共用方式為


az keyvault key

管理金鑰。

命令

名稱 Description 類型 狀態
az keyvault key backup

要求將指定金鑰的備份下載到用戶端。

核心 GA
az keyvault key create

建立新的金鑰、儲存金鑰,然後將金鑰參數和屬性傳回給用戶端。

核心 GA
az keyvault key decrypt

解密加密資料的單一區塊。

核心 預覽版
az keyvault key delete

從保存庫或 HSM 中的儲存體中刪除任何類型的金鑰。

核心 GA
az keyvault key download

下載預存金鑰的公用部分。

核心 GA
az keyvault key encrypt

使用儲存在保存庫或 HSM 中的加密金鑰,加密任意序列的位元組。

核心 預覽版
az keyvault key get-policy-template

將原則範本傳回為 JSON 編碼的原則定義。

核心 預覽版
az keyvault key import

匯入私密金鑰。

核心 GA
az keyvault key list

列出指定保存庫或 HSM 中的金鑰。

核心 GA
az keyvault key list-deleted

列出指定保存庫中已刪除的金鑰或 HSM。

核心 GA
az keyvault key list-versions

列出金鑰版本的識別碼和屬性。

核心 GA
az keyvault key purge

永久刪除指定的索引鍵。

核心 GA
az keyvault key random

從受控 HSM 取得要求的隨機位元組數目。

核心 GA
az keyvault key recover

將已刪除的金鑰復原至其最新版本。

核心 GA
az keyvault key restore

將備份的金鑰還原至保存庫或 HSM。

核心 GA
az keyvault key rotate

藉由產生新版本的金鑰,根據金鑰原則輪替金鑰。

核心 GA
az keyvault key rotation-policy

管理金鑰的輪替原則。

核心 GA
az keyvault key rotation-policy show

取得金鑰保存庫金鑰的輪替原則。

核心 GA
az keyvault key rotation-policy update

更新金鑰保存庫金鑰的輪替原則。

核心 GA
az keyvault key set-attributes

更新金鑰作業會變更預存金鑰的指定屬性,而且可以套用至儲存在保存庫或 HSM 中的任何金鑰類型和金鑰版本。

核心 GA
az keyvault key show

取得金鑰的屬性,如果是非對稱金鑰,其公開內容。

核心 GA
az keyvault key show-deleted

取得已刪除金鑰的公用部分。

核心 GA
az keyvault key sign

使用儲存在保存庫或 HSM 中的金鑰,從摘要建立簽章。

核心 GA
az keyvault key verify

使用儲存在保存庫或 HSM 中的金鑰來確認簽章。

核心 GA

az keyvault key backup

要求將指定金鑰的備份下載到用戶端。

金鑰備份作業會以受保護的形式,從保存庫或 HSM 匯出金鑰。 請注意,這項作業不會以可在保存庫或 HSM 系統外部使用的表單傳回金鑰資料,傳回的金鑰資料會受到 HSM 或保存庫本身的保護。 此作業的目的是要允許用戶端在一個保存庫或 HSM 實例中產生金鑰、備份金鑰,然後將它還原到另一個保存庫或 HSM 實例。 BACKUP 作業可用來以受保護形式匯出保存庫或 HSM 的任何金鑰類型。 無法備份個別版本的金鑰。 BACKUP/ RESTORE 只能在地理界限內執行;這表示無法將某個地理區域的 BACKUP 還原至另一個地理區域。 例如,來自美國地理區域的備份無法在歐盟地理區域中還原。 此作業需要金鑰/備份許可權。

az keyvault key backup --file
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

必要參數

--file -f

用來儲存金鑰備份的本機檔案路徑。

選擇性參數

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的識別碼。 如果指定了所有其他 'Id' 引數,則應該省略。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key create

建立新的金鑰、儲存金鑰,然後將金鑰參數和屬性傳回給用戶端。

建立金鑰作業可用來在保存庫或 HSM 中建立任何金鑰類型。 如果具名金鑰已經存在,Vault 或 HSM 會建立新版本的金鑰。 它需要金鑰/建立許可權。

az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--policy]
                       [--protection {hsm, software}]
                       [--size]
                       [--tags]
                       [--vault-name]

選擇性參數

--curve

橢圓曲線名稱。 如需有效值,請參閱: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename

接受的值: P-256, P-256K, P-384, P-521
--default-cvm-policy

使用可匯出金鑰以進行 CVM 磁片加密的預設原則。

預設值: False
--disabled

建立處於停用狀態的金鑰。

接受的值: false, true
預設值: False
--expires

到期 UTC 日期時間(Y-m-d'T'H:M:S'Z')。

--exportable

是否可以匯出私密金鑰。 若要使用發行原則建立金鑰,「可匯出」必須是 true,且呼叫端必須具有「匯出」許可權。

接受的值: false, true
--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的識別碼。 如果指定了所有其他 'Id' 引數,則應該省略。

