Feedback

az keyvault key

  • Referenz

Verwalten von Schlüsseln

Befehle

az keyvault key backup

Fordern Sie an, dass eine Sicherung des angegebenen Schlüssels auf den Client heruntergeladen wird.
az keyvault key create

Erstellen Sie einen neuen Schlüssel, speichert ihn, und gibt dann Schlüsselparameter und Attribute an den Client zurück.
az keyvault key decrypt

Entschlüsseln eines einzelnen Blocks verschlüsselter Daten.
az keyvault key delete

Löschen Sie einen Schlüssel eines beliebigen Typs aus dem Speicher in Vault oder HSM.
az keyvault key download

Laden Sie den öffentlichen Teil eines gespeicherten Schlüssels herunter.
az keyvault key encrypt

Verschlüsseln Sie eine beliebige Bytesequenz mithilfe eines Verschlüsselungsschlüssels, der in einem Tresor oder HSM gespeichert ist.
az keyvault key get-policy-template

Rückgaberichtlinienvorlage als JSON-codierte Richtliniendefinition.
az keyvault key import

Importieren Sie einen privaten Schlüssel.
az keyvault key list

Listenschlüssel im angegebenen Tresor oder HSM auf.
az keyvault key list-deleted

Listet die gelöschten Schlüssel im angegebenen Tresor oder HSM auf.
az keyvault key list-versions

Ruft eine Liste einzelner Schlüsselversionen mit demselben Schlüsselnamen ab.
az keyvault key purge

Löschen Sie den angegebenen Schlüssel endgültig.
az keyvault key random

Rufen Sie die angeforderte Anzahl zufälliger Bytes aus einem verwalteten HSM ab.
az keyvault key recover

Wiederherstellen des gelöschten Schlüssels auf die neueste Version.
az keyvault key restore

Wiederherstellen eines gesicherten Schlüssels zu einem Tresor oder HSM.
az keyvault key rotate

Drehen Sie den Schlüssel basierend auf der Schlüsselrichtlinie, indem Sie eine neue Version des Schlüssels generieren.
az keyvault key rotation-policy

Verwalten der Drehungsrichtlinie des Schlüssels.
az keyvault key rotation-policy show

Rufen Sie die Drehungsrichtlinie eines Key Vault Schlüssels ab.
az keyvault key rotation-policy update

Aktualisieren Sie die Drehungsrichtlinie eines Key Vault Schlüssels.
az keyvault key set-attributes

Der Updateschlüsselvorgang ändert die angegebenen Attribute eines gespeicherten Schlüssels und kann auf jede in Vault oder HSM gespeicherte Schlüsselversion angewendet werden.
az keyvault key show

Rufen Sie die Attribute eines Schlüssels ab, und wenn es sich um einen asymmetrischen Schlüssel handelt, wird das öffentliche Material angezeigt.
az keyvault key show-deleted

Rufen Sie den öffentlichen Teil eines gelöschten Schlüssels ab.

az keyvault key backup

Bearbeiten

Fordern Sie an, dass eine Sicherung des angegebenen Schlüssels auf den Client heruntergeladen wird.

Der Schlüsselsicherungsvorgang exportiert einen Schlüssel aus Vault oder HSM in einem geschützten Formular. Beachten Sie, dass dieser Vorgang kein Schlüsselmaterial in einem Formular zurückgibt, das außerhalb des Vault- oder HSM-Systems verwendet werden kann, das zurückgegebene Schlüsselmaterial ist entweder für ein HSM oder für Vault selbst geschützt. Die Absicht dieses Vorgangs besteht darin, einem Client das GENERIEREN eines Schlüssels in einer Vault- oder HSM-Instanz zu ermöglichen, den Schlüssel zu sichern und dann in eine andere Vault- oder HSM-Instanz wiederherzustellen. Der BACKUP-Vorgang kann verwendet werden, um in geschützter Form einen beliebigen Schlüsseltyp aus Vault oder HSM zu exportieren. Einzelne Versionen eines Schlüssels können nicht gesichert werden. BACKUP/RESTORE kann nur innerhalb geografischer Grenzen ausgeführt werden. Dies bedeutet, dass eine Sicherung (BACKUP) aus einem geografischen Bereich nicht in einem anderen geografischen Bereich wiederhergestellt werden kann. Beispielsweise kann eine Sicherung aus dem geografischen Gebiet der USA nicht in einem geografischen Bereich der EU wiederhergestellt werden. Dieser Vorgang erfordert die Berechtigung "Schlüssel/Sicherung".

az keyvault key backup --file
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Erforderliche Parameter

--file -f

Lokaler Dateipfad, in dem die Schlüsselsicherung gespeichert werden soll.

