az keyvault key

Administrar claves.

Comandos

Nombre Description Tipo Estado
az keyvault key backup

Solicite que se descargue una copia de seguridad de la clave especificada en el cliente.

Core GA
az keyvault key create

Cree una nueva clave, almacénela y, a continuación, devuelva los parámetros de clave y los atributos al cliente.

Core GA
az keyvault key decrypt

Descifra un único bloque de datos cifrados.

Core Versión preliminar
az keyvault key delete

Elimine una clave de cualquier tipo de almacenamiento en Vault o HSM.

Core GA
az keyvault key download

Descargue la parte pública de una clave almacenada.

Core GA
az keyvault key encrypt

Cifre una secuencia arbitraria de bytes mediante una clave de cifrado almacenada en un almacén o HSM.

Core Versión preliminar
az keyvault key get-policy-template

Devuelve la plantilla de directiva como definición de directiva codificada en JSON.

Core Versión preliminar
az keyvault key import

Importe una clave privada.

Core GA
az keyvault key list

Enumera las claves en el almacén o HSM especificados.

Core GA
az keyvault key list-deleted

Enumere las claves eliminadas en el almacén o HSM especificados.

Core GA
az keyvault key list-versions

Enumere los identificadores y las propiedades de las versiones de una clave.

Core GA
az keyvault key purge

Elimine permanentemente la clave especificada.

Core GA
az keyvault key random

Obtenga el número solicitado de bytes aleatorios de un HSM administrado.

Core GA
az keyvault key recover

Recupere la clave eliminada a su versión más reciente.

Core GA
az keyvault key restore

Restaure una clave de copia de seguridad en un almacén o HSM.

Core GA
az keyvault key rotate

Gire la clave en función de la directiva de claves mediante la generación de una nueva versión de la clave.

Core GA
az keyvault key rotation-policy

Administrar la directiva de rotación de la clave.

Core GA
az keyvault key rotation-policy show

Obtenga la directiva de rotación de una clave de Key Vault.

Core GA
az keyvault key rotation-policy update

Actualice la directiva de rotación de una clave de Key Vault.

Core GA
az keyvault key set-attributes

La operación de actualización de clave cambia los atributos especificados de una clave almacenada y se puede aplicar a cualquier tipo de clave y versión de clave almacenada en Vault o HSM.

Core GA
az keyvault key show

Obtiene los atributos de una clave y, si es una clave asimétrica, su material público.

Core GA
az keyvault key show-deleted

Obtenga la parte pública de una clave eliminada.

Core GA
az keyvault key sign

Cree una firma a partir de un resumen mediante una clave almacenada en un almacén o HSM.

Core GA
az keyvault key verify

Compruebe una firma mediante la clave almacenada en un almacén o HSM.

Core GA

az keyvault key backup

Solicite que se descargue una copia de seguridad de la clave especificada en el cliente.

La operación de copia de seguridad de claves exporta una clave de Vault o HSM en un formulario protegido. Tenga en cuenta que esta operación no devuelve material de clave en un formulario que se puede usar fuera del sistema Vault o HSM, el material de clave devuelto está protegido en un HSM o en el propio almacén. La intención de esta operación es permitir que un cliente genere una clave en una instancia de Vault o HSM, BACKUP la clave y, a continuación, restaurarla en otra instancia de Vault o HSM. La operación BACKUP se puede usar para exportar, en forma protegida, cualquier tipo de clave de Vault o HSM. No se puede realizar una copia de seguridad de versiones individuales de una clave. BACKUP/RESTORE solo se puede realizar dentro de los límites geográficos; lo que significa que una copia de seguridad de un área geográfica no se puede restaurar a otra área geográfica. Por ejemplo, no se puede restaurar una copia de seguridad del área geográfica de ESTADOS Unidos en un área geográfica de la UE. Esta operación requiere el permiso de clave/copia de seguridad.

az keyvault key backup --file
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Parámetros requeridos

--file -f

Ruta de acceso del archivo local en la que se va a almacenar la copia de seguridad de claves.

Parámetros opcionales

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key create

Cree una nueva clave, almacénela y, a continuación, devuelva los parámetros de clave y los atributos al cliente.

La operación de creación de clave se puede usar para crear cualquier tipo de clave en Vault o HSM. Si la clave con nombre ya existe, Vault o HSM crea una nueva versión de la clave. Requiere el permiso keys/create.

az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--policy]
                       [--protection {hsm, software}]
                       [--size]
                       [--tags]
                       [--vault-name]

Parámetros opcionales

--curve

Nombre de la curva elíptica. Para obtener valores válidos, vea: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename.