--immutable

將發行原則標示為不可變。 在標示不可變之後,無法變更或更新不可變發行原則。 發行原則預設為可變動。

接受的值: false, true
--kty

要建立的索引鍵類型。 如需有效值,請參閱: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype

接受的值: EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM
--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--not-before

在提供的UTC 日期時間之前無法使用密鑰(Y-m-d'T'H:M:S'Z')。

--ops

允許 JSON Web 金鑰作業的空間分隔清單。

接受的值: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

可匯出金鑰的原則規則。 原則定義為 JSON,或包含 JSON 原則定義的檔案路徑。

--protection -p

指定金鑰保護的類型。

接受的值: hsm, software
--size

金鑰的大小 (以位元為單位)。 例如:RSA 的 2048、3072 或 4096。 128、192 或 256,適用於 10 月。

--tags

以空格分隔的標記:key[=value] [key[=value] ...]。使用 「清除現有的標記」。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key decrypt

預覽

此命令處於預覽狀態,且正在開發中。 參考和支援層級: https://aka.ms/CLI_refstatus

解密加密數據的單一區塊。

DECRYPT 作業會使用目標加密密鑰和指定的演算法,解密格式正確的加密文字區塊。 此作業是 ENCRYPT 作業的反向作業;只能解密單一數據區塊,此區塊的大小取決於目標密鑰和要使用的演算法。 DECRYPT 作業適用於儲存在保存庫或 HSM 中的非對稱密鑰,因為它使用金鑰的私用部分。 此作業需要金鑰/解密許可權。

az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--tag]
                        [--vault-name]
                        [--version]

範例

使用 RSA-OAEP 將保存庫的金鑰解密值(以 encrypt 命令傳回的 Base64 編碼字串),並以 base64 編碼取得結果。

az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="

使用 AES-GCM 將 MHSM 的金鑰解密值(加密命令傳回的 Base64 編碼字串,並以純文字形式取得結果。

az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"

必要參數

--algorithm -a

演算法標識碼。

接受的值: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

要解密的值,應該是 “az keyvault encrypt” 的結果。

選擇性參數

--aad

已驗證但未加密的選擇性數據。 用於 AES-GCM 解密。

--data-type

原始數據的型別。

接受的值: base64, plaintext
預設值: base64
--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的標識碼。 如果指定了所有其他 'Id' 自變數,則應該省略。

--iv

加密期間所使用的初始化向量。 AES 解密的必要專案。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--tag

加密期間產生的驗證標記。 僅需要 AES-GCM 解密。

--vault-name

保存庫的名稱。

--version -v

金鑰版本。 如果省略,請使用最新版本。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key delete

從保存庫或 HSM 中的記憶體中刪除任何類型的金鑰。

刪除金鑰作業無法用來移除個別版本的金鑰。 此作業會移除與金鑰相關聯的密碼編譯數據,這表示密鑰不適用於簽署/驗證、包裝/解除包裝或加密/解密作業。 此作業需要金鑰/刪除許可權。

az keyvault key delete [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

選擇性參數

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的標識碼。 如果指定了所有其他 'Id' 自變數,則應該省略。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key download

下載預存金鑰的公用部分。

az keyvault key download --file
                         [--encoding {DER, PEM}]
                         [--hsm-name]
                         [--id]
                         [--name]
                         [--vault-name]
                         [--version]

範例

使用 PEM 編碼儲存金鑰。

az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pem

使用 DER 編碼儲存金鑰。

az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.der

必要參數

--file -f

要接收金鑰內容的檔案。

選擇性參數

--encoding -e

密鑰的編碼方式,預設值:PEM。

接受的值: DER, PEM
預設值: PEM
--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的標識碼。 如果指定了所有其他 'Id' 自變數,則應該省略。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

--version -v

金鑰版本。 如果省略,請使用最新版本。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key encrypt

預覽

此命令處於預覽狀態,且正在開發中。 參考和支援層級: https://aka.ms/CLI_refstatus

使用儲存在保存庫或 HSM 中的加密金鑰,加密任意序列的位元組。

ENCRYPT 作業會使用儲存在保存庫或 HSM 中的加密密鑰來加密任意序列的位元組。 請注意,ENCRYPT 作業只支援單一數據區塊,其大小取決於目標密鑰和要使用的加密演算法。 只有在保存庫 pr HSM 中儲存的對稱金鑰才需要 ENCRYPT 作業,因為使用非對稱密鑰的保護可以使用金鑰的公用部分來執行。 對於具有金鑰參考但無法存取公鑰數據的呼叫端而言,支援非對稱密鑰的作業。 此作業需要金鑰/加密許可權。

az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--vault-name]
                        [--version]

