Rutina Add-AzKeyVaultKey vytvoří klíč v trezoru klíčů ve službě Azure Key Vault nebo naimportuje klíč do trezoru klíčů.
Pomocí této rutiny přidejte klíče pomocí některé z následujících metod:
Ve službě Key Vault vytvořte klíč v modulu hardwarového zabezpečení (HSM).
Ve službě Key Vault vytvořte klíč v softwaru.
Naimportujte klíč z vlastního modulu hardwarového zabezpečení (HSM) do modulů HSM ve službě Key Vault.
Naimportujte klíč ze souboru .pfx do počítače.
Naimportujte klíč ze souboru .pfx do modulů hardwarového zabezpečení (HSM) ve službě Key Vault.
U některé z těchto operací můžete zadat klíčové atributy nebo přijmout výchozí nastavení.
Pokud vytvoříte nebo importujete klíč, který má stejný název jako existující klíč v trezoru klíčů, původní klíč se aktualizuje o hodnoty, které zadáte pro nový klíč. K předchozím hodnotám se dostanete pomocí identifikátoru URI specifického pro verzi pro tuto verzi klíče. Další informace o verzích klíčů a struktuře identifikátorů URI najdete v tématu Klíče a tajné kódy v dokumentaci k rozhraní REST API služby Key Vault.
Poznámka: Pokud chcete importovat klíč z vlastního modulu hardwarového zabezpečení, musíte nejprve vygenerovat balíček BYOK (soubor s příponou názvu souboru .byok) pomocí sady nástrojů BYOK služby Azure Key Vault. Další informace najdete v tématu Generování a přenos klíčů HSM-Protected pro Azure Key Vault.
Osvědčeným postupem je zálohovat klíč po vytvoření nebo aktualizaci pomocí rutiny Backup-AzKeyVaultKey. Neexistuje žádná funkce odstranění, takže pokud omylem odstraníte klíč nebo ho odstraníte a pak změníte názor, klíč nebude možné obnovit, pokud nemáte zálohu, kterou můžete obnovit.
Vault/HSM Name : test-kv
Name : test-key
Key Type : EC
Key Size :
Curve Name : P-256
Version : 4da74af2b4fd47d6b1aa0b05c9a2ed13
Id : https://test-kv.vault.azure.net:443/keys/test-key/4da74af2b4fd47d6b1aa0b05c9a2ed13
Enabled : True
Expires :
Not Before :
Created : 8/24/2021 6:38:34 AM
Updated : 8/24/2021 6:38:34 AM
Recovery Level : Recoverable+Purgeable
Tags :
Tento příkaz vytvoří softwarově chráněný klíč EC s názvem test-key v trezoru klíčů s názvem test-kv. Jeho název křivky je ve výchozím nastavení P-256.
Vault/HSM Name : contoso
Name : ITHsmNonDefault
Key Type : RSA
Key Size : 2048
Version : 929bfc14db84439b823ffd1bedadaf5f
Id : https://contoso.vault.azure.net:443/keys/ITHsmNonDefault/929bfc14db84439b823ffd1bedadaf5f
Enabled : False
Expires : 5/21/2020 11:12:43 PM
Not Before : 5/21/2018 11:12:50 PM
Created : 5/21/2018 11:13:17 PM
Updated : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags : Name Value
Severity high
Accounting true
První příkaz uloží hodnoty dešifrovat a ověřit v proměnné $KeyOperations.
Druhý příkaz vytvoří objekt DateTime definovaný v UTC pomocí rutiny Get-Date .
Tento objekt určuje čas dva roky v budoucnosti. Příkaz uloží toto datum do proměnné $Expires. Další informace potřebujete zadáním Get-Help Get-Date.
Třetí příkaz vytvoří objekt DateTime pomocí rutiny Get-Date . Tento objekt určuje aktuální čas UTC. Příkaz uloží toto datum do proměnné $NotBefore.
Poslední příkaz vytvoří klíč s názvem ITHsmNonDefault, který je klíč chráněný HSM. Příkaz určuje hodnoty pro povolené operace klíče uložené $KeyOperations. Příkaz určuje časy pro parametry Konec platnosti a NotBefore vytvořené v předchozích příkazech a značky pro vysokou závažnost a IT. Nový klíč je zakázaný. Můžete ho povolit pomocí rutiny Set-AzKeyVaultKey .
Vault Name : contoso
Name : ITByok
Version : 67da57e9cadf48a2ad8d366b115843ab
Id : https://contoso.vault.azure.net:443/keys/ITByok/67da57e9cadf48a2ad8d366b115843ab
Enabled : True
Expires :
Not Before :
Created : 5/21/2018 11:10:58 PM
Updated : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags :
Tento příkaz importuje klíč s názvem ITByok z umístění, které určuje parametr KeyFilePath . Importovaný klíč je klíč chráněný modulem HSM.
Pokud chcete importovat klíč z vlastního modulu hardwarového zabezpečení, musíte nejprve vygenerovat balíček BYOK (soubor s příponou názvu souboru .byok) pomocí sady nástrojů BYOK služby Azure Key Vault.
Další informace najdete v tématu Generování a přenos klíčů HSM-Protected pro Azure Key Vault.
Vault Name : contoso
Name : ITPfx
Version : 67da57e9cadf48a2ad8d366b115843ab
Id : https://contoso.vault.azure.net:443/keys/ITPfx/67da57e9cadf48a2ad8d366b115843ab
Enabled : True
Expires :
Not Before :
Created : 5/21/2018 11:10:58 PM
Updated : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags :
První příkaz převede řetězec na zabezpečený řetězec pomocí rutiny ConvertTo-SecureString a pak tento řetězec uloží do proměnné $Password. Další informace potřebujete zadáním Get-Help ConvertTo-SecureString.
