次の方法で共有


Add-AzKeyVaultKey

キー コンテナーにキーを作成するか、キー コンテナーにキーをインポートします。

構文

Add-AzKeyVaultKey
   [-VaultName] <String>
   [-Name] <String>
   -Destination <String>
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-Size <Int32>]
   [-KeyType <String>]
   [-CurveName <String>]
   [-Exportable]
   [-Immutable]
   [-ReleasePolicyPath <String>]
   [-UseDefaultCVMPolicy]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   [-VaultName] <String>
   [-Name] <String>
   -KeyFilePath <String>
   [-KeyFilePassword <SecureString>]
   [-Destination <String>]
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-KeyType <String>]
   [-CurveName <String>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   -HsmName <String>
   [-Name] <String>
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-Size <Int32>]
   -KeyType <String>
   [-CurveName <String>]
   [-Exportable]
   [-Immutable]
   [-ReleasePolicyPath <String>]
   [-UseDefaultCVMPolicy]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   -HsmName <String>
   [-Name] <String>
   -KeyFilePath <String>
   [-KeyFilePassword <SecureString>]
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   [-InputObject] <PSKeyVault>
   [-Name] <String>
   -Destination <String>
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-Size <Int32>]
   [-KeyType <String>]
   [-CurveName <String>]
   [-Exportable]
   [-Immutable]
   [-ReleasePolicyPath <String>]
   [-UseDefaultCVMPolicy]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   [-InputObject] <PSKeyVault>
   [-Name] <String>
   -KeyFilePath <String>
   [-KeyFilePassword <SecureString>]
   [-Destination <String>]
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-KeyType <String>]
   [-CurveName <String>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   [-HsmObject] <PSManagedHsm>
   [-Name] <String>
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-Size <Int32>]
   -KeyType <String>
   [-CurveName <String>]
   [-Exportable]
   [-Immutable]
   [-ReleasePolicyPath <String>]
   [-UseDefaultCVMPolicy]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   [-HsmObject] <PSManagedHsm>
   [-Name] <String>
   -KeyFilePath <String>
   [-KeyFilePassword <SecureString>]
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   [-ResourceId] <String>
   [-Name] <String>
   -Destination <String>
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-Size <Int32>]
   [-KeyType <String>]
   [-CurveName <String>]
   [-Exportable]
   [-Immutable]
   [-ReleasePolicyPath <String>]
   [-UseDefaultCVMPolicy]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   [-ResourceId] <String>
   [-Name] <String>
   -KeyFilePath <String>
   [-KeyFilePassword <SecureString>]
   [-Destination <String>]
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-KeyType <String>]
   [-CurveName <String>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   -HsmResourceId <String>
   [-Name] <String>
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-Size <Int32>]
   -KeyType <String>
   [-CurveName <String>]
   [-Exportable]
   [-Immutable]
   [-ReleasePolicyPath <String>]
   [-UseDefaultCVMPolicy]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Add-AzKeyVaultKey
   -HsmResourceId <String>
   [-Name] <String>
   -KeyFilePath <String>
   [-KeyFilePassword <SecureString>]
   [-Disable]
   [-KeyOps <String[]>]
   [-Expires <DateTime>]
   [-NotBefore <DateTime>]
   [-Tag <Hashtable>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

説明

Add-AzKeyVaultKey コマンドレットは、Azure Key Vault のキー コンテナーにキーを作成するか、キー コンテナーにキーをインポートします。 次のいずれかの方法を使用してキーを追加するには、このコマンドレットを使用します。

