Partilhar via

HSMs gerenciados pelo Microsoft.KeyVault

Definição de recursos do bíceps

O tipo de recurso managedHSMs pode ser implantado com operações que visam:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.

Formato do recurso

Para criar um recurso Microsoft.KeyVault/managedHSMs, adicione o seguinte Bicep ao seu modelo.

resource symbolicname 'Microsoft.KeyVault/managedHSMs@2025-05-01' = {
  scope: resourceSymbolicName or scope
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    createMode: 'string'
    enablePurgeProtection: bool
    enableSoftDelete: bool
    initialAdminObjectIds: [
      'string'
    ]
    networkAcls: {
      bypass: 'string'
      defaultAction: 'string'
      ipRules: [
        {
          value: 'string'
        }
      ]
      serviceTags: [
        {
          tag: 'string'
        }
      ]
      virtualNetworkRules: [
        {
          id: 'string'
        }
      ]
    }
    publicNetworkAccess: 'string'
    regions: [
      {
        isPrimary: bool
        name: 'string'
      }
    ]
    softDeleteRetentionInDays: int
    tenantId: 'string'
  }
  sku: {
    family: 'string'
    name: 'string'
  }
  tags: {
    {customized property}: 'string'
  }
}

Valores de propriedade

Microsoft.KeyVault/managedHSMs

Designação Descrição Valor
identidade Identidade do serviço gerenciado ManagedServiceIdentity
localização A geolocalização onde o recurso vive cadeia (de caracteres)
Designação O nome do recurso string (obrigatório)
propriedades Propriedades do HSM gerenciado ManagedHsmProperties
âmbito Use ao criar um recurso em um escopo diferente do escopo de implantação. Defina essa propriedade como o nome simbólico de um recurso para aplicar o recurso de extensão .
SKU Detalhes do SKU ManagedHsmSku
Etiquetas Tags de recursos Dicionário de nomes e valores de tags. Consulte Tags em modelos

ManagedHsmProperties

Designação Descrição Valor
createMode O modo de criação para indicar se o recurso está sendo criado ou está sendo recuperado de um recurso excluído. 'Padrão'
'Recuperar'
enablePurgeProtection Propriedade que especifica se a proteção contra limpeza está habilitada para esse pool de HSM gerenciado. Definir essa propriedade como true ativa a proteção contra limpeza para esse pool de HSM gerenciado e seu conteúdo - somente o serviço HSM gerenciado pode iniciar uma exclusão rígida e irrecuperável. Ativar esta funcionalidade é irreversível. Bool
enableSoftDelete Propriedade para especificar se a funcionalidade 'exclusão suave' está habilitada para esse pool de HSM gerenciado. A exclusão suave é habilitada por padrão para todos os HSMs gerenciados e é imutável. Bool
initialAdminObjectIds Matriz de ids de objeto de administradores iniciais para este pool hsm gerenciado. string[]
networkAcls Regras que regem a acessibilidade do cofre de chaves a partir de locais de rede específicos. MhsmNetworkRuleSet
acesso à rede pública Controle a permissão para o HSM gerenciado a partir de redes públicas. 'Desativado'
'Habilitado'
Regiões Lista de todas as regiões associadas ao pool hsm gerenciado. MhsmGeoReplicatedRegion []
softDeleteRetentionInDays Dias de retenção de dados apagados suavemente. Quando você exclui um HSM ou uma chave, ele permanecerá recuperável pelo período de retenção configurado ou por um período padrão de 90 dias. Aceita valores entre 7 e 90. Int
inquilinoId A ID de locatário do Azure Ative Directory que deve ser usada para autenticar solicitações para o pool de HSM gerenciado. cadeia de caracteres

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

ManagedHsmSku

Designação Descrição Valor
Família Família SKU do pool HSM gerenciado «B»
«C» (obrigatório)
Designação SKU do pool de HSM gerenciado 'Custom_B32'
'Custom_B6'
'Custom_C10'
'Custom_C42'
'Standard_B1' (obrigatório)

