Add-AzureKeyVaultKey

  • Referencia
Modul:
AzureRM.KeyVault

Létrehoz egy kulcsot egy kulcstartóban, vagy importál egy kulcsot egy kulcstartóba.

Figyelmeztetés

Az AzureRM PowerShell-modul 2024. február 29-én hivatalosan elavult. Javasoljuk a felhasználóknak, hogy migráljanak az AzureRM-ből az Az PowerShell-modulba a folyamatos támogatás és frissítések biztosítása érdekében.

Bár az AzureRM-modul továbbra is működik, a továbbiakban nem tart fenn vagy nem támogatott, így a folyamatos használatot a felhasználó saját belátása szerint és kockázatára teheti. Az Az modulra való áttéréshez tekintse meg a migrálási erőforrásainkat.

Syntax

Add-AzureKeyVaultKey
   [-VaultName] <String>
   [-Name] <String>
   -Destination <String>
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-Size <Int32>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzureKeyVaultKey
   [-VaultName] <String>
   [-Name] <String>
   -KeyFilePath <String>
   [-KeyFilePassword <SecureString>]
   [-Destination <String>]
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzureKeyVaultKey
   [-InputObject] <PSKeyVault>
   [-Name] <String>
   -Destination <String>
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-Size <Int32>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzureKeyVaultKey
   [-InputObject] <PSKeyVault>
   [-Name] <String>
   -KeyFilePath <String>
   [-KeyFilePassword <SecureString>]
   [-Destination <String>]
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzureKeyVaultKey
   [-ResourceId] <String>
   [-Name] <String>
   -Destination <String>
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-Size <Int32>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzureKeyVaultKey
   [-ResourceId] <String>
   [-Name] <String>
   -KeyFilePath <String>
   [-KeyFilePassword <SecureString>]
   [-Destination <String>]
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Description

Az Add-AzureKeyVaultKey parancsmag létrehoz egy kulcsot egy kulcstartóban az Azure Key Vaultban, vagy importál egy kulcsot egy kulcstartóba. Ezzel a parancsmaggal adhat hozzá kulcsokat az alábbi módszerek bármelyikével:

  • Hozzon létre egy kulcsot egy hardveres biztonsági modulban (HSM) a Key Vault szolgáltatásban.
  • Hozzon létre egy kulcsot a szoftverben a Key Vault szolgáltatásban.
  • Importáljon egy kulcsot a saját hardveres biztonsági moduljából (HSM) a Key Vault szolgáltatás HSM-jeibe.
  • Importáljon egy kulcsot egy .pfx fájlból a számítógépen.
  • Importáljon egy kulcsot a számítógépen található .pfx fájlból a Key Vault szolgáltatás hardveres biztonsági moduljaiba (HSM-ek). Ezen műveletek bármelyikéhez megadhat kulcsattribútumokat, vagy elfogadhatja az alapértelmezett beállításokat. Ha olyan kulcsot hoz létre vagy importál, amelynek neve megegyezik a kulcstartóban lévő meglévő kulccsal, az eredeti kulcs frissül az új kulcshoz megadott értékekkel. Az előző értékeket a kulcs adott verziójához tartozó verzióspecifikus URI használatával érheti el. A kulcsverziók és az URI-struktúra megismeréséhez tekintse meg a Key Vault REST API dokumentációjának Kulcsok és titkos kulcsok című témakörét. Megjegyzés: Ha saját hardveres biztonsági modulból szeretne kulcsot importálni, először létre kell hoznia egy BYOK-csomagot (egy .byok fájlnévkiterjesztéssel rendelkező fájlt) az Azure Key Vault BYOK-eszközkészletével. További információ: HSM által védett kulcsok létrehozása és átvitele az Azure Key Vaulthoz. Ajánlott eljárásként készítsen biztonsági másolatot a kulcsról a létrehozás vagy frissítés után a Backup-AzureKeyVaultKey parancsmag használatával. Nincs nem használható funkció, ezért ha véletlenül törli vagy törli a kulcsot, majd meggondolja magát, a kulcs csak akkor állítható helyre, ha biztonsági másolatot készít róla, amelyet visszaállíthat.

