New-AzKeyVault

Erstellt einen Schlüsseltresor.

Syntax

New-AzKeyVault
   [-Name] <String>
   [-ResourceGroupName] <String>
   [-Location] <String>
   [-EnabledForDeployment]
   [-EnabledForTemplateDeployment]
   [-EnabledForDiskEncryption]
   [-EnablePurgeProtection]
   [-DisableRbacAuthorization]
   [-SoftDeleteRetentionInDays <Int32>]
   [-PublicNetworkAccess <String>]
   [-Sku <String>]
   [-Tag <Hashtable>]
   [-NetworkRuleSet <PSKeyVaultNetworkRuleSet>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [-SubscriptionId <String>]
   [<CommonParameters>]

Beschreibung

Das Cmdlet New-AzKeyVault erstellt einen Schlüsseltresor in der angegebenen Ressourcengruppe. Dieses Cmdlet gewährt auch Berechtigungen für den aktuell angemeldeten Benutzer zum Hinzufügen, Entfernen oder Auflisten von Schlüsseln und geheimen Schlüsseln im Schlüsseltresor. Hinweis: Wenn der Fehler angezeigt wird, dass das Abonnement nicht für die Verwendung des Namespace 'Microsoft.KeyVault' registriert ist, wenn Sie versuchen, Ihren neuen Schlüsseltresor zu erstellen, führen Sie Register-AzResourceProvider -ProviderNamespace "Microsoft.KeyVault" aus, und führen Sie dann ihren Befehl "New-AzKeyVault" erneut aus. Weitere Informationen finden Sie unter Register-AzResourceProvider.

Das Cmdlet kann unter der Microsoft Graph-API gemäß eingabeparametern aufgerufen werden:

  • GET /directoryObjects/{id}
  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /me

Beispiele

Beispiel 1: Erstellen eines Standardschlüsseltresors

New-AzKeyVault -VaultName 'Contoso03Vault' -ResourceGroupName 'Group14' -Location 'East US'

Vault Name                       : contoso03vault
Resource Group Name              : group14
Location                         : East US
Resource ID                      : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/group14/providers
                                   /Microsoft.KeyVault/vaults/contoso03vault
Vault URI                        : https://contoso03vault.vault.azure.net/
Tenant ID                        : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU                              : Standard
Enabled For Deployment?          : 
Enabled For Template Deployment? : 
Enabled For Disk Encryption?     : 
Soft Delete Enabled?             : True
Access Policies                  :
                                   Tenant ID                                  : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
                                   Object ID                                  : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
                                   Application ID                             :
                                   Display Name                               : User Name (username@microsoft.com)
                                   Permissions to Keys                        : all
                                   Permissions to Secrets                     : all
                                   Permissions to Certificates                : all
                                   Permissions to (Key Vault Managed) Storage : all

Network Rule Set                  :
                                   Default Action                             : Allow
                                   Bypass                                     : AzureServices
                                   IP Rules                                   :
                                   Virtual Network Rules                      :
                                      
Tags                             :

Mit diesem Befehl wird ein Schlüsseltresor namens "Contoso03Vault" in der Azure-Region "Ost-USA" erstellt. Mit dem Befehl wird der Ressourcengruppe "Group14" der Schlüsseltresor hinzugefügt. Da der Befehl keinen Wert für den SKU-Parameter angibt, wird ein Standardschlüsseltresor erstellt.

Beispiel 2: Erstellen eines Premium-Schlüsseltresors

New-AzKeyVault -VaultName 'Contoso03Vault' -ResourceGroupName 'Group14' -Location 'East US' -Sku 'Premium'

Vault Name                       : contoso03vault
Resource Group Name              : group14
Location                         : East US
Resource ID                      : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/group14/providers
                                   /Microsoft.KeyVault/vaults/contoso03vault
Vault URI                        : https://contoso03vault.vault.azure.net/
Tenant ID                        : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU                              : Premium
Enabled For Deployment?          : False
Enabled For Template Deployment? : False
Enabled For Disk Encryption?     : False
Soft Delete Enabled?             :
Access Policies                  :
                                   Tenant ID                                  : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
                                   Object ID                                  : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
                                   Application ID                             :
                                   Display Name                               : User Name (username@microsoft.com)
                                   Permissions to Keys                        : all
                                   Permissions to Secrets                     : all
                                   Permissions to Certificates                : all
                                   Permissions to (Key Vault Managed) Storage : all

