你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

az keyvault key

管理密钥。

命令

名称 说明 类型 Status
az keyvault key backup

请求将指定密钥的备份下载到客户端。

核心 GA
az keyvault key create

创建新密钥,存储它,然后将密钥参数和属性返回到客户端。

核心 GA
az keyvault key decrypt

解密单个加密数据块。

核心 预览
az keyvault key delete

从保管库或 HSM 中的存储中删除任何类型的密钥。

核心 GA
az keyvault key download

下载存储密钥的公共部分。

核心 GA
az keyvault key encrypt

使用存储在保管库或 HSM 中的加密密钥加密任意字节序列。

核心 预览
az keyvault key get-policy-template

将策略模板作为 JSON 编码的策略定义返回。

核心 预览
az keyvault key import

导入私钥。

核心 GA
az keyvault key list

列出指定保管库或 HSM 中的密钥。

核心 GA
az keyvault key list-deleted

列出指定的保管库或 HSM 中的已删除密钥。

核心 GA
az keyvault key list-versions

列出密钥版本的标识符和属性。

核心 GA
az keyvault key purge

永久删除指定的密钥。

核心 GA
az keyvault key random

从托管 HSM 获取请求的随机字节数。

核心 GA
az keyvault key recover

将已删除的密钥恢复到其最新版本。

核心 GA
az keyvault key restore

将备份的密钥还原到保管库或 HSM。

核心 GA
az keyvault key rotate

通过生成密钥的新版本来根据密钥策略轮换密钥。

核心 GA
az keyvault key rotation-policy

管理密钥的轮换策略。

核心 GA
az keyvault key rotation-policy show

获取密钥库密钥的轮换策略。

核心 GA
az keyvault key rotation-policy update

更新密钥库密钥的轮换策略。

核心 GA
az keyvault key set-attributes

更新密钥操作会更改存储密钥的指定属性,并可以应用于保管库或 HSM 中存储的任何密钥类型和密钥版本。

核心 GA
az keyvault key show

获取密钥的属性,如果是非对称密钥,则获取其公共材料。

核心 GA
az keyvault key show-deleted

获取已删除密钥的公共部分。

核心 GA
az keyvault key sign

使用存储在保管库或 HSM 中的密钥从摘要创建签名。

核心 GA
az keyvault key verify

使用保管库或 HSM 中存储的密钥验证签名。

核心 GA

az keyvault key backup

请求将指定密钥的备份下载到客户端。

密钥备份操作以受保护的形式从保管库或 HSM 导出密钥。 请注意,此操作不会以可在保管库或 HSM 系统外部使用的形式返回密钥材料,返回的密钥材料要么受到 HSM 的保护,要么保护到保管库本身。 此操作的目的是允许客户端在一个保管库或 HSM 实例中生成密钥,备份密钥,然后将其还原到另一个保管库或 HSM 实例中。 BACKUP 操作可用于从保管库或 HSM 导出任何密钥类型(采用受保护形式)。 无法备份单个版本的密钥。 BACKUP/RESTORE 只能在地理边界内执行;这意味着无法将一个地理区域中的 BACKUP 还原到另一个地理区域。 例如,不能在欧盟地理区域中还原来自美国地理区域的备份。 此操作需要密钥/备份权限。

az keyvault key backup --file
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

必需参数

--file -f

用于存储密钥备份的本地文件路径。

可选参数

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key create

创建新密钥,存储它,然后将密钥参数和属性返回到客户端。

创建密钥操作可用于在保管库或 HSM 中创建任何密钥类型。 如果命名密钥已存在,保管库或 HSM 将创建密钥的新版本。 它需要密钥/创建权限。

az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--policy]
                       [--protection {hsm, software}]
                       [--size]
                       [--tags]
                       [--vault-name]

可选参数

--curve

椭圆曲线名称。 有关有效值,请参阅: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename.

