你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
az keyvault
管理 KeyVault 密钥、机密和证书。
命令
az keyvault check-name
检查给定的名称是否有效且尚未使用。
az keyvault check-name --name
[--resource-type {hsm}]必需参数
指定资源组中的 HSM 的名称。
可选参数
资源的类型。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault create
创建保管库或 HSM。
如果未 --enable-rbac-authorization 指定,则为当前用户或服务主体创建默认权限,除非指定了 --no-self-perms 标志。
az keyvault create --resource-group
[--administrators]
[--bypass {AzureServices, None}]
[--default-action {Allow, Deny}]
[--enable-purge-protection {false, true}]
[--enable-rbac-authorization {false, true}]
[--enabled-for-deployment {false, true}]
[--enabled-for-disk-encryption {false, true}]
[--enabled-for-template-deployment {false, true}]
[--hsm-name]
[--location]
[--mi-user-assigned]
[--name]
[--network-acls]
[--network-acls-ips]
[--network-acls-vnets]
[--no-self-perms {false, true}]
[--no-wait]
[--public-network-access {Disabled, Enabled}]
[--retention-days]
[--sku]
[--tags]示例
使用指定的网络 ACL 创建密钥保管库(使用 --network-acls 通过 JSON 字符串指定 IP 和 VNet 规则)。
az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup --network-acls "{\"ip\": [\"1.2.3.4\", \"2.3.4.0/24\"], \"vnet\": [\"vnet_name_1/subnet_name1\", \"vnet_name_2/subnet_name2\", \"/subscriptions/000000-0000-0000/resourceGroups/MyResourceGroup/providers/Microsoft.Network/virtualNetworks/MyVNet/subnets/MySubnet\"]}"使用指定的网络 ACL 创建密钥保管库(使用 --network-acls 通过 JSON 文件指定 IP 和 VNet 规则)。
az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup --network-acls network-acls-example.json使用指定的网络 ACL 创建密钥保管库(使用 --network-acls-ips 指定 IP 规则)。
az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup --network-acls-ips 3.4.5.0/24 4.5.6.0/24使用指定的网络 ACL 创建密钥保管库(使用 --network-acls-vnet 指定 VNet 规则)。
az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup --network-acls-vnets vnet_name_2/subnet_name_2 vnet_name_3/subnet_name_3 /subscriptions/000000-0000-0000/resourceGroups/MyResourceGroup/providers/Microsoft.Network/virtualNetworks/vnet_name_4/subnets/subnet_name_4使用指定的网络 ACL 创建密钥保管库(使用 --network-acls、-network-acls-ips 和 --network-acls-vnet),将删除冗余规则,最后将有 4 个 IP 规则和 3 个 VNet 规则。
az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup --network-acls "{\"ip\": [\"1.2.3.4\", \"2.3.4.0/24\"], \"vnet\": [\"vnet_name_1/subnet_name1\", \"vnet_name_2/subnet_name2\"]}" --network-acls-ips 3.4.5.0/24 4.5.6.0/24 --network-acls-vnets vnet_name_2/subnet_name_2 vnet_name_3/subnet_name_3 /subscriptions/000000-0000-0000/resourceGroups/MyResourceGroup/providers/Microsoft.Network/virtualNetworks/vnet_name_4/subnets/subnet_name_4创建密钥保管库。 (自动生成)
az keyvault create --location westus2 --name MyKeyVault --resource-group MyResourceGroup必需参数
资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。
可选参数
[仅 HSM]托管 HSM 的数据平面操作的管理员角色。 它接受将分配的 OID 的空间分隔列表。
绕过空间分隔用途的流量。
如果未匹配规则,则应用的默认操作。
指定是否为此保管库/托管 HSM 池启用了针对清除的保护的属性。 将此属性设置为 true 可激活针对此保管库/托管 HSM 池及其内容的清除保护 - 只有 密钥库/托管 HSM 服务才能启动难以恢复的删除。 仅当启用软删除时,此设置才有效。 启用此功能不可逆。
用于控制如何授权数据操作的属性。 如果为 true,密钥保管库将使用基于角色的访问控制 (RBAC)来授权数据操作,并且将忽略保管库属性中指定的访问策略。 如果为 false,密钥保管库将使用保管库属性中指定的访问策略,并且将忽略 Azure 资源管理器上存储的任何策略。 如果为 null 或未指定,则会使用默认值 true 创建保管库。 请注意,管理操作始终使用 RBAC 进行授权。
[仅保管库]用于指定是否允许 Azure 虚拟机从密钥保管库检索存储为机密的证书的属性。
[仅保管库]用于指定是否允许Azure 磁盘加密从保管库检索机密和解包密钥的属性。
[仅保管库]用于指定是否允许 Azure 资源管理器从密钥保管库检索机密的属性。
HSM 的名称。 (--hsm-name 和 --name/-n 互斥,请只指定其中一个)。
Location。 az account list-locations 中的值。 可以使用 az configure --defaults location=<location> 配置默认位置。
[仅 HSM]为托管 HSM 启用用户分配的托管标识。 接受标识资源 ID 的空间分隔列表。
保管库的名称。
网络 ACL。 它接受 JSON 文件名或 JSON 字符串。 JSON 格式: {\"ip\":[<ip1>, <ip2>...],\"vnet\":[<vnet_name_1>/<subnet_name_1>,<subnet_id2>...]}.