ManagedHsmTags

Designação Descrição Valor

ManagedServiceIdentity

Designação Descrição Valor
tipo Tipo de identidade de serviço gerenciado (onde os tipos SystemAssigned e UserAssigned são permitidos). 'Nenhuma'
'SystemAssigned'
'SystemAssigned,UserAssigned'
'UserAssigned' (obrigatório)
identidades atribuídas pelo utilizador O conjunto de identidades atribuídas pelo usuário associadas ao recurso. As chaves do dicionário userAssignedIdentities serão ids de recurso ARM no formato: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Os valores de dicionário podem ser objetos vazios ({}) em solicitações. UserAssignedIdentities

MhsmGeoReplicatedRegion

Designação Descrição Valor
isPrimário Um valor booleano que indica se a região é a região primária ou secundária. Bool
Designação Nome da região replicada geograficamente. cadeia (de caracteres)

MhsmipRule

Designação Descrição Valor
valor Um intervalo de endereços IPv4 na notação CIDR, como '124.56.78.91' (endereço IP simples) ou '124.56.78.0/24' (todos os endereços que começam com 124.56.78). string (obrigatório)

MhsmNetworkRuleSet

Designação Descrição Valor
Desvio Informa qual tráfego pode ignorar as regras de rede. Isso pode ser 'AzureServices' ou 'None'. Se não for especificado, o padrão será 'AzureServices'. 'AzureServices'
'Nenhuma'
defaultAction A ação padrão quando nenhuma regra de ipRules e de virtualNetworkRules corresponder. Isso só é usado depois que a propriedade bypass foi avaliada. 'Permitir'
'Negar'
ipRegras A lista de regras de endereço IP. MhsmipRule[]
serviceTags A lista de tags de serviço. MhsmServiceTagRule[]
virtualNetworkRules A lista de regras de rede virtual. MhsmVirtualNetworkRule[]

MhsmServiceTagRule

Designação Descrição Valor
etiqueta Nome da etiqueta de serviço. string (obrigatório)

MhsmVirtualNetworkRule

Designação Descrição Valor
ID ID de recurso completo de uma sub-rede vnet, como '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. string (obrigatório)

UserAssignedIdentities

Designação Descrição Valor

IdentidadeAtribuídaPeloUtilizador

Designação Descrição Valor

Exemplos de uso

Exemplos de início rápido do Azure

Os seguintes modelos início rápido do Azure contêm exemplos de Bicep para implantar esse tipo de recurso.

Arquivo Bicep Descrição
Criar um HSM gerenciado do Azure Key Vault Este modelo cria um HSM gerenciado do Azure Key Vault.

Definição de recurso de modelo ARM

O tipo de recurso managedHSMs pode ser implantado com operações que visam:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.

Formato do recurso

Para criar um recurso Microsoft.KeyVault/managedHSMs, adicione o seguinte JSON ao seu modelo.

{
  "type": "Microsoft.KeyVault/managedHSMs",
  "apiVersion": "2025-05-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "createMode": "string",
    "enablePurgeProtection": "bool",
    "enableSoftDelete": "bool",
    "initialAdminObjectIds": [ "string" ],
    "networkAcls": {
      "bypass": "string",
      "defaultAction": "string",
      "ipRules": [
        {
          "value": "string"
        }
      ],
      "serviceTags": [
        {
          "tag": "string"
        }
      ],
      "virtualNetworkRules": [
        {
          "id": "string"
        }
      ]
    },
    "publicNetworkAccess": "string",
    "regions": [
      {
        "isPrimary": "bool",
        "name": "string"
      }
    ],
    "softDeleteRetentionInDays": "int",
    "tenantId": "string"
  },
  "sku": {
    "family": "string",
    "name": "string"
  },
  "tags": {
    "{customized property}": "string"
  }
}

Valores de propriedade

Microsoft.KeyVault/managedHSMs

Designação Descrição Valor
Versão da API A versão api '2025-05-01'
identidade Identidade do serviço gerenciado ManagedServiceIdentity
localização A geolocalização onde o recurso vive cadeia (de caracteres)
Designação O nome do recurso string (obrigatório)
propriedades Propriedades do HSM gerenciado ManagedHsmProperties
SKU Detalhes do SKU ManagedHsmSku
Etiquetas Tags de recursos Dicionário de nomes e valores de tags. Consulte Tags em modelos
tipo O tipo de recurso 'Microsoft.KeyVault/managedHSMs'