接受的值: P-256, P-256K, P-384, P-521
--default-cvm-policy

使用可导出密钥的默认策略进行 CVM 磁盘加密。

默认值: False
--disabled

创建处于禁用状态的密钥。

接受的值: false, true
默认值: False
--expires

到期 UTC 日期时间(Y-m-d'T'H:M:S'Z')。

--exportable

是否可以导出私钥。 若要使用发布策略创建密钥,“可导出”必须是 true,调用方必须具有“导出”权限。

接受的值: false, true
--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--immutable

将发布策略标记为不可变。 在标记为不可变后,无法更改或更新不可变发布策略。 默认情况下,发布策略是可变的。

接受的值: false, true
--kty

要创建的密钥类型。 有关有效值,请参阅: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype.

接受的值: EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM
--name -n

密钥的名称。 如果未指定 --id,则为必需。

--not-before

在提供的 UTC 日期/时间(Y-m-d'T'H:M:S'Z')之前无法使用密钥。

--ops

允许的 JSON Web 密钥操作的空间分隔列表。

接受的值: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

可以导出密钥的策略规则。 策略定义为 JSON,或包含 JSON 策略定义的文件的路径。

--protection -p

指定密钥保护的类型。

接受的值: hsm, software
--size

密钥的大小(以位为单位)。 例如:RSA 的 2048、3072 或 4096。 128、192 或 256(10 月)。

--tags

空格分隔标记:key[=value] [key[=value] ...]。使用“”清除现有标记。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key decrypt

预览

此命令处于预览阶段,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus

解密单个加密数据块。

DECRYPT 操作使用目标加密密钥和指定的算法解密格式正确的密码文本块。 此操作是 ENCRYPT 操作的反向操作;只能解密单个数据块,此块的大小取决于目标密钥和要使用的算法。 DECRYPT 操作适用于保管库或 HSM 中存储的非对称密钥,因为它使用密钥的专用部分。 此操作需要密钥/解密权限。

az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--tag]
                        [--vault-name]
                        [--version]

示例

使用 RSA-OAEP 通过保管库密钥解密值(加密命令返回的 Base64 编码字符串),并获取 base64 编码的结果。

az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="

使用 AES-GCM 通过 MHSM 的密钥解密值(加密命令返回的 Base64 编码字符串),并获取纯文本形式的结果。

az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"

必需参数

--algorithm -a

算法标识符。

接受的值: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

要解密的值,应为“az keyvault encrypt”的结果。

可选参数

--aad

经过身份验证但未加密的可选数据。 用于 AES-GCM 解密。

--data-type

原始数据的类型。

接受的值: base64, plaintext
默认值: base64
--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--iv

加密期间使用的初始化向量。 AES 解密所必需的。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--tag

加密期间生成的身份验证标记。 仅 AES-GCM 解密所必需的。

--vault-name

保管库的名称。

--version -v

密钥版本。 如果省略,请使用最新版本。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key delete

从保管库或 HSM 中的存储中删除任何类型的密钥。

删除密钥操作不能用于删除单个版本的密钥。 此操作将删除与密钥关联的加密材料,这意味着密钥不适用于 Sign/Verify、Wrap/Unwrap 或 Encrypt/Decrypt 操作。 此操作需要 keys/delete 权限。

az keyvault key delete [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

可选参数

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key download

下载存储密钥的公共部分。

az keyvault key download --file
                         [--encoding {DER, PEM}]
                         [--hsm-name]
                         [--id]
                         [--name]
                         [--vault-name]
                         [--version]

示例

使用 PEM 编码保存密钥。

az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pem

使用 DER 编码保存密钥。

az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.der

必需参数

--file -f

要接收密钥内容的文件。

可选参数

--encoding -e

密钥的编码,默认值:PEM。

接受的值: DER, PEM
默认值: PEM
--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

--version -v

密钥版本。 如果省略,请使用最新版本。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key encrypt

