az keyvault key

Управление ключами.

Команды

Имя Описание Тип Состояние
az keyvault key backup

Попросите скачать резервную копию указанного ключа клиенту.

Основные сведения Общедоступная версия
az keyvault key create

Создайте новый ключ, сохраните его, а затем возвращает ключевые параметры и атрибуты клиенту.

Основные сведения Общедоступная версия
az keyvault key decrypt

Расшифровка одного блока зашифрованных данных.

Основные сведения "Предварительная версия"
az keyvault key delete

Удалите ключ любого типа из хранилища в Хранилище или HSM.

Основные сведения Общедоступная версия
az keyvault key download

Скачайте общедоступную часть сохраненного ключа.

Основные сведения Общедоступная версия
az keyvault key encrypt

Шифрование произвольной последовательности байтов с помощью ключа шифрования, хранящегося в хранилище или HSM.

Основные сведения "Предварительная версия"
az keyvault key get-policy-template

Возвращает шаблон политики в виде определения политики в кодировке JSON.

Основные сведения "Предварительная версия"
az keyvault key import

Импорт закрытого ключа.

Основные сведения Общедоступная версия
az keyvault key list

Вывод списка ключей в указанном хранилище или HSM.

Основные сведения Общедоступная версия
az keyvault key list-deleted

Список удаленных ключей в указанном хранилище или HSM.

Основные сведения Общедоступная версия
az keyvault key list-versions

Вывод списка идентификаторов и свойств версий ключа.

Основные сведения Общедоступная версия
az keyvault key purge

Окончательно удалите указанный ключ.

Основные сведения Общедоступная версия
az keyvault key random

Получите запрошенное число случайных байтов из управляемого HSM.

Основные сведения Общедоступная версия
az keyvault key recover

Восстановите удаленный ключ до последней версии.

Основные сведения Общедоступная версия
az keyvault key restore

Восстановление резервного копирования ключа в Хранилище или HSM.

Основные сведения Общедоступная версия
az keyvault key rotate

Смените ключ на основе политики ключей, создав новую версию ключа.

Основные сведения Общедоступная версия
az keyvault key rotation-policy

Управление политикой смены ключа.

Основные сведения Общедоступная версия
az keyvault key rotation-policy show

Получение политики поворота ключа Key Vault.

Основные сведения Общедоступная версия
az keyvault key rotation-policy update

Обновите политику поворота ключа Key Vault.

Основные сведения Общедоступная версия
az keyvault key set-attributes

Операция ключа обновления изменяет указанные атрибуты хранимого ключа и может применяться к любому типу ключа и версии ключа, хранящейся в Хранилище или HSM.

Основные сведения Общедоступная версия
az keyvault key show

Получите атрибуты ключа и, если это асимметричный ключ, его общедоступный материал.

Основные сведения Общедоступная версия
az keyvault key show-deleted

Получите общедоступную часть удаленного ключа.

Основные сведения Общедоступная версия
az keyvault key sign

Создайте подпись из дайджеста с помощью ключа, хранящегося в хранилище или HSM.

Основные сведения Общедоступная версия
az keyvault key verify

Проверьте подпись с помощью ключа, хранящегося в хранилище или HSM.

Основные сведения Общедоступная версия

az keyvault key backup

Попросите скачать резервную копию указанного ключа клиенту.

Операция резервного копирования ключей экспортирует ключ из хранилища или HSM в защищенной форме. Обратите внимание, что эта операция не возвращает материал ключа в форме, которая может использоваться вне системы Хранилища или HSM, возвращенный материал ключа либо защищен в HSM, либо в самом хранилище. Цель этой операции — разрешить клиенту генерировать ключ в одном экземпляре хранилища или HSM, резервном копировании ключа, а затем восстановить его в другом экземпляре Хранилища или HSM. Операция BACKUP может использоваться для экспорта в защищенной форме любого типа ключа из Хранилища или HSM. Не удается создать резервную копию отдельных версий ключа. РЕЗЕРВНОЕ КОПИРОВАНИЕ или ВОССТАНОВЛЕНИЕ можно выполнять только в пределах географических границ; означает, что резервное копирование из одной географической области не может быть восстановлено в другой географической области. Например, резервная копия из географической области США не может быть восстановлена в географической области ЕС. Для этой операции требуется разрешение ключа или резервного копирования.

az keyvault key backup --file
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Обязательные параметры

--file -f

Локальный путь к файлу, в котором хранится резервное копирование ключей.