Valores aceptados: P-256, P-256K, P-384, P-521
--default-cvm-policy

Use la directiva predeterminada en la que se puede exportar la clave para el cifrado de disco CVM.

Valor predeterminado: False
--disabled

Cree la clave en estado deshabilitado.

Valores aceptados: false, true
Valor predeterminado: False
--expires

Fecha y hora UTC de expiración (Y-m-d'T'H:M:S'Z').

--exportable

Si se puede exportar la clave privada. Para crear la clave con la directiva de versión, "exportable" debe ser true y el autor de la llamada debe tener el permiso "export".

Valores aceptados: false, true
--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--immutable

Marque una directiva de versión como inmutable. Una directiva de versión inmutable no se puede cambiar ni actualizar después de marcarse inmutable. Las directivas de versión son mutables de forma predeterminada.

Valores aceptados: false, true
--kty

Tipo de clave que se va a crear. Para obtener valores válidos, vea: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype.

Valores aceptados: EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM
--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--not-before

Clave no utilizable antes de la fecha y hora UTC proporcionada (Y-m-d'T'H:M:S'Z').

--ops

Lista separada por espacios de las operaciones de clave web JSON permitidas.

Valores aceptados: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

Reglas de directiva en las que se puede exportar la clave. Definición de directiva como JSON o ruta de acceso a un archivo que contiene la definición de directiva JSON.

--protection -p

Especifica el tipo de protección de claves.

Valores aceptados: hsm, software
--size

Tamaño de la clave en bits. Por ejemplo: 2048, 3072 o 4096 para RSA. 128, 192 o 256 para octubre.

--tags

Etiquetas separadas por espacios: key[=value] [key[=value] ...]. Use "" para borrar las etiquetas existentes.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key decrypt

Vista previa

Este comando está en versión preliminar y en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Descifra un único bloque de datos cifrados.

La operación DECRYPT descifra un bloque bien formado de texto cifrado mediante la clave de cifrado de destino y el algoritmo especificado. Esta operación es la inversa de la operación ENCRYPT; solo se puede descifrar un único bloque de datos, el tamaño de este bloque depende de la clave de destino y del algoritmo que se va a usar. La operación DECRYPT se aplica a las claves asimétricas y simétricas almacenadas en Vault o HSM, ya que usa la parte privada de la clave. Esta operación requiere el permiso keys/decrypt.

az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--tag]
                        [--vault-name]
                        [--version]

Ejemplos

Descifra el valor (cadena codificada en Base64 devuelta por el comando encrypt) con la clave del almacén mediante RSA-OAEP y obtiene el resultado como codificado en base64.

az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="

Descifra el valor (cadena codificada en Base64 devuelta por el comando encrypt) con la clave de MHSM mediante AES-GCM y obtiene el resultado como texto no cifrado.

az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"

Parámetros requeridos

--algorithm -a

Identificador de algoritmo.

Valores aceptados: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

Valor que se va a descifrar, que debe ser el resultado de "az keyvault encrypt".

Parámetros opcionales

--aad

Datos opcionales autenticados pero no cifrados. Para su uso con el descifrado AES-GCM.

--data-type

Tipo de los datos originales.

Valores aceptados: base64, plaintext
Valor predeterminado: base64
--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--iv

Vector de inicialización utilizado durante el cifrado. Necesario para el descifrado de AES.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--tag

Etiqueta de autenticación generada durante el cifrado. Necesario solo para el descifrado de AES-GCM.

--vault-name

Nombre del almacén.

--version -v

Versión de la clave. Si se omite, usa la versión más reciente.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key delete

Elimine una clave de cualquier tipo de almacenamiento en Vault o HSM.

No se puede usar la operación de eliminación de clave para quitar versiones individuales de una clave. Esta operación quita el material criptográfico asociado a la clave, lo que significa que la clave no se puede usar para las operaciones Sign/Verify, Wrap/Unwrap o Encrypt/Decrypt. Esta operación requiere el permiso keys/delete.

az keyvault key delete [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Parámetros opcionales

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key download

Descargue la parte pública de una clave almacenada.

az keyvault key download --file
                         [--encoding {DER, PEM}]
                         [--hsm-name]
                         [--id]
                         [--name]
                         [--vault-name]
                         [--version]

Ejemplos

Guarde la clave con codificación PEM.

az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pem

Guarde la clave con codificación DER.

az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.der

Parámetros requeridos

--file -f

Archivo para recibir el contenido de la