预览

此命令处于预览阶段,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus

使用存储在保管库或 HSM 中的加密密钥加密任意字节序列。

ENCRYPT 操作使用存储在保管库或 HSM 中的加密密钥来加密任意字节序列。 请注意,ENCRYPT 操作仅支持单个数据块,其大小取决于目标密钥和要使用的加密算法。 ENCRYPT 操作仅适用于存储在 Vault pr HSM 中的对称密钥,因为可以使用密钥的公共部分执行使用非对称密钥的保护。 对于具有密钥引用但无权访问公钥材料的调用方来说,非对称密钥支持此操作。 此操作需要密钥/加密权限。

az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--vault-name]
                        [--version]

示例

使用 RSA-OAEP 通过保管库密钥加密值(Base64 编码字符串)。

az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64

使用 AES-GCM 通过 MHSM 的密钥加密值(纯文本)。

az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"

必需参数

--algorithm -a

算法标识符。

接受的值: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

要加密的值。 默认数据类型为 Base64 编码字符串。

可选参数

--aad

经过身份验证但未加密的可选数据。 用于 AES-GCM 加密。

--data-type

原始数据的类型。

接受的值: base64, plaintext
默认值: base64
--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--iv

初始化向量。 仅需要 AES-CBC(PAD) 加密。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

--version -v

密钥版本。 如果省略,请使用最新版本。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key get-policy-template

预览

此命令处于预览阶段,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus

将策略模板作为 JSON 编码的策略定义返回。

az keyvault key get-policy-template
全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key import

导入私钥。

支持从 PEM 文件或字符串导入 base64 编码的私钥。 支持将 BYOK 密钥导入 HSM 以用于高级密钥保管库。

az keyvault key import [--byok-file]
                       [--byok-string]
                       [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, RSA, oct}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--pem-file]
                       [--pem-password]
                       [--pem-string]
                       [--policy]
                       [--protection {hsm, software}]
                       [--tags]
                       [--vault-name]

可选参数

--byok-file

包含要导入的密钥的 BYOK 文件。 不得受密码保护。

--byok-string

包含要导入的键的 BYOK 字符串。 不得受密码保护。

--curve

要导入的键的曲线名称(仅适用于 BYOK)。

接受的值: P-256, P-256K, P-384, P-521
--default-cvm-policy

使用可导出密钥的默认策略进行 CVM 磁盘加密。

默认值: False
--disabled

创建处于禁用状态的密钥。

接受的值: false, true
默认值: False
--expires

到期 UTC 日期时间(Y-m-d'T'H:M:S'Z')。

--exportable

是否可以导出私钥。 若要使用发布策略创建密钥,“可导出”必须是 true,调用方必须具有“导出”权限。

接受的值: false, true
--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--immutable

将发布策略标记为不可变。 在标记为不可变后,无法更改或更新不可变发布策略。 默认情况下,发布策略是可变的。

接受的值: false, true
--kty

要导入的键的类型(仅适用于 BYOK)。

接受的值: EC, RSA, oct
默认值: RSA
--name -n

密钥的名称。 如果未指定 --id,则为必需。

--not-before

在提供的 UTC 日期/时间(Y-m-d'T'H:M:S'Z')之前无法使用密钥。

--ops

允许的 JSON Web 密钥操作的空间分隔列表。

接受的值: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--pem-file

包含要导入的密钥的 PEM 文件。

--pem-password

PEM 文件的密码。

--pem-string

包含要导入的密钥的 PEM 字符串。

--policy

可以导出密钥的策略规则。 策略定义为 JSON,或包含 JSON 策略定义的文件的路径。

--protection -p

指定密钥保护的类型。

接受的值: hsm, software
--tags

空格分隔标记:key[=value] [key[=value] ...]。使用“”清除现有标记。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key list

列出指定保管库或 HSM 中的密钥。

检索保管库或 HSM 中包含存储密钥的公共部分的 JSON Web 密钥结构的列表。 LIST 操作适用于所有密钥类型,但响应中仅提供基键标识符、属性和标记。 响应中未列出密钥的各个版本。 此操作需要密钥/列表权限。

az keyvault key list [--hsm-name]
                     [--id]
                     [--include-managed {false, true}]
                     [--maxresults]
                     [--vault-name]