Необязательные параметры

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key create

Создайте новый ключ, сохраните его, а затем возвращает ключевые параметры и атрибуты клиенту.

Операцию создания ключа можно использовать для создания любого типа ключа в Хранилище или HSM. Если именованный ключ уже существует, хранилище или HSM создает новую версию ключа. Для этого требуется разрешение на ключи или создание.

az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--policy]
                       [--protection {hsm, software}]
                       [--size]
                       [--tags]
                       [--vault-name]

Необязательные параметры

--curve

Имя эллиптической кривой. Допустимые значения см. в статье https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename.

допустимые значения: P-256, P-256K, P-384, P-521
--default-cvm-policy

Используйте политику по умолчанию, в которой ключ можно экспортировать для шифрования дисков CVM.

значение по умолчанию: False
--disabled

Создайте ключ в отключенном состоянии.

допустимые значения: false, true
значение по умолчанию: False
--expires

Дата окончания срока действия UTC (Y-m-d'T'H:M:S'Z').

--exportable

Можно ли экспортировать закрытый ключ. Чтобы создать ключ с политикой выпуска, "экспортируемый" должен иметь значение true, и вызывающий объект должен иметь разрешение "export".

допустимые значения: false, true
--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--immutable

Пометьте политику выпуска как неизменяемую. Неизменяемая политика выпуска не может быть изменена или обновлена после того, как помечена неизменяемая. Политики выпуска изменяются по умолчанию.

допустимые значения: false, true
--kty

Тип создаваемого ключа. Допустимые значения см. в статье https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype.

допустимые значения: EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM
--name -n

Имя ключа. Требуется, если --id не указан.

--not-before

Ключ недоступен до предоставленной даты в формате UTC (Y-m-d'T:M:S'Z).

--ops

Разделенный пробелами список разрешенных операций веб-ключа JSON.

допустимые значения: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

Правила политики, в которых можно экспортировать ключ. Определение политики как JSON или путь к файлу с определением политики JSON.

--protection -p

Указывает тип защиты ключей.

допустимые значения: hsm, software
--size

Размер ключа в битах. Например: 2048, 3072 или 4096 для RSA. 128, 192 или 256 в октябре.

--tags

Теги, разделенные пробелами: key[=value] [key[=value] ...]. Используйте "" для очистки существующих тегов.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key decrypt

Предварительный просмотр

Эта команда находится в предварительной версии и находится в процессе разработки. Уровни ссылок и поддержки: https://aka.ms/CLI_refstatus

Расшифровка одного блока зашифрованных данных.

Операция DECRYPT расшифровывает хорошо сформированный блок шифра с помощью целевого ключа шифрования и указанного алгоритма. Эта операция является обратной операцией ENCRYPT; Можно расшифровать только один блок данных, размер этого блока зависит от целевого ключа и используемого алгоритма. Операция DECRYPT применяется к асимметричным и симметричным ключам, хранящимся в Хранилище или HSM, так как он использует частную часть ключа. Для этой операции требуется разрешение на ключи или расшифровку.

az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--tag]
                        [--vault-name]
                        [--version]

Примеры

Расшифровка значения (строка в кодировке Base64, возвращаемая командой encrypt) с ключом хранилища с помощью RSA-OAEP и получения результата в кодировке Base64.

az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="

Расшифровка значения (строка в кодировке Base64, возвращенная командой encrypt) с ключом MHSM с помощью AES-GCM и получения результата в виде открытого текста.

az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"

Обязательные параметры

--algorithm -a

Идентификатор алгоритма.

допустимые значения: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

Значение для расшифровки, которое должно быть результатом az keyvault encrypt.

Необязательные параметры

--aad

Необязательные данные, прошедшие проверку подлинности, но не зашифрованные. Для использования с расшифровкой AES-GCM.

