az keyvault key
Administrar claves.
Comandos
| Nombre | Description | Tipo | Estado |
|---|---|---|---|
| az keyvault key backup |
Solicite que se descargue una copia de seguridad de la clave especificada en el cliente. |
Core | GA |
| az keyvault key create |
Cree una nueva clave, almacénela y, a continuación, devuelva los parámetros de clave y los atributos al cliente. |
Core | GA |
| az keyvault key decrypt |
Descifra un único bloque de datos cifrados. |
Core | Versión preliminar |
| az keyvault key delete |
Elimine una clave de cualquier tipo de almacenamiento en Vault o HSM. |
Core | GA |
| az keyvault key download |
Descargue la parte pública de una clave almacenada. |
Core | GA |
| az keyvault key encrypt |
Cifre una secuencia arbitraria de bytes mediante una clave de cifrado almacenada en un almacén o HSM. |
Core | Versión preliminar |
| az keyvault key get-policy-template |
Devuelve la plantilla de directiva como definición de directiva codificada en JSON. |
Core | Versión preliminar |
| az keyvault key import |
Importe una clave privada. |
Core | GA |
| az keyvault key list |
Enumera las claves en el almacén o HSM especificados. |
Core | GA |
| az keyvault key list-deleted |
Enumere las claves eliminadas en el almacén o HSM especificados. |
Core | GA |
| az keyvault key list-versions |
Enumere los identificadores y las propiedades de las versiones de una clave. |
Core | GA |
| az keyvault key purge |
Elimine permanentemente la clave especificada. |
Core | GA |
| az keyvault key random |
Obtenga el número solicitado de bytes aleatorios de un HSM administrado. |
Core | GA |
| az keyvault key recover |
Recupere la clave eliminada a su versión más reciente. |
Core | GA |
| az keyvault key restore |
Restaure una clave de copia de seguridad en un almacén o HSM. |
Core | GA |
| az keyvault key rotate |
Gire la clave en función de la directiva de claves mediante la generación de una nueva versión de la clave. |
Core | GA |
| az keyvault key rotation-policy |
Administrar la directiva de rotación de la clave. |
Core | GA |
| az keyvault key rotation-policy show |
Obtenga la directiva de rotación de una clave de Key Vault. |
Core | GA |
| az keyvault key rotation-policy update |
Actualice la directiva de rotación de una clave de Key Vault. |
Core | GA |
| az keyvault key set-attributes |
La operación de actualización de clave cambia los atributos especificados de una clave almacenada y se puede aplicar a cualquier tipo de clave y versión de clave almacenada en Vault o HSM. |
Core | GA |
| az keyvault key show |
Obtiene los atributos de una clave y, si es una clave asimétrica, su material público. |
Core | GA |
| az keyvault key show-deleted |
Obtenga la parte pública de una clave eliminada. |
Core | GA |
| az keyvault key sign |
Cree una firma a partir de un resumen mediante una clave almacenada en un almacén o HSM. |
Core | GA |
| az keyvault key verify |
Compruebe una firma mediante la clave almacenada en un almacén o HSM. |
Core | GA |
az keyvault key backup
Solicite que se descargue una copia de seguridad de la clave especificada en el cliente.
La operación de copia de seguridad de claves exporta una clave de Vault o HSM en un formulario protegido. Tenga en cuenta que esta operación no devuelve material de clave en un formulario que se puede usar fuera del sistema Vault o HSM, el material de clave devuelto está protegido en un HSM o en el propio almacén. La intención de esta operación es permitir que un cliente genere una clave en una instancia de Vault o HSM, BACKUP la clave y, a continuación, restaurarla en otra instancia de Vault o HSM. La operación BACKUP se puede usar para exportar, en forma protegida, cualquier tipo de clave de Vault o HSM. No se puede realizar una copia de seguridad de versiones individuales de una clave. BACKUP/RESTORE solo se puede realizar dentro de los límites geográficos; lo que significa que una copia de seguridad de un área geográfica no se puede restaurar a otra área geográfica. Por ejemplo, no se puede restaurar una copia de seguridad del área geográfica de ESTADOS Unidos en un área geográfica de la UE. Esta operación requiere el permiso de clave/copia de seguridad.
az keyvault key backup --file
[--hsm-name]
[--id]
[--name]
[--vault-name]Parámetros requeridos
Ruta de acceso del archivo local en la que se va a almacenar la copia de seguridad de claves.
