Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Comentários
Para obter orientação sobre como usar cofres de chaves para valores seguros, consulte Gerenciar segredos usando o Bicep.
Para obter um início rápido na criação de um segredo, consulte Guia de início rápido: definir e recuperar um segredo do Cofre de Chaves do Azure usando um modelo ARM.
Para obter um início rápido na criação de uma chave, consulte Guia de início rápido : criar um cofre de chaves do Azure e uma chave usando o modelo ARM.
Definição de recursos do bíceps
O tipo de recurso vaults/keys pode ser implantado com operações que visam:
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.KeyVault/vaults/keys, adicione o seguinte Bicep ao seu modelo.
resource symbolicname 'Microsoft.KeyVault/vaults/keys@2025-05-01' = {
parent: resourceSymbolicName
name: 'string'
properties: {
attributes: {
enabled: bool
exp: int
exportable: bool
nbf: int
}
curveName: 'string'
keyOps: [
'string'
]
keySize: int
kty: 'string'
release_policy: {
contentType: 'string'
data: 'string'
}
rotationPolicy: {
attributes: {
expiryTime: 'string'
}
lifetimeActions: [
{
action: {
type: 'string'
}
trigger: {
timeAfterCreate: 'string'
timeBeforeExpiry: 'string'
}
}
]
}
}
tags: {
{customized property}: 'string'
}
}
Valores de propriedade
Microsoft.KeyVault/cofres/chaves
| Designação | Descrição | Valor |
|---|---|---|
| Designação | O nome do recurso | cadeia de caracteres Restrições: Padrão = ^[a-zA-Z0-9-]{1,127}$ (obrigatório) |
| elemento principal | No Bicep, você pode especificar o recurso pai para um recurso filho. Você só precisa adicionar essa propriedade quando o recurso filho é declarado fora do recurso pai. Para obter mais informações, consulte recurso filho fora do recurso pai. |
Nome simbólico para o recurso do tipo: vaults |
| propriedades | As propriedades da chave a ser criada. | KeyProperties (obrigatório) |
| Etiquetas | Tags de recursos | Dicionário de nomes e valores de tags. Consulte Tags em modelos |
Ação
| Designação | Descrição | Valor |
|---|---|---|
| tipo | O tipo de ação. | «notificar» 'girar' |
KeyAttributes
| Designação | Descrição | Valor |
|---|---|---|
| ativado | Determina se o objeto está habilitado ou não. | Bool |
| exp | Data de validade em segundos desde 1970-01-01T00:00:00Z. | Int |
| exportável | Indica se a chave privada pode ser exportada. | Bool |
| NBF | Não antes da data em segundos desde 1970-01-01T00:00:00Z. | Int |
KeyCreateParametersTags
| Designação | Descrição | Valor |
|---|
KeyProperties
| Designação | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da chave. | KeyAttributes |
| curveName | O nome da curva elíptica. Para valores válidos, consulte JsonWebKeyCurveName. O padrão para as chaves EC e EC-HSM é P-256 | «P-256» «P-256K» «P-384» «P-521» |
| keyOps | Matriz de cadeia de caracteres contendo qualquer uma das: 'desencriptar' 'encriptar' «Importação» 'Lançamento' 'sinal' 'desembrulhar' 'verificar' 'Chave de embrulho' |
|
| tamanho da chave | O tamanho da chave em bits. Por exemplo: 2048, 3072 ou 4096 para RSA. O padrão para as chaves RSA e RSA-HSM é 2048. Exceção feita para trazer sua própria chave (BYOK), chaves de troca de chaves padrão para 4096. | Int |
| KTY | O tipo da chave. Para valores válidos, consulte JsonWebKeyType. | «CE» «EC-HSM» «RSA» 'RSA-HSM' |
| release_policy | Política de lançamento de chaves em resposta. Ele será usado tanto para saída quanto para entrada. Omitido se vazio | KeyReleasePolicy |
| Política de rotação | Política de rotação de chaves em resposta. Ele será usado tanto para saída quanto para entrada. Omitido se vazio | Política de Rotação |
KeyReleasePolicy
| Designação | Descrição | Valor |
|---|---|---|
| TipoDeConteúdo | Tipo de conteúdo e versão da política de liberação de chaves | cadeia (de caracteres) |
| dados | Blob codificando as regras de política sob as quais a chave pode ser liberada. | cadeia (de caracteres) |
KeyRotationPolicyAttributes
| Designação | Descrição | Valor |
|---|---|---|
| expiryTime | O tempo de expiração para a nova versão de chave. Deve ser em ISO8601 formato. Por exemplo: 'P90D', 'P1Y'. | cadeia (de caracteres) |
LifetimeAction
| Designação | Descrição | Valor |
|---|---|---|
| ação | A ação do tempo de vida da política de rotação de chavesAction. | Ação |
| accionador | O gatilho do tempo de vida da política de rotação de chavesAction. | Gatilho |
Política de Rotação
| Designação | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da política de rotação de chaves. | KeyRotationPolicyAttributes |
| Ações vitalícias | O lifetimeActions para a ação de rotação de chaves. | LifetimeAction[] |
Gatilho
| Designação | Descrição | Valor |
|---|---|---|
| timeAfterCriar | A duração do tempo após a criação da chave para girar a chave. Aplica-se apenas à rotação. Será no formato de duração ISO 8601. Por exemplo: 'P90D', 'P1Y'. | cadeia (de caracteres) |
| timeBeforeExpiry | A duração do tempo antes da chave expirar para girar ou notificar. Será no formato de duração ISO 8601. Por exemplo: 'P90D', 'P1Y'. | cadeia (de caracteres) |
Exemplos de uso
Exemplos de início rápido do Azure
Os seguintes modelos início rápido do Azure contêm exemplos de Bicep para implantar esse tipo de recurso.
