Compartilhar via


az keyvault key

Gerenciar as chaves.

Comandos

Nome Description Tipo Status
az keyvault key backup

Solicite que um backup da chave especificada seja baixado para o cliente.

Núcleo GA
az keyvault key create

Crie uma nova chave, armazene-a e, em seguida, retorne parâmetros e atributos de chave para o cliente.

Núcleo GA
az keyvault key decrypt

Descriptografe um único bloco de dados criptografados.

Núcleo Visualizar
az keyvault key delete

Exclua uma chave de qualquer tipo do armazenamento no Vault ou no HSM.

Núcleo GA
az keyvault key download

Baixe a parte pública de uma chave armazenada.

Núcleo GA
az keyvault key encrypt

Criptografe uma sequência arbitrária de bytes usando uma chave de criptografia armazenada em um Vault ou HSM.

Núcleo Visualizar
az keyvault key get-policy-template

Modelo de política de retorno como definição de política codificada em JSON.

Núcleo Visualizar
az keyvault key import

Importar uma chave privada.

Núcleo GA
az keyvault key list

Listar chaves no Vault ou HSM especificado.

Núcleo GA
az keyvault key list-deleted

Liste as chaves excluídas no Vault ou HSM especificado.

Núcleo GA
az keyvault key list-versions

Listar os identificadores e as propriedades das versões de uma chave.

Núcleo GA
az keyvault key purge

Exclua permanentemente a chave especificada.

Núcleo GA
az keyvault key random

Obtenha o número solicitado de bytes aleatórios de um HSM gerenciado.

Núcleo GA
az keyvault key recover

Recupere a chave excluída para sua versão mais recente.

Núcleo GA
az keyvault key restore

Restaure uma chave de backup em um Vault ou HSM.

Núcleo GA
az keyvault key rotate

Gire a chave com base na política de chave gerando uma nova versão da chave.

Núcleo GA
az keyvault key rotation-policy

Gerenciar a política de rotação da chave.

Núcleo GA
az keyvault key rotation-policy show

Obtenha a política de rotação de uma chave do Cofre de Chaves.

Núcleo GA
az keyvault key rotation-policy update

Atualize a política de rotação de uma chave do Cofre da Chave.

Núcleo GA
az keyvault key set-attributes

A operação de atualização de chave altera atributos especificados de uma chave armazenada e pode ser aplicada a qualquer tipo de chave e versão de chave armazenada no Vault ou HSM.

Núcleo GA
az keyvault key show

Obtenha os atributos de uma chave e, se for uma chave assimétrica, seu material público.

Núcleo GA
az keyvault key show-deleted

Obtenha a parte pública de uma chave excluída.

Núcleo GA
az keyvault key sign

Crie uma assinatura a partir de um resumo usando uma chave armazenada em um Vault ou HSM.

Núcleo GA
az keyvault key verify

Verifique uma assinatura usando a chave armazenada em um Vault ou HSM.

Núcleo GA

az keyvault key backup

Solicite que um backup da chave especificada seja baixado para o cliente.

A operação Key Backup exporta uma chave do Vault ou HSM em um formulário protegido. Observe que essa operação NÃO retorna o material da chave em um formulário que possa ser usado fora do sistema Vault ou HSM, o material da chave retornada está protegido para um HSM ou para o próprio Vault. A intenção dessa operação é permitir que um cliente GERE uma chave em uma instância do Vault ou HSM, faça BACKUP da chave e, em seguida, RESTAURE-a em outra instância do Vault ou HSM. A operação BACKUP pode ser usada para exportar, de forma protegida, qualquer tipo de chave do Vault ou HSM. Não é possível fazer backup de versões individuais de uma chave. O BACKUP/RESTORE pode ser realizado apenas dentro de limites geográficos; o que significa que um BACKUP de uma área geográfica não pode ser restaurado para outra área geográfica. Por exemplo, uma cópia de segurança da área geográfica dos EUA não pode ser restaurada numa área geográfica da UE. Esta operação requer a permissão de chave/backup.

az keyvault key backup --file
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Parâmetros Exigidos

--file -f

Caminho do arquivo local no qual armazenar o backup da chave.

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key create

Crie uma nova chave, armazene-a e, em seguida, retorne parâmetros e atributos de chave para o cliente.

A operação create key pode ser usada para criar qualquer tipo de chave no Vault ou HSM. Se a chave nomeada já existir, o Vault ou o HSM criará uma nova versão da chave. Requer a permissão keys/create.

az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--policy]
                       [--protection {hsm, software}]
                       [--size]
                       [--tags]
                       [--vault-name]

Parâmetros Opcionais

--curve

Nome da curva elíptica. Para valores válidos, consulte: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename.