Parámetros opcionales
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key create
Cree una nueva clave, almacénela y, a continuación, devuelva los parámetros de clave y los atributos al cliente.
La operación de creación de clave se puede usar para crear cualquier tipo de clave en Vault o HSM. Si la clave con nombre ya existe, Vault o HSM crea una nueva versión de la clave. Requiere el permiso keys/create.
az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
[--default-cvm-policy]
[--disabled {false, true}]
[--expires]
[--exportable {false, true}]
[--hsm-name]
[--id]
[--immutable {false, true}]
[--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
[--name]
[--not-before]
[--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
[--policy]
[--protection {hsm, software}]
[--size]
[--tags]
[--vault-name]Parámetros opcionales
Nombre de la curva elíptica. Para obtener valores válidos, vea: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename.
Use la directiva predeterminada en la que se puede exportar la clave para el cifrado de disco CVM.
Cree la clave en estado deshabilitado.
Fecha y hora UTC de expiración (Y-m-d'T'H:M:S'Z').
Si se puede exportar la clave privada. Para crear la clave con la directiva de versión, "exportable" debe ser true y el autor de la llamada debe tener el permiso "export".
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Marque una directiva de versión como inmutable. Una directiva de versión inmutable no se puede cambiar ni actualizar después de marcarse inmutable. Las directivas de versión son mutables de forma predeterminada.
Tipo de clave que se va a crear. Para obtener valores válidos, vea: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype.
Nombre de la clave. Obligatorio si no se especifica --id.
Clave no utilizable antes de la fecha y hora UTC proporcionada (Y-m-d'T'H:M:S'Z').
Lista separada por espacios de las operaciones de clave web JSON permitidas.
Reglas de directiva en las que se puede exportar la clave. Definición de directiva como JSON o ruta de acceso a un archivo que contiene la definición de directiva JSON.
Especifica el tipo de protección de claves.
Tamaño de la clave en bits. Por ejemplo: 2048, 3072 o 4096 para RSA. 128, 192 o 256 para octubre.
Etiquetas separadas por espacios: key[=value] [key[=value] ...]. Use "" para borrar las etiquetas existentes.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key decrypt
Este comando está en versión preliminar y en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus
Descifra un único bloque de datos cifrados.
La operación DECRYPT descifra un bloque bien formado de texto cifrado mediante la clave de cifrado de destino y el algoritmo especificado. Esta operación es la inversa de la operación ENCRYPT; solo se puede descifrar un único bloque de datos, el tamaño de este bloque depende de la clave de destino y del algoritmo que se va a usar. La operación DECRYPT se aplica a las claves asimétricas y simétricas almacenadas en Vault o HSM, ya que usa la parte privada de la clave. Esta operación requiere el permiso keys/decrypt.
az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
--value
[--aad]
[--data-type {base64, plaintext}]
[--hsm-name]
[--id]
[--iv]
[--name]
[--tag]
[--vault-name]
[--version]Ejemplos
Descifra el valor (cadena codificada en Base64 devuelta por el comando encrypt) con la clave del almacén mediante RSA-OAEP y obtiene el resultado como codificado en base64.
az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="Descifra el valor (cadena codificada en Base64 devuelta por el comando encrypt) con la clave de MHSM mediante AES-GCM y obtiene el resultado como texto no cifrado.
az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"Parámetros requeridos
Identificador de algoritmo.
Valor que se va a descifrar, que debe ser el resultado de "az keyvault encrypt".
Parámetros opcionales
Datos opcionales autenticados pero no cifrados. Para su uso con el descifrado AES-GCM.
Tipo de los datos originales.
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Vector de inicialización utilizado durante el cifrado. Necesario para el descifrado de AES.
Nombre de la clave. Obligatorio si no se especifica --id.
Etiqueta de autenticación generada durante el cifrado. Necesario solo para el descifrado de AES-GCM.
Nombre del almacén.
Versión de la clave. Si se omite, usa la versión más reciente.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key delete
Elimine una clave de cualquier tipo de almacenamiento en Vault o HSM.
No se puede usar la operación de eliminación de clave para quitar versiones individuales de una clave. Esta operación quita el material criptográfico asociado a la clave, lo que significa que la clave no se puede usar para las operaciones Sign/Verify, Wrap/Unwrap o Encrypt/Decrypt. Esta operación requiere el permiso keys/delete.
az keyvault key delete [--hsm-name]
[--id]
[--name]
[--vault-name]Parámetros opcionales
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key download
Descargue la parte pública de una clave almacenada.
az keyvault key download --file
[--encoding {DER, PEM}]
[--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]Ejemplos
Guarde la clave con codificación PEM.
az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pemGuarde la clave con codificación DER.
az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.derParámetros requeridos
Archivo para recibir el contenido de la clave.