範例

使用 RSA-OAEP 將保存庫的金鑰加密值(Base64 編碼字串)。

az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64

使用 AES-GCM 加密 MHSM 金鑰的值(純文字)。

az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"

必要參數

--algorithm -a

演算法標識碼。

接受的值: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

要加密的值。 默認數據類型為Base64編碼字串。

選擇性參數

--aad

已驗證但未加密的選擇性數據。 用於 AES-GCM 加密。

--data-type

原始數據的型別。

接受的值: base64, plaintext
預設值: base64
--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的標識碼。 如果指定了所有其他 'Id' 自變數,則應該省略。

--iv

初始化向量。 僅需要 AES-CBC(PAD) 加密。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

--version -v

金鑰版本。 如果省略,請使用最新版本。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key get-policy-template

預覽

此命令處於預覽狀態,且正在開發中。 參考和支援層級: https://aka.ms/CLI_refstatus

將原則範本傳回為 JSON 編碼的原則定義。

az keyvault key get-policy-template
全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key import

匯入私密金鑰。

支援從 PEM 檔案或字串匯入 base64 編碼私鑰。 支援針對進階金鑰保存庫將 BYOK 金鑰匯入 HSM。

az keyvault key import [--byok-file]
                       [--byok-string]
                       [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, RSA, oct}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--pem-file]
                       [--pem-password]
                       [--pem-string]
                       [--policy]
                       [--protection {hsm, software}]
                       [--tags]
                       [--vault-name]

選擇性參數

--byok-file

BYOK 檔案,其中包含要匯入的金鑰。 不得受到密碼保護。

--byok-string

BYOK 字串,包含要匯入的索引鍵。 不得受到密碼保護。

--curve

要匯入之索引鍵的曲線名稱(僅適用于 BYOK)。

接受的值: P-256, P-256K, P-384, P-521
--default-cvm-policy

使用可匯出金鑰以進行 CVM 磁片加密的預設原則。

預設值: False
--disabled

建立處於停用狀態的金鑰。

接受的值: false, true
預設值: False
--expires

到期 UTC 日期時間(Y-m-d'T'H:M:S'Z')。

--exportable

是否可以匯出私密金鑰。 若要使用發行原則建立金鑰,「可匯出」必須是 true,且呼叫端必須具有「匯出」許可權。

接受的值: false, true
--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的識別碼。 如果指定了所有其他 'Id' 引數,則應該省略。

--immutable

將發行原則標示為不可變。 在標示不可變之後,無法變更或更新不可變發行原則。 發行原則預設為可變動。

接受的值: false, true
--kty

要匯入的索引鍵類型(僅適用于 BYOK)。

接受的值: EC, RSA, oct
預設值: RSA
--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--not-before

在提供的 UTC 日期時間之前無法使用金鑰(Y-m-d'T'H:M:S'Z')。

--ops

允許 JSON Web 金鑰作業的空間分隔清單。

接受的值: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--pem-file

包含要匯入之金鑰的 PEM 檔案。

--pem-password

PEM 檔案的密碼。

--pem-string

包含要匯入之金鑰的 PEM 字串。

--policy

可匯出金鑰的原則規則。 原則定義為 JSON,或包含 JSON 原則定義的檔案路徑。

--protection -p

指定金鑰保護的類型。

接受的值: hsm, software
--tags

以空格分隔的標記:key[=value] [key[=value] ...]。使用 「」 清除現有的標記。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key list

列出指定保存庫或 HSM 中的金鑰。

擷取保存庫或 HSM 中的金鑰清單,做為 JSON Web 金鑰結構,其中包含預存金鑰的公用部分。 LIST 作業適用于所有金鑰類型,不過回應中只會提供基底金鑰識別碼、屬性和標籤。 回應中未列出個別版本的金鑰。 此作業需要金鑰/清單許可權。

az keyvault key list [--hsm-name]
                     [--id]
                     [--include-managed {false, true}]
                     [--maxresults]
                     [--vault-name]