  • Key Vault サービスのハードウェア セキュリティ モジュール (HSM) にキーを作成します。
  • Key Vault サービスのソフトウェアでキーを作成します。
  • 独自のハードウェア セキュリティ モジュール (HSM) から Key Vault サービスの HSM にキーをインポートします。
  • コンピューター上の .pfx ファイルからキーをインポートします。
  • コンピューター上の .pfx ファイルから Key Vault サービスのハードウェア セキュリティ モジュール (HSM) にキーをインポートします。 これらの操作の場合は、キー属性を指定するか、既定の設定を受け入れます。 キー コンテナー内の既存のキーと同じ名前のキーを作成またはインポートすると、新しいキーに指定した値で元のキーが更新されます。 以前の値には、そのバージョンのキーのバージョン固有の URI を使用してアクセスできます。 キーのバージョンと URI 構造の詳細については、Key Vault REST API ドキュメントの キーとシークレット を参照してください。 注: 独自のハードウェア セキュリティ モジュールからキーをインポートするには、まず、Azure Key Vault BYOK ツールセットを使用して BYOK パッケージ (.byok ファイル名拡張子を持つファイル) を生成する必要があります。 詳細については、「 Azure Key Vault の HSM で保護されたキーを生成および転送する方法を参照してください。 ベスト プラクティスとして、Backup-AzKeyVaultKey コマンドレットを使用して、キーの作成または更新後にキーをバックアップします。 削除を取り消す機能はないため、誤ってキーを削除したり、削除して気を変えたりした場合、復元できるバックアップがない限り、キーは回復できません。

例 1: キーを作成する

Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITSoftware' -Destination 'Software'

Vault/HSM Name : contoso
Name           : ITSoftware
Key Type       : RSA
Key Size       : 2048
Curve Name     : 
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITSoftware/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

このコマンドは、Contoso という名前のキー コンテナーに ITSoftware という名前のソフトウェアで保護されたキーを作成します。

例 2: EC キーを作成する

Add-AzKeyVaultKey -VaultName test-kv -Name test-key -Destination Software -KeyType EC

Vault/HSM Name : test-kv
Name           : test-key
Key Type       : EC
Key Size       :
Curve Name     : P-256
Version        : 4da74af2b4fd47d6b1aa0b05c9a2ed13
Id             : https://test-kv.vault.azure.net:443/keys/test-key/4da74af2b4fd47d6b1aa0b05c9a2ed13
Enabled        : True
Expires        :
Not Before     :
Created        : 8/24/2021 6:38:34 AM
Updated        : 8/24/2021 6:38:34 AM
Recovery Level : Recoverable+Purgeable
Tags           :

このコマンドは、test-kv という名前のキー コンテナーに test-key という名前のソフトウェアで保護された EC キーを作成します。 既定では、曲線名は P-256 です。

例 3: HSM で保護されたキーを作成する

Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITHsm' -Destination 'HSM'

Vault Name     : contoso
Name           : ITHsm
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITSoftware/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

このコマンドは、Contoso という名前のキー コンテナーに HSM で保護されたキーを作成します。

例 4: 既定値以外のキーを作成する

$KeyOperations = 'decrypt', 'verify'
$Expires = (Get-Date).AddYears(2).ToUniversalTime()
$NotBefore = (Get-Date).ToUniversalTime()
$Tags = @{'Severity' = 'high'; 'Accounting' = "true"}
Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITHsmNonDefault' -Destination 'HSM' -Expires $Expires -NotBefore $NotBefore -KeyOps $KeyOperations -Disable -Tag $Tags

Vault/HSM Name : contoso
Name           : ITHsmNonDefault
Key Type       : RSA
Key Size       : 2048
Version        : 929bfc14db84439b823ffd1bedadaf5f
Id             : https://contoso.vault.azure.net:443/keys/ITHsmNonDefault/929bfc14db84439b823ffd1bedadaf5f
Enabled        : False
Expires        : 5/21/2020 11:12:43 PM
Not Before     : 5/21/2018 11:12:50 PM
Created        : 5/21/2018 11:13:17 PM
Updated        : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags           : Name        Value
                 Severity    high
                 Accounting  true

最初のコマンドは、値の暗号化解除と検証を$KeyOperations変数に格納します。 2 番目のコマンドでは、Get-Date コマンドレットを使用して、UTC で定義された DateTime オブジェクトを作成します。 そのオブジェクトは、2 年後の時刻を指定します。 このコマンドは、その日付を $Expires 変数に格納します。 詳細を表示するには「Get-Help Get-Date」を入力します。 3 番目のコマンドは、Get-Date コマンドレットを使用して、DateTime オブジェクトを作成します。 そのオブジェクトは、現在の UTC 時刻を指定します。 このコマンドは、その日付を$NotBefore変数に格納します。 最後のコマンドは、HSM で保護されたキーである ITHsmNonDefault という名前のキーを作成します。 このコマンドは、$KeyOperations格納される許可されたキー操作の値を指定します。 このコマンドでは、前のコマンドで作成した Expires および NotBefore パラメーターの時刻と、重大度と IT の高いタグを指定します。 新しいキーは無効になっています。 これを有効にするには、 Set-AzKeyVaultKey コマンドレットを使用します。