Valores aceitos: P-256, P-256K, P-384, P-521
--default-cvm-policy

Use a política padrão sob a qual a chave pode ser exportada para criptografia de disco CVM.

Valor padrão: False
--disabled

Criar chave no estado desabilitado.

Valores aceitos: false, true
Valor padrão: False
--expires

Data de expiração UTC (Y-m-d'T'H:M:S'Z').

--exportable

Se a chave privada pode ser exportada. Para criar uma chave com a política de liberação, "exportável" deve ser verdadeiro e o chamador deve ter permissão de "exportação".

Valores aceitos: false, true
--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--immutable

Marque uma política de lançamento como imutável. Uma política de versão imutável não pode ser alterada ou atualizada depois de ser marcada como imutável. As políticas de lançamento são mutáveis por padrão.

Valores aceitos: false, true
--kty

Tipo de chave a ser criado. Para valores válidos, consulte: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype.

Valores aceitos: EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM
--name -n

Nome da chave. Obrigatório se --id não for especificado.

--not-before

Chave não utilizável antes da data/hora UTC fornecida (Y-m-d'T'H:M:S'Z').

--ops

Lista separada por espaço de operações de chave da Web JSON permitidas.

Valores aceitos: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

As regras de política sob as quais a chave pode ser exportada. Definição de política como JSON ou um caminho para um arquivo que contém a definição de política JSON.

--protection -p

Especifica o tipo de proteção de chave.

Valores aceitos: hsm, software
--size

O tamanho da chave em bits. Por exemplo: 2048, 3072 ou 4096 para RSA. 128, 192 ou 256 para out.

--tags

Tags separadas por espaço: key[=value] [key[=value] ...]. Use "" para limpar as tags existentes.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key decrypt

Versão Prévia

Este comando está em pré-visualização e em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus

Descriptografe um único bloco de dados criptografados.

A operação DECRYPT descriptografa um bloco bem formado de texto cifrado usando a chave de criptografia de destino e o algoritmo especificado. Esta operação é o inverso da operação ENCRYPT; Apenas um único bloco de dados pode ser descriptografado, o tamanho desse bloco depende da chave de destino e do algoritmo a ser usado. A operação DECRYPT aplica-se a chaves assimétricas e simétricas armazenadas no Vault ou HSM, uma vez que utiliza a parte privada da chave. Esta operação requer a permissão keys/decrypt.

az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--tag]
                        [--vault-name]
                        [--version]

Exemplos

Descriptografe o valor (cadeia de caracteres codificada em Base64 retornada pelo comando encrypt) com a chave do vault usando RSA-OAEP e obtenha o resultado como codificado em base64.

az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="

Descriptografe o valor(cadeia de caracteres codificada em Base64 retornada pelo comando encrypt) com a chave do MHSM usando AES-GCM e obtenha o resultado como texto sem formatação.

az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"

Parâmetros Exigidos

--algorithm -a

Identificador de algoritmo.

Valores aceitos: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

O valor a ser descriptografado, que deve ser o resultado de "az keyvault encrypt".

Parâmetros Opcionais

--aad

Dados opcionais autenticados, mas não criptografados. Para uso com descriptografia AES-GCM.

--data-type

O tipo dos dados originais.

Valores aceitos: base64, plaintext
Valor padrão: base64
--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--iv

O vetor de inicialização usado durante a criptografia. Necessário para descriptografia AES.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--tag

A tag de autenticação gerada durante a criptografia. Necessário apenas para a descriptografia AES-GCM.

--vault-name

Nome do cofre.

--version -v

A versão principal. Se omitido, usa a versão mais recente.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key delete

Exclua uma chave de qualquer tipo do armazenamento no Vault ou no HSM.

A operação de exclusão de chave não pode ser usada para remover versões individuais de uma chave. Essa operação remove o material criptográfico associado à chave, o que significa que a chave não é utilizável para operações Assinar/Verificar, Encapsular/Desencapsular ou Criptografar/Descriptografar. Essa operação requer a permissão de exclusão/chaves.

az keyvault key delete [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key download

Baixe a parte pública de uma chave armazenada.

az keyvault key download --file
                         [--encoding {DER, PEM}]
                         [--hsm-name]
                         [--id]
                         [--name]
                         [--vault-name]
                         [--version]

Exemplos

Salve a chave com a codificação PEM.

az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pem

Salve a chave com codificação DER.

az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.der

Parâmetros Exigidos

--file -f

Arquivo para receber o conteúdo da chave.