Optionale Parameter

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben wird.

--vault-name

Name des Tresors.

az keyvault key create

Bearbeiten

Erstellen Sie einen neuen Schlüssel, speichert sie, und gibt dann Schlüsselparameter und Attribute für den Client zurück.

Der Erstellungsschlüsselvorgang kann zum Erstellen eines beliebigen Schlüsseltyps in Vault oder HSM verwendet werden. Wenn der benannte Schlüssel bereits vorhanden ist, erstellt Vault oder HSM eine neue Version des Schlüssels. Es erfordert die Berechtigung "Schlüssel/Erstellen".

az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--policy]
                       [--protection {hsm, software}]
                       [--size]
                       [--tags]
                       [--vault-name]

Optionale Parameter

--curve

Elliptic curve name. Gültige Werte finden Sie unter: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename.

Zulässige Werte: P-256, P-256K, P-384, P-521
--default-cvm-policy

Verwenden Sie die Standardrichtlinie, unter der der Schlüssel für die CVM-Datenträgerverschlüsselung exportiert werden kann.

--disabled

Erstellen Sie den Schlüssel im deaktivierten Zustand.

Zulässige Werte: false, true
--expires

Ablauf UTC-Datumszeit (Y-m-d'T'H:M:S'Z').

--exportable

Ob der private Schlüssel exportiert werden kann. Um Schlüssel mit der Releaserichtlinie zu erstellen, muss "exportierbar" wahr sein, und der Aufrufer muss über die Berechtigung "Export" verfügen.

Zulässige Werte: false, true
--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--immutable

Markieren Sie eine Releaserichtlinie als unveränderlich. Eine unveränderliche Versionsrichtlinie kann nicht geändert oder aktualisiert werden, nachdem sie unveränderlich markiert wurde. Versionsrichtlinien können standardmäßig stummgeschaltet werden.

Zulässige Werte: false, true
--kty

Die Art des zu erstellenden Schlüssels. Gültige Werte finden Sie unter: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype.

Zulässige Werte: EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM
--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben wird.

--not-before

Schlüssel, der nicht vor der bereitgestellten UTC-Datumszeit (Y-m-d'T'H:M:S'Z' verwendet wird).

--ops

Leergetrennte Liste zulässiger JSON-Webschlüsselvorgänge.

Zulässige Werte: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

Die Richtlinienregeln, unter denen der Schlüssel exportiert werden kann. Richtliniendefinition als JSON oder Pfad zu einer Datei mit JSON-Richtliniendefinition.

--protection -p

Gibt den Typ des Schlüsselschutzes an.

Zulässige Werte: hsm, software
--size

Die Schlüsselgröße in Bits. Beispiel: 2048, 3072 oder 4096 für RSA. 128, 192 oder 256 für Okt.

--tags

Leergetrennte Tags: key[=value] [key[=value] ...]. Verwenden Sie "", um vorhandene Tags zu löschen.

--vault-name

Name des Tresors.

az keyvault key decrypt

Bearbeiten

Entschlüsseln eines einzelnen Blocks verschlüsselter Daten.

Der DECRYPT-Vorgang entschlüsselt einen wohlgeformten, aus verschlüsseltem Text bestehenden Block mithilfe des Zielverschlüsselungsschlüssels und des angegebenen Algorithmus. Dieser Vorgang ist die Umkehrung des ENCRYPT-Vorgangs. Nur ein einzelner Datenblock kann entschlüsselt werden, wobei die Größe dieses Blocks vom Zielschlüssel und dem zu verwendenden Algorithmus abhängig ist. Der ENTSCHLÜSSELungsvorgang gilt für asymmetrische und symmetrische Schlüssel, die in Vault oder HSM gespeichert sind, da er den privaten Teil des Schlüssels verwendet. Dieser Vorgang erfordert die Berechtigung "Schlüssel/Entschlüsselung".

az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--tag]
                        [--vault-name]
                        [--version]

Beispiele

Entschlüsselungswert(Base64 codierte Zeichenfolge, die durch den Verschlüsselungsbefehl zurückgegeben wird) mit valut's Key mithilfe von RSA-OAEP und ergebnis as base64 codiert.

az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="

Entschlüsseln Sie den Wert(Base64 codierte Zeichenfolge, die durch den Verschlüsselungsbefehl zurückgegeben wird) mit dem Schlüssel von MHSM mithilfe von AES-GCM und erhalten Sie das Ergebnis als Nurtext.

az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"

Erforderliche Parameter

--algorithm -a

Algorithmusbezeichner.