Network Rule Set                 :
                                  Default Action                             : Allow
                                  Bypass                                     : AzureServices
                                  IP Rules                                   :
                                  Virtual Network Rules                      :
                                 
Tags                             :

Mit diesem Befehl wird wie im vorherigen Beispiel ein Schlüsseltresor erstellt. Es gibt jedoch einen Wert von Premium für den SKU-Parameter an, um einen Premium-Schlüsseltresor zu erstellen.

Beispiel 3

$frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name frontendSubnet -AddressPrefix "110.0.1.0/24" -ServiceEndpoint Microsoft.KeyVault
$virtualNetwork = New-AzVirtualNetwork -Name myVNet -ResourceGroupName myRG -Location westus -AddressPrefix "110.0.0.0/16" -Subnet $frontendSubnet
$myNetworkResId = (Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myRG).Subnets[0].Id
$ruleSet = New-AzKeyVaultNetworkRuleSetObject -DefaultAction Allow -Bypass AzureServices -IpAddressRange "110.0.1.0/24" -VirtualNetworkResourceId $myNetworkResId
New-AzKeyVault -ResourceGroupName "myRg" -VaultName "myVault" -NetworkRuleSet $ruleSet -Location westus

Vault Name                       : myVault
Resource Group Name              : myRg
Location                         : East US
Resource ID                      : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myRg/providers
                                   /Microsoft.KeyVault/vaults/myVault
Vault URI                        : https://myVault.vault.azure.net/
Tenant ID                        : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU                              : Premium
Enabled For Deployment?          : False
Enabled For Template Deployment? : False
Enabled For Disk Encryption?     : False
Soft Delete Enabled?             :
Access Policies                  :
                                   Tenant ID                                  : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
                                   Object ID                                  : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
                                   Application ID                             :
                                   Display Name                               : User Name (username@microsoft.com)
                                   Permissions to Keys                        : all
                                   Permissions to Secrets                     : all
                                   Permissions to Certificates                : all
                                   Permissions to (Key Vault Managed) Storage : all

Network Rule Set                 :
                                  Default Action                             : Allow
                                  Bypass                                     : AzureServices
                                  IP Rules                                   : 110.0.1.0/24
                                  Virtual Network Rules                      : /subscriptions/0b1f6471-1bf0-4dda-ae
                                  c3-cb9272f09590/resourcegroups/myRg/providers/microsoft.network/virtualnetworks
                                  /myvnet/subnets/frontendsubnet
                                 
Tags                             :

Erstellen eines Schlüsseltresors und gibt Netzwerkregeln an, um den Zugriff auf die angegebene IP-Adresse aus dem virtuellen Netzwerk zu ermöglichen, das von $myNetworkResId identifiziert wird. Weitere Informationen finden Sie unter New-AzKeyVaultNetworkRuleSetObject.

Parameter

-Confirm

Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.

Typ:SwitchParameter
Aliase:cf
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-DefaultProfile

Anmeldeinformationen, Konto, Mandant und Abonnement für die Kommunikation mit Azure

Typ:IAzureContextContainer
Aliase:AzContext, AzureRmContext, AzureCredential
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-DisableRbacAuthorization

Wenn angegeben, wird deaktiviert, um Datenaktionen durch rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) zu autorisieren, und dann werden die in Tresoreigenschaften angegebenen Zugriffsrichtlinien berücksichtigt. Beachten Sie, dass Verwaltungsaktionen immer mit RBAC autorisiert sind.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-EnabledForDeployment