--data-type

Тип исходных данных.

допустимые значения: base64, plaintext
значение по умолчанию: base64
--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--iv

Вектор инициализации, используемый во время шифрования. Требуется для расшифровки AES.

--name -n

Имя ключа. Требуется, если --id не указан.

--tag

Тег проверки подлинности, созданный во время шифрования. Требуется только для расшифровки AES-GCM.

--vault-name

Имя хранилища.

--version -v

Ключевая версия. Если опущено, используется последняя версия.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key delete

Удалите ключ любого типа из хранилища в Хранилище или HSM.

Операция удаления ключа не может использоваться для удаления отдельных версий ключа. Эта операция удаляет криптографический материал, связанный с ключом, что означает, что ключ недоступен для операций sign/Verify, Wrap/Unwrap или Encrypt/Decrypt. Для этой операции требуется разрешение на удаление ключей.

az keyvault key delete [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Необязательные параметры

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key download

Скачайте общедоступную часть сохраненного ключа.

az keyvault key download --file
                         [--encoding {DER, PEM}]
                         [--hsm-name]
                         [--id]
                         [--name]
                         [--vault-name]
                         [--version]

Примеры

Сохраните ключ с кодировкой PEM.

az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pem

Сохраните ключ с кодировкой DER.

az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.der

Обязательные параметры

--file -f

Файл для получения содержимого ключа.

Необязательные параметры

--encoding -e

Кодировка ключа по умолчанию: PEM.

допустимые значения: DER, PEM
значение по умолчанию: PEM
--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

--version -v

Ключевая версия. Если опущено, используется последняя версия.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key encrypt

Предварительный просмотр

Эта команда находится в предварительной версии и находится в процессе разработки. Уровни ссылок и поддержки: https://aka.ms/CLI_refstatus

Шифрование произвольной последовательности байтов с помощью ключа шифрования, хранящегося в хранилище или HSM.

Операция ENCRYPT шифрует произвольную последовательность байтов с помощью ключа шифрования, хранящегося в хранилище или HSM. Обратите внимание, что операция ENCRYPT поддерживает только один блок данных, размер которого зависит от целевого ключа и используемого алгоритма шифрования. Операция ENCRYPT необходима только для симметричных ключей, хранящихся в хранилище pr HSM, так как защита с асимметричным ключом может выполняться с помощью открытой части ключа. Эта операция поддерживается для асимметричных ключей в качестве удобства для вызывающих, имеющих ссылку на ключ, но не имеющих доступа к материалу открытого ключа. Для этой операции требуется разрешение на ключи или шифрование.

az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--vault-name]
                        [--version]

Примеры

Зашифруйте значение (строка в кодировке Base64) с ключом хранилища с помощью RSA-OAEP.

az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64

Шифрование значения (обычного текста) с помощью ключа MHSM с помощью AES-GCM.

az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"

Обязательные параметры

--algorithm -a

Идентификатор алгоритма.

допустимые значения: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

Значение, которое необходимо зашифровать. Тип данных по умолчанию — строка в кодировке Base64.

Необязательные параметры

--aad

Необязательные данные, прошедшие проверку подлинности, но не зашифрованные. Для использования с шифрованием AES-GCM.

--data-type

Тип исходных данных.

допустимые значения: base64, plaintext
значение по умолчанию: base64
--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--iv

Вектор инициализации. Требуется только для шифрования AES-CBC(PAD).

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

--version -v

Ключевая версия. Если опущено, используется последняя версия.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key get-policy-template

Предварительный просмотр

Эта команда находится в предварительной версии и находится в процессе разработки. Уровни ссылок и поддержки: https://aka.ms/CLI_refstatus

Возвращает шаблон политики в виде определения политики в кодировке JSON.

az keyvault key get-policy-template
Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key import

Импорт закрытого ключа.