Zulässige Werte: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

Der zu entschlüsselnde Wert, der das Ergebnis von "az keyvault verschlüsseln" sein sollte.

Optionale Parameter

--aad

Optionale Daten, die authentifiziert, aber nicht verschlüsselt sind. Verwenden Sie die AES-GCM-Entschlüsselung.

--data-type

Der Typ der ursprünglichen Daten.

Zulässige Werte: base64, plaintext
Standardwert: base64
--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--iv

Der Initialisierungsvektor, der während der Verschlüsselung verwendet wird. Erforderlich für die AES-Entschlüsselung.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben wird.

--tag

Das während der Verschlüsselung generierte Authentifizierungstag. Erforderlich für nur AES-GCM-Entschlüsselung.

--vault-name

Name des Tresors.

--version -v

Die Schlüsselversion. Wenn nicht angegeben, wird die neueste Version verwendet.

az keyvault key delete

Bearbeiten

Löschen Sie einen Schlüssel eines beliebigen Typs aus dem Speicher in Vault oder HSM.

Der Löschschlüsselvorgang kann nicht verwendet werden, um einzelne Versionen eines Schlüssels zu entfernen. Dieser Vorgang entfernt das kryptografische Material, das dem Schlüssel zugeordnet ist, was bedeutet, dass der Schlüssel nicht für Sign/Verify-, Wrap/Unwrap- oder Encrypt/Decrypt-Vorgänge verwendet werden kann. Dieser Vorgang erfordert die Berechtigung "Schlüssel/Löschen".

az keyvault key delete [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Optionale Parameter

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben wird.

--vault-name

Name des Tresors.

az keyvault key download

Bearbeiten

Laden Sie den öffentlichen Teil eines gespeicherten Schlüssels herunter.

az keyvault key download --file
                         [--encoding {DER, PEM}]
                         [--hsm-name]
                         [--id]
                         [--name]
                         [--vault-name]
                         [--version]

Beispiele

Speichern Sie den Schlüssel mit der PEM-Codierung.

az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pem

Speichern Sie den Schlüssel mit DER-Codierung.

az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.der

Erforderliche Parameter

--file -f

Datei zum Empfangen des Schlüsselinhalts.

Optionale Parameter

--encoding -e

Codierung des Schlüssels, Standard: PEM.

Zulässige Werte: DER, PEM
Standardwert: PEM
--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben wird.

--vault-name

Name des Tresors.

--version -v

Die Schlüsselversion. Wenn nicht angegeben, wird die neueste Version verwendet.

az keyvault key encrypt

Bearbeiten

Verschlüsseln Sie eine beliebige Bytesequenz mithilfe eines Verschlüsselungsschlüssels, der in einem Tresor oder HSM gespeichert ist.

Der VERSCHLÜSSELN-Vorgang verschlüsselt eine beliebige Bytesequenz mithilfe eines Verschlüsselungsschlüssels, der in Vault oder HSM gespeichert ist. Beachten Sie, dass der ENCRYPT-Vorgang nur einen einzelnen Datenblock unterstützt, dessen Größe vom Zielschlüssel und dem zu verwendenden Verschlüsselungsalgorithmus abhängig ist. Der VERSCHLÜSSELN-Vorgang ist nur für symmetrische Schlüssel erforderlich, die in Vault pr HSM gespeichert sind, da der Schutz mit einem asymmetrischen Schlüssel mit einem öffentlichen Teil des Schlüssels ausgeführt werden kann. Dieser Vorgang wird für asymmetrische Schlüssel aus Gründen der Benutzerfreundlichkeit für Aufrufer unterstützt, die einen Schlüsselverweis besitzen, aber keinen Zugriff auf das öffentliche Schlüsselmaterial haben. Dieser Vorgang erfordert die Berechtigung "Schlüssel/Verschlüsseln".

az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--vault-name]
                        [--version]

Beispiele

Verschlüsseln Sie den Wert(Base64 codierte Zeichenfolge) mit valuts Schlüssel mithilfe von RSA-OAEP.

az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64

Verschlüsseln sie wert(nurtext) mit dem Schlüssel von MHSM mithilfe von AES-GCM.

az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"

Erforderliche Parameter

--algorithm -a

Algorithmusbezeichner.