例 5: HSM で保護されたキーをインポートする

Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITByok' -KeyFilePath 'C:\Contoso\ITByok.byok' -Destination 'HSM'

Vault Name     : contoso
Name           : ITByok
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITByok/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

このコマンドは、 KeyFilePath パラメーターが指定した場所から ITByok という名前のキーをインポートします。 インポートされたキーは、HSM で保護されたキーです。 独自のハードウェア セキュリティ モジュールからキーをインポートするには、まず、Azure Key Vault BYOK ツールセットを使用して BYOK パッケージ (.byok ファイル名拡張子を持つファイル) を生成する必要があります。 詳細については、「 Azure Key Vault の HSM で保護されたキーを生成および転送する方法を参照してください。

例 6: ソフトウェアで保護されたキーをインポートする

$Password = ConvertTo-SecureString -String "****" -AsPlainText -Force
Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITPfx' -KeyFilePath 'C:\Contoso\ITPfx.pfx' -KeyFilePassword $Password

Vault Name     : contoso
Name           : ITPfx
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITPfx/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

最初のコマンドは、 ConvertTo-SecureString コマンドレットを使用して文字列をセキュリティで保護された文字列に変換し、その文字列を$Password変数に格納します。 詳細を表示するには「Get-Help ConvertTo-SecureString」を入力します。 2 番目のコマンドは、Contoso キー コンテナーにソフトウェア パスワードを作成します。 このコマンドは、キーの場所と、$Passwordに格納されているパスワードを指定します。

例 7: キーをインポートして属性を割り当てる

$Password = ConvertTo-SecureString -String "****" -AsPlainText -Force
$Expires = (Get-Date).AddYears(2).ToUniversalTime()
$Tags = @{ 'Severity' = 'high'; 'Accounting' = "true" }
Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITPfxToHSM' -Destination 'HSM' -KeyFilePath 'C:\Contoso\ITPfx.pfx' -KeyFilePassword $Password -Expires $Expires -Tag $Tags

Vault Name     : contoso
Name           : ITPfxToHSM
Version        : 929bfc14db84439b823ffd1bedadaf5f
Id             : https://contoso.vault.azure.net:443/keys/ITPfxToHSM/929bfc14db84439b823ffd1bedadaf5f
Enabled        : True
Expires        : 5/21/2020 11:12:43 PM
Not Before     :
Created        : 5/21/2018 11:13:17 PM
Updated        : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags           : Name        Value
                 Severity    high
                 Accounting  true

最初のコマンドは、 ConvertTo-SecureString コマンドレットを使用して文字列をセキュリティで保護された文字列に変換し、その文字列を$Password変数に格納します。 2 番目のコマンドは、Get-Date コマンドレットを使用して DateTime オブジェクトを作成し、そのオブジェクトを $Expires 変数に格納します。 3 番目のコマンドは、重大度が高く IT 用のタグを設定する$tags変数を作成します。 最後のコマンドは、指定した場所から HSM キーとしてキーをインポートします。 このコマンドは、$Expiresに格納されている有効期限と、$Passwordに格納されているパスワードを指定し、$tagsに格納されているタグを適用します。

例 8: "Bring Your Own Key" (BYOK) 機能のキー交換キー (KEK) を生成する

$key = Add-AzKeyVaultKey -VaultName $vaultName -Name $keyName -Destination HSM -Size 2048 -KeyOps "import"

キー (キー交換キー (KEK) と呼ばれます) を生成します。 KEK は、インポート キー操作のみを持つ RSA-HSM キーである必要があります。 RSA-HSM キーは、Key Vault Premium SKU でのみサポートされます。 詳細については、https://learn.microsoft.com/azure/key-vault/keys/hsm-protected-keys を参照してください

例 9: マネージド HSM でセキュリティで保護されたキーを作成する

<# release_policy_template.json
{
  "anyOf": [
    {
      "allOf": [
        {
          "claim": "<claim name>",
          "equals": "<value to match>"
        }
      ],
      "authority": "<issuer>"
    }
  ],
  "version": "1.0.0"
}
#>
Add-AzKeyVaultKey -HsmName testmhsm -Name test-key -KeyType RSA -Exportable -ReleasePolicyPath release_policy.json