Példák

1. példa: Kulcs létrehozása

PS C:\> Add-AzureKeyVaultKey -VaultName 'contoso' -Name 'ITSoftware' -Destination 'Software'

Vault Name     : contoso
Name           : ITSoftware
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITSoftware/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Ez a parancs létrehoz egy ITSoftware nevű szoftver által védett kulcsot a Contoso nevű kulcstartóban.

2. példa: HSM által védett kulcs létrehozása

PS C:\> Add-AzureKeyVaultKey -VaultName 'contoso' -Name 'ITHsm' -Destination 'HSM'

Vault Name     : contoso
Name           : ITHsm
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITSoftware/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Ez a parancs létrehoz egy HSM által védett kulcsot a Contoso nevű kulcstartóban.

3. példa: Kulcs létrehozása nem alapértelmezett értékekkel

PS C:\> $KeyOperations = 'decrypt', 'verify'
PS C:\> $Expires = (Get-Date).AddYears(2).ToUniversalTime()
PS C:\> $NotBefore = (Get-Date).ToUniversalTime()
PS C:\> $Tags = @{'Severity' = 'high'; 'Accounting' = "true"}
PS C:\> Add-AzureKeyVaultKey -VaultName 'contoso' -Name 'ITHsmNonDefault' -Destination 'HSM' -Expires $Expires -NotBefore $NotBefore -KeyOps $KeyOperations -Disable -Tag $Tags

Vault Name     : contoso
Name           : ITHsmNonDefault
Version        : 929bfc14db84439b823ffd1bedadaf5f
Id             : https://contoso.vault.azure.net:443/keys/ITHsmNonDefault/929bfc14db84439b823ffd1bedadaf5f
Enabled        : False
Expires        : 5/21/2020 11:12:43 PM
Not Before     : 5/21/2018 11:12:50 PM
Created        : 5/21/2018 11:13:17 PM
Updated        : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags           : Name        Value
                 Severity    high
                 Accounting  true

Az első parancs tárolja a visszafejtési és ellenőrzési értékeket a $KeyOperations változóban. A második parancs létrehoz egy UTC-ben definiált DateTime-objektumot a Get-Date parancsmag használatával. Ez az objektum két évet határoz meg a jövőben. A parancs a dátumot a $Expires változóban tárolja. További információkért írja be a következőt Get-Help Get-Date: A harmadik parancs létrehoz egy DateTime-objektumot a Get-Date parancsmag használatával. Ez az objektum az aktuális UTC-időt adja meg. A parancs a dátumot a $NotBefore változóban tárolja. Az utolsó parancs létrehoz egy ITHsmNonDefault nevű kulcsot, amely egy HSM által védett kulcs. A parancs a $KeyOperations tárolt engedélyezett kulcsműveletek értékeit határozza meg. A parancs megadja az előző parancsokban létrehozott Lejáratok és NotBefore paraméterek időpontját, valamint a magas súlyosságú és informatikai címkéket. Az új kulcs le van tiltva. Ezt a Set-AzureKeyVaultKey parancsmaggal engedélyezheti.

4. példa: HSM által védett kulcs importálása

PS C:\> Add-AzureKeyVaultKey -VaultName 'contoso' -Name 'ITByok' -KeyFilePath 'C:\Contoso\ITByok.byok' -Destination 'HSM'

Vault Name     : contoso
Name           : ITByok
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITByok/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Ez a parancs importálja az ITByok nevű kulcsot a KeyFilePath paraméter által megadott helyről. Az importált kulcs egy HSM által védett kulcs. Ha saját hardveres biztonsági modulból szeretne kulcsot importálni, először létre kell hoznia egy BYOK-csomagot (egy .byok fájlnévkiterjesztéssel rendelkező fájlt) az Azure Key Vault BYOK-eszközkészletével. További információ: HSM által védett kulcsok létrehozása és átvitele az Azure Key Vaulthoz.