Zulässige Werte: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

Der zu verschlüsselnde Wert. Standarddatentyp ist base64 codierte Zeichenfolge.

Optionale Parameter

--aad

Optionale Daten, die authentifiziert, aber nicht verschlüsselt sind. Für die Verwendung mit AES-GCM-Verschlüsselung.

--data-type

Der Typ der ursprünglichen Daten.

Zulässige Werte: base64, plaintext
Standardwert: base64
--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--iv

Initialisierungsvektor. Erforderlich für die AES-CBC(PAD)-Verschlüsselung.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben wird.

--vault-name

Name des Tresors.

--version -v

Die Schlüsselversion. Wenn nicht angegeben, wird die neueste Version verwendet.

az keyvault key get-policy-template

Bearbeiten

Rückgaberichtlinienvorlage als JSON-codierte Richtliniendefinition.

az keyvault key get-policy-template

az keyvault key import

Bearbeiten

Importieren Sie einen privaten Schlüssel.

Unterstützt das Importieren von base64 codierten privaten Schlüsseln aus PEM-Dateien oder Zeichenfolgen. Unterstützt das Importieren von BYOK-Schlüsseln in HSM für Premium-Schlüsseltresors.

az keyvault key import [--byok-file]
                       [--byok-string]
                       [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, RSA, oct}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--pem-file]
                       [--pem-password]
                       [--pem-string]
                       [--policy]
                       [--protection {hsm, software}]
                       [--tags]
                       [--vault-name]

Optionale Parameter

--byok-file

BYOK-Datei, die den zu importierenden Schlüssel enthält. Darf kein Kennwort geschützt sein.

--byok-string

BYOK-Zeichenfolge, die den zu importierenden Schlüssel enthält. Darf kein Kennwort geschützt sein.

--curve

Der Kurvenname des zu importierenden Schlüssels (nur für BYOK).

Zulässige Werte: P-256, P-256K, P-384, P-521
--default-cvm-policy

Verwenden Sie die Standardrichtlinie, unter der der Schlüssel für die CVM-Datenträgerverschlüsselung exportiert werden kann.

--disabled

Schlüssel im deaktivierten Zustand erstellen.

Zulässige Werte: false, true
--expires

Ablauf UTC-Datumszeit (Y-m-d'T:M:S'Z').

--exportable

Gibt an, ob der private Schlüssel exportiert werden kann. Um Schlüssel mit der Freigaberichtlinie zu erstellen, muss "exportierbar" sein, und der Aufrufer muss über die Berechtigung "Export" verfügen.

Zulässige Werte: false, true
--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig ausschließen, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen Argumente "ID" angegeben werden sollen, sollte nicht angegeben werden.

--immutable

Markieren Sie eine Freigaberichtlinie als unveränderlich. Eine unveränderliche Releaserichtlinie kann nicht geändert oder aktualisiert werden, nachdem sie als unveränderlich markiert wurde. Releaserichtlinien sind standardmäßig stummschaltbar.

Zulässige Werte: false, true
--kty

Der Typ des zu importierenden Schlüssels (nur für BYOK).

Zulässige Werte: EC, RSA, oct
Standardwert: RSA
--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben ist.

--not-before

Schlüssel, der vor der bereitgestellten UTC-Datumszeit nicht verwendet werden kann (Y-m-d'T:M:S'Z').

--ops

Leertrennte Liste zulässiger JSON-Webschlüsselvorgänge.

Zulässige Werte: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--pem-file

PEM-Datei, die den zu importierenden Schlüssel enthält.

--pem-password

Kennwort der PEM-Datei.

--pem-string

PEM-Zeichenfolge, die den zu importierenden Schlüssel enthält.

--policy

Die Richtlinienregeln, unter denen der Schlüssel exportiert werden kann. Richtliniendefinition als JSON oder Pfad zu einer Datei, die JSON-Richtliniendefinition enthält.

--protection -p

Gibt den Typ des Schlüsselschutzes an.

Zulässige Werte: hsm, software
--tags

Leerzeichentrennte Tags: key[=value] [key[=value] ...]. Verwenden Sie "", um vorhandene Tags zu löschen.