Vault/HSM Name : testmhsm
Name           : test-key
Key Type       : RSA
Key Size       : 2048
Curve Name     : 
Version        : ed6b026bf0a605042006635713d33ef6
Id             : https://testmhsm.managedhsm.azure.net:443/keys/test-key/ed6b026bf0a605042006635713d33ef6
Enabled        : True
Expires        : 
Not Before     : 
Created        : 6/2/2022 7:14:37 AM
Updated        : 6/2/2022 7:14:37 AM
Recovery Level : Recoverable+Purgeable
Release Policy : 
                 Content Type   : application/json; charset=utf-8
                 Policy Content : {"anyOf":[{"allOf":[{"claim":"x-ms-sgx-is-debuggable","equals":"true"}],"authority":"htt 
                 ps://sharedeus.eus.attest.azure.net/"}],"version":"1.0.0"}
                 Immutable      : False


Tags           :

testmhsm という名前のマネージド HSM にセキュリティで保護されたキーを作成します。 名前は test-key で、種類は RSA です。

例 10: 機密 VM のキーをキー コンテナーに追加します。

New-AzKeyVault -Name $keyVaultName -Location $location -ResourceGroupName $resourceGroupName -Sku Premium -EnablePurgeProtection -EnabledForDiskEncryption;
$cvmAgent = Get-AzADServicePrincipal -ApplicationId '00001111-aaaa-2222-bbbb-3333cccc4444';
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ResourceGroupName $resourceGroupName -ObjectId $cvmAgent.id -PermissionsToKeys get,release;

$keySize = 3072;
Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Size $keySize -KeyOps wrapKey,unwrapKey -KeyType RSA -Destination HSM -Exportable -UseDefaultCVMPolicy;

Vault/HSM Name : <Vault Name>
Name           : <Key Name>
Key Type       : RSA
Key Size       : 3072
Curve Name     :
Version        : <Version>
Id             : <Id>
Enabled        : True
Expires        :
Not Before     :
Created        : 9/9/2022 8:36:00 PM
Updated        : 9/9/2022 8:36:00 PM
Recovery Level : Recoverable
Release Policy :
                 Content Type   : application/json; charset=utf-8
                 Policy Content : <Policy Content>
                 Immutable      : False
Tags           :

パラメーター

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

型:SwitchParameter
Aliases:cf
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-CurveName

楕円曲線暗号化の曲線名を指定します。この値は、KeyType が EC の場合に有効です。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-DefaultProfile

Azure との通信に使用される資格情報、アカウント、テナント、サブスクリプション

型:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Destination

キーをソフトウェアで保護されたキーまたは HSM で保護されたキーとして Key Vault サービスに追加するかどうかを指定します。 有効な値は、HSM とソフトウェアです。 注: HSM を宛先として使用するには、HSM をサポートするキー コンテナーが必要です。 Azure Key Vault のサービス層と機能に関する詳細については、 Azure Key Vault 価格 Web サイトを参照してください。 このパラメーターは、新しいキーを作成するときに必要です。 KeyFilePath パラメーターを使用してキーをインポートする場合、このパラメーターは省略可能です。

  • このパラメーターを指定せず、このコマンドレットが .byok ファイル名拡張子を持つキーをインポートすると、そのキーが HSM で保護されたキーとしてインポートされます。 コマンドレットでは、そのキーをソフトウェアで保護されたキーとしてインポートできません。
  • このパラメーターを指定せず、このコマンドレットが .pfx ファイル名拡張子を持つキーをインポートすると、キーがソフトウェアで保護されたキーとしてインポートされます。
型:String
指定可能な値:HSM, Software, HSM, Software
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Disable

追加するキーが初期状態の無効に設定されていることを示します。 キーを使用しようとすると失敗します。 後で有効にするキーをプリロードする場合は、このパラメーターを使用します。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Expires

このコマンドレットが追加するキーの DateTime オブジェクトとして、キーの有効期限を UTC で指定します。 指定しない場合、キーの有効期限は切れなくなります。 DateTime オブジェクトを取得するには、Get-Date コマンドレットを使用します。 詳細を表示するには「Get-Help Get-Date」を入力します。 BYOK プロセスで使用されるキー交換キーの有効期限は無視されます。

