你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

az keyvault security-domain

  • 参考

管理安全域操作。

命令

名称 说明 类型 状态
az keyvault security-domain download

从 HSM 下载安全域文件。

 核心 GA
az keyvault security-domain init-recovery

检索 HSM 的交换密钥。

 核心 GA
az keyvault security-domain restore-blob

启用以 Blob 身份解密和加密安全域文件。 可以在脱机环境中运行,然后再使用安全域上传将文件上传到 HSM。

 核心 GA
az keyvault security-domain upload

开始还原 HSM。

 核心 GA
az keyvault security-domain wait

将 CLI 置于等待状态,直到 HSM 安全域操作完成。

 核心 GA

az keyvault security-domain download

编辑

从 HSM 下载安全域文件。

az keyvault security-domain download --sd-quorum
                                     --sd-wrapping-keys
                                     --security-domain-file
                                     [--hsm-name]
                                     [--id]
                                     [--no-wait]

示例

安全域下载 (N=3, M=2)。

az keyvault security-domain download --hsm-name MyHSM --security-domain-file "{SD_FILE_NAME}" --sd-quorum 2 --sd-wrapping-keys "{PEM_PUBLIC_KEY1_FILE_NAME}" "{PEM_PUBLIC_KEY2_FILE_NAME}" "{PEM_PUBLIC_KEY3_FILE_NAME}"

必需参数

--sd-quorum

解密安全域进行恢复所需的最小共享数。

--sd-wrapping-keys

包含公钥的 PEM 文件的空间分隔文件路径。

--security-domain-file

存储此命令返回的 JSON Blob 的文件的路径。

可选参数

--hsm-name

HSM 的名称。 如果指定了 --id,则可以省略。

--id

HSM 的完整 URI。

--no-wait

不等待长时间运行的操作完成。

默认值: False
全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault security-domain init-recovery

编辑

检索 HSM 的交换密钥。

az keyvault security-domain init-recovery --sd-exchange-key
                                          [--hsm-name]
                                          [--id]

示例

检索交换密钥并将其存储。

az keyvault security-domain init-recovery --hsm-name MyHSM --sd-exchange-key "{PATH_TO_RESTORE}"

必需参数

--sd-exchange-key

用于存储导出密钥的本地文件路径。

可选参数

--hsm-name

HSM 的名称。 如果指定了 --id,则可以省略。

--id

HSM 的完整 URI。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault security-domain restore-blob

编辑

启用以 Blob 身份解密和加密安全域文件。 可以在脱机环境中运行,然后再使用安全域上传将文件上传到 HSM。

az keyvault security-domain restore-blob --sd-exchange-key
                                         --sd-file
                                         --sd-file-restore-blob
                                         --sd-wrapping-keys
                                         [--passwords]

示例

安全域还原 blob。

az keyvault security-domain restore-blob --sd-file "{SD_TRANSFER_FILE}" --sd-exchange-key "{PEM_FILE_NAME}" --sd-wrapping-keys "{PEM_PRIVATE_KEY1_FILE_NAME}" "{PEM_PRIVATE_KEY2_FILE_NAME}" --sd-file-restore-blob "{SD_TRANSFER_FILE_RESTORE_BLOB}"

必需参数

--sd-exchange-key

安全域的交换密钥。

--sd-file

此文件包含使用安全域 init-recovery 命令中下载的 SD Exchange 文件加密的安全域。

--sd-file-restore-blob

用于存储使用交换密钥加密的安全域的本地文件路径。

--sd-wrapping-keys

包含私钥的 PEM 文件的空间分隔文件路径。

可选参数

--passwords

--sd-wrapping-keys 的空间分隔密码列表。 CLI 将按顺序匹配它们。 如果密钥没有密码保护,则可以省略。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault security-domain upload

编辑

开始还原 HSM。

az keyvault security-domain upload --sd-file
                                   [--hsm-name]
                                   [--id]
                                   [--no-wait]
                                   [--passwords]
                                   [--restore-blob]
                                   [--sd-exchange-key]
                                   [--sd-wrapping-keys]

示例

安全域上传 (M=2)。

az keyvault security-domain upload --hsm-name MyHSM --sd-file "{SD_TRANSFER_FILE}" --sd-exchange-key "{PEM_FILE_NAME}" --sd-wrapping-keys "{PEM_PRIVATE_KEY1_FILE_NAME}" "{PEM_PRIVATE_KEY2_FILE_NAME}"

安全域上传,其中已使用 keyvault security-domain restore-blob 命令还原sd_file

az keyvault security-domain upload --hsm-name MyHSM --sd-file "{SD_TRANSFER_FILE}" --restore-blob

必需参数

--sd-file

此文件包含使用安全域 init-recovery 命令中下载的 SD Exchange 文件加密的安全域。

可选参数

--hsm-name

HSM 的名称。 如果指定了 --id,则可以省略。

--id

HSM 的完整 URI。

--no-wait

不等待长时间运行的操作完成。

默认值: False
--passwords

--sd-wrapping-keys 的空间分隔密码列表。 CLI 将按顺序匹配它们。 如果密钥没有密码保护,则可以省略。

--restore-blob

指示是否已还原 Blob。

默认值: False
--sd-exchange-key

安全域的交换密钥。

--sd-wrapping-keys

包含私钥的 PEM 文件的空间分隔文件路径。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault security-domain wait

编辑

将 CLI 置于等待状态,直到 HSM 安全域操作完成。

az keyvault security-domain wait [--hsm-name]
                                 [--id]
                                 [--target-operation {download, restore_blob, upload}]

示例

暂停 CLI,直到安全域操作完成。

az keyvault security-domain wait --hsm-name MyHSM

可选参数

--hsm-name

HSM 的名称。 如果指定了 --id,则可以省略。

--id

HSM 的完整 URI。

--target-operation

需要等待的目标操作。

接受的值: download, restore_blob, upload
默认值: upload
全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。