| Arquivo Bicep | Descrição |
|---|---|
| Criptografia de Conta de Armazenamento do Azure com chave gerenciada pelo cliente | Este modelo implanta uma Conta de Armazenamento com uma chave gerenciada pelo cliente para criptografia gerada e colocada dentro de um Cofre de Chaves. |
Definição de recurso de modelo ARM
O tipo de recurso vaults/keys pode ser implantado com operações que visam:
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.KeyVault/vaults/keys, adicione o seguinte JSON ao seu modelo.
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2025-05-01",
"name": "string",
"properties": {
"attributes": {
"enabled": "bool",
"exp": "int",
"exportable": "bool",
"nbf": "int"
},
"curveName": "string",
"keyOps": [ "string" ],
"keySize": "int",
"kty": "string",
"release_policy": {
"contentType": "string",
"data": "string"
},
"rotationPolicy": {
"attributes": {
"expiryTime": "string"
},
"lifetimeActions": [
{
"action": {
"type": "string"
},
"trigger": {
"timeAfterCreate": "string",
"timeBeforeExpiry": "string"
}
}
]
}
},
"tags": {
"{customized property}": "string"
}
}
Valores de propriedade
Microsoft.KeyVault/cofres/chaves
| Designação | Descrição | Valor |
|---|---|---|
| Versão da API | A versão api | '2025-05-01' |
| Designação | O nome do recurso | cadeia de caracteres Restrições: Padrão = ^[a-zA-Z0-9-]{1,127}$ (obrigatório) |
| propriedades | As propriedades da chave a ser criada. | KeyProperties (obrigatório) |
| Etiquetas | Tags de recursos | Dicionário de nomes e valores de tags. Consulte Tags em modelos |
| tipo | O tipo de recurso | 'Microsoft.KeyVault/cofres/chaves' |
Ação
| Designação | Descrição | Valor |
|---|---|---|
| tipo | O tipo de ação. | «notificar» 'girar' |
KeyAttributes
| Designação | Descrição | Valor |
|---|---|---|
| ativado | Determina se o objeto está habilitado ou não. | Bool |
| exp | Data de validade em segundos desde 1970-01-01T00:00:00Z. | Int |
| exportável | Indica se a chave privada pode ser exportada. | Bool |
| NBF | Não antes da data em segundos desde 1970-01-01T00:00:00Z. | Int |
KeyCreateParametersTags
| Designação | Descrição | Valor |
|---|
KeyProperties
| Designação | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da chave. | KeyAttributes |
| curveName | O nome da curva elíptica. Para valores válidos, consulte JsonWebKeyCurveName. O padrão para as chaves EC e EC-HSM é P-256 | «P-256» «P-256K» «P-384» «P-521» |
| keyOps | Matriz de cadeia de caracteres contendo qualquer uma das: 'desencriptar' 'encriptar' «Importação» 'Lançamento' 'sinal' 'desembrulhar' 'verificar' 'Chave de embrulho' |
|
| tamanho da chave | O tamanho da chave em bits. Por exemplo: 2048, 3072 ou 4096 para RSA. O padrão para as chaves RSA e RSA-HSM é 2048. Exceção feita para trazer sua própria chave (BYOK), chaves de troca de chaves padrão para 4096. | Int |
| KTY | O tipo da chave. Para valores válidos, consulte JsonWebKeyType. | «CE» «EC-HSM» «RSA» 'RSA-HSM' |
| release_policy | Política de lançamento de chaves em resposta. Ele será usado tanto para saída quanto para entrada. Omitido se vazio | KeyReleasePolicy |
| Política de rotação | Política de rotação de chaves em resposta. Ele será usado tanto para saída quanto para entrada. Omitido se vazio | Política de Rotação |
KeyReleasePolicy
| Designação | Descrição | Valor |
|---|---|---|
| TipoDeConteúdo | Tipo de conteúdo e versão da política de liberação de chaves | cadeia (de caracteres) |
| dados | Blob codificando as regras de política sob as quais a chave pode ser liberada. | cadeia (de caracteres) |
KeyRotationPolicyAttributes
| Designação | Descrição | Valor |
|---|---|---|
| expiryTime | O tempo de expiração para a nova versão de chave. Deve ser em ISO8601 formato. Por exemplo: 'P90D', 'P1Y'. | cadeia (de caracteres) |
LifetimeAction
| Designação | Descrição | Valor |