5. példa: Szoftver által védett kulcs importálása

PS C:\> $Password = ConvertTo-SecureString -String 'Password' -AsPlainText -Force
PS C:\> Add-AzureKeyVaultKey -VaultName 'contoso' -Name 'ITPfx' -KeyFilePath 'C:\Contoso\ITPfx.pfx' -KeyFilePassword $Password

Vault Name     : contoso
Name           : ITPfx
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITPfx/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Az első parancs a ConvertTo-SecureString parancsmaggal biztonságos sztringgé alakítja át a sztringet, majd a sztringet a $Password változóban tárolja. További információkért írja be a következőt Get-Help ConvertTo-SecureString: A második parancs létrehoz egy szoftverjelszót a Contoso kulcstartójában. A parancs megadja a kulcs helyét és a $Password tárolt jelszót.

6. példa: Kulcs importálása és attribútumok hozzárendelése

PS C:\> $Password = ConvertTo-SecureString -String 'password' -AsPlainText -Force
PS C:\> $Expires = (Get-Date).AddYears(2).ToUniversalTime()
PS C:\> $Tags = @{ 'Severity' = 'high'; 'Accounting' = "true" }
PS C:\> Add-AzureKeyVaultKey -VaultName 'contoso' -Name 'ITPfxToHSM' -Destination 'HSM' -KeyFilePath 'C:\Contoso\ITPfx.pfx' -KeyFilePassword $Password -Expires $Expires -Tag $Tags

Vault Name     : contoso
Name           : ITPfxToHSM
Version        : 929bfc14db84439b823ffd1bedadaf5f
Id             : https://contoso.vault.azure.net:443/keys/ITPfxToHSM/929bfc14db84439b823ffd1bedadaf5f
Enabled        : True
Expires        : 5/21/2020 11:12:43 PM
Not Before     : 
Created        : 5/21/2018 11:13:17 PM
Updated        : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags           : Name        Value
                 Severity    high
                 Accounting  true

Az első parancs a ConvertTo-SecureString parancsmaggal biztonságos sztringgé alakítja át a sztringet, majd a sztringet a $Password változóban tárolja. A második parancs létrehoz egy DateTime objektumot a Get-Date parancsmaggal, majd az objektumot a $Expires változóban tárolja. A harmadik parancs létrehozza a $tags változót a magas súlyosságú és informatikai címkék beállításához. Az utolsó parancs HSM-kulcsként importál egy kulcsot a megadott helyről. A parancs megadja a $Expires tárolt lejárati időt és a $Password tárolt jelszót, és alkalmazza a $tags tárolt címkéket.

Paraméterek

-Confirm

Jóváhagyást kér a parancsmag futtatása előtt.

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-DefaultProfile

Az Azure-ral való kommunikációhoz használt hitelesítő adatok, fiók, bérlő és előfizetés

Type:IAzureContextContainer
Aliases:AzureRmContext, AzureCredential
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Destination

Megadja, hogy a kulcsot szoftveresen védett kulcsként vagy HSM-védelem alatt álló kulcsként kell-e hozzáadni a Key Vault szolgáltatásban. Az érvényes értékek a következők: HSM és Software. Megjegyzés: A HSM célként való használatához rendelkeznie kell egy HSM-eket támogató kulcstartóval. Az Azure Key Vault szolgáltatási szintjeiről és képességeiről az Azure Key Vault díjszabási webhelyén talál további információt. Ez a paraméter új kulcs létrehozásakor szükséges. Ha a KeyFilePath paraméterrel importál egy kulcsot, ez a paraméter nem kötelező:

  • Ha nem adja meg ezt a paramétert, és ez a parancsmag egy .byok fájlnévkiterjesztéssel rendelkező kulcsot importál, azt HSM által védett kulcsként importálja. A parancsmag nem tudja szoftveres védelem alatt álló kulcsként importálni a kulcsot.
  • Ha nem adja meg ezt a paramétert, és ez a parancsmag egy .pfx fájlnévkiterjesztéssel rendelkező kulcsot importál, a kulcsot szoftveresen védett kulcsként importálja.
Type:String
Accepted values:HSM, Software, HSM, Software
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False

-Disable

Azt jelzi, hogy a hozzáadott kulcs a letiltott állapot kezdeti állapotára van állítva. A kulcs használatára tett kísérletek sikertelenek lesznek. Ezt a paramétert akkor használja, ha előre betölti azokat a kulcsokat, amelyeket később engedélyezni szeretne.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Expires

A parancsmag által hozzáadott kulcs lejárati idejét adja meg DateTime-objektumként. Ez a paraméter az egyezményes világidőt (UTC) használja. DateTime-objektum beszerzéséhez használja a Get-Date parancsmagot. További információkért írja be a következőt Get-Help Get-Date: Ha nem adja meg ezt a paramétert, a kulcs nem jár le.

