你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

az keyvault

管理 KeyVault 密钥、机密和证书。

命令

名称	说明	类型	状态
az keyvault backup	管理完整的 HSM 备份。	核心	GA
az keyvault backup start	开始 HSM 的完整备份。	核心	GA
az keyvault certificate	管理证书。	核心	GA
az keyvault certificate backup	备份指定的证书。	核心	GA
az keyvault certificate contact	管理证书管理的联系人。	核心	GA
az keyvault certificate contact add	将联系人添加到指定的保管库，以接收证书操作通知。	核心	GA
az keyvault certificate contact delete	从指定的保管库中删除证书联系人。	核心	GA
az keyvault certificate contact list	列出指定密钥保管库的证书联系人。	核心	GA
az keyvault certificate create	创建密钥库证书。	核心	GA
az keyvault certificate delete	从指定的密钥保管库中删除证书。	核心	已放弃
az keyvault certificate download	下载密钥库证书的公共部分。	核心	GA
az keyvault certificate get-default-policy	获取自签名证书的默认策略。	核心	GA
az keyvault certificate import	将证书导入 KeyVault。	核心	GA
az keyvault certificate issuer	管理证书颁发者信息。	核心	GA
az keyvault certificate issuer admin	管理证书颁发者的管理员信息。	核心	GA
az keyvault certificate issuer admin add	为指定的证书颁发者添加管理员详细信息。	核心	GA
az keyvault certificate issuer admin delete	删除指定证书颁发者的管理员详细信息。	核心	GA
az keyvault certificate issuer admin list	列出指定证书颁发者的管理员。	核心	GA
az keyvault certificate issuer create	创建证书颁发者记录。	核心	GA
az keyvault certificate issuer delete	删除指定的证书颁发者。	核心	GA
az keyvault certificate issuer list	列出密钥保管库的证书颁发者的属性。	核心	GA
az keyvault certificate issuer show	获取指定的证书颁发者。	核心	GA
az keyvault certificate issuer update	更新证书颁发者记录。	核心	GA
az keyvault certificate list	列出指定密钥保管库中的证书。	核心	GA
az keyvault certificate list-deleted	列出当前可恢复的已删除证书。	核心	GA
az keyvault certificate list-versions	列出证书的版本。	核心	GA
az keyvault certificate pending	管理挂起的证书创建操作。	核心	GA
az keyvault certificate pending delete	删除特定证书的创建操作。	核心	GA
az keyvault certificate pending merge	将证书或证书链与服务器上现有的密钥对合并。	核心	GA
az keyvault certificate pending show	获取证书的创建操作。	核心	GA
az keyvault certificate purge	永久删除指定的已删除证书。	核心	GA
az keyvault certificate recover	将已删除的证书恢复到其最新版本。	核心	GA
az keyvault certificate restore	将备份的证书还原到保管库。	核心	GA
az keyvault certificate set-attributes	更新与给定证书关联的指定属性。	核心	GA
az keyvault certificate show	获取有关证书的信息。	核心	GA
az keyvault certificate show-deleted	获取已删除的证书。	核心	GA
az keyvault check-name	检查给定的名称是否有效且尚未使用。	核心	GA
az keyvault create	创建保管库或 HSM。	核心	GA
az keyvault delete	删除保管库或 HSM。	核心	GA
az keyvault delete-policy	删除密钥库的安全策略设置。	核心	GA
az keyvault key	管理密钥。	核心	GA
az keyvault key backup	请求将指定密钥的备份下载到客户端。	核心	GA
az keyvault key create	创建新密钥，存储它，然后将密钥参数和属性返回到客户端。	核心	GA