|---|---|---|
| ação | A ação do tempo de vida da política de rotação de chavesAction. | Ação |
| accionador | O gatilho do tempo de vida da política de rotação de chavesAction. | Gatilho |
Política de Rotação
| Designação | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da política de rotação de chaves. | KeyRotationPolicyAttributes |
| Ações vitalícias | O lifetimeActions para a ação de rotação de chaves. | LifetimeAction[] |
Gatilho
| Designação | Descrição | Valor |
|---|---|---|
| timeAfterCriar | A duração do tempo após a criação da chave para girar a chave. Aplica-se apenas à rotação. Será no formato de duração ISO 8601. Por exemplo: 'P90D', 'P1Y'. | cadeia (de caracteres) |
| timeBeforeExpiry | A duração do tempo antes da chave expirar para girar ou notificar. Será no formato de duração ISO 8601. Por exemplo: 'P90D', 'P1Y'. | cadeia (de caracteres) |
Exemplos de uso
Modelos de início rápido do Azure
Os seguintes modelos de início rápido do Azure implantar esse tipo de recurso.
| Modelo | Descrição |
|---|---|
Criptografia de Conta de Armazenamento do Azure com chave gerenciada pelo cliente
|
Este modelo implanta uma Conta de Armazenamento com uma chave gerenciada pelo cliente para criptografia gerada e colocada dentro de um Cofre de Chaves. |
|
Criar uma chave no do Azure KeyVault
|
Este módulo permite que você crie uma chave em um KeyVault existente. |
Definição de recursos Terraform (provedor AzAPI)
O tipo de recurso vaults/keys pode ser implantado com operações que visam:
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.KeyVault/vaults/keys, adicione o seguinte Terraform ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.KeyVault/vaults/keys@2025-05-01"
name = "string"
parent_id = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
attributes = {
enabled = bool
exp = int
exportable = bool
nbf = int
}
curveName = "string"
keyOps = [
"string"
]
keySize = int
kty = "string"
release_policy = {
contentType = "string"
data = "string"
}
rotationPolicy = {
attributes = {
expiryTime = "string"
}
lifetimeActions = [
{
action = {
type = "string"
}
trigger = {
timeAfterCreate = "string"
timeBeforeExpiry = "string"
}
}
]
}
}
}
}
Valores de propriedade
Microsoft.KeyVault/cofres/chaves
| Designação | Descrição | Valor |
|---|---|---|
| Designação | O nome do recurso | cadeia de caracteres Restrições: Padrão = ^[a-zA-Z0-9-]{1,127}$ (obrigatório) |
| parent_id | A ID do recurso que é o pai para este recurso. | ID do recurso do tipo: cofres |
| propriedades | As propriedades da chave a ser criada. | KeyProperties (obrigatório) |
| Etiquetas | Tags de recursos | Dicionário de nomes e valores de tags. |
| tipo | O tipo de recurso | "Microsoft.KeyVault/vaults/keys@2025-05-01" |
Ação
| Designação | Descrição | Valor |
|---|---|---|
| tipo | O tipo de ação. | «notificar» 'girar' |
KeyAttributes
| Designação | Descrição | Valor |
|---|---|---|
| ativado | Determina se o objeto está habilitado ou não. | Bool |
| exp | Data de validade em segundos desde 1970-01-01T00:00:00Z. | Int |
| exportável | Indica se a chave privada pode ser exportada. | Bool |
| NBF | Não antes da data em segundos desde 1970-01-01T00:00:00Z. | Int |
KeyCreateParametersTags
| Designação | Descrição | Valor |
|---|
KeyProperties
| Designação | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da chave. | KeyAttributes |
| curveName | O nome da curva elíptica. Para valores válidos, consulte JsonWebKeyCurveName. O padrão para as chaves EC e EC-HSM é P-256 | «P-256» «P-256K» «P-384» «P-521» |
| keyOps | Matriz de cadeia de caracteres contendo qualquer uma das: 'desencriptar' 'encriptar' «Importação» 'Lançamento' 'sinal' 'desembrulhar' 'verificar' 'Chave de embrulho' |
|