网络 ACL IP 规则。 以空格分隔的 IP 地址列表。
网络 ACLS VNet 规则。 Vnet/子网对或子网资源 ID 的空间分隔列表。
[仅保管库]不要在新保管库中添加当前用户/服务主体的权限。
不等待长时间运行的操作完成。
启用专用终结点时,控制来自公用网络的数据平面流量的权限。
软删除数据保留天数。 它接受 >=7 和 <=90。 对于 keyvault 创建,默认值为 90。 创建 MHSM 时是必需的。
必需。 SKU 详细信息。 保管库允许的值:高级、标准。 默认值:标准。 HSM 允许的值:Standard_B1,Custom_B32。 默认值:Standard_B1。
空格分隔标记:key[=value] [key[=value] ...]。使用“”清除现有标记。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault delete
删除保管库或 HSM。
az keyvault delete [--hsm-name]
[--name]
[--no-wait]
[--resource-group]示例
删除密钥保管库。 (自动生成)
az keyvault delete --name MyKeyVault --resource-group MyResourceGroup可选参数
HSM 的名称。 (--hsm-name 和 --name/-n 互斥,请只指定其中一个)。
保管库的名称。
不等待长时间运行的操作完成。
仅当密钥库属于指定的资源组时继续。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault delete-policy
删除密钥库的安全策略设置。
az keyvault delete-policy --name
[--application-id]
[--no-wait]
[--object-id]
[--resource-group]
[--spn]
[--upn]必需参数
保管库的名称。
可选参数
代表主体发出请求的客户端的应用程序 ID。 使用代理身份验证流公开用于复合标识。
不等待长时间运行的操作完成。
标识将接收权限的主体的 GUID。
仅当密钥库属于指定的资源组时继续。
将接收权限的服务主体的名称。
将接收权限的用户主体的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault list
列出保管库和/或 HSM。
az keyvault list [--resource-group]
[--resource-type]可选参数
资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。
当 --resource-type 不存在时,命令将列出所有保管库和 HSM。 --resource-type 的可能值为保管库和 hsm。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault list-deleted
获取有关订阅中已删除的保管库或 HSM 的信息。
az keyvault list-deleted [--resource-type]可选参数
当 --resource-type 不存在时,命令将列出所有已删除的保管库和 HSM。 --resource-type 的可能值为保管库和 hsm。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault purge
永久删除指定的保管库或 HSM。 Aka 清除已删除的保管库或 HSM。
az keyvault purge [--hsm-name]
[--location]
[--name]
[--no-wait]可选参数
已删除的 HSM 的名称。 (--hsm-name 和 --name/-n 互斥,请只指定其中一个)。
已删除的保管库或 HSM 的位置。
已删除的保管库的名称。
不等待长时间运行的操作完成。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault recover
恢复保管库或 HSM。
恢复以前删除的保管库或已启用软删除的 HSM。
az keyvault recover [--hsm-name]
[--location]
[--name]
[--no-wait]
[--resource-group]示例
恢复密钥保管库。 (自动生成)
az keyvault recover --location westus2 --name MyKeyVault --resource-group MyResourceGroup可选参数
已删除的 HSM 的名称。 (--hsm-name 和 --name/-n 互斥,请只指定其中一个)。
已删除的保管库或 HSM 的位置。
已删除的保管库的名称。
不等待长时间运行的操作完成。
已删除的保管库或 HSM 的资源组。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault set-policy
更新密钥库的安全策略设置。
az keyvault set-policy --name
[--application-id]
[--certificate-permissions {all, backup, create, delete, deleteissuers, get, getissuers, import, list, listissuers, managecontacts, manageissuers, purge, recover, restore, setissuers, update}]
[--key-permissions {all, backup, create, decrypt, delete, encrypt, get, getrotationpolicy, import, list, purge, recover, release, restore, rotate, setrotationpolicy, sign, unwrapKey, update, verify, wrapKey}]
[--no-wait]
[--object-id]
[--resource-group]