az keyvault key decrypt	解密单个加密数据块。	核心	预览
az keyvault key delete	从保管库或 HSM 中的存储中删除任何类型的密钥。	核心	GA
az keyvault key download	下载存储密钥的公共部分。	核心	GA
az keyvault key encrypt	使用存储在保管库或 HSM 中的加密密钥加密任意字节序列。	核心	预览
az keyvault key get-policy-template	将策略模板作为 JSON 编码的策略定义返回。	核心	预览
az keyvault key import	导入私钥。	核心	GA
az keyvault key list	列出指定保管库或 HSM 中的密钥。	核心	GA
az keyvault key list-deleted	列出指定的保管库或 HSM 中的已删除密钥。	核心	GA
az keyvault key list-versions	列出密钥版本的标识符和属性。	核心	GA
az keyvault key purge	永久删除指定的密钥。	核心	GA
az keyvault key random	从托管 HSM 获取请求的随机字节数。	核心	GA
az keyvault key recover	将已删除的密钥恢复到其最新版本。	核心	GA
az keyvault key restore	将备份的密钥还原到保管库或 HSM。	核心	GA
az keyvault key rotate	通过生成密钥的新版本来根据密钥策略轮换密钥。	核心	GA
az keyvault key rotation-policy	管理密钥的轮换策略。	核心	GA
az keyvault key rotation-policy show	获取密钥库密钥的轮换策略。	核心	GA
az keyvault key rotation-policy update	更新密钥库密钥的轮换策略。	核心	GA
az keyvault key set-attributes	更新密钥操作会更改存储密钥的指定属性，并可以应用于保管库或 HSM 中存储的任何密钥类型和密钥版本。	核心	GA
az keyvault key show	获取密钥的属性，如果是非对称密钥，则获取其公共材料。	核心	GA
az keyvault key show-deleted	获取已删除密钥的公共部分。	核心	GA
az keyvault key sign	使用存储在保管库或 HSM 中的密钥从摘要创建签名。	核心	GA
az keyvault key verify	使用保管库或 HSM 中存储的密钥验证签名。	核心	GA
az keyvault list	列出保管库和/或 HSM。	核心	GA
az keyvault list-deleted	获取有关订阅中已删除的保管库或 HSM 的信息。	核心	GA
az keyvault network-rule	管理保管库网络 ACL。	核心	GA
az keyvault network-rule add	将网络规则添加到密钥库的网络 ACL。	核心	GA
az keyvault network-rule list	列出密钥库的网络 ACL 中的网络规则。	核心	GA
az keyvault network-rule remove	从密钥库的网络 ACL 中删除网络规则。	核心	GA
az keyvault network-rule wait	将 CLI 置于等待状态，直到满足保管库的条件。	核心	GA
az keyvault private-endpoint-connection	管理保管库/HSM 专用终结点连接。	核心	GA
az keyvault private-endpoint-connection approve	批准密钥库/HSM 的专用终结点连接请求。	核心	GA
az keyvault private-endpoint-connection delete	删除与 密钥库/HSM 关联的指定专用终结点连接。	核心	GA
az keyvault private-endpoint-connection list	列出与 HSM 关联的所有专用终结点连接。	核心	GA
az keyvault private-endpoint-connection reject	拒绝 密钥库/HSM 的专用终结点连接请求。	核心	GA
az keyvault private-endpoint-connection show	显示与 密钥库/HSM 关联的专用终结点连接的详细信息。	核心	GA
az keyvault private-endpoint-connection wait	将 CLI 置于等待状态，直到满足专用终结点连接的条件。	核心	GA
az keyvault private-link-resource	管理保管库/HSM 专用链接资源。	核心	GA
az keyvault private-link-resource list	列出 密钥库/HSM 支持的专用链接资源。	核心	GA
az keyvault purge	永久删除指定的保管库或 HSM。 Aka 清除已删除的保管库或 HSM。	核心	GA
az keyvault recover	恢复保管库或 HSM。	核心	GA
az keyvault region	管理 MHSM 多区域。	核心	GA
az keyvault region add	添加托管 HSM 池的区域。	核心	GA