Type:Nullable<T>[DateTime]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-InputObject

Tárolóobjektum.

Type:PSKeyVault
Position:0
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-KeyFilePassword

Megadja az importált fájl jelszavát SecureString-objektumként. SecureString-objektum beszerzéséhez használja a ConvertTo-SecureString parancsmagot. További információkért írja be a következőt Get-Help ConvertTo-SecureString: Ezt a jelszót meg kell adnia egy .pfx kiterjesztésű fájl importálásához.

Type:SecureString
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-KeyFilePath

Megadja a parancsmag által importált kulcsfontosságú anyagokat tartalmazó helyi fájl elérési útját. Az érvényes fájlnévkiterjesztések a .byok és a .pfx.

  • Ha a fájl .byok fájl, az importálás után a rendszer automatikusan védi a kulcsot a HSM-ekkel, és ezt az alapértelmezett beállítást nem bírálhatja felül.
  • Ha a fájl .pfx fájl, a kulcsot az importálás után a szoftver automatikusan védi. Az alapértelmezett érték felülbírálásához állítsa a Cél paramétert HSM-re, hogy a kulcs HSM-védelem alatt legyen. A paraméter megadásakor a Cél paraméter megadása nem kötelező.
Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False

-KeyOps

A parancsmag által hozzáadott kulccsal végrehajtható műveletek tömbje. Ha nem adja meg ezt a paramétert, minden művelet végrehajtható. A paraméter elfogadható értékei a JSON Web Key (JWK) specifikációja által meghatározott kulcsműveletek vesszővel tagolt listája:

  • Titkosítás
  • Visszafejtés
  • Betakar
  • Unwrap
  • Bejelentkezés
  • Ellenőrzés
Type:String[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Name

Megadja a kulcstartóhoz hozzáadni kívánt kulcs nevét. Ez a parancsmag egy kulcs teljes tartománynevét (FQDN) hozza létre a paraméter által megadott név, a kulcstartó neve és az aktuális környezet alapján. A névnek 1–63 karakter hosszúságú sztringnek kell lennie, amely csak 0-9, a-z, A-Z és - karaktert (a kötőjelet) tartalmaz.

Type:String
Aliases:KeyName
Position:1
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False

-NotBefore

Dátum/idő objektumként azt az időt adja meg, amely előtt a kulcs nem használható. Ez a paraméter UTC-t használ. DateTime-objektum beszerzéséhez használja a Get-Date parancsmagot. Ha nem adja meg ezt a paramétert, a kulcs azonnal használható.

Type:Nullable<T>[DateTime]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-ResourceId

Tároló erőforrás-azonosítója.

Type:String
Position:0
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-Size

RSA kulcsméret bitekben. Ha nincs megadva, a szolgáltatás biztonságos alapértelmezett értéket biztosít.

Type:Nullable<T>[Int32]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Tag

Kulcs-érték párok kivonattábla formájában. Például: @{key0="value0"; key1=$null; key2="value2"}

Type:Hashtable
Aliases:Tags
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-VaultName

Megadja annak a kulcstartónak a nevét, amelyhez a parancsmag hozzáadja a kulcsot. Ez a parancsmag egy kulcstartó teljes tartománynevét hozza létre a paraméter által megadott név és az aktuális környezet alapján.

Type:String
Position:0
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False

-WhatIf

Bemutatja, mi történne a parancsmag futtatásakor. A parancsmag nem fut.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

Bevitelek

PSKeyVault

Paraméterek: InputObject (ByValue)

String

Kimenetek

PSKeyVaultKey