ManagedHsmProperties

Designação Descrição Valor
createMode O modo de criação para indicar se o recurso está sendo criado ou está sendo recuperado de um recurso excluído. 'Padrão'
'Recuperar'
enablePurgeProtection Propriedade que especifica se a proteção contra limpeza está habilitada para esse pool de HSM gerenciado. Definir essa propriedade como true ativa a proteção contra limpeza para esse pool de HSM gerenciado e seu conteúdo - somente o serviço HSM gerenciado pode iniciar uma exclusão rígida e irrecuperável. Ativar esta funcionalidade é irreversível. Bool
enableSoftDelete Propriedade para especificar se a funcionalidade 'exclusão suave' está habilitada para esse pool de HSM gerenciado. A exclusão suave é habilitada por padrão para todos os HSMs gerenciados e é imutável. Bool
initialAdminObjectIds Matriz de ids de objeto de administradores iniciais para este pool hsm gerenciado. string[]
networkAcls Regras que regem a acessibilidade do cofre de chaves a partir de locais de rede específicos. MhsmNetworkRuleSet
acesso à rede pública Controle a permissão para o HSM gerenciado a partir de redes públicas. 'Desativado'
'Habilitado'
Regiões Lista de todas as regiões associadas ao pool hsm gerenciado. MhsmGeoReplicatedRegion []
softDeleteRetentionInDays Dias de retenção de dados apagados suavemente. Quando você exclui um HSM ou uma chave, ele permanecerá recuperável pelo período de retenção configurado ou por um período padrão de 90 dias. Aceita valores entre 7 e 90. Int
inquilinoId A ID de locatário do Azure Ative Directory que deve ser usada para autenticar solicitações para o pool de HSM gerenciado. cadeia de caracteres

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

ManagedHsmSku

Designação Descrição Valor
Família Família SKU do pool HSM gerenciado «B»
«C» (obrigatório)
Designação SKU do pool de HSM gerenciado 'Custom_B32'
'Custom_B6'
'Custom_C10'
'Custom_C42'
'Standard_B1' (obrigatório)

ManagedHsmTags

Designação Descrição Valor

ManagedServiceIdentity

Designação Descrição Valor
tipo Tipo de identidade de serviço gerenciado (onde os tipos SystemAssigned e UserAssigned são permitidos). 'Nenhuma'
'SystemAssigned'
'SystemAssigned,UserAssigned'
'UserAssigned' (obrigatório)
identidades atribuídas pelo utilizador O conjunto de identidades atribuídas pelo usuário associadas ao recurso. As chaves do dicionário userAssignedIdentities serão ids de recurso ARM no formato: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Os valores de dicionário podem ser objetos vazios ({}) em solicitações. UserAssignedIdentities

MhsmGeoReplicatedRegion

Designação Descrição Valor
isPrimário Um valor booleano que indica se a região é a região primária ou secundária. Bool
Designação Nome da região replicada geograficamente. cadeia (de caracteres)

MhsmipRule

Designação Descrição Valor
valor Um intervalo de endereços IPv4 na notação CIDR, como '124.56.78.91' (endereço IP simples) ou '124.56.78.0/24' (todos os endereços que começam com 124.56.78). string (obrigatório)

MhsmNetworkRuleSet

Designação Descrição Valor
Desvio Informa qual tráfego pode ignorar as regras de rede. Isso pode ser 'AzureServices' ou 'None'. Se não for especificado, o padrão será 'AzureServices'. 'AzureServices'
'Nenhuma'
defaultAction A ação padrão quando nenhuma regra de ipRules e de virtualNetworkRules corresponder. Isso só é usado depois que a propriedade bypass foi avaliada. 'Permitir'
'Negar'
ipRegras A lista de regras de endereço IP. MhsmipRule[]
serviceTags A lista de tags de serviço. MhsmServiceTagRule[]
virtualNetworkRules A lista de regras de rede virtual. MhsmVirtualNetworkRule[]

MhsmServiceTagRule

Designação Descrição Valor
etiqueta Nome da etiqueta de serviço. string (obrigatório)

MhsmVirtualNetworkRule

Designação Descrição Valor
ID ID de recurso completo de uma sub-rede vnet, como '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. string (obrigatório)

UserAssignedIdentities

Designação Descrição Valor

IdentidadeAtribuídaPeloUtilizador

Designação Descrição Valor

Exemplos de uso

Modelos de início rápido do Azure

Os seguintes modelos de início rápido do Azure implantar esse tipo de recurso.

