Cmdlet Add-AzKeyVaultKey membuat kunci dalam brankas kunci di Azure Key Vault, atau mengimpor kunci ke dalam brankas kunci.
Gunakan cmdlet ini untuk menambahkan kunci dengan menggunakan salah satu metode berikut:
Buat kunci dalam modul keamanan perangkat keras (HSM) di layanan Key Vault.
Buat kunci dalam perangkat lunak di layanan Key Vault.
Impor kunci dari modul keamanan perangkat keras (HSM) Anda sendiri ke HSM di layanan Key Vault.
Impor kunci dari file .pfx di komputer Anda.
Impor kunci dari file .pfx di komputer Anda ke modul keamanan perangkat keras (HSM) di layanan Key Vault.
Untuk salah satu operasi ini, Anda dapat menyediakan atribut utama atau menerima pengaturan default.
Jika Anda membuat atau mengimpor kunci yang memiliki nama yang sama dengan kunci yang ada di brankas kunci Anda, kunci asli diperbarui dengan nilai yang Anda tentukan untuk kunci baru. Anda dapat mengakses nilai sebelumnya dengan menggunakan URI khusus versi untuk versi kunci tersebut. Untuk mempelajari tentang versi kunci dan struktur URI, lihat Tentang Kunci dan Rahasia dalam dokumentasi REST API Key Vault.
Catatan: Untuk mengimpor kunci dari modul keamanan perangkat keras Anda sendiri, Anda harus terlebih dahulu membuat paket BYOK (file dengan ekstensi nama file .byok) dengan menggunakan toolset Azure Key Vault BYOK. Untuk informasi selengkapnya, lihat Cara Membuat dan Mentransfer Kunci HSM-Protected untuk Azure Key Vault.
Sebagai praktik terbaik, cadangkan kunci Anda setelah dibuat atau diperbarui, dengan menggunakan cmdlet Backup-AzKeyVaultKey. Tidak ada fungsionalitas yang tidak dihapus, jadi jika Anda secara tidak sengaja menghapus kunci atau menghapusnya dan kemudian berubah pikiran, kunci tidak dapat dipulihkan kecuali Anda memiliki cadangannya yang dapat Anda pulihkan.
Vault/HSM Name : test-kv
Name : test-key
Key Type : EC
Key Size :
Curve Name : P-256
Version : 4da74af2b4fd47d6b1aa0b05c9a2ed13
Id : https://test-kv.vault.azure.net:443/keys/test-key/4da74af2b4fd47d6b1aa0b05c9a2ed13
Enabled : True
Expires :
Not Before :
Created : 8/24/2021 6:38:34 AM
Updated : 8/24/2021 6:38:34 AM
Recovery Level : Recoverable+Purgeable
Tags :
Perintah ini membuat kunci EC yang dilindungi perangkat lunak bernama test-key di brankas kunci bernama test-kv. Nama kurvanya adalah P-256 secara default.
Vault/HSM Name : contoso
Name : ITHsmNonDefault
Key Type : RSA
Key Size : 2048
Version : 929bfc14db84439b823ffd1bedadaf5f
Id : https://contoso.vault.azure.net:443/keys/ITHsmNonDefault/929bfc14db84439b823ffd1bedadaf5f
Enabled : False
Expires : 5/21/2020 11:12:43 PM
Not Before : 5/21/2018 11:12:50 PM
Created : 5/21/2018 11:13:17 PM
Updated : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags : Name Value
Severity high
Accounting true
Perintah pertama menyimpan nilai yang didekripsi dan memverifikasi dalam variabel $KeyOperations.
Perintah kedua membuat objek DateTime , yang ditentukan dalam UTC, dengan menggunakan cmdlet Get-Date .
Objek itu menentukan waktu dua tahun di masa depan. Perintah menyimpan tanggal tersebut dalam variabel $Expires. Untuk informasi selengkapnya, ketik Get-Help Get-Date.
Perintah ketiga membuat objek DateTime dengan menggunakan cmdlet Get-Date . Objek tersebut menentukan waktu UTC saat ini. Perintah menyimpan tanggal tersebut dalam variabel $NotBefore.