az keyvault region list	获取与托管 HSM 池关联的区域信息。	核心	GA
az keyvault region remove	删除托管 HSM 池的区域。	核心	GA
az keyvault region wait	将 CLI 置于等待状态，直到满足 HSM 的条件。	核心	GA
az keyvault restore	管理完整的 HSM 还原。	核心	GA
az keyvault restore start	还原 HSM 的完整备份。	核心	GA
az keyvault role	管理用于访问控制的用户角色。	核心	GA
az keyvault role assignment	管理角色分配。	核心	GA
az keyvault role assignment create	为用户、组或服务主体创建新的角色分配。	核心	GA
az keyvault role assignment delete	删除角色分配。	核心	GA
az keyvault role assignment list	列出角色分配。	核心	GA
az keyvault role definition	管理角色定义。	核心	GA
az keyvault role definition create	创建自定义角色定义。	核心	GA
az keyvault role definition delete	删除角色定义。	核心	GA
az keyvault role definition list	列出角色定义。	核心	GA
az keyvault role definition show	显示角色定义的详细信息。	核心	GA
az keyvault role definition update	更新角色定义。	核心	GA
az keyvault secret	管理机密。	核心	GA
az keyvault secret backup	备份指定的机密。	核心	GA
az keyvault secret delete	删除机密的所有版本。	核心	已放弃
az keyvault secret download	从 KeyVault 下载机密。	核心	GA
az keyvault secret list	列出指定密钥保管库中的机密。	核心	GA
az keyvault secret list-deleted	列出指定保管库的已删除机密。	核心	GA
az keyvault secret list-versions	列出指定机密的所有版本。	核心	GA
az keyvault secret purge	永久删除指定的机密。	核心	GA
az keyvault secret recover	将已删除的机密恢复到最新版本。	核心	GA
az keyvault secret restore	将备份的机密还原到保管库。	核心	GA
az keyvault secret set	创建机密（如果不存在）或更新 KeyVault 中的机密。	核心	GA
az keyvault secret set-attributes	汇报与给定密钥保管库中的指定机密关联的属性。	核心	GA
az keyvault secret show	从给定密钥保管库获取指定的机密。	核心	GA
az keyvault secret show-deleted	获取指定的已删除机密。	核心	GA
az keyvault security-domain	管理安全域操作。	核心	GA
az keyvault security-domain download	从 HSM 下载安全域文件。	核心	GA
az keyvault security-domain init-recovery	检索 HSM 的交换密钥。	核心	GA
az keyvault security-domain restore-blob	启用以 Blob 身份解密和加密安全域文件。 可以在脱机环境中运行，然后再使用安全域上传将文件上传到 HSM。	核心	GA
az keyvault security-domain upload	开始还原 HSM。	核心	GA
az keyvault security-domain wait	将 CLI 置于等待状态，直到 HSM 安全域操作完成。	核心	GA
az keyvault set-policy	更新密钥库的安全策略设置。	核心	GA
az keyvault setting	管理 MHSM 设置。	核心	GA
az keyvault setting list	获取与托管 HSM 关联的所有设置。	核心	GA
az keyvault setting show	获取与托管 HSM 关联的特定设置。	核心	GA
az keyvault setting update	更新与托管 HSM 关联的特定设置。	核心	GA
az keyvault show	显示保管库或 HSM 的详细信息。	核心	GA
az keyvault show-deleted	显示已删除的保管库或 HSM 的详细信息。	核心	GA
az keyvault update	更新保管库的属性。	核心	GA
az keyvault update-hsm	更新 HSM 的属性。	核心	GA
az keyvault wait	将 CLI 置于等待状态，直到满足保管库的条件。	核心	GA
az keyvault wait-hsm	将 CLI 置于等待状态，直到满足 HSM 的条件。	核心	GA