Поддерживает импорт закрытых ключей в кодировке Base64 из файлов ИЛИ строк PEM. Поддерживает импорт ключей BYOK в HSM для хранилищ ключей класса Premium.

az keyvault key import [--byok-file]
                       [--byok-string]
                       [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, RSA, oct}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--pem-file]
                       [--pem-password]
                       [--pem-string]
                       [--policy]
                       [--protection {hsm, software}]
                       [--tags]
                       [--vault-name]

Необязательные параметры

--byok-file

BYOK-файл, содержащий ключ для импорта. Не следует защищать пароль.

--byok-string

Строка BYOK, содержащая ключ для импорта. Не следует защищать пароль.

--curve

Имя кривой ключа для импорта (только для BYOK).

допустимые значения: P-256, P-256K, P-384, P-521
--default-cvm-policy

Используйте политику по умолчанию, в которой ключ можно экспортировать для шифрования дисков CVM.

значение по умолчанию: False
--disabled

Создайте ключ в отключенном состоянии.

допустимые значения: false, true
значение по умолчанию: False
--expires

Дата окончания срока действия UTC (Y-m-d'T'H:M:S'Z').

--exportable

Можно ли экспортировать закрытый ключ. Чтобы создать ключ с политикой выпуска, "экспортируемый" должен иметь значение true, и вызывающий объект должен иметь разрешение "export".

допустимые значения: false, true
--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--immutable

Пометьте политику выпуска как неизменяемую. Неизменяемая политика выпуска не может быть изменена или обновлена после того, как помечена неизменяемая. Политики выпуска изменяются по умолчанию.

допустимые значения: false, true
--kty

Тип ключа для импорта (только для BYOK).

допустимые значения: EC, RSA, oct
значение по умолчанию: RSA
--name -n

Имя ключа. Требуется, если --id не указан.

--not-before

Ключ недоступен до предоставленной даты в формате UTC (Y-m-d'T:M:S'Z).

--ops

Разделенный пробелами список разрешенных операций веб-ключа JSON.

допустимые значения: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--pem-file

PEM-файл, содержащий ключ для импорта.

--pem-password

Пароль PEM-файла.

--pem-string

Строка PEM, содержащая ключ для импорта.

--policy

Правила политики, в которых можно экспортировать ключ. Определение политики как JSON или путь к файлу с определением политики JSON.

--protection -p

Указывает тип защиты ключей.

допустимые значения: hsm, software
--tags

Теги, разделенные пробелами: key[=value] [key[=value] ...]. Используйте "" для очистки существующих тегов.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key list

Вывод списка ключей в указанном хранилище или HSM.

Получение списка ключей в хранилище или HSM в виде структур веб-ключей JSON, содержащих общедоступную часть сохраненного ключа. Операция LIST применима ко всем типам ключей, однако в ответе предоставляются только базовый идентификатор ключа, атрибуты и теги. Отдельные версии ключа не перечислены в ответе. Для этой операции требуется разрешение на ключи или список.

az keyvault key list [--hsm-name]
                     [--id]
                     [--include-managed {false, true}]
                     [--maxresults]
                     [--vault-name]

Необязательные параметры

--hsm-name

Имя HSM. Может быть опущено, если задано значение --id.

--id

Полный универсальный код ресурса (URI) хранилища или HSM. Если заданы все остальные аргументы "Id" должны быть опущены.

--include-managed

Включите управляемые ключи.

допустимые значения: false, true
значение по умолчанию: False
--maxresults

Максимальное количество отображаемых результатов.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key list-deleted

Список удаленных ключей в указанном хранилище или HSM.

Получение списка ключей в Хранилище или HSM в виде структур веб-ключей JSON, содержащих общедоступную часть удаленного ключа. Эта операция включает сведения об удалении. Операция получения удаленных ключей применима для хранилищ, включенных для обратимого удаления. Хотя операция может вызываться в любом хранилище или HSM, она вернет ошибку, если она вызывается в не обратимом удалении хранилища или HSM. Для этой операции требуется разрешение на ключи или список.

az keyvault key list-deleted [--hsm-name]
                             [--id]
                             [--maxresults]
                             [--vault-name]

Необязательные параметры

--hsm-name

Имя HSM. Может быть опущено, если задано значение --id.