Parámetros opcionales
Codificación de la clave, valor predeterminado: PEM.
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Versión de la clave. Si se omite, usa la versión más reciente.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key encrypt
Este comando está en versión preliminar y en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus
Cifre una secuencia arbitraria de bytes mediante una clave de cifrado almacenada en un almacén o HSM.
La operación ENCRYPT cifra una secuencia arbitraria de bytes mediante una clave de cifrado almacenada en Vault o HSM. Tenga en cuenta que la operación ENCRYPT solo admite un único bloque de datos, cuyo tamaño depende de la clave de destino y del algoritmo de cifrado que se va a usar. La operación ENCRYPT solo es estrictamente necesaria para las claves simétricas almacenadas en Vault pr HSM, ya que la protección con una clave asimétrica se puede realizar mediante la parte pública de la clave. Esta operación se admite para las claves asimétricas como una comodidad para los autores de llamadas que tienen una referencia de clave, pero no tienen acceso al material de clave pública. Esta operación requiere el permiso keys/encrypt.
az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
--value
[--aad]
[--data-type {base64, plaintext}]
[--hsm-name]
[--id]
[--iv]
[--name]
[--vault-name]
[--version]Ejemplos
Cifre value(Cadena codificada en Base64) con la clave del almacén mediante RSA-OAEP.
az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64Cifre value(plaintext) con la clave de MHSM mediante AES-GCM.
az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"Parámetros requeridos
Identificador de algoritmo.
Valor que se va a cifrar. El tipo de datos predeterminado es cadena codificada en Base64.
Parámetros opcionales
Datos opcionales autenticados pero no cifrados. Para su uso con cifrado AES-GCM.
Tipo de los datos originales.
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Vector de inicialización. Necesario solo para el cifrado AES-CBC(PAD).
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Versión de la clave. Si se omite, usa la versión más reciente.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key get-policy-template
Este comando está en versión preliminar y en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus
Devuelve la plantilla de directiva como definición de directiva codificada en JSON.
az keyvault key get-policy-templateParámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key import
Importe una clave privada.
Admite la importación de claves privadas codificadas en Base64 desde archivos PEM o cadenas. Admite la importación de claves BYOK en HSM para almacenes de claves Premium.
az keyvault key import [--byok-file]
[--byok-string]
[--curve {P-256, P-256K, P-384, P-521}]
[--default-cvm-policy]
[--disabled {false, true}]
[--expires]
[--exportable {false, true}]
[--hsm-name]
[--id]
[--immutable {false, true}]
[--kty {EC, RSA, oct}]
[--name]
[--not-before]
[--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
[--pem-file]
[--pem-password]
[--pem-string]
[--policy]
[--protection {hsm, software}]
[--tags]
[--vault-name]Parámetros opcionales
Archivo BYOK que contiene la clave que se va a importar. No debe estar protegida con contraseña.
Cadena BYOK que contiene la clave que se va a importar. No debe estar protegida con contraseña.
Nombre de la curva de la clave que se va a importar (solo para BYOK).
Use la directiva predeterminada en la que se puede exportar la clave para el cifrado de disco CVM.
Cree la clave en estado deshabilitado.
Fecha y hora UTC de expiración (Y-m-d'T'H:M:S'Z').
Si se puede exportar la clave privada. Para crear la clave con la directiva de versión, "exportable" debe ser true y el autor de la llamada debe tener el permiso "export".
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Marque una directiva de versión como inmutable. Una directiva de versión inmutable no se puede cambiar ni actualizar después de marcarse inmutable. Las directivas de versión son mutables de forma predeterminada.
Tipo de clave que se va a importar (solo para BYOK).
Nombre de la clave. Obligatorio si no se especifica --id.
Clave no utilizable antes de la fecha y hora UTC proporcionada (Y-m-d'T'H:M:S'Z').
Lista separada por espacios de las operaciones de clave web JSON permitidas.
Archivo PEM que contiene la clave que se va a importar.
Contraseña del archivo PEM.
Cadena PEM que contiene la clave que se va a importar.
Reglas de directiva en las que se puede exportar la clave. Definición de directiva como JSON o ruta de acceso a un archivo que contiene la definición de directiva JSON.
Especifica el tipo de protección de claves.