--vault-name

Name des Tresors.

az keyvault key list

Bearbeiten

Auflisten von Schlüsseln im angegebenen Tresor oder HSM.

Rufen Sie eine Liste der Schlüssel im Tresor oder HSM als JSON Web Key-Strukturen ab, die den öffentlichen Teil eines gespeicherten Schlüssels enthalten. Der LIST-Vorgang gilt für alle Schlüsseltypen, jedoch werden nur die Basisschlüsselbezeichner, Attribute und Tags in der Antwort bereitgestellt. Einzelne Versionen eines Schlüssels werden in der Antwort nicht aufgeführt. Für diesen Vorgang sind die Schlüssel/Listenberechtigungen erforderlich.

az keyvault key list [--hsm-name]
                     [--id]
                     [--include-managed {false, true}]
                     [--maxresults]
                     [--vault-name]

Optionale Parameter

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig ausschließen, bitte geben Sie nur einen davon an).

--id

Vollständiger URI des Tresors oder HSM. Wenn alle anderen Argumente "ID" angegeben werden sollen, sollte nicht angegeben werden.

--include-managed

Schließen Sie verwaltete Schlüssel ein. Standardwert: false.

Zulässige Werte: false, true
--maxresults

Maximale Anzahl der Ergebnisse, die in einer Seite zurückgegeben werden sollen. Wenn der Dienst nicht angegeben ist, werden bis zu 25 Ergebnisse zurückgegeben.

--vault-name

Name des Tresors.

az keyvault key list-deleted

Bearbeiten

Listet die gelöschten Schlüssel im angegebenen Tresor oder HSM auf.

Rufen Sie eine Liste der Schlüssel im Tresor oder HSM als JSON Web Key-Strukturen ab, die den öffentlichen Teil eines gelöschten Schlüssels enthalten. Dieser Vorgang enthält Löschinformationen. Der Vorgang "Gelöschte Schlüssel abrufen" gilt für Tresore, die für soft-delete aktiviert sind. Während der Vorgang auf einem beliebigen Tresor oder HSM aufgerufen werden kann, wird ein Fehler zurückgegeben, wenn er auf einem nicht soft-delete aktivierten Tresor oder HSM aufgerufen wird. Für diesen Vorgang sind die Schlüssel/Listenberechtigungen erforderlich.

az keyvault key list-deleted [--hsm-name]
                             [--id]
                             [--maxresults]
                             [--vault-name]

Optionale Parameter

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig ausschließen, bitte geben Sie nur einen davon an).

--id

Vollständiger URI des Tresors oder HSM. Wenn alle anderen Argumente "ID" angegeben werden sollen, sollte nicht angegeben werden.

--maxresults

Maximale Anzahl der Ergebnisse, die in einer Seite zurückgegeben werden sollen. Wenn der Dienst nicht angegeben ist, werden bis zu 25 Ergebnisse zurückgegeben.

--vault-name

Name des Tresors.

az keyvault key list-versions

Bearbeiten

Ruft eine Liste einzelner Schlüsselversionen mit demselben Schlüsselnamen ab.

In der Antwort werden der vollständige Schlüsselbezeichner, Attribute und Tags bereitgestellt. Für diesen Vorgang sind die Schlüssel/Listenberechtigungen erforderlich.

az keyvault key list-versions [--hsm-name]
                              [--id]
                              [--maxresults]
                              [--name]
                              [--vault-name]

Optionale Parameter

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig ausschließen, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen Argumente "ID" angegeben werden sollen, sollte nicht angegeben werden.

--maxresults

Maximale Anzahl der Ergebnisse, die in einer Seite zurückgegeben werden sollen. Wenn der Dienst nicht angegeben ist, werden bis zu 25 Ergebnisse zurückgegeben.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben ist.

--vault-name

Name des Tresors.

az keyvault key purge

Bearbeiten

Löschen Sie den angegebenen Schlüssel endgültig.

Der Vorgang "Gelöschter Schlüssel löschen" gilt für aktivierte Tresore oder HSMs für soft-delete. Während der Vorgang auf einem beliebigen Tresor oder HSM aufgerufen werden kann, wird ein Fehler zurückgegeben, wenn er auf einem nicht soft-delete aktivierten Tresor oder HSM aufgerufen wird. Dieser Vorgang erfordert die Berechtigung "Schlüssel/Löschen".

az keyvault key purge [--hsm-name]
                      [--id]
                      [--name]
                      [--vault-name]

Optionale Parameter

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig ausschließen, bitte geben Sie nur einen davon an).