Der Ressourcenanbieter „Microsoft.Compute“ wird aktiviert, um Geheimnisse aus diesem Schlüsseltresor abzurufen, wenn dieser Schlüsseltresor bei der Ressourcenerstellung (z. B. beim Erstellen einer VM) referenziert wird.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-EnabledForDiskEncryption

Ermöglicht dem Azure-Datenträgerverschlüsselungsdienst, geheime Schlüssel abzurufen und Schlüssel aus diesem Schlüsseltresor aufzuheben.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-EnabledForTemplateDeployment

Azure Resource Manager kann aus diesem Schlüsseltresor Geheimnisse abrufen, wenn dieser Schlüsseltresor in einer Vorlagenbereitstellung referenziert wird.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-EnablePurgeProtection

Wenn angegeben, ist der Schutz vor sofortigem Löschen für diesen Tresor aktiviert; erfordert, dass auch vorläufiges Löschen aktiviert ist.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-Location

Gibt die Azure-Region an, in der der Schlüsseltresor erstellt werden soll. Verwenden Sie den Befehl "Get-AzLocation ", um Ihre Auswahl anzuzeigen.

Typ:String
Position:2
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-Name

Gibt einen Namen des zu erstellenden Schlüsseltresors an. Der Name kann eine beliebige Kombination aus Buchstaben, Ziffern oder Bindestrichen sein. Der Name muss mit einem Buchstaben oder einer Ziffer beginnen und enden. Der Name muss universell eindeutig sein.

Typ:String
Aliase:VaultName
Position:0
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-NetworkRuleSet

Gibt den Netzwerkregelsatz des Tresors an. Sie steuert die Barrierefreiheit des Schlüsseltresors von bestimmten Netzwerkstandorten. Erstellt von New-AzKeyVaultNetworkRuleSetObject.

Typ:PSKeyVaultNetworkRuleSet
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-PublicNetworkAccess

Gibt an, ob der Tresor Datenverkehr aus dem öffentlichen Internet akzeptiert. Bei Festlegung auf "deaktiviert" wird der gesamte Datenverkehr außer privatem Endpunktdatenverkehr blockiert, der von vertrauenswürdigen Diensten stammt. Dadurch werden die festgelegten Firewallregeln außer Kraft gesetzt, was bedeutet, dass auch wenn die Firewallregeln vorhanden sind, die Regeln nicht berücksichtigt werden. Standardmäßig aktivieren wir den Zugriff auf öffentliche Netzwerke.

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-ResourceGroupName

Gibt den Namen einer vorhandenen Ressourcengruppe an, in der der Schlüsseltresor erstellt werden soll.

Typ:String
Position:1
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-Sku

Gibt die SKU der Schlüsseltresorinstanz an. Informationen dazu, welche Features für jede SKU verfügbar sind, finden Sie auf der Azure Key Vault-Preiswebsite (https://go.microsoft.com/fwlink/?linkid=512521).

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-SoftDeleteRetentionInDays

Gibt an, wie lange gelöschte Ressourcen aufbewahrt werden und wie lange ein Tresor oder ein Objekt im gelöschten Zustand gelöscht werden kann. Der Standardwert ist 90 Tage.

Typ:Int32
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-SubscriptionId

Die ID des Abonnements. Standardmäßig werden Cmdlets im Abonnement ausgeführt, das im aktuellen Kontext festgelegt ist. Wenn der Benutzer ein anderes Abonnement angibt, wird das aktuelle Cmdlet im vom Benutzer angegebenen Abonnement ausgeführt. Das Überschreiben von Abonnements wird nur während des Lebenszyklus des aktuellen Cmdlets wirksam. Sie ändert das Abonnement nicht im Kontext und wirkt sich nicht auf nachfolgende Cmdlets aus.

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-Tag

Schlüssel-Wert-Paare in Form einer Hashtabelle. Beispiel: @{key0="value0"; key1=$null; key2="value2"}

Typ:Hashtable
Aliase:Tags
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-WhatIf

Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.

Typ:SwitchParameter
Aliase:wi
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

Eingaben

String

SwitchParameter

Hashtable

Ausgaben

PSKeyVault