az keyvault check-name

检查给定的名称是否有效且尚未使用。

az keyvault check-name --name
                       [--resource-type {hsm}]

必需参数

--name -n

指定资源组中的 HSM 的名称。

可选参数

--resource-type

资源的类型。

接受的值: hsm

默认值: hsm

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault create

创建保管库或 HSM。

如果未 --enable-rbac-authorization 指定，则为当前用户或服务主体创建默认权限，除非指定了 --no-self-perms 标志。

az keyvault create --resource-group
                   [--administrators]
                   [--bypass {AzureServices, None}]
                   [--default-action {Allow, Deny}]
                   [--enable-purge-protection {false, true}]
                   [--enable-rbac-authorization {false, true}]
                   [--enabled-for-deployment {false, true}]
                   [--enabled-for-disk-encryption {false, true}]
                   [--enabled-for-template-deployment {false, true}]
                   [--hsm-name]
                   [--location]
                   [--mi-user-assigned]
                   [--name]
                   [--network-acls]
                   [--network-acls-ips]
                   [--network-acls-vnets]
                   [--no-self-perms {false, true}]
                   [--no-wait]
                   [--public-network-access {Disabled, Enabled}]
                   [--retention-days]
                   [--sku]
                   [--tags]

示例

使用指定的网络 ACL 创建密钥保管库（使用 --network-acls 通过 JSON 字符串指定 IP 和 VNet 规则）。

az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup --network-acls "{\"ip\": [\"1.2.3.4\", \"2.3.4.0/24\"], \"vnet\": [\"vnet_name_1/subnet_name1\", \"vnet_name_2/subnet_name2\", \"/subscriptions/000000-0000-0000/resourceGroups/MyResourceGroup/providers/Microsoft.Network/virtualNetworks/MyVNet/subnets/MySubnet\"]}"

使用指定的网络 ACL 创建密钥保管库（使用 --network-acls 通过 JSON 文件指定 IP 和 VNet 规则）。

az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup --network-acls network-acls-example.json

使用指定的网络 ACL 创建密钥保管库（使用 --network-acls-ips 指定 IP 规则）。

az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup --network-acls-ips 3.4.5.0/24 4.5.6.0/24

使用指定的网络 ACL 创建密钥保管库（使用 --network-acls-vnet 指定 VNet 规则）。

az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup --network-acls-vnets vnet_name_2/subnet_name_2 vnet_name_3/subnet_name_3 /subscriptions/000000-0000-0000/resourceGroups/MyResourceGroup/providers/Microsoft.Network/virtualNetworks/vnet_name_4/subnets/subnet_name_4

使用指定的网络 ACL 创建密钥保管库（使用 --network-acls、-network-acls-ips 和 --network-acls-vnet），将删除冗余规则，最后将有 4 个 IP 规则和 3 个 VNet 规则。

az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup --network-acls "{\"ip\": [\"1.2.3.4\", \"2.3.4.0/24\"], \"vnet\": [\"vnet_name_1/subnet_name1\", \"vnet_name_2/subnet_name2\"]}" --network-acls-ips 3.4.5.0/24 4.5.6.0/24 --network-acls-vnets vnet_name_2/subnet_name_2 vnet_name_3/subnet_name_3 /subscriptions/000000-0000-0000/resourceGroups/MyResourceGroup/providers/Microsoft.Network/virtualNetworks/vnet_name_4/subnets/subnet_name_4

创建密钥保管库。 （自动生成）

az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup

必需参数

--resource-group -g

资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。

可选参数

--administrators

[仅 HSM]对于托管 HSM 的数据平面操作，管理员istrator 角色。 它接受将分配的 OID 的空间分隔列表。

--bypass

绕过空间分隔用途的流量。

接受的值: AzureServices, None

--default-action

如果未匹配规则，则应用的默认操作。

接受的值: Allow, Deny

--enable-purge-protection

指定是否为此保管库/托管 HSM 池启用了针对清除的保护的属性。 将此属性设置为 true 可激活针对此保管库/托管 HSM 池及其内容的清除保护 - 只有 密钥库/托管 HSM 服务才能启动难以恢复的删除。 仅当启用软删除时，此设置才有效。 启用此功能不可逆。

接受的值: false, true

--enable-rbac-authorization

用于控制如何授权数据操作的属性。 如果为 true，密钥保管库将使用基于角色的访问控制 （RBAC）来授权数据操作，并且将忽略保管库属性中指定的访问策略。 如果为 false，密钥保管库将使用保管库属性中指定的访问策略，并且将忽略 Azure 资源管理器上存储的任何策略。 如果为 null 或未指定，则会使用默认值 false 创建保管库。 请注意，管理操作始终使用 RBAC 进行授权。