型:Nullable<T>[DateTime]
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Exportable

秘密キーをエクスポートできるかどうかを示します。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-HsmName

HSM 名。 コマンドレットは、名前と現在選択されている環境に基づいて、マネージド HSM の FQDN を構築します。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-HsmObject

HSM オブジェクト。

型:PSManagedHsm
配置:0
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-HsmResourceId

HSM のリソース ID。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-Immutable

リリース ポリシーを変更できない状態として設定します。 変更不可としてマークされると、このフラグをリセットできず、どのような状況でもポリシーを変更することはできません。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-InputObject

コンテナー オブジェクト。

型:PSKeyVault
配置:0
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-KeyFilePassword

インポートされたファイルのパスワードを SecureString オブジェクトとして指定します。 SecureString オブジェクトを取得するには、ConvertTo-SecureString コマンドレットを使用します。 詳細を表示するには「Get-Help ConvertTo-SecureString」を入力します。 .pfx ファイル名拡張子を持つファイルをインポートするには、このパスワードを指定する必要があります。

型:SecureString
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-KeyFilePath

このコマンドレットがインポートするキー マテリアルを含むローカル ファイルのパスを指定します。 有効なファイル名拡張子は .byok と .pfx です。

  • ファイルが .byok ファイルの場合、キーはインポート後に HSM によって自動的に保護されるため、この既定値をオーバーライドすることはできません。
  • ファイルが .pfx ファイルの場合、キーはインポート後にソフトウェアによって自動的に保護されます。 この既定値をオーバーライドするには、キーが HSM で保護されるように、 Destination パラメーターを HSM に設定します。 このパラメーターを指定する場合、 Destination パラメーターは省略可能です。
型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-KeyOps

このコマンドレットが追加するキーを使用して実行できる操作の配列を指定します。 このパラメーターを指定しない場合、すべての操作を実行できます。 このパラメーターの値には、JSON Web Key (JWK) 仕様で定義されたキー操作のリストをコンマ区切りで指定できます。

  • encrypt
  • 復号化
  • wrapKey
  • unwrapKey
  • sign
  • verify
  • import (KEK のみ、例 7 を参照)
型:String[]
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-KeyType

このキーのキーの種類を指定します。 BYOK キーをインポートする場合、既定では "RSA" になります。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Name

キー コンテナーに追加するキーの名前を指定します。 このコマンドレットは、このパラメーターが指定する名前、キー コンテナーの名前、および現在の環境に基づいて、キーの完全修飾ドメイン名 (FQDN) を構築します。 名前は、長さが 1 ~ 63 文字の文字列で、0 ~ 9 文字、a ~ z 文字、A ~ Z 文字、および - (ダッシュ記号) のみを含む必要があります。

型:String
Aliases:KeyName
配置:1
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-NotBefore

キーを使用できない時刻を DateTime オブジェクトとして指定します。 このパラメーターは UTC を使用します。 DateTime オブジェクトを取得するには、Get-Date コマンドレットを使用します。 このパラメーターを指定しない場合は、キーをすぐに使用できます。

型:Nullable<T>[DateTime]
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-ReleasePolicyPath

JSON ポリシー定義を含むファイルへのパス。 キーをエクスポートできるポリシー ルール。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-ResourceId

コンテナー リソース ID。

型:String
配置:0
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-Size

RSA キー サイズ (ビット単位)。 指定しない場合、サービスは安全な既定値を提供します。

型:Nullable<T>[Int32]
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Tag

ハッシュ テーブルの形式のキーと値のペア。 例: @{key0="value0";key1=$null;key2="value2"}

型:Hashtable
Aliases:Tags
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-UseDefaultCVMPolicy

CVM ディスク暗号化のためにキーをエクスポートできる既定のポリシーを使用するように指定します。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-VaultName

このコマンドレットがキーを追加するキー コンテナーの名前を指定します。 このコマンドレットは、このパラメーターが指定する名前と現在の環境に基づいて、キー コンテナーの FQDN を構築します。

型:String
配置:0
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-WhatIf

コマンドレットの実行時に発生する内容を示します。 このコマンドレットは実行されません。

型:SwitchParameter
Aliases:wi
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

入力

PSKeyVault

PSManagedHsm

String

出力

PSKeyVaultKey