選擇性參數

--hsm-name

HSM 的名稱。 如果指定了 --id,可以省略。

--id

保存庫或 HSM 的完整 URI。 如果指定了所有其他 'Id' 引數,則應該省略。

--include-managed

包含受控金鑰。

接受的值: false, true
預設值: False
--maxresults

要傳回的結果數目上限。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key list-deleted

列出指定保存庫中已刪除的金鑰或 HSM。

擷取保存庫或 HSM 中的金鑰清單,做為 JSON Web 金鑰結構,其中包含已刪除金鑰的公用部分。 此作業包含刪除特定資訊。 取得刪除的金鑰作業適用于針對虛刪除啟用的保存庫。 雖然作業可以在任何保存庫或 HSM 上叫用,但如果在未啟用虛刪除的保存庫或 HSM 上叫用,則會傳回錯誤。 此作業需要金鑰/清單許可權。

az keyvault key list-deleted [--hsm-name]
                             [--id]
                             [--maxresults]
                             [--vault-name]

選擇性參數

--hsm-name

HSM 的名稱。 如果指定了 --id,可以省略。

--id

保存庫或 HSM 的完整 URI。 如果指定了所有其他 'Id' 引數,則應該省略。

--maxresults

要傳回的結果數目上限。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key list-versions

列出金鑰版本的識別碼和屬性。

需要金鑰/清單許可權。

az keyvault key list-versions [--hsm-name]
                              [--id]
                              [--maxresults]
                              [--name]
                              [--vault-name]

選擇性參數

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的識別碼。 如果指定了所有其他 'Id' 引數,則應該省略。

--maxresults

要傳回的結果數目上限。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key purge

永久刪除指定的索引鍵。

清除刪除的金鑰作業適用于已啟用虛刪除的保存庫或 HSM。 雖然作業可以在任何保存庫或 HSM 上叫用,但如果在未啟用虛刪除的保存庫或 HSM 上叫用,則會傳回錯誤。 此作業需要金鑰/清除許可權。

az keyvault key purge [--hsm-name]
                      [--id]
                      [--name]
                      [--vault-name]

選擇性參數

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

金鑰的復原識別碼。 如果指定了所有其他 'Id' 引數,則應該省略。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key random

從受控 HSM 取得要求的隨機位元組數目。

az keyvault key random --count
                       [--hsm-name]
                       [--id]

必要參數

--count

要求的隨機位元組數目。

選擇性參數

--hsm-name

HSM 的名稱。

--id

HSM 的完整 URI。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key recover

將已刪除的金鑰復原至其最新版本。

復原已刪除的金鑰作業適用于已啟用虛刪除保存庫或 HSM 的已刪除金鑰。 它會將已刪除的金鑰復原回 /keys 下的最新版本。 嘗試復原未刪除的金鑰將會傳回錯誤。 請考慮在已啟用虛刪除的保存庫或 HSM 上反轉刪除作業。 此作業需要金鑰/復原許可權。

az keyvault key recover [--hsm-name]
                        [--id]
                        [--name]
                        [--vault-name]

選擇性參數

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

金鑰的復原識別碼。 如果指定了所有其他 'Id' 引數,則應該省略。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key restore

將備份的金鑰還原至保存庫或 HSM。

將先前備份的金鑰匯入保存庫或 HSM,還原金鑰、金鑰識別碼、屬性和存取控制原則。 RESTORE 作業可用來匯入先前備份的金鑰。 無法還原個別版本的金鑰。 金鑰會完全以與備份時相同的金鑰名稱還原。 如果目標金鑰保存庫中無法使用金鑰名稱,則會拒絕 RESTORE 作業。 當金鑰名稱在還原期間保留時,如果金鑰還原至不同的保存庫或 HSM,最終金鑰識別碼將會變更。 還原會還原所有版本並保留版本識別碼。 RESTORE 作業受限於安全性條件約束。 目標保存庫或 HSM 必須擁有與來源保存庫或 HSM 相同的 Microsoft Azure 訂用帳戶。 用戶必須在目標保存庫或 HSM 中具有 RESTORE 許可權。 此作業需要金鑰/還原許可權。

az keyvault key restore [--backup-folder]
                        [--blob-container-name]
                        [--file]
                        [--hsm-name]
                        [--id]
                        [--name]
                        [--no-wait]
                        [--storage-account-name]
                        [--storage-container-SAS-token]
                        [--storage-resource-uri]
                        [--vault-name]