接受的值: false, true

--enabled-for-deployment

[仅保管库]用于指定是否允许 Azure 虚拟机从密钥保管库检索存储为机密的证书的属性。

接受的值: false, true

--enabled-for-disk-encryption

[仅保管库]用于指定是否允许Azure 磁盘加密从保管库检索机密和解包密钥的属性。

接受的值: false, true

--enabled-for-template-deployment

[仅保管库]用于指定是否允许 Azure 资源管理器从密钥保管库检索机密的属性。

接受的值: false, true

--hsm-name

HSM 的名称。 （--hsm-name 和 --name/-n 互斥，请只指定其中一个）。

--location -l

Location。 az account list-locations 中的值。 可以使用 az configure --defaults location=<location> 配置默认位置。

--mi-user-assigned

[仅 HSM]为托管 HSM 启用用户分配的托管标识。 接受标识资源 ID 的空间分隔列表。

--name -n

保管库的名称。

--network-acls

网络 ACL。 它接受 JSON 文件名或 JSON 字符串。 JSON 格式： {\"ip\":[<ip1>, <ip2>...],\"vnet\":[<vnet_name_1>/<subnet_name_1>,<subnet_id2>...]}.

--network-acls-ips

网络 ACL IP 规则。 以空格分隔的 IP 地址列表。

--network-acls-vnets

网络 ACLS VNet 规则。 Vnet/子网对或子网资源 ID 的空间分隔列表。

--no-self-perms

[仅保管库]不要在新保管库中添加当前用户/服务主体的权限。

接受的值: false, true

--no-wait

不等待长时间运行的操作完成。

默认值: False

--public-network-access

启用专用终结点时，控制来自公用网络的数据平面流量的权限。

接受的值: Disabled, Enabled

--retention-days

软删除数据保留天数。 它接受 >=7 和 <=90。 对于 keyvault 创建，默认值为 90。 创建 MHSM 时是必需的。

--sku

必需。 SKU 详细信息。 保管库允许的值：高级、标准。 默认值：标准。 HSM 允许的值：Standard_B1，Custom_B32。 默认值：Standard_B1。

--tags

空格分隔标记：key[=value] [key[=value] ...]。使用“”清除现有标记。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault delete

删除保管库或 HSM。

az keyvault delete [--hsm-name]
                   [--name]
                   [--no-wait]
                   [--resource-group]

示例

删除密钥保管库。 （自动生成）

az keyvault delete --name MyKeyVault --resource-group MyResourceGroup

可选参数

--hsm-name

HSM 的名称。 （--hsm-name 和 --name/-n 互斥，请只指定其中一个）。

--name -n

保管库的名称。

--no-wait

不等待长时间运行的操作完成。

默认值: False

--resource-group -g

仅当密钥库属于指定的资源组时继续。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault delete-policy

删除密钥库的安全策略设置。

az keyvault delete-policy --name
                          [--application-id]
                          [--no-wait]
                          [--object-id]
                          [--resource-group]
                          [--spn]
                          [--upn]

必需参数

--name -n

保管库的名称。

可选参数

--application-id

代表主体发出请求的客户端的应用程序 ID。 使用代理身份验证流公开用于复合标识。

--no-wait

不等待长时间运行的操作完成。

默认值: False

--object-id

标识将接收权限的主体的 GUID。

--resource-group -g

仅当密钥库属于指定的资源组时继续。

--spn

将接收权限的服务主体的名称。

--upn

将接收权限的用户主体的名称。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault list

列出保管库和/或 HSM。

az keyvault list [--resource-group]
                 [--resource-type]

可选参数

--resource-group -g

资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。

--resource-type

当 --resource-type 不存在时，命令将列出所有保管库和 HSM。 --resource-type 的可能值为保管库和 hsm。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault list-deleted

获取有关订阅中已删除的保管库或 HSM 的信息。

az keyvault list-deleted [--resource-type]

可选参数

--resource-type

当 --resource-type 不存在时，命令将列出所有已删除的保管库和 HSM。 --resource-type 的可能值为保管库和 hsm。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault purge

永久删除指定的保管库或 HSM。 Aka 清除已删除的保管库或 HSM。

az keyvault purge [--hsm-name]
                  [--location]
                  [--name]
                  [--no-wait]

