
"nbf": "int"
},
"contentType": "string",
"value": "string"
},
"tags": {
"{customized property}": "string"
}
}
Valeurs de propriété
Microsoft.KeyVault/coffres/secrets
| Nom | Descriptif | Valeur |
|---|---|---|
| apiVersion | Version de l’API | '2025-05-01' |
| nom | Nom de la ressource | chaîne (obligatoire) |
| Propriétés | Propriétés du secret | SecretProperties (obligatoire) |
| étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
| type | Type de ressource | 'Microsoft.KeyVault/vaults/secrets' |
SecretAttributes
| Nom | Descriptif | Valeur |
|---|---|---|
| Activé | Détermine si l’objet est activé. | Bool |
| Exp | Date d’expiration en secondes depuis 1970-01-01T00:00:00Z. | Int |
| FBN | Pas avant la date en secondes depuis 1970-01-01T00:00:00Z. | Int |
SecretCreateOrUpdateParametersTags
| Nom | Descriptif | Valeur |
|---|
SecretProperties
| Nom | Descriptif | Valeur |
|---|---|---|
| Attributs | Attributs du secret. | SecretAttributes |
| type de contenu | Type de contenu du secret. | corde |
| valeur | Valeur du secret. REMARQUE : « value » ne sera jamais retourné par le service, car les API utilisant ce modèle sont destinées à une utilisation interne dans les déploiements ARM. Les utilisateurs doivent utiliser le service REST de plan de données pour interagir avec les secrets du coffre. | corde |
Exemples d’utilisation
Modèles de démarrage rapide Azure
Les modèles de démarrage rapide Azure suivants déployer ce type de ressource.
| Modèle | Descriptif |
|---|---|
Application Gateway avec gestion des API internes et d’application web
|
Application Gateway achemine le trafic Internet vers une instance de gestion des API de réseau virtuel (mode interne) qui services une API web hébergée dans une application web Azure. |
|
application de fonction Azure et une fonction déclenchée par HTTP
|
Cet exemple déploie une application de fonction Azure et une fonction déclenchée par HTTP inline dans le modèle. Il déploie également un coffre de clés et remplit un secret avec la clé hôte de l’application de fonction. |
|
se connecter à un coffre de clés via un point de terminaison privé
|
Cet exemple montre comment utiliser la configuration d’un réseau virtuel et d’une zone DNS privée pour accéder à Key Vault via un point de terminaison privé. |
|
Créer un coffre de clés et une liste de secrets
|
Ce modèle crée un coffre de clés et une liste de secrets dans le coffre de clés comme transmis avec les paramètres |
|
Créer un service Gestion des API avec SSL à partir de KeyVault
|
Ce modèle déploie un service Gestion des API configuré avec l’identité affectée par l’utilisateur. Il utilise cette identité pour récupérer le certificat SSL à partir de KeyVault et le maintient à jour en vérifiant toutes les 4 heures. |
|
créer une passerelle Application Gateway V2 avec le Key Vault
|
Ce modèle déploie une application Gateway V2 dans un réseau virtuel, une identité définie par l’utilisateur, Key Vault, un secret (données de certificat) et une stratégie d’accès sur Key Vault et Application Gateway. |
|
Créer un coffre de clés Azure et un secret
|
Ce modèle crée un coffre de clés Azure et un secret. |
|
Créer un coffre de clés Azure avec RBAC et un secret
|
Ce modèle crée un coffre de clés Azure et un secret. Au lieu de s’appuyer sur des stratégies d’accès, il tire parti d’Azure RBAC pour gérer l’autorisation sur les secrets |
|
créer un jeton SAP Azure Maps stocké dans un Azure Key Vault
|
Ce modèle déploie et compte Azure Maps et répertorie un jeton Sas basé sur l’identité affectée par l’utilisateur fournie à stocker dans un secret Azure Key Vault. |
|
Créer des clés ssh et stocker dans keyVault
|
Ce modèle utilise la ressource deploymentScript pour générer des clés SSH et stocke la clé privée dans keyVault. |
|
hub FinOps
|
Ce modèle crée une instance de hub FinOps, notamment Data Explorer, Data Lake Storage et Data Factory. |
| environnement de test pour le pare-feu Azure Premium
|
Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource de coffres/secrets peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.KeyVault/vaults/secrets, ajoutez terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/secrets@2025-05-01"
name = "string"
parent_id = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
attributes = {
enabled = bool
exp = int
nbf = int
}
contentType = "string"
value = "string"
}
}
}
Valeurs de propriété
Microsoft.KeyVault/coffres/secrets
| Nom | Descriptif | Valeur |
|---|---|---|
| nom | Nom de la ressource | chaîne (obligatoire) |
| parent_id | ID de la ressource qui est le parent de cette ressource. | ID de ressource de type : coffres |
| Propriétés | Propriétés du secret | SecretProperties (obligatoire) |
| étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. |
| type | Type de ressource | « Microsoft.KeyVault/vaults/secrets@2025-05-01 » |
SecretAttributes
| Nom | Descriptif | Valeur |
|---|---|---|
| Activé | Détermine si l’objet est activé. | Bool |
| Exp | Date d’expiration en secondes depuis 1970-01-01T00:00:00Z. | Int |
| FBN | Pas avant la date en secondes depuis 1970-01-01T00:00:00Z. | Int |
SecretCreateOrUpdateParametersTags
| Nom | Descriptif | Valeur |
|---|
SecretProperties
| Nom | Descriptif | Valeur |
|---|---|---|
| Attributs | Attributs du secret. | SecretAttributes |
| type de contenu | Type de contenu du secret. | corde |
| valeur | Valeur du secret. REMARQUE : « value » ne sera jamais retourné par le service, car les API utilisant ce modèle sont destinées à une utilisation interne dans les déploiements ARM. Les utilisateurs doivent utiliser le service REST de plan de données pour interagir avec les secrets du coffre. | corde |
Exemples d’utilisation
Échantillons Terraform
Exemple de base de déploiement de clés secrètes Key Vault.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
data "azurerm_client_config" "current" {
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "vault" {
type = "Microsoft.KeyVault/vaults@2023-02-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
sku = {
family = "A"
name = "standard"
}
accessPolicies = []
enableSoftDelete = true
tenantId = data.azurerm_client_config.current.tenant_id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
lifecycle {
ignore_changes = [body.properties.accessPolicies]
}
}
data "azapi_resource_id" "secret" {
type = "Microsoft.KeyVault/vaults/secrets@2023-02-01"
parent_id = azapi_resource.vault.id
name = var.resource_name
}
resource "azapi_resource_action" "put_secret" {
type = "Microsoft.KeyVault/vaults/secrets@2023-02-01"
resource_id = data.azapi_resource_id.secret.id
method = "PUT"
body = {
properties = {
value = "szechuan"
}
}
response_export_values = ["*"]
}