Perintah akhir membuat kunci bernama ITHsmNonDefault yang merupakan kunci yang dilindungi HSM. Perintah menentukan nilai untuk operasi kunci yang diizinkan yang disimpan $KeyOperations. Perintah menentukan waktu untuk parameter Kedaluwarsa dan NotBefore yang dibuat dalam perintah sebelumnya, dan tag untuk tingkat keparahan tinggi dan TI. Kunci baru dinonaktifkan. Anda dapat mengaktifkannya dengan menggunakan cmdlet Set-AzKeyVaultKey .
Vault Name : contoso
Name : ITByok
Version : 67da57e9cadf48a2ad8d366b115843ab
Id : https://contoso.vault.azure.net:443/keys/ITByok/67da57e9cadf48a2ad8d366b115843ab
Enabled : True
Expires :
Not Before :
Created : 5/21/2018 11:10:58 PM
Updated : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags :
Perintah ini mengimpor kunci bernama ITByok dari lokasi yang ditentukan parameter KeyFilePath . Kunci yang diimpor adalah kunci yang dilindungi HSM.
Untuk mengimpor kunci dari modul keamanan perangkat keras Anda sendiri, Anda harus terlebih dahulu membuat paket BYOK (file dengan ekstensi nama file .byok) dengan menggunakan toolset Azure Key Vault BYOK.
Untuk informasi selengkapnya, lihat Cara Membuat dan Mentransfer Kunci HSM-Protected untuk Azure Key Vault.
Contoh 6: Mengimpor kunci yang dilindungi perangkat lunak
Vault Name : contoso
Name : ITPfx
Version : 67da57e9cadf48a2ad8d366b115843ab
Id : https://contoso.vault.azure.net:443/keys/ITPfx/67da57e9cadf48a2ad8d366b115843ab
Enabled : True
Expires :
Not Before :
Created : 5/21/2018 11:10:58 PM
Updated : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags :
Perintah pertama mengonversi string menjadi string aman dengan menggunakan cmdlet ConvertTo-SecureString , lalu menyimpan string tersebut dalam variabel $Password. Untuk informasi selengkapnya, ketik Get-Help ConvertTo-SecureString.
Perintah kedua membuat kata sandi perangkat lunak di brankas kunci Contoso. Perintah menentukan lokasi untuk kunci dan kata sandi yang disimpan di $Password.
Vault Name : contoso
Name : ITPfxToHSM
Version : 929bfc14db84439b823ffd1bedadaf5f
Id : https://contoso.vault.azure.net:443/keys/ITPfxToHSM/929bfc14db84439b823ffd1bedadaf5f
Enabled : True
Expires : 5/21/2020 11:12:43 PM
Not Before :
Created : 5/21/2018 11:13:17 PM
Updated : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags : Name Value
Severity high
Accounting true
Perintah pertama mengonversi string menjadi string aman dengan menggunakan cmdlet ConvertTo-SecureString , lalu menyimpan string tersebut dalam variabel $Password.
Perintah kedua membuat objek DateTime dengan menggunakan cmdlet Get-Date , lalu menyimpan objek tersebut dalam variabel $Expires.
Perintah ketiga membuat variabel $tags untuk mengatur tag untuk tingkat keparahan tinggi dan IT.
Perintah akhir mengimpor kunci sebagai kunci HSM dari lokasi yang ditentukan. Perintah menentukan waktu kedaluwarsa yang disimpan di $Expires dan kata sandi yang disimpan di $Password, dan menerapkan tag yang disimpan di $tags.
Contoh 8: Buat Kunci Exchange Kunci (KEK) untuk fitur "bring your own key" (BYOK)
Menghasilkan kunci (disebut sebagai Kunci Exchange Kunci (KEK)). KEK harus berupa kunci RSA-HSM yang hanya memiliki operasi kunci impor. Hanya SKU Premium Key Vault yang mendukung kunci RSA-HSM.
Untuk detail selengkapnya, silakan merujuk ke https://learn.microsoft.com/azure/key-vault/keys/hsm-protected-keys
Menentukan apakah akan menambahkan kunci sebagai kunci yang dilindungi perangkat lunak atau kunci yang dilindungi HSM di layanan Key Vault.
Nilai yang valid adalah: HSM dan Perangkat Lunak.
Catatan: Untuk menggunakan HSM sebagai tujuan, Anda harus memiliki brankas kunci yang mendukung HSM. Untuk informasi selengkapnya tentang tingkat layanan dan kemampuan untuk Azure Key Vault, lihat situs web harga Azure Key Vault.