Druhý příkaz vytvoří softwarové heslo v trezoru klíčů Contoso. Příkaz určuje umístění klíče a heslo uložené v $Password.
Vault Name : contoso
Name : ITPfxToHSM
Version : 929bfc14db84439b823ffd1bedadaf5f
Id : https://contoso.vault.azure.net:443/keys/ITPfxToHSM/929bfc14db84439b823ffd1bedadaf5f
Enabled : True
Expires : 5/21/2020 11:12:43 PM
Not Before :
Created : 5/21/2018 11:13:17 PM
Updated : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags : Name Value
Severity high
Accounting true
První příkaz převede řetězec na zabezpečený řetězec pomocí rutiny ConvertTo-SecureString a pak tento řetězec uloží do proměnné $Password.
Druhý příkaz vytvoří objekt DateTime pomocí rutiny Get-Date a pak tento objekt uloží do proměnné $Expires.
Třetí příkaz vytvoří proměnnou $tags pro nastavení značek pro vysokou závažnost a IT.
Poslední příkaz naimportuje klíč jako klíč HSM ze zadaného umístění. Příkaz určuje dobu vypršení platnosti uloženou v $Expires a heslo uložené v $Password a použije značky uložené v $tags.
Příklad 8: Vygenerování klíče Výměny klíčů (KEK) pro funkci Přineste si vlastní klíč (BYOK)
Vygeneruje klíč (označovaný jako klíč výměny klíčů (KEK)). Klíč KEK musí být RSA-HSM klíč, který má pouze operaci importu klíče. Pouze skladová položka služby Key Vault Premium podporuje klíče RSA-HSM.
Další podrobnosti najdete v tématu https://learn.microsoft.com/azure/key-vault/keys/hsm-protected-keys
Příklad 9: Vytvoření zabezpečeného klíče ve spravovaném hsm
Určuje, jestli se má klíč přidat jako klíč chráněný softwarem nebo klíč chráněný HSM ve službě Key Vault.
Platné hodnoty jsou: HSM a Software.
Poznámka: Pokud chcete jako cíl použít HSM, musíte mít trezor klíčů, který podporuje moduly HSM. Další informace o úrovních služeb a možnostech služby Azure Key Vault najdete na webu s cenami služby Azure Key Vault.
Tento parametr se vyžaduje při vytváření nového klíče. Pokud importujete klíč pomocí parametru KeyFilePath , je tento parametr volitelný:
Pokud tento parametr nezadáte a tato rutina importuje klíč, který má příponu názvu souboru .byok, importuje tento klíč jako klíč chráněný HSM. Rutina nemůže tento klíč importovat jako klíč chráněný softwarem.
Pokud tento parametr nezadáte a tato rutina importuje klíč s příponou názvu souboru .pfx, importuje klíč jako klíč chráněný softwarem.
Označuje, že klíč, který přidáváte, je nastavený na počáteční stav zakázání. Všechny pokusy o použití klíče selžou. Tento parametr použijte, pokud předinstalujete klíče, které chcete povolit později.
Určuje čas vypršení platnosti klíče ve standardu UTC jako objekt DateTime pro klíč, který tato rutina přidá. Pokud není zadaný, platnost klíče nevyprší. K získání objektu DateTime použijte rutinu Get-Date . Další informace potřebujete zadáním Get-Help Get-Date. Všimněte si, že platnost vyprší, je ignorována pro klíč výměny klíčů používaný v procesu BYOK.
Určuje heslo pro importovaný soubor jako Objekt SecureString . Chcete-li získat SecureString objekt, použijte ConvertTo-SecureString rutina. Další informace potřebujete zadáním Get-Help ConvertTo-SecureString. Toto heslo je nutné zadat pro import souboru s příponou názvu souboru .pfx.
Určuje cestu místního souboru, který obsahuje klíč materiálu, který tato rutina importuje.
Platné přípony názvů souborů jsou .byok a .pfx.
Pokud je souborem .byok, klíč je po importu automaticky chráněn moduly HARDWAROVÉHO ZABEZPEČENÍ a toto výchozí nastavení nelze přepsat.
Pokud je soubor .pfx, klíč je po importu automaticky chráněn softwarem. Pokud chcete toto výchozí nastavení přepsat, nastavte cílový parametr na HSM tak, aby byl klíč chráněný HSM.
Při zadání tohoto parametru je parametr Destination nepovinný.
Určuje pole operací, které lze provést pomocí klíče, který tato rutina přidá.
Pokud tento parametr nezadáte, lze provést všechny operace.
Přijatelné hodnoty pro tento parametr jsou čárkami oddělený seznam operací s klíči definovaný specifikací JSON Web Key (JWK):
Určuje název klíče, který se má přidat do trezoru klíčů. Tato rutina vytvoří plně kvalifikovaný název domény (FQDN) klíče na základě názvu, který tento parametr určuje, název trezoru klíčů a aktuální prostředí. Název musí být řetězec o délce 1 až 63 znaků, který obsahuje pouze 0-9, a-z, A-Z a - (symbol pomlčky).
Určuje čas, jako objekt DateTime , před kterým nelze klíč použít. Tento parametr používá STANDARD UTC. K získání objektu DateTime použijte rutinu Get-Date . Pokud tento parametr nezadáte, můžete klíč použít okamžitě.
Určuje název trezoru klíčů, do kterého tato rutina klíč přidá. Tato rutina vytvoří plně kvalifikovaný název domény trezoru klíčů na základě názvu, který tento parametr určuje a vaše aktuální prostředí.
Tato rutina podporuje běžné parametry: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction a -WarningVariable. Další informace najdete v about_CommonParameters.
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