可选参数

--hsm-name

已删除的 HSM 的名称。 （--hsm-name 和 --name/-n 互斥，请只指定其中一个）。

--location -l

已删除的保管库或 HSM 的位置。

--name -n

已删除的保管库的名称。

--no-wait

不等待长时间运行的操作完成。

默认值: False

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault recover

恢复保管库或 HSM。

恢复以前删除的保管库或已启用软删除的 HSM。

az keyvault recover [--hsm-name]
                    [--location]
                    [--name]
                    [--no-wait]
                    [--resource-group]

示例

恢复密钥保管库。 （自动生成）

az keyvault recover --location westus2 --name MyKeyVault --resource-group MyResourceGroup

可选参数

--hsm-name

已删除的 HSM 的名称。 （--hsm-name 和 --name/-n 互斥，请只指定其中一个）。

--location -l

已删除的保管库或 HSM 的位置。

--name -n

已删除的保管库的名称。

--no-wait

不等待长时间运行的操作完成。

默认值: False

--resource-group -g

已删除的保管库或 HSM 的资源组。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault set-policy

更新密钥库的安全策略设置。

az keyvault set-policy --name
                       [--application-id]
                       [--certificate-permissions {all, backup, create, delete, deleteissuers, get, getissuers, import, list, listissuers, managecontacts, manageissuers, purge, recover, restore, setissuers, update}]
                       [--key-permissions {all, backup, create, decrypt, delete, encrypt, get, getrotationpolicy, import, list, purge, recover, release, restore, rotate, setrotationpolicy, sign, unwrapKey, update, verify, wrapKey}]
                       [--no-wait]
                       [--object-id]
                       [--resource-group]
                       [--secret-permissions {all, backup, delete, get, list, purge, recover, restore, set}]
                       [--spn]
                       [--storage-permissions {all, backup, delete, deletesas, get, getsas, list, listsas, purge, recover, regeneratekey, restore, set, setsas, update}]
                       [--upn]

示例

将密钥权限“get”、“list”、“import”和机密权限“backup”、“restore”分配给对象 ID。

az keyvault set-policy -n MyVault --key-permissions get list import --secret-permissions backup restore --object-id {GUID}

将密钥权限“get”、“list”分配给 UPN（用户主体名称）。

az keyvault set-policy -n MyVault --key-permissions get list --upn {UPN}

将密钥权限“get”、“list”分配给 SPN（服务主体名称）。

az keyvault set-policy -n MyVault --key-permissions get list --spn {SPN}

必需参数

--name -n

保管库的名称。

可选参数

--application-id

代表主体发出请求的客户端的应用程序 ID。 使用代理身份验证流公开用于复合标识。

--certificate-permissions

要分配的证书权限的空间分隔列表。

接受的值: all, backup, create, delete, deleteissuers, get, getissuers, import, list, listissuers, managecontacts, manageissuers, purge, recover, restore, setissuers, update

--key-permissions

要分配的密钥权限的空间分隔列表。

接受的值: all, backup, create, decrypt, delete, encrypt, get, getrotationpolicy, import, list, purge, recover, release, restore, rotate, setrotationpolicy, sign, unwrapKey, update, verify, wrapKey

--no-wait

不等待长时间运行的操作完成。

默认值: False

--object-id

标识将接收权限的主体的 GUID。

--resource-group -g

仅当密钥库属于指定的资源组时继续。

--secret-permissions

要分配的机密权限的空格分隔列表。

接受的值: all, backup, delete, get, list, purge, recover, restore, set

--spn

将接收权限的服务主体的名称。

--storage-permissions

要分配的存储权限的空间分隔列表。

接受的值: all, backup, delete, deletesas, get, getsas, list, listsas, purge, recover, regeneratekey, restore, set, setsas, update

--upn

将接收权限的用户主体的名称。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault show

显示保管库或 HSM 的详细信息。

az keyvault show [--hsm-name]
                 [--name]
                 [--resource-group]

示例

显示密钥保管库的详细信息。 （自动生成）

az keyvault show --name MyKeyVault

可选参数

--hsm-name

HSM 的名称。 （--hsm-name 和 --name/-n 互斥，请只指定其中一个）。

--name -n

保管库的名称。

--resource-group -g

仅当密钥库属于指定的资源组时继续。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault show-deleted