--id

Полный универсальный код ресурса (URI) хранилища или HSM. Если заданы все остальные аргументы "Id" должны быть опущены.

--maxresults

Максимальное количество отображаемых результатов.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key list-versions

Вывод списка идентификаторов и свойств версий ключа.

Требуется разрешение на ключи или список.

az keyvault key list-versions [--hsm-name]
                              [--id]
                              [--maxresults]
                              [--name]
                              [--vault-name]

Необязательные параметры

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--maxresults

Максимальное количество отображаемых результатов.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key purge

Окончательно удалите указанный ключ.

Операция очистки удаленного ключа применима для хранилищ с поддержкой обратимого удаления или HSM. Хотя операция может вызываться в любом хранилище или HSM, она вернет ошибку, если она вызывается в не обратимом удалении хранилища или HSM. Для этой операции требуется разрешение на ключи или очистку.

az keyvault key purge [--hsm-name]
                      [--id]
                      [--name]
                      [--vault-name]

Необязательные параметры

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор восстановления ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key random

Получите запрошенное число случайных байтов из управляемого HSM.

az keyvault key random --count
                       [--hsm-name]
                       [--id]

Обязательные параметры

--count

Запрошено число случайных байтов.

Необязательные параметры

--hsm-name

Имя HSM.

--id

Полный универсальный код ресурса (URI) HSM.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key recover

Восстановите удаленный ключ до последней версии.

Операция восстановления удаленного ключа применима для удаленных ключей в хранилищах с поддержкой обратимого удаления или HSM. Он восстанавливает удаленный ключ обратно в последнюю версию в разделе /keys. Попытка восстановить неудаляемый ключ вернет ошибку. Рассмотрим это обратное действие удаления для хранилищ с поддержкой обратимого удаления или HSM. Для этой операции требуется разрешение на ключи или восстановление.

az keyvault key recover [--hsm-name]
                        [--id]
                        [--name]
                        [--vault-name]

Необязательные параметры

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор восстановления ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key restore

Восстановление резервного копирования ключа в Хранилище или HSM.

Импортируйте ранее резервные копии ключа в Хранилище или HSM, восстанавливая ключ, его идентификатор ключа, атрибуты и политики управления доступом. Операция RESTORE может использоваться для импорта ранее резервного копирования ключа. Не удается восстановить отдельные версии ключа. Ключ восстанавливается в полном объеме с тем же именем ключа, что и при резервном копировании. Если имя ключа недоступно в целевом Key Vault, операция RESTORE будет отклонена. Хотя имя ключа сохраняется во время восстановления, окончательный идентификатор ключа изменится, если ключ восстановлен в другом хранилище или HSM. Восстановление восстановит все версии и сохранит идентификаторы версий. Операция RESTORE подвержена ограничениям безопасности. Целевое хранилище или HSM должно принадлежать той же подписке Microsoft Azure, что и исходное хранилище или HSM. Пользователь должен иметь разрешение RESTORE в целевом хранилище или HSM. Для этой операции требуется разрешение на ключи или восстановление.

az keyvault key restore [--backup-folder]
                        [--blob-container-name]
                        [--file]
                        [--hsm-name]
                        [--id]
                        [--name]
                        [--no-wait]
                        [--storage-account-name]
                        [--storage-container-SAS-token]
                        [--storage-resource-uri]
                        [--vault-name]

Необязательные параметры

--backup-folder

Имя контейнера BLOB-объектов, содержащего резервную копию.

--blob-container-name

Имя контейнера BLOB-объектов.

--file -f

Резервное копирование локального ключа, из которого необходимо восстановить ключ.

--hsm-name

Имя HSM. Может быть опущено, если задано значение --id.

--id

Полный универсальный код ресурса (URI) хранилища или HSM. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. (Только для восстановления из учетной записи хранения).

--no-wait

Не ожидать завершения длительной операции.

значение по умолчанию: False
--storage-account-name

Имя учетной записи служба хранилища Azure.

--storage-container-SAS-token -t

Маркер SAS, указывающий на контейнер хранилища BLOB-объектов Azure.