Parâmetros Opcionais

--encoding -e

Codificação da chave, padrão: PEM.

Valores aceitos: DER, PEM
Valor padrão: PEM
--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

--version -v

A versão principal. Se omitido, usa a versão mais recente.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key encrypt

Versão Prévia

Este comando está em pré-visualização e em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus

Criptografe uma sequência arbitrária de bytes usando uma chave de criptografia armazenada em um Vault ou HSM.

A operação ENCRYPT criptografa uma sequência arbitrária de bytes usando uma chave de criptografia armazenada no Vault ou HSM. Observe que a operação ENCRYPT oferece suporte apenas a um único bloco de dados, cujo tamanho depende da chave de destino e do algoritmo de criptografia a ser usado. A operação ENCRYPT só é estritamente necessária para chaves simétricas armazenadas no Vault pr HSM, uma vez que a proteção com uma chave assimétrica pode ser executada usando a parte pública da chave. Essa operação é suportada para chaves assimétricas como uma conveniência para chamadores que têm uma referência de chave, mas não têm acesso ao material de chave pública. Esta operação requer a permissão keys/encrypt .

az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--vault-name]
                        [--version]

Exemplos

Criptografar valor(cadeia de caracteres codificada em Base64) com a chave do cofre usando RSA-OAEP.

az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64

Criptografe o valor (texto sem formatação) com a chave do MHSM usando AES-GCM.

az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"

Parâmetros Exigidos

--algorithm -a

Identificador de algoritmo.

Valores aceitos: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

O valor a ser criptografado. O tipo de dados padrão é a cadeia de caracteres codificada em Base64.

Parâmetros Opcionais

--aad

Dados opcionais autenticados, mas não criptografados. Para uso com criptografia AES-GCM.

--data-type

O tipo dos dados originais.

Valores aceitos: base64, plaintext
Valor padrão: base64
--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--iv

Vetor de inicialização. Necessário apenas para criptografia AES-CBC(PAD).

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

--version -v

A versão principal. Se omitido, usa a versão mais recente.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key get-policy-template

Versão Prévia

Este comando está em pré-visualização e em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus

Modelo de política de retorno como definição de política codificada em JSON.

az keyvault key get-policy-template
Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key import

Importar uma chave privada.

Suporta a importação de chaves privadas codificadas em base64 de arquivos PEM ou cadeias de caracteres. Suporta a importação de chaves BYOK para HSM para cofres de chaves premium.

az keyvault key import [--byok-file]
                       [--byok-string]
                       [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, RSA, oct}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--pem-file]
                       [--pem-password]
                       [--pem-string]
                       [--policy]
                       [--protection {hsm, software}]
                       [--tags]
                       [--vault-name]

Parâmetros Opcionais

--byok-file

BYOK contendo a chave a ser importada. Não deve ser protegido por senha.

--byok-string

Cadeia de caracteres BYOK que contém a chave a ser importada. Não deve ser protegido por senha.

--curve

O nome da curva da chave a ser importada (somente para BYOK).

Valores aceitos: P-256, P-256K, P-384, P-521
--default-cvm-policy

Use a política padrão sob a qual a chave pode ser exportada para criptografia de disco CVM.

Valor padrão: False
--disabled

Criar chave no estado desabilitado.

Valores aceitos: false, true
Valor padrão: False
--expires

Data de expiração UTC (Y-m-d'T'H:M:S'Z').

--exportable

Se a chave privada pode ser exportada. Para criar uma chave com a política de liberação, "exportável" deve ser verdadeiro e o chamador deve ter permissão de "exportação".

Valores aceitos: false, true
--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--immutable

Marque uma política de lançamento como imutável. Uma política de versão imutável não pode ser alterada ou atualizada depois de ser marcada como imutável. As políticas de lançamento são mutáveis por padrão.

Valores aceitos: false, true
--kty

O tipo de chave a ser importada (somente para BYOK).

Valores aceitos: EC, RSA, oct
Valor padrão: RSA
--name -n

Nome da chave. Obrigatório se --id não for especificado.

--not-before

Chave não utilizável antes da data/hora UTC fornecida (Y-m-d'T'H:M:S'Z').

--ops

Lista separada por espaço de operações de chave da Web JSON permitidas.

Valores aceitos: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--pem-file

PEM contendo a chave a ser importada.

--pem-password

Senha do arquivo PEM.

--pem-string

Cadeia de caracteres PEM que contém a chave a ser importada.

--policy

As regras de política sob as quais a chave pode ser exportada. Definição de política como JSON ou um caminho para um arquivo que contém a definição de política JSON.

--protection -p

Especifica o tipo de proteção de chave.