--id

Die Wiederherstellungs-ID des Schlüssels. Wenn alle anderen Argumente "ID" angegeben werden sollen, sollte nicht angegeben werden.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben ist.

--vault-name

Name des Tresors.

az keyvault key random

Bearbeiten

Rufen Sie die angeforderte Anzahl zufälliger Bytes aus einem verwalteten HSM ab.

az keyvault key random --count
                       [--hsm-name]
                       [--id]

Erforderliche Parameter

--count

Die angeforderte Anzahl zufälliger Bytes.

Optionale Parameter

--hsm-name

Name des HSM.

--id

Vollständiger URI des HSM.

az keyvault key recover

Bearbeiten

Wiederherstellen des gelöschten Schlüssels auf seine neueste Version.

Der Vorgang "Gelöschter Schlüssel wiederherstellen" gilt für gelöschte Schlüssel in aktivierten Tresoren oder HSMs. Er wiederherstellt den gelöschten Schlüssel wieder auf seine neueste Version unter /keys. Ein Versuch, einen nicht gelöschten Schlüssel wiederherzustellen, gibt einen Fehler zurück. Betrachten Sie dies als Umgekehrtkeit des Löschvorgangs für soft-delete aktivierte Tresore oder HSMs. Für diesen Vorgang sind die Schlüssel/Wiederherstellungsberechtigungen erforderlich.

az keyvault key recover [--hsm-name]
                        [--id]
                        [--name]
                        [--vault-name]

Optionale Parameter

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig ausschließen, bitte geben Sie nur einen davon an).

--id

Die Wiederherstellungs-ID des Schlüssels. Wenn alle anderen Argumente "ID" angegeben werden sollen, sollte nicht angegeben werden.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben ist.

--vault-name

Name des Tresors.

az keyvault key restore

Bearbeiten

Wiederherstellen eines gesicherten Schlüssels zu einem Tresor oder HSM.

Importieren Sie einen zuvor gesicherten Schlüssel in Vault oder HSM, wiederherstellen Sie den Schlüssel, dessen Schlüsselbezeichner, Attribute und Zugriffssteuerungsrichtlinien. Der RESTORE-Vorgang kann verwendet werden, um einen zuvor gesicherten Schlüssel zu importieren. Einzelne Versionen eines Schlüssels können nicht wiederhergestellt werden. Der Schlüssel wird in seiner Gesamtheit mit demselben Schlüsselnamen wiederhergestellt, den er bei der Sicherung hatte. Wenn der Name des Schlüssels im Zielschlüsseltresor nicht verfügbar ist, wird der RESTORE-Vorgang abgelehnt. Während der Wiederherstellung des Schlüsselnamens beibehalten wird, ändert sich der endgültige Schlüsselbezeichner, wenn der Schlüssel in einem anderen Tresor oder HSM wiederhergestellt wird. RESTORE stellt alle Versionen wieder her und erhält die Versionsbezeichner. Der WIEDERHERSTELLUNGSvorgang unterliegt Sicherheitsbeschränkungen. Der Zieltresor oder HSM muss demselben Microsoft Azure-Abonnement wie dem Quell vault oder HSM gehören. Der Benutzer muss über die WIEDERHERSTELLUNGS-Berechtigung im Zieltresor oder HSM verfügen. Dieser Vorgang erfordert die Berechtigung "Schlüssel/Wiederherstellung".

az keyvault key restore [--backup-folder]
                        [--blob-container-name]
                        [--file]
                        [--hsm-name]
                        [--id]
                        [--name]
                        [--no-wait]
                        [--storage-account-name]
                        [--storage-container-SAS-token]
                        [--storage-resource-uri]
                        [--vault-name]

Optionale Parameter

--backup-folder

Name des Blobcontainers, der die Sicherung enthält.

--blob-container-name

Name des Blobcontainers.

--file -f

Lokale Schlüsselsicherung, von der der Schlüssel wiederhergestellt werden soll.

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

Voll-URI des Tresors oder HSM. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--name -n

Name des Schlüssels. (Nur zum Wiederherstellen von Speicherkonto).

--no-wait

Nicht auf den Abschluss lang andauernder Vorgänge warten

--storage-account-name

Name des Azure Storage-Kontos.