可选参数

--hsm-name

HSM 的名称。 如果指定了 --id,则可以省略。

--id

保管库或 HSM 的完整 URI。 如果指定了所有其他“Id”参数,则应省略。

--include-managed

包括托管密钥。

接受的值: false, true
默认值: False
--maxresults

要返回的结果数上限。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key list-deleted

列出指定的保管库或 HSM 中的已删除密钥。

检索保管库或 HSM 中包含已删除密钥的公共部分的 JSON Web 密钥结构的列表。 此操作包括特定于删除的信息。 “获取已删除密钥”操作适用于启用软删除的保管库。 虽然可以在任何保管库或 HSM 上调用该操作,但如果在未启用软删除的保管库或 HSM 上调用,它将返回错误。 此操作需要密钥/列表权限。

az keyvault key list-deleted [--hsm-name]
                             [--id]
                             [--maxresults]
                             [--vault-name]

可选参数

--hsm-name

HSM 的名称。 如果指定了 --id,则可以省略。

--id

保管库或 HSM 的完整 URI。 如果指定了所有其他“Id”参数,则应省略。

--maxresults

要返回的结果数上限。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key list-versions

列出密钥版本的标识符和属性。

需要密钥/列表权限。

az keyvault key list-versions [--hsm-name]
                              [--id]
                              [--maxresults]
                              [--name]
                              [--vault-name]

可选参数

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--maxresults

要返回的结果数上限。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key purge

永久删除指定的密钥。

清除删除的密钥操作适用于启用软删除的保管库或 HSM。 虽然可以在任何保管库或 HSM 上调用该操作,但如果在未启用软删除的保管库或 HSM 上调用,它将返回错误。 此操作需要密钥/清除权限。

az keyvault key purge [--hsm-name]
                      [--id]
                      [--name]
                      [--vault-name]

可选参数

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的恢复 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key random

从托管 HSM 获取请求的随机字节数。

az keyvault key random --count
                       [--hsm-name]
                       [--id]

必需参数

--count

请求的随机字节数。

可选参数

--hsm-name

HSM 的名称。

--id

HSM 的完整 URI。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key recover

将已删除的密钥恢复到其最新版本。

恢复已删除的密钥操作适用于已启用软删除的保管库或 HSM 中的已删除密钥。 它将已删除的密钥恢复到 /keys 下的最新版本。 尝试恢复未删除的密钥将返回错误。 请考虑对已启用软删除的保管库或 HSM 执行删除操作的反函数。 此操作需要密钥/恢复权限。

az keyvault key recover [--hsm-name]
                        [--id]
                        [--name]
                        [--vault-name]

可选参数

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的恢复 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key restore

将备份的密钥还原到保管库或 HSM。

将以前备份的密钥导入保管库或 HSM,还原密钥、密钥标识符、属性和访问控制策略。 RESTORE 操作可用于导入以前备份的密钥。 无法还原单个版本的密钥。 密钥完整还原,其密钥名称与备份时具有相同的密钥名称。 如果目标密钥库中没有密钥名称,则 RESTORE 操作将被拒绝。 在还原期间保留密钥名称时,如果密钥还原到其他保管库或 HSM,最终密钥标识符将更改。 还原将还原所有版本并保留版本标识符。 RESTORE 操作受安全约束的约束。 目标保管库或 HSM 必须拥有与源保管库或 HSM 相同的 Microsoft Azure 订阅。 用户必须在目标保管库或 HSM 中具有 RESTORE 权限。 此操作需要密钥/还原权限。

az keyvault key restore [--backup-folder]
                        [--blob-container-name]
                        [--file]
                        [--hsm-name]
                        [--id]
                        [--name]
                        [--no-wait]
                        [--storage-account-name]
                        [--storage-container-SAS-token]
                        [--storage-resource-uri]
                        [--vault-name]