--storage-resource-uri -u

Uri контейнера хранилища BLOB-объектов Azure. Если задано, все остальные аргументы "служба хранилища идентификатор" должны быть опущены.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key rotate

Смените ключ на основе политики ключей, создав новую версию ключа.

az keyvault key rotate [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Необязательные параметры

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key set-attributes

Операция ключа обновления изменяет указанные атрибуты хранимого ключа и может применяться к любому типу ключа и версии ключа, хранящейся в Хранилище или HSM.

Чтобы выполнить эту операцию, ключ должен уже существовать в хранилище или HSM. Криптографический материал самого ключа нельзя изменить. Для этой операции требуется разрешение на ключи или обновление.

az keyvault key set-attributes [--enabled {false, true}]
                               [--expires]
                               [--hsm-name]
                               [--id]
                               [--immutable {false, true}]
                               [--name]
                               [--not-before]
                               [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                               [--policy]
                               [--tags]
                               [--vault-name]
                               [--version]

Необязательные параметры

--enabled

Включите ключ.

допустимые значения: false, true
--expires

Дата окончания срока действия UTC (Y-m-d'T'H:M:S'Z').

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--immutable

Пометьте политику выпуска как неизменяемую. Неизменяемая политика выпуска не может быть изменена или обновлена после того, как помечена неизменяемая. Политики выпуска изменяются по умолчанию.

допустимые значения: false, true
--name -n

Имя ключа. Требуется, если --id не указан.

--not-before

Ключ недоступен до предоставленной даты в формате UTC (Y-m-d'T:M:S'Z).

--ops

Разделенный пробелами список разрешенных операций веб-ключа JSON.

допустимые значения: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

Правила политики, в которых можно экспортировать ключ. Определение политики как JSON или путь к файлу с определением политики JSON.

--tags

Теги, разделенные пробелами: key[=value] [key[=value] ...]. Используйте "" для очистки существующих тегов.

--vault-name

Имя хранилища.

--version -v

Ключевая версия. Если опущено, используется последняя версия.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key show

Получите атрибуты ключа и, если это асимметричный ключ, его общедоступный материал.

Требуется разрешение на ключи или получение.

az keyvault key show [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

Необязательные параметры

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

--version -v

Ключевая версия. Если опущено, используется последняя версия.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key show-deleted

Получите общедоступную часть удаленного ключа.

Операция получения удаленного ключа применима для хранилищ с поддержкой обратимого удаления или HSM. Хотя операция может вызываться в любом хранилище или HSM, она вернет ошибку, если она вызывается в не обратимом удалении хранилища или HSM. Для этой операции требуются ключи и разрешения на получение.

az keyvault key show-deleted [--hsm-name]
                             [--id]
                             [--name]
                             [--vault-name]

Необязательные параметры

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key sign

Создайте подпись из дайджеста с помощью ключа, хранящегося в хранилище или HSM.

az keyvault key sign --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                     --digest
                     [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

Примеры

Создайте подпись из дайджеста с помощью ключа keyvault.

az keyvault key sign --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012"

Обязательные параметры

--algorithm -a

Идентификатор алгоритма.

допустимые значения: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

Значение для подписывания.

Необязательные параметры

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

--version -v

Ключевая версия. Если опущено, используется последняя версия.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az keyvault key verify

Проверьте подпись с помощью ключа, хранящегося в хранилище или HSM.

az keyvault key verify --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                       --digest
                       --signature
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]
                       [--version]

Примеры

Проверьте подпись с помощью ключа keyvault.

az keyvault key verify --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012" --signature XXXYYYZZZ

Обязательные параметры

--algorithm -a

Идентификатор алгоритма.

допустимые значения: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

Значение для подписывания.

--signature

Подпись для проверки.

Необязательные параметры

--hsm-name

Имя HSM. (--hsm-name и --vault-name являются взаимоисключающими, укажите только один из них).

--id

Идентификатор ключа. Если заданы все остальные аргументы "Id" должны быть опущены.

--name -n

Имя ключа. Требуется, если --id не указан.

--vault-name

Имя хранилища.

--version -v

Ключевая версия. Если опущено, используется последняя версия.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
значение по умолчанию: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.