--storage-container-SAS-token -t

Das SAS-Token, das auf einen Azure Blob-Speichercontainer verweist.

--storage-resource-uri -u

Azure Blob storage container Uri. Wenn angegeben, sollten alle anderen Argumente "Speicher-ID" ausgelassen werden.

--vault-name

Name des Tresors.

az keyvault key rotate

Bearbeiten

Drehen Sie den Schlüssel basierend auf der Schlüsselrichtlinie, indem Sie eine neue Version des Schlüssels generieren.

az keyvault key rotate [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Optionale Parameter

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben wird.

--vault-name

Name des Tresors.

az keyvault key set-attributes

Bearbeiten

Der Updateschlüsselvorgang ändert die angegebenen Attribute eines gespeicherten Schlüssels und kann auf jede in Vault oder HSM gespeicherte Schlüsselversion angewendet werden.

Um diesen Vorgang auszuführen, muss der Schlüssel bereits im Tresor oder HSM vorhanden sein. Das kryptografische Material eines Schlüssels kann nicht geändert werden. Dieser Vorgang erfordert die Berechtigung "Schlüssel/Aktualisierung".

az keyvault key set-attributes [--enabled {false, true}]
                               [--expires]
                               [--hsm-name]
                               [--id]
                               [--immutable {false, true}]
                               [--name]
                               [--not-before]
                               [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                               [--policy]
                               [--tags]
                               [--vault-name]
                               [--version]

Optionale Parameter

--enabled

Aktivieren Sie den Schlüssel.

Zulässige Werte: false, true
--expires

Ablauf UTC-Datumszeit (Y-m-d'T'H:M:S'Z').

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--immutable

Markieren Sie eine Releaserichtlinie als unveränderlich. Eine unveränderliche Versionsrichtlinie kann nicht geändert oder aktualisiert werden, nachdem sie unveränderlich markiert wurde. Versionsrichtlinien können standardmäßig stummgeschaltet werden.

Zulässige Werte: false, true
--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben wird.

--not-before

Schlüssel, der nicht vor der bereitgestellten UTC-Datumszeit (Y-m-d'T'H:M:S'Z' verwendet wird).

--ops

Leergetrennte Liste zulässiger JSON-Webschlüsselvorgänge.

Zulässige Werte: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

Die Richtlinienregeln, unter denen der Schlüssel exportiert werden kann. Richtliniendefinition als JSON oder Pfad zu einer Datei mit JSON-Richtliniendefinition.

--tags

Leergetrennte Tags: key[=value] [key[=value] ...]. Verwenden Sie "", um vorhandene Tags zu löschen.

--vault-name

Name des Tresors.

--version -v

Die Schlüsselversion. Wenn nicht angegeben, wird die neueste Version verwendet.

az keyvault key show

Bearbeiten

Rufen Sie die Attribute eines Schlüssels ab, und wenn es sich um einen asymmetrischen Schlüssel handelt, wird das öffentliche Material angezeigt.

Erfordert Schlüssel/Abrufen der Berechtigung.

az keyvault key show [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

Optionale Parameter

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

ID des Schlüssels. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben wird.

--vault-name

Name des Tresors.

--version -v

Die Schlüsselversion. Wenn nicht angegeben, wird die neueste Version verwendet.

az keyvault key show-deleted

Bearbeiten

Rufen Sie den öffentlichen Teil eines gelöschten Schlüssels ab.

Der Vorgang "Gelöschter Schlüssel" gilt für aktivierte Tresore oder HSMs. Während der Vorgang auf einem beliebigen Tresor oder HSM aufgerufen werden kann, wird ein Fehler zurückgegeben, wenn er auf einem nicht soft gelöschten Tresor oder HSM aufgerufen wird. Dieser Vorgang erfordert die Berechtigungen für Schlüssel/Abrufen.

az keyvault key show-deleted [--hsm-name]
                             [--id]
                             [--name]
                             [--vault-name]

Optionale Parameter

--hsm-name

Name des HSM. (-hsm-name und --vault-name sind gegenseitig exklusiv, bitte geben Sie nur einen davon an).

--id

Die Wiederherstellungs-ID des Schlüssels. Wenn alle anderen "ID"-Argumente angegeben werden sollen, sollte nicht angegeben werden.

--name -n

Name des Schlüssels. Erforderlich, wenn --id nicht angegeben wird.

--vault-name

Name des Tresors.