可选参数

--backup-folder

包含备份的 Blob 容器的名称。

--blob-container-name

Blob 容器的名称。

--file -f

从中还原密钥的本地密钥备份。

--hsm-name

HSM 的名称。 如果指定了 --id,则可以省略。

--id

保管库或 HSM 的完整 URI。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 (仅适用于从存储帐户还原)。

--no-wait

不等待长时间运行的操作完成。

默认值: False
--storage-account-name

Azure 存储帐户的名称。

--storage-container-SAS-token -t

指向 Azure Blob 存储容器的 SAS 令牌。

--storage-resource-uri -u

Azure Blob 存储容器 URI。 如果指定,则应省略所有其他“存储 ID”参数。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key rotate

通过生成密钥的新版本来根据密钥策略轮换密钥。

az keyvault key rotate [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

可选参数

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key set-attributes

更新密钥操作会更改存储密钥的指定属性,并可以应用于保管库或 HSM 中存储的任何密钥类型和密钥版本。

若要执行此操作,密钥必须已存在于保管库或 HSM 中。 无法更改密钥本身的加密材料。 此操作需要密钥/更新权限。

az keyvault key set-attributes [--enabled {false, true}]
                               [--expires]
                               [--hsm-name]
                               [--id]
                               [--immutable {false, true}]
                               [--name]
                               [--not-before]
                               [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                               [--policy]
                               [--tags]
                               [--vault-name]
                               [--version]

可选参数

--enabled

启用密钥。

接受的值: false, true
--expires

到期 UTC 日期时间(Y-m-d'T'H:M:S'Z')。

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--immutable

将发布策略标记为不可变。 在标记为不可变后,无法更改或更新不可变发布策略。 默认情况下,发布策略是可变的。

接受的值: false, true
--name -n

密钥的名称。 如果未指定 --id,则为必需。

--not-before

在提供的 UTC 日期/时间(Y-m-d'T'H:M:S'Z')之前无法使用密钥。

--ops

允许的 JSON Web 密钥操作的空间分隔列表。

接受的值: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

可以导出密钥的策略规则。 策略定义为 JSON,或包含 JSON 策略定义的文件的路径。

--tags

空格分隔标记:key[=value] [key[=value] ...]。使用“”清除现有标记。

--vault-name

保管库的名称。

--version -v

密钥版本。 如果省略,请使用最新版本。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key show

获取密钥的属性,如果是非对称密钥,则获取其公共材料。

需要密钥/获取权限。

az keyvault key show [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

可选参数

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

--version -v

密钥版本。 如果省略,请使用最新版本。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key show-deleted

获取已删除密钥的公共部分。

“获取删除的密钥”操作适用于启用软删除的保管库或 HSM。 虽然可以在任何保管库或 HSM 上调用该操作,但如果在未启用软删除的保管库或 HSM 上调用,它将返回错误。 此操作需要密钥/获取权限。

az keyvault key show-deleted [--hsm-name]
                             [--id]
                             [--name]
                             [--vault-name]

可选参数

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key sign

使用存储在保管库或 HSM 中的密钥从摘要创建签名。

az keyvault key sign --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                     --digest
                     [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

示例

使用 keyvault 的密钥从摘要创建签名。

az keyvault key sign --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012"

必需参数

--algorithm -a

算法标识符。

接受的值: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

要签名的值。

可选参数

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

--version -v

密钥版本。 如果省略,请使用最新版本。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault key verify

使用保管库或 HSM 中存储的密钥验证签名。

az keyvault key verify --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                       --digest
                       --signature
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]
                       [--version]

示例

使用 keyvault 的密钥验证签名。

az keyvault key verify --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012" --signature XXXYYYZZZ

必需参数

--algorithm -a

算法标识符。

接受的值: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

要签名的值。

--signature

要验证的签名。

可选参数

--hsm-name

HSM 的名称。 (--hsm-name 和 --vault-name 互斥,请只指定其中一个)。

--id

密钥的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

密钥的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。

--version -v

密钥版本。 如果省略,请使用最新版本。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。