显示已删除的保管库或 HSM 的详细信息。

az keyvault show-deleted [--hsm-name]
                         [--location]
                         [--name]

示例

显示已删除的密钥保管库的详细信息。

az keyvault show-deleted --name MyKeyVault

可选参数

--hsm-name

已删除的 HSM 的名称。 （--hsm-name 和 --name/-n 互斥，请只指定其中一个）。

--location -l

已删除的保管库或 HSM 的位置。

--name -n

已删除的保管库的名称。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault update

更新保管库的属性。

az keyvault update --name
                   [--add]
                   [--bypass {AzureServices, None}]
                   [--default-action {Allow, Deny}]
                   [--enable-purge-protection {false, true}]
                   [--enable-rbac-authorization {false, true}]
                   [--enabled-for-deployment {false, true}]
                   [--enabled-for-disk-encryption {false, true}]
                   [--enabled-for-template-deployment {false, true}]
                   [--force-string]
                   [--no-wait]
                   [--public-network-access {Disabled, Enabled}]
                   [--remove]
                   [--resource-group]
                   [--retention-days]
                   [--set]

示例

更新保管库的属性。 （自动生成）

az keyvault update --enabled-for-disk-encryption true --name MyKeyVault --resource-group MyResourceGroup

必需参数

--name -n

保管库的名称。

可选参数

--add

通过指定路径和键值对将对象添加到对象列表。 示例：--add property.listProperty <key=value, string or JSON string>。

默认值: []

--bypass

绕过空间分隔用途的流量。

接受的值: AzureServices, None

--default-action

如果未匹配规则，则应用的默认操作。

接受的值: Allow, Deny

--enable-purge-protection

指定是否为此保管库/托管 HSM 池启用了针对清除的保护的属性。 将此属性设置为 true 可激活针对此保管库/托管 HSM 池及其内容的清除保护 - 只有 密钥库/托管 HSM 服务才能启动难以恢复的删除。 仅当启用软删除时，此设置才有效。 启用此功能不可逆。

接受的值: false, true

--enable-rbac-authorization

用于控制如何授权数据操作的属性。 如果为 true，密钥保管库将使用基于角色的访问控制 （RBAC）来授权数据操作，并且将忽略保管库属性中指定的访问策略。 如果为 false，密钥保管库将使用保管库属性中指定的访问策略，并且将忽略 Azure 资源管理器上存储的任何策略。 如果为 null 或未指定，则会使用默认值 false 创建保管库。 请注意，管理操作始终使用 RBAC 进行授权。

接受的值: false, true

--enabled-for-deployment

[仅保管库]用于指定是否允许 Azure 虚拟机从密钥保管库检索存储为机密的证书的属性。

接受的值: false, true

--enabled-for-disk-encryption

[仅保管库]用于指定是否允许Azure 磁盘加密从保管库检索机密和解包密钥的属性。

接受的值: false, true

--enabled-for-template-deployment

[仅保管库]用于指定是否允许 Azure 资源管理器从密钥保管库检索机密的属性。

接受的值: false, true

--force-string

使用“set”或“add”时，保留字符串文本，而不是尝试转换为 JSON。

默认值: False

--no-wait

不等待长时间运行的操作完成。

默认值: False

--public-network-access

启用专用终结点时，控制来自公用网络的数据平面流量的权限。

接受的值: Disabled, Enabled

--remove

从列表中删除属性或元素。 示例： --remove property.list <indexToRemove> OR --remove propertyToRemove.