| tamanho da chave | O tamanho da chave em bits. Por exemplo: 2048, 3072 ou 4096 para RSA. O padrão para as chaves RSA e RSA-HSM é 2048. Exceção feita para trazer sua própria chave (BYOK), chaves de troca de chaves padrão para 4096. | Int |
| KTY | O tipo da chave. Para valores válidos, consulte JsonWebKeyType. | «CE» «EC-HSM» «RSA» 'RSA-HSM' |
| release_policy | Política de lançamento de chaves em resposta. Ele será usado tanto para saída quanto para entrada. Omitido se vazio | KeyReleasePolicy |
| Política de rotação | Política de rotação de chaves em resposta. Ele será usado tanto para saída quanto para entrada. Omitido se vazio | Política de Rotação |
KeyReleasePolicy
| Designação | Descrição | Valor |
|---|---|---|
| TipoDeConteúdo | Tipo de conteúdo e versão da política de liberação de chaves | cadeia (de caracteres) |
| dados | Blob codificando as regras de política sob as quais a chave pode ser liberada. | cadeia (de caracteres) |
KeyRotationPolicyAttributes
| Designação | Descrição | Valor |
|---|---|---|
| expiryTime | O tempo de expiração para a nova versão de chave. Deve ser em ISO8601 formato. Por exemplo: 'P90D', 'P1Y'. | cadeia (de caracteres) |
LifetimeAction
| Designação | Descrição | Valor |
|---|---|---|
| ação | A ação do tempo de vida da política de rotação de chavesAction. | Ação |
| accionador | O gatilho do tempo de vida da política de rotação de chavesAction. | Gatilho |
Política de Rotação
| Designação | Descrição | Valor |
|---|---|---|
| atributos | Os atributos da política de rotação de chaves. | KeyRotationPolicyAttributes |
| Ações vitalícias | O lifetimeActions para a ação de rotação de chaves. | LifetimeAction[] |
Gatilho
| Designação | Descrição | Valor |
|---|---|---|
| timeAfterCriar | A duração do tempo após a criação da chave para girar a chave. Aplica-se apenas à rotação. Será no formato de duração ISO 8601. Por exemplo: 'P90D', 'P1Y'. | cadeia (de caracteres) |
| timeBeforeExpiry | A duração do tempo antes da chave expirar para girar ou notificar. Será no formato de duração ISO 8601. Por exemplo: 'P90D', 'P1Y'. | cadeia (de caracteres) |
Exemplos de uso
Amostras Terraform
Um exemplo básico de implantação de chaves do cofre de chaves.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
data "azurerm_client_config" "current" {
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "vault" {
type = "Microsoft.KeyVault/vaults@2023-02-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
sku = {
family = "A"
name = "standard"
}
accessPolicies = []
enableSoftDelete = true
enablePurgeProtection = true
tenantId = data.azurerm_client_config.current.tenant_id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
lifecycle {
ignore_changes = [body.properties.accessPolicies]
}
}
resource "azapi_resource_action" "put_accessPolicy" {
type = "Microsoft.KeyVault/vaults/accessPolicies@2023-02-01"
resource_id = "${azapi_resource.vault.id}/accessPolicies/add"
method = "PUT"
body = {
properties = {
accessPolicies = [
{
objectId = data.azurerm_client_config.current.object_id
permissions = {
certificates = [
"ManageContacts",
]
keys = [
"Get", "Create", "Delete", "List", "Restore", "Recover", "UnwrapKey", "WrapKey", "Purge", "Encrypt", "Decrypt", "Sign", "Verify"
]
secrets = [
"Get",
]
storage = [
]
}
tenantId = data.azurerm_client_config.current.tenant_id
},
]
}
}
response_export_values = ["*"]
}
data "azapi_resource_id" "key" {
type = "Microsoft.KeyVault/vaults/keys@2023-02-01"
parent_id = azapi_resource.vault.id
name = var.resource_name
}
resource "azapi_resource_action" "put_key" {
type = "Microsoft.KeyVault/vaults/keys@2023-02-01"
resource_id = data.azapi_resource_id.key.id
method = "PUT"
body = {
properties = {
keySize = 2048
kty = "RSA"
keyOps = ["encrypt", "decrypt", "sign", "verify", "wrapKey", "unwrapKey"]
}
}
response_export_values = ["*"]
depends_on = [azapi_resource_action.put_accessPolicy]
}