Etiquetas separadas por espacios: key[=value] [key[=value] ...]. Use "" para borrar las etiquetas existentes.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key list
Enumera las claves en el almacén o HSM especificados.
Recupere una lista de las claves del almacén o HSM como estructuras de clave web JSON que contienen la parte pública de una clave almacenada. La operación LIST se aplica a todos los tipos de clave, pero solo se proporcionan en la respuesta el identificador de clave base, los atributos y las etiquetas. Las versiones individuales de una clave no aparecen en la respuesta. Esta operación requiere el permiso keys/list.
az keyvault key list [--hsm-name]
[--id]
[--include-managed {false, true}]
[--maxresults]
[--vault-name]Parámetros opcionales
Nombre del HSM. Se puede omitir si se especifica --id.
URI completo del almacén o HSM. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Incluir claves administradas.
El número máximo de resultados que se devolverán.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key list-deleted
Enumere las claves eliminadas en el almacén o HSM especificados.
Recupere una lista de las claves del almacén o HSM como estructuras de clave web JSON que contienen la parte pública de una clave eliminada. Esta operación incluye información específica de eliminación. La operación Obtener claves eliminadas es aplicable a los almacenes habilitados para la eliminación temporal. Aunque la operación se puede invocar en cualquier almacén o HSM, devolverá un error si se invoca en un almacén o HSM no habilitado para eliminación temporal. Esta operación requiere el permiso keys/list.
az keyvault key list-deleted [--hsm-name]
[--id]
[--maxresults]
[--vault-name]Parámetros opcionales
Nombre del HSM. Se puede omitir si se especifica --id.
URI completo del almacén o HSM. Si se especifican todos los demás argumentos 'Id' se deben omitir.
El número máximo de resultados que se devolverán.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key list-versions
Enumere los identificadores y las propiedades de las versiones de una clave.
Requiere el permiso keys/list.
az keyvault key list-versions [--hsm-name]
[--id]
[--maxresults]
[--name]
[--vault-name]Parámetros opcionales
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
El número máximo de resultados que se devolverán.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key purge
Elimine permanentemente la clave especificada.
La operación Purgar clave eliminada es aplicable a almacenes o HSM habilitados para eliminación temporal. Aunque la operación se puede invocar en cualquier almacén o HSM, devolverá un error si se invoca en un almacén o HSM no habilitado para eliminación temporal. Esta operación requiere el permiso claves/purgar.
az keyvault key purge [--hsm-name]
[--id]
[--name]
[--vault-name]Parámetros opcionales
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de recuperación de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key random
Obtenga el número solicitado de bytes aleatorios de un HSM administrado.
az keyvault key random --count
[--hsm-name]
[--id]Parámetros requeridos
Número solicitado de bytes aleatorios.
Parámetros opcionales
Nombre del HSM.
URI completo del HSM.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key recover
Recupere la clave eliminada a su versión más reciente.
La operación Recuperar clave eliminada es aplicable a las claves eliminadas en almacenes o HSM habilitados para eliminación temporal. Recupera la clave eliminada a su versión más reciente en /keys. Un intento de recuperar una clave no eliminada devolverá un error. Tenga en cuenta esto al contrario de la operación de eliminación en almacenes o HSM habilitados para eliminación temporal. Esta operación requiere el permiso keys/recover.
az keyvault key recover [--hsm-name]
[--id]
[--name]
[--vault-name]Parámetros opcionales
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de recuperación de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key restore
Restaure una clave de copia de seguridad en un almacén o HSM.
Importe una clave de copia de seguridad anterior en Vault o HSM, restaurando la clave, su identificador de clave, atributos y directivas de control de acceso. La operación RESTORE se puede usar para importar una clave de copia de seguridad anterior. No se pueden restaurar versiones individuales de una clave. La clave se restaura en su totalidad con el mismo nombre de clave que tenía cuando se realizó una copia de seguridad. Si el nombre de clave no está disponible en el almacén de claves de destino, se rechazará la operación RESTORE. Mientras se conserva el nombre de la clave durante la restauración, el identificador de clave final cambiará si la clave se restaura en otro almacén o HSM. La restauración restaurará todas las versiones y conservará los identificadores de versión. La operación RESTORE está sujeta a restricciones de seguridad. El almacén de destino o HSM debe ser propiedad de la misma suscripción de Microsoft Azure que el almacén de origen o HSM. El usuario debe tener el permiso RESTORE en el almacén de destino o HSM. Esta operación requiere el permiso de claves y restauración.
az keyvault key restore [--backup-folder]
[--blob-container-name]
[--file]
[--hsm-name]
[--id]
[--name]
[--no-wait]
[--storage-account-name]
[--storage-container-SAS-token]
[--storage-resource-uri]
[--vault-name]Parámetros opcionales
Nombre del contenedor de blobs que contiene la copia de seguridad.