Modelo Descrição
Criar um HSM gerenciado do Azure Key Vault

Implantar no Azure 		Este modelo cria um HSM gerenciado do Azure Key Vault.

Definição de recursos Terraform (provedor AzAPI)

O tipo de recurso managedHSMs pode ser implantado com operações que visam:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.

Formato do recurso

Para criar um recurso Microsoft.KeyVault/managedHSMs, adicione o seguinte Terraform ao seu modelo.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.KeyVault/managedHSMs@2025-05-01"
  name = "string"
  parent_id = "string"
  identity {
    type = "string"
    identity_ids = [
      "string"
    ]
  }
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = {
    properties = {
      createMode = "string"
      enablePurgeProtection = bool
      enableSoftDelete = bool
      initialAdminObjectIds = [
        "string"
      ]
      networkAcls = {
        bypass = "string"
        defaultAction = "string"
        ipRules = [
          {
            value = "string"
          }
        ]
        serviceTags = [
          {
            tag = "string"
          }
        ]
        virtualNetworkRules = [
          {
            id = "string"
          }
        ]
      }
      publicNetworkAccess = "string"
      regions = [
        {
          isPrimary = bool
          name = "string"
        }
      ]
      softDeleteRetentionInDays = int
      tenantId = "string"
    }
    sku = {
      family = "string"
      name = "string"
    }
  }
}

Valores de propriedade

Microsoft.KeyVault/managedHSMs

Designação Descrição Valor
identidade Identidade do serviço gerenciado ManagedServiceIdentity
localização A geolocalização onde o recurso vive cadeia (de caracteres)
Designação O nome do recurso string (obrigatório)
parent_id A ID do recurso ao qual aplicar esse recurso de extensão. string (obrigatório)
propriedades Propriedades do HSM gerenciado ManagedHsmProperties
SKU Detalhes do SKU ManagedHsmSku
Etiquetas Tags de recursos Dicionário de nomes e valores de tags.
tipo O tipo de recurso "Microsoft.KeyVault/managedHSMs@2025-05-01"

ManagedHsmProperties

Designação Descrição Valor
createMode O modo de criação para indicar se o recurso está sendo criado ou está sendo recuperado de um recurso excluído. 'Padrão'
'Recuperar'
enablePurgeProtection Propriedade que especifica se a proteção contra limpeza está habilitada para esse pool de HSM gerenciado. Definir essa propriedade como true ativa a proteção contra limpeza para esse pool de HSM gerenciado e seu conteúdo - somente o serviço HSM gerenciado pode iniciar uma exclusão rígida e irrecuperável. Ativar esta funcionalidade é irreversível. Bool
enableSoftDelete Propriedade para especificar se a funcionalidade 'exclusão suave' está habilitada para esse pool de HSM gerenciado. A exclusão suave é habilitada por padrão para todos os HSMs gerenciados e é imutável. Bool
initialAdminObjectIds Matriz de ids de objeto de administradores iniciais para este pool hsm gerenciado. string[]
networkAcls Regras que regem a acessibilidade do cofre de chaves a partir de locais de rede específicos. MhsmNetworkRuleSet
acesso à rede pública Controle a permissão para o HSM gerenciado a partir de redes públicas. 'Desativado'
'Habilitado'
Regiões Lista de todas as regiões associadas ao pool hsm gerenciado. MhsmGeoReplicatedRegion []
softDeleteRetentionInDays Dias de retenção de dados apagados suavemente. Quando você exclui um HSM ou uma chave, ele permanecerá recuperável pelo período de retenção configurado ou por um período padrão de 90 dias. Aceita valores entre 7 e 90. Int
inquilinoId A ID de locatário do Azure Ative Directory que deve ser usada para autenticar solicitações para o pool de HSM gerenciado. cadeia de caracteres