默认值: []

--resource-group -g

仅当密钥库属于指定的资源组时继续。

--retention-days

软删除数据保留天数。 它接受 >=7 和 <=90。

--set

通过指定要设置的属性路径和值来更新对象。 示例：--set property1.property2=<value>。

默认值: []

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault update-hsm

更新 HSM 的属性。

az keyvault update-hsm --hsm-name
                       [--add]
                       [--bypass {AzureServices, None}]
                       [--default-action {Allow, Deny}]
                       [--enable-purge-protection {false, true}]
                       [--force-string]
                       [--mi-user-assigned]
                       [--no-wait]
                       [--public-network-access {Disabled, Enabled}]
                       [--remove]
                       [--resource-group]
                       [--secondary-locations]
                       [--set]

示例

更新 HSM 的属性。

az keyvault update-hsm --enable-purge-protection true --hsm-name MyHSM --resource-group MyResourceGroup

必需参数

--hsm-name

HSM 的名称。

可选参数

--add

通过指定路径和键值对将对象添加到对象列表。 示例：--add property.listProperty <key=value, string or JSON string>。

默认值: []

--bypass

绕过空间分隔用途的流量。

接受的值: AzureServices, None

--default-action

如果未匹配规则，则应用的默认操作。

接受的值: Allow, Deny

--enable-purge-protection -e

指定是否为此保管库/托管 HSM 池启用了针对清除的保护的属性。 将此属性设置为 true 可激活针对此保管库/托管 HSM 池及其内容的清除保护 - 只有 密钥库/托管 HSM 服务才能启动难以恢复的删除。 仅当启用软删除时，此设置才有效。 启用此功能不可逆。

接受的值: false, true

--force-string

使用“set”或“add”时，保留字符串文本，而不是尝试转换为 JSON。

默认值: False

--mi-user-assigned

为托管 HSM 启用用户分配的托管标识。 接受标识资源 ID 的空间分隔列表。

--no-wait

不等待长时间运行的操作完成。

默认值: False

--public-network-access

启用专用终结点时，控制来自公用网络的数据平面流量的权限。

接受的值: Disabled, Enabled

--remove

从列表中删除属性或元素。 示例： --remove property.list <indexToRemove> OR --remove propertyToRemove.

默认值: []

--resource-group -g

仅当密钥库属于指定的资源组时继续。

--secondary-locations

--secondary-locations 将 HSM 池扩展到列出的区域/协定。 无法删除最初创建资源的主要位置。

--set

通过指定要设置的属性路径和值来更新对象。 示例：--set property1.property2=<value>。

默认值: []

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault wait

将 CLI 置于等待状态，直到满足保管库的条件。

az keyvault wait --name
                 [--created]
                 [--custom]
                 [--deleted]
                 [--exists]
                 [--interval]
                 [--resource-group]
                 [--timeout]
                 [--updated]

示例

暂停 CLI，直到创建保管库。

az keyvault wait --name MyVault --created

必需参数

--name -n

保管库的名称。

可选参数

--created

等待在“Succeeded”中使用“provisioningState”创建。

默认值: False

--custom

等待条件满足自定义 JMESPath 查询。 例如 provisioningState！='InProgress'， instanceView.statuses[？code=='PowerState/running']。

--deleted

等到删除为止。

默认值: False

--exists

等待资源存在。

默认值: False

--interval

轮询间隔（以秒为单位）。

默认值: 30

--resource-group -g

仅当密钥库属于指定的资源组时继续。

--timeout

最大等待（以秒为单位）。

默认值: 3600

--updated

等到 provisioningState 更新为“Succeeded”。

默认值: False

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault wait-hsm

将 CLI 置于等待状态，直到满足 HSM 的条件。

az keyvault wait-hsm --hsm-name
                     [--created]
                     [--custom]
                     [--deleted]
                     [--exists]
                     [--interval]
                     [--resource-group]
                     [--timeout]
                     [--updated]

示例

在创建 HSM 之前暂停 CLI。

az keyvault wait-hsm --hsm-name MyHSM --created

必需参数

--hsm-name

HSM 的名称。

可选参数

--created

等待在“Succeeded”中使用“provisioningState”创建。

默认值: False

--custom

等待条件满足自定义 JMESPath 查询。 例如 provisioningState！='InProgress'， instanceView.statuses[？code=='PowerState/running']。

--deleted

等到删除为止。

默认值: False

--exists

等待资源存在。

默认值: False

--interval

轮询间隔（以秒为单位）。

默认值: 30

--resource-group -g

仅当 HSM 属于指定的资源组时继续。

--timeout

最大等待（以秒为单位）。

默认值: 3600

--updated

等到 provisioningState 更新为“Succeeded”。

默认值: False

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。