[--secret-permissions {all, backup, delete, get, list, purge, recover, restore, set}]
[--spn]
[--storage-permissions {all, backup, delete, deletesas, get, getsas, list, listsas, purge, recover, regeneratekey, restore, set, setsas, update}]
[--upn]示例
将密钥权限“get”、“list”、“import”和机密权限“backup”、“restore”分配给对象 ID。
az keyvault set-policy -n MyVault --key-permissions get list import --secret-permissions backup restore --object-id {GUID}将密钥权限“get”、“list”分配给 UPN(用户主体名称)。
az keyvault set-policy -n MyVault --key-permissions get list --upn {UPN}将密钥权限“get”、“list”分配给 SPN(服务主体名称)。
az keyvault set-policy -n MyVault --key-permissions get list --spn {SPN}必需参数
保管库的名称。
可选参数
代表主体发出请求的客户端的应用程序 ID。 使用代理身份验证流公开用于复合标识。
要分配的证书权限的空间分隔列表。
要分配的密钥权限的空间分隔列表。
不等待长时间运行的操作完成。
标识将接收权限的主体的 GUID。
仅当密钥库属于指定的资源组时继续。
要分配的机密权限的空格分隔列表。
将接收权限的服务主体的名称。
要分配的存储权限的空间分隔列表。
将接收权限的用户主体的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault show
显示保管库或 HSM 的详细信息。
az keyvault show [--hsm-name]
[--name]
[--resource-group]示例
显示密钥保管库的详细信息。 (自动生成)
az keyvault show --name MyKeyVault可选参数
HSM 的名称。 (--hsm-name 和 --name/-n 互斥,请只指定其中一个)。
保管库的名称。
仅当密钥库属于指定的资源组时继续。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault show-deleted
显示已删除的保管库或 HSM 的详细信息。
az keyvault show-deleted [--hsm-name]
[--location]
[--name]示例
显示已删除的密钥保管库的详细信息。
az keyvault show-deleted --name MyKeyVault可选参数
已删除的 HSM 的名称。 (--hsm-name 和 --name/-n 互斥,请只指定其中一个)。
已删除的保管库或 HSM 的位置。
已删除的保管库的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault update
更新保管库的属性。
az keyvault update --name
[--add]
[--bypass {AzureServices, None}]
[--default-action {Allow, Deny}]
[--enable-purge-protection {false, true}]
[--enable-rbac-authorization {false, true}]
[--enabled-for-deployment {false, true}]
[--enabled-for-disk-encryption {false, true}]
[--enabled-for-template-deployment {false, true}]
[--force-string]
[--no-wait]
[--public-network-access {Disabled, Enabled}]
[--remove]
[--resource-group]
[--retention-days]
[--set]示例
更新保管库的属性。 (自动生成)
az keyvault update --enabled-for-disk-encryption true --name MyKeyVault --resource-group MyResourceGroup必需参数
保管库的名称。
可选参数
通过指定路径和键值对将对象添加到对象列表。 示例:--add property.listProperty <key=value, string or JSON string>。
绕过空间分隔用途的流量。
如果未匹配规则,则应用的默认操作。
指定是否为此保管库/托管 HSM 池启用了针对清除的保护的属性。 将此属性设置为 true 可激活针对此保管库/托管 HSM 池及其内容的清除保护 - 只有 密钥库/托管 HSM 服务才能启动难以恢复的删除。 仅当启用软删除时,此设置才有效。 启用此功能不可逆。
用于控制如何授权数据操作的属性。 如果为 true,密钥保管库将使用基于角色的访问控制 (RBAC)来授权数据操作,并且将忽略保管库属性中指定的访问策略。 如果为 false,密钥保管库将使用保管库属性中指定的访问策略,并且将忽略 Azure 资源管理器上存储的任何策略。 如果为 null 或未指定,则会使用默认值 true 创建保管库。 请注意,管理操作始终使用 RBAC 进行授权。
[仅保管库]用于指定是否允许 Azure 虚拟机从密钥保管库检索存储为机密的证书的属性。
[仅保管库]用于指定是否允许Azure 磁盘加密从保管库检索机密和解包密钥的属性。
[仅保管库]用于指定是否允许 Azure 资源管理器从密钥保管库检索机密的属性。
使用“set”或“add”时,保留字符串文本,而不是尝试转换为 JSON。
不等待长时间运行的操作完成。
启用专用终结点时,控制来自公用网络的数据平面流量的权限。
从列表中删除属性或元素。 示例: --remove property.list <indexToRemove> OR --remove propertyToRemove.