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

ManagedHsmSku

Designação Descrição Valor
Família Família SKU do pool HSM gerenciado «B»
«C» (obrigatório)
Designação SKU do pool de HSM gerenciado 'Custom_B32'
'Custom_B6'
'Custom_C10'
'Custom_C42'
'Standard_B1' (obrigatório)

ManagedHsmTags

Designação Descrição Valor

ManagedServiceIdentity

Designação Descrição Valor
tipo Tipo de identidade de serviço gerenciado (onde os tipos SystemAssigned e UserAssigned são permitidos). 'Nenhuma'
'SystemAssigned'
'SystemAssigned,UserAssigned'
'UserAssigned' (obrigatório)
identidades atribuídas pelo utilizador O conjunto de identidades atribuídas pelo usuário associadas ao recurso. As chaves do dicionário userAssignedIdentities serão ids de recurso ARM no formato: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Os valores de dicionário podem ser objetos vazios ({}) em solicitações. UserAssignedIdentities

MhsmGeoReplicatedRegion

Designação Descrição Valor
isPrimário Um valor booleano que indica se a região é a região primária ou secundária. Bool
Designação Nome da região replicada geograficamente. cadeia (de caracteres)

MhsmipRule

Designação Descrição Valor
valor Um intervalo de endereços IPv4 na notação CIDR, como '124.56.78.91' (endereço IP simples) ou '124.56.78.0/24' (todos os endereços que começam com 124.56.78). string (obrigatório)

MhsmNetworkRuleSet

Designação Descrição Valor
Desvio Informa qual tráfego pode ignorar as regras de rede. Isso pode ser 'AzureServices' ou 'None'. Se não for especificado, o padrão será 'AzureServices'. 'AzureServices'
'Nenhuma'
defaultAction A ação padrão quando nenhuma regra de ipRules e de virtualNetworkRules corresponder. Isso só é usado depois que a propriedade bypass foi avaliada. 'Permitir'
'Negar'
ipRegras A lista de regras de endereço IP. MhsmipRule[]
serviceTags A lista de tags de serviço. MhsmServiceTagRule[]
virtualNetworkRules A lista de regras de rede virtual. MhsmVirtualNetworkRule[]

MhsmServiceTagRule

Designação Descrição Valor
etiqueta Nome da etiqueta de serviço. string (obrigatório)

MhsmVirtualNetworkRule

Designação Descrição Valor
ID ID de recurso completo de uma sub-rede vnet, como '/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/virtualNetworks/test-vnet/subnets/subnet1'. string (obrigatório)

UserAssignedIdentities

Designação Descrição Valor

IdentidadeAtribuídaPeloUtilizador

Designação Descrição Valor

Exemplos de uso

Amostras Terraform

Um exemplo básico de implantação do Key Vault Managed Hardware Security Module.

terraform {
  required_providers {
    azapi = {
      source = "Azure/azapi"
    }
    azurerm = {
      source = "hashicorp/azurerm"
    }
  }
}

provider "azurerm" {
  features {
  }
}

provider "azapi" {
  skip_provider_registration = false
}

variable "resource_name" {
  type    = string
  default = "acctest0001"
}

variable "location" {
  type    = string
  default = "westeurope"
}

data "azurerm_client_config" "current" {
}

resource "azapi_resource" "resourceGroup" {
  type     = "Microsoft.Resources/resourceGroups@2020-06-01"
  name     = var.resource_name
  location = var.location
}

resource "azapi_resource" "managedHSM" {
  type      = "Microsoft.KeyVault/managedHSMs@2021-10-01"
  parent_id = azapi_resource.resourceGroup.id
  name      = "kvHsm230630033342437496"
  location  = var.location
  body = {
    properties = {
      createMode            = "default"
      enablePurgeProtection = false
      enableSoftDelete      = true
      initialAdminObjectIds = [
        data.azurerm_client_config.current.object_id,
      ]
      publicNetworkAccess       = "Enabled"
      softDeleteRetentionInDays = 90
      tenantId                  = data.azurerm_client_config.current.tenant_id
    }
    sku = {
      family = "B"
      name   = "Standard_B1"
    }
  }
  schema_validation_enabled = false
  response_export_values    = ["*"]
}
  • Last updated on