Valores aceitos: hsm, software
--tags

Tags separadas por espaço: key[=value] [key[=value] ...]. Use "" para limpar as tags existentes.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key list

Listar chaves no Vault ou HSM especificado.

Recupere uma lista das chaves no Vault ou HSM como estruturas de chave da Web JSON que contêm a parte pública de uma chave armazenada. A operação LIST é aplicável a todos os tipos de chave, no entanto, apenas o identificador de chave base, atributos e tags são fornecidos na resposta. Versões individuais de uma chave não são listadas na resposta. Esta operação requer a permissão chaves/lista.

az keyvault key list [--hsm-name]
                     [--id]
                     [--include-managed {false, true}]
                     [--maxresults]
                     [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. Pode ser omitido se --id for especificado.

--id

URI completo do Vault ou HSM. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--include-managed

Incluir chaves gerenciadas.

Valores aceitos: false, true
Valor padrão: False
--maxresults

Número máximo de resultados a serem retornados.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key list-deleted

Liste as chaves excluídas no Vault ou HSM especificado.

Recupere uma lista das chaves no Vault ou HSM como estruturas de chave da Web JSON que contêm a parte pública de uma chave excluída. Essa operação inclui informações específicas de exclusão. A operação Obter chaves excluídas é aplicável a cofres habilitados para exclusão flexível. Embora a operação possa ser invocada em qualquer Vault ou HSM, ela retornará um erro se invocada em um Vault ou HSM habilitado para exclusão suave. Esta operação requer a permissão chaves/lista.

az keyvault key list-deleted [--hsm-name]
                             [--id]
                             [--maxresults]
                             [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. Pode ser omitido se --id for especificado.

--id

URI completo do Vault ou HSM. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--maxresults

Número máximo de resultados a serem retornados.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key list-versions

Listar os identificadores e as propriedades das versões de uma chave.

Requer permissão de chaves/lista.

az keyvault key list-versions [--hsm-name]
                              [--id]
                              [--maxresults]
                              [--name]
                              [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--maxresults

Número máximo de resultados a serem retornados.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key purge

Exclua permanentemente a chave especificada.

A operação Purge Deleted Key é aplicável a Vaults ou HSMs habilitados para soft-delete. Embora a operação possa ser invocada em qualquer Vault ou HSM, ela retornará um erro se invocada em um Vault ou HSM habilitado para exclusão suave. Esta operação requer a permissão keys/purge.

az keyvault key purge [--hsm-name]
                      [--id]
                      [--name]
                      [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

A ID de recuperação da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key random

Obtenha o número solicitado de bytes aleatórios de um HSM gerenciado.

az keyvault key random --count
                       [--hsm-name]
                       [--id]

Parâmetros Exigidos

--count

O número solicitado de bytes aleatórios.

Parâmetros Opcionais

--hsm-name

Nome do HSM.

--id

URI completo do HSM.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key recover

Recupere a chave excluída para sua versão mais recente.

A operação Recuperar chave excluída é aplicável a chaves excluídas em Vaults ou HSMs habilitados para soft-delete. Ele recupera a chave excluída de volta para sua versão mais recente em /keys. Uma tentativa de recuperar uma chave não excluída retornará um erro. Considere isso o inverso da operação de exclusão em Vaults ou HSMs habilitados para soft-delete. Esta operação requer a permissão keys/recover.

az keyvault key recover [--hsm-name]
                        [--id]
                        [--name]
                        [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

A ID de recuperação da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key restore

Restaure uma chave de backup em um Vault ou HSM.

Importe uma chave de backup anterior para o Vault ou HSM, restaurando a chave, seu identificador de chave, atributos e políticas de controle de acesso. A operação RESTORE pode ser usada para importar uma chave de backup anterior. Versões individuais de uma chave não podem ser restauradas. A chave é restaurada em sua totalidade com o mesmo nome de chave que tinha quando foi feito backup. Se o nome da chave não estiver disponível no Cofre da Chave de destino, a operação RESTORE será rejeitada. Enquanto o nome da chave é mantido durante a restauração, o identificador de chave final será alterado se a chave for restaurada para um Vault ou HSM diferente. A restauração restaurará todas as versões e preservará os identificadores de versão. A operação RESTORE está sujeita a restrições de segurança. O Vault ou HSM de destino deve pertencer à mesma Assinatura do Microsoft Azure que o Vault ou HSM de origem. O usuário deve ter permissão RESTORE no Vault ou HSM de destino. Esta operação requer a permissão chaves/restauração.

az keyvault key restore [--backup-folder]
                        [--blob-container-name]
                        [--file]
                        [--hsm-name]
                        [--id]
                        [--name]
                        [--no-wait]
                        [--storage-account-name]
                        [--storage-container-SAS-token]
                        [--storage-resource-uri]
                        [--vault-name]

Parâmetros Opcionais

--backup-folder

Nome do contêiner de blob que contém o backup.