選擇性參數

--backup-folder

包含備份的 Blob 容器名稱。

--blob-container-name

Blob 容器的名稱。

--file -f

要從中還原金鑰的本機金鑰備份。

--hsm-name

HSM 的名稱。 如果指定了 --id,可以省略。

--id

保存庫或 HSM 的完整 URI。 如果指定了所有其他 'Id' 自變數,則應該省略。

--name -n

索引鍵的名稱。 (僅適用於從記憶體帳戶還原)。

--no-wait

請勿等候長時間執行的作業完成。

預設值: False
--storage-account-name

Azure 儲存體 帳戶的名稱。

--storage-container-SAS-token -t

指向 Azure Blob 記憶體容器的 SAS 令牌。

--storage-resource-uri -u

Azure Blob 記憶體容器 URI。 如果指定,則應該省略所有其他 『儲存體 Id』 自變數。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key rotate

藉由產生新版本的金鑰,根據金鑰原則輪替金鑰。

az keyvault key rotate [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

選擇性參數

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的標識碼。 如果指定了所有其他 'Id' 自變數,則應該省略。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key set-attributes

更新金鑰作業會變更預存金鑰的指定屬性,而且可以套用至儲存在保存庫或 HSM 中的任何密鑰類型和金鑰版本。

若要執行這項作業,金鑰必須已存在於保存庫或 HSM 中。 無法變更金鑰本身的密碼編譯數據。 此作業需要金鑰/更新許可權。

az keyvault key set-attributes [--enabled {false, true}]
                               [--expires]
                               [--hsm-name]
                               [--id]
                               [--immutable {false, true}]
                               [--name]
                               [--not-before]
                               [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                               [--policy]
                               [--tags]
                               [--vault-name]
                               [--version]

選擇性參數

--enabled

啟用金鑰。

接受的值: false, true
--expires

到期 UTC 日期時間(Y-m-d'T'H:M:S'Z')。

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的標識碼。 如果指定了所有其他 'Id' 自變數,則應該省略。

--immutable

將發行原則標示為不可變。 在標示不可變之後,無法變更或更新不可變發行原則。 發行原則預設為可變動。

接受的值: false, true
--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--not-before

在提供的UTC 日期時間之前無法使用密鑰(Y-m-d'T'H:M:S'Z')。

--ops

允許 JSON Web 金鑰作業的空間分隔清單。

接受的值: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

可匯出金鑰的原則規則。 原則定義為 JSON,或包含 JSON 原則定義的檔案路徑。

--tags

以空格分隔的標記:key[=value] [key[=value] ...]。使用 「清除現有的標記」。

--vault-name

保存庫的名稱。

--version -v

金鑰版本。 如果省略,請使用最新版本。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key show

取得金鑰的屬性,如果是非對稱密鑰,其公開內容。

需要金鑰/取得許可權。

az keyvault key show [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

選擇性參數

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的標識碼。 如果指定了所有其他 'Id' 自變數,則應該省略。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

--version -v

金鑰版本。 如果省略,請使用最新版本。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key show-deleted

取得已刪除金鑰的公用部分。

取得刪除的金鑰作業適用於已啟用虛刪除的保存庫或 HSM。 雖然作業可以在任何保存庫或 HSM 上叫用,但如果在未啟用虛刪除的保存庫或 HSM 上叫用,則會傳回錯誤。 此作業需要金鑰/取得許可權。

az keyvault key show-deleted [--hsm-name]
                             [--id]
                             [--name]
                             [--vault-name]

選擇性參數

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的標識碼。 如果指定了所有其他 'Id' 自變數,則應該省略。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key sign

使用儲存在保存庫或 HSM 中的金鑰,從摘要建立簽章。

az keyvault key sign --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                     --digest
                     [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

範例

使用 keyvault 的金鑰從摘要建立簽章。

az keyvault key sign --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012"

必要參數

--algorithm -a

演算法標識碼。

接受的值: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

要簽署的值。

選擇性參數

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的標識碼。 如果指定了所有其他 'Id' 自變數,則應該省略。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

--version -v

金鑰版本。 如果省略,請使用最新版本。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az keyvault key verify

使用儲存在保存庫或 HSM 中的金鑰來確認簽章。

az keyvault key verify --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                       --digest
                       --signature
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]
                       [--version]

範例

使用keyvault的金鑰確認簽章。

az keyvault key verify --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012" --signature XXXYYYZZZ

必要參數

--algorithm -a

演算法標識碼。

接受的值: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

要簽署的值。

--signature

要驗證的簽章。

選擇性參數

--hsm-name

HSM 的名稱。 (--hsm-name 和 --vault-name 互斥,請只指定其中一個。

--id

索引鍵的標識碼。 如果指定了所有其他 'Id' 自變數,則應該省略。

--name -n

索引鍵的名稱。 如果未指定 --id,則為必要專案。

--vault-name

保存庫的名稱。

--version -v

金鑰版本。 如果省略,請使用最新版本。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。