Parameter ini diperlukan saat Anda membuat kunci baru. Jika Anda mengimpor kunci dengan menggunakan parameter KeyFilePath , parameter ini bersifat opsional:
Jika Anda tidak menentukan parameter ini, dan cmdlet ini mengimpor kunci yang memiliki ekstensi nama file .byok, ia mengimpor kunci tersebut sebagai kunci yang dilindungi HSM. Cmdlet tidak dapat mengimpor kunci tersebut sebagai kunci yang dilindungi perangkat lunak.
Jika Anda tidak menentukan parameter ini, dan cmdlet ini mengimpor kunci yang memiliki ekstensi nama file .pfx, itu mengimpor kunci sebagai kunci yang dilindungi perangkat lunak.
Menunjukkan bahwa kunci yang Anda tambahkan diatur ke status awal dinonaktifkan. Setiap upaya untuk menggunakan kunci akan gagal. Gunakan parameter ini jika Anda melakukan pramuat kunci yang ingin Anda aktifkan nanti.
Menentukan waktu kedaluwarsa kunci dalam UTC, sebagai objek DateTime , untuk kunci yang ditambahkan cmdlet ini. Jika tidak ditentukan, kunci tidak akan kedaluwarsa. Untuk mendapatkan objek DateTime , gunakan cmdlet Get-Date . Untuk informasi selengkapnya, ketik Get-Help Get-Date. Perhatikan bahwa kedaluwarsa diabaikan untuk Kunci Exchange Kunci yang digunakan dalam proses BYOK.
Menetapkan kebijakan rilis sebagai status tidak dapat diubah. Setelah ditandai tidak dapat diubah, bendera ini tidak dapat diatur ulang dan kebijakan tidak dapat diubah dalam keadaan apa pun.
Menentukan kata sandi untuk file yang diimpor sebagai objek SecureString . Untuk mendapatkan objek SecureString , gunakan cmdlet ConvertTo-SecureString . Untuk informasi selengkapnya, ketik Get-Help ConvertTo-SecureString. Anda harus menentukan kata sandi ini untuk mengimpor file dengan ekstensi nama file .pfx.
Menentukan jalur file lokal yang berisi materi kunci yang diimpor cmdlet ini.
Ekstensi nama file yang valid adalah .byok dan .pfx.
Jika file adalah file .byok, kunci secara otomatis dilindungi oleh HSM setelah impor dan Anda tidak dapat mengambil alih default ini.
Jika file adalah file .pfx, kunci secara otomatis dilindungi oleh perangkat lunak setelah impor. Untuk mengambil alih default ini, atur parameter Tujuan ke HSM sehingga kunci dilindungi HSM.
Saat Anda menentukan parameter ini, parameter Tujuan bersifat opsional.
Menentukan array operasi yang dapat dilakukan dengan menggunakan kunci yang ditambahkan cmdlet ini.
Jika Anda tidak menentukan parameter ini, semua operasi dapat dilakukan.
Nilai yang dapat diterima untuk parameter ini adalah daftar operasi kunci yang dipisahkan koma seperti yang didefinisikan oleh spesifikasi JSON Web Key (JWK):
Menentukan nama kunci yang akan ditambahkan ke brankas kunci. Cmdlet ini membangun nama domain yang sepenuhnya memenuhi syarat (FQDN) dari kunci berdasarkan nama yang ditentukan parameter ini, nama brankas kunci, dan lingkungan Anda saat ini. Nama harus berupa string dengan panjang 1 hingga 63 karakter yang hanya berisi 0-9, a-z, A-Z, dan - (simbol tanda hubung).
Menentukan waktu, sebagai objek DateTime , sebelum kunci tidak dapat digunakan. Parameter ini menggunakan UTC. Untuk mendapatkan objek DateTime , gunakan cmdlet Get-Date . Jika Anda tidak menentukan parameter ini, kunci dapat segera digunakan.
Menentukan nama brankas kunci tempat cmdlet ini menambahkan kunci. Cmdlet ini membangun FQDN dari brankas kunci berdasarkan nama yang ditentukan parameter ini dan lingkungan Anda saat ini.
Cmdlet ini mendukung parameter umum: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction, dan -WarningVariable. Untuk informasi selengkapnya, lihat about_CommonParameters.
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