--blob-container-name

Nome do contêiner de blob.

--file -f

Backup de chave local a partir do qual restaurar a chave.

--hsm-name

Nome do HSM. Pode ser omitido se --id for especificado.

--id

URI completo do Vault ou HSM. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. (Somente para restaurar a partir da conta de armazenamento).

--no-wait

Não aguarde a conclusão da operação de execução longa.

Valor padrão: False
--storage-account-name

Nome da conta de armazenamento do Azure.

--storage-container-SAS-token -t

O token SAS apontando para um contêiner de armazenamento de Blob do Azure.

--storage-resource-uri -u

Uri do contêiner de armazenamento de Blobs do Azure. Se especificado, todos os outros argumentos 'Storage Id' devem ser omitidos.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key rotate

Gire a chave com base na política de chave gerando uma nova versão da chave.

az keyvault key rotate [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key set-attributes

A operação de atualização de chave altera os atributos especificados de uma chave armazenada e pode ser aplicada a qualquer tipo de chave e versão de chave armazenada no Vault ou HSM.

Para executar essa operação, a chave já deve existir no Vault ou HSM. O material criptográfico de uma chave em si não pode ser alterado. Esta operação requer a permissão keys/update.

az keyvault key set-attributes [--enabled {false, true}]
                               [--expires]
                               [--hsm-name]
                               [--id]
                               [--immutable {false, true}]
                               [--name]
                               [--not-before]
                               [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                               [--policy]
                               [--tags]
                               [--vault-name]
                               [--version]

Parâmetros Opcionais

--enabled

Habilite a chave.

Valores aceitos: false, true
--expires

Data de expiração UTC (Y-m-d'T'H:M:S'Z').

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--immutable

Marque uma política de lançamento como imutável. Uma política de versão imutável não pode ser alterada ou atualizada depois de ser marcada como imutável. As políticas de lançamento são mutáveis por padrão.

Valores aceitos: false, true
--name -n

Nome da chave. Obrigatório se --id não for especificado.

--not-before

Chave não utilizável antes da data/hora UTC fornecida (Y-m-d'T'H:M:S'Z').

--ops

Lista separada por espaço de operações de chave da Web JSON permitidas.

Valores aceitos: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

As regras de política sob as quais a chave pode ser exportada. Definição de política como JSON ou um caminho para um arquivo que contém a definição de política JSON.

--tags

Tags separadas por espaço: key[=value] [key[=value] ...]. Use "" para limpar as tags existentes.

--vault-name

Nome do cofre.

--version -v

A versão principal. Se omitido, usa a versão mais recente.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key show

Obtenha os atributos de uma chave e, se for uma chave assimétrica, seu material público.

Requer chaves/obter permissão.

az keyvault key show [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

--version -v

A versão principal. Se omitido, usa a versão mais recente.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key show-deleted

Obtenha a parte pública de uma chave excluída.

A operação Get Deleted Key é aplicável a Vaults ou HSMs habilitados para soft-delete. Embora a operação possa ser invocada em qualquer Vault ou HSM, ela retornará um erro se invocada em um Vault ou HSM habilitado para exclusão não soft-delete. Esta operação requer as chaves/obter permissão.

az keyvault key show-deleted [--hsm-name]
                             [--id]
                             [--name]
                             [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key sign

Crie uma assinatura a partir de um resumo usando uma chave armazenada em um Vault ou HSM.

az keyvault key sign --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                     --digest
                     [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

Exemplos

Crie uma assinatura a partir de um resumo usando a chave do keyvault.

az keyvault key sign --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012"

Parâmetros Exigidos

--algorithm -a

Identificador de algoritmo.

Valores aceitos: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

O valor a ser assinado.

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

--version -v

A versão principal. Se omitido, usa a versão mais recente.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az keyvault key verify

Verifique uma assinatura usando a chave armazenada em um Vault ou HSM.

az keyvault key verify --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                       --digest
                       --signature
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]
                       [--version]

Exemplos

Verifique uma assinatura usando a chave do keyvault.

az keyvault key verify --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012" --signature XXXYYYZZZ

Parâmetros Exigidos

--algorithm -a

Identificador de algoritmo.

Valores aceitos: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

O valor a ser assinado.

--signature

Assinatura para verificar.

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

--version -v

A versão principal. Se omitido, usa a versão mais recente.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.