Nombre del contenedor de blobs.
Copia de seguridad de clave local desde la que se va a restaurar la clave.
Nombre del HSM. Se puede omitir si se especifica --id.
URI completo del almacén o HSM. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. (Solo para restaurar desde la cuenta de almacenamiento).
No espere hasta que finalice la operación de ejecución prolongada.
Nombre de la cuenta de Azure Storage.
El token de SAS que apunta a un contenedor de Azure Blob Storage.
Uri del contenedor de Azure Blob Storage. Si se especifica, se deben omitir todos los demás argumentos "Id. de almacenamiento".
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key rotate
Gire la clave en función de la directiva de claves mediante la generación de una nueva versión de la clave.
az keyvault key rotate [--hsm-name]
[--id]
[--name]
[--vault-name]Parámetros opcionales
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key set-attributes
La operación de actualización de clave cambia los atributos especificados de una clave almacenada y se puede aplicar a cualquier tipo de clave y versión de clave almacenada en Vault o HSM.
Para realizar esta operación, la clave ya debe existir en el almacén o HSM. No se puede cambiar el material criptográfico de una clave. Esta operación requiere el permiso de claves y actualización.
az keyvault key set-attributes [--enabled {false, true}]
[--expires]
[--hsm-name]
[--id]
[--immutable {false, true}]
[--name]
[--not-before]
[--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
[--policy]
[--tags]
[--vault-name]
[--version]Parámetros opcionales
Habilite la clave.
Fecha y hora UTC de expiración (Y-m-d'T'H:M:S'Z').
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Marque una directiva de versión como inmutable. Una directiva de versión inmutable no se puede cambiar ni actualizar después de marcarse inmutable. Las directivas de versión son mutables de forma predeterminada.
Nombre de la clave. Obligatorio si no se especifica --id.
Clave no utilizable antes de la fecha y hora UTC proporcionada (Y-m-d'T'H:M:S'Z').
Lista separada por espacios de las operaciones de clave web JSON permitidas.
Reglas de directiva en las que se puede exportar la clave. Definición de directiva como JSON o ruta de acceso a un archivo que contiene la definición de directiva JSON.
Etiquetas separadas por espacios: key[=value] [key[=value] ...]. Use "" para borrar las etiquetas existentes.
Nombre del almacén.
Versión de la clave. Si se omite, usa la versión más reciente.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key show
Obtiene los atributos de una clave y, si es una clave asimétrica, su material público.
Requiere el permiso keys/get.
az keyvault key show [--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]Parámetros opcionales
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Versión de la clave. Si se omite, usa la versión más reciente.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key show-deleted
Obtenga la parte pública de una clave eliminada.
La operación Obtener clave eliminada es aplicable a almacenes o HSM habilitados para eliminación temporal. Aunque la operación se puede invocar en cualquier almacén o HSM, devolverá un error si se invoca en un almacén o HSM no habilitado para eliminación temporal. Esta operación requiere el permiso keys/get.
az keyvault key show-deleted [--hsm-name]
[--id]
[--name]
[--vault-name]Parámetros opcionales
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key sign
Cree una firma a partir de un resumen mediante una clave almacenada en un almacén o HSM.
az keyvault key sign --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
--digest
[--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]Ejemplos
Cree una firma a partir de un resumen mediante la clave del almacén de claves.
az keyvault key sign --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012"Parámetros requeridos
Identificador de algoritmo.
Valor que se va a firmar.
Parámetros opcionales
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Versión de la clave. Si se omite, usa la versión más reciente.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az keyvault key verify
Compruebe una firma mediante la clave almacenada en un almacén o HSM.
az keyvault key verify --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
--digest
--signature
[--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]Ejemplos
Compruebe una firma mediante la clave del almacén de claves.
az keyvault key verify --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012" --signature XXXYYYZZZParámetros requeridos
Identificador de algoritmo.
Valor que se va a firmar.
Firma que se va a comprobar.
Parámetros opcionales
Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).
Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.
Nombre de la clave. Obligatorio si no se especifica --id.
Nombre del almacén.
Versión de la clave. Si se omite, usa la versión más reciente.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