仅当密钥库属于指定的资源组时继续。
软删除数据保留天数。 它接受 >=7 和 <=90。
通过指定要设置的属性路径和值来更新对象。 示例:--set property1.property2=<value>。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault update-hsm
更新 HSM 的属性。
az keyvault update-hsm --hsm-name
[--add]
[--bypass {AzureServices, None}]
[--default-action {Allow, Deny}]
[--enable-purge-protection {false, true}]
[--force-string]
[--mi-user-assigned]
[--no-wait]
[--public-network-access {Disabled, Enabled}]
[--remove]
[--resource-group]
[--secondary-locations]
[--set]示例
更新 HSM 的属性。
az keyvault update-hsm --enable-purge-protection true --hsm-name MyHSM --resource-group MyResourceGroup必需参数
HSM 的名称。
可选参数
通过指定路径和键值对将对象添加到对象列表。 示例:--add property.listProperty <key=value, string or JSON string>。
绕过空间分隔用途的流量。
如果未匹配规则,则应用的默认操作。
指定是否为此保管库/托管 HSM 池启用了针对清除的保护的属性。 将此属性设置为 true 可激活针对此保管库/托管 HSM 池及其内容的清除保护 - 只有 密钥库/托管 HSM 服务才能启动难以恢复的删除。 仅当启用软删除时,此设置才有效。 启用此功能不可逆。
使用“set”或“add”时,保留字符串文本,而不是尝试转换为 JSON。
为托管 HSM 启用用户分配的托管标识。 接受标识资源 ID 的空间分隔列表。
不等待长时间运行的操作完成。
启用专用终结点时,控制来自公用网络的数据平面流量的权限。
从列表中删除属性或元素。 示例: --remove property.list <indexToRemove> OR --remove propertyToRemove.
仅当密钥库属于指定的资源组时继续。
--secondary-locations 将 HSM 池扩展到列出的区域/协定。 无法删除最初创建资源的主要位置。
通过指定要设置的属性路径和值来更新对象。 示例:--set property1.property2=<value>。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault wait
将 CLI 置于等待状态,直到满足保管库的条件。
az keyvault wait --name
[--created]
[--custom]
[--deleted]
[--exists]
[--interval]
[--resource-group]
[--timeout]
[--updated]示例
暂停 CLI,直到创建保管库。
az keyvault wait --name MyVault --created必需参数
保管库的名称。
可选参数
等待在“Succeeded”中使用“provisioningState”创建。
等待条件满足自定义 JMESPath 查询。 例如 provisioningState!='InProgress', instanceView.statuses[?code=='PowerState/running']。
等到删除为止。
等待资源存在。
轮询间隔(以秒为单位)。
仅当密钥库属于指定的资源组时继续。
最大等待(以秒为单位)。
等到 provisioningState 更新为“Succeeded”。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault wait-hsm
将 CLI 置于等待状态,直到满足 HSM 的条件。
az keyvault wait-hsm --hsm-name
[--created]
[--custom]
[--deleted]
[--exists]
[--interval]
[--resource-group]
[--timeout]
[--updated]示例
在创建 HSM 之前暂停 CLI。
az keyvault wait-hsm --hsm-name MyHSM --created必需参数
HSM 的名称。
可选参数
等待在“Succeeded”中使用“provisioningState”创建。
等待条件满足自定义 JMESPath 查询。 例如 provisioningState!='InProgress', instanceView.statuses[?code=='PowerState/running']。
等到删除为止。
等待资源存在。
轮询间隔(以秒为单位)。
仅当 HSM 属于指定的资源组时继续。
最大等待(以秒为单位)。
等到 provisioningState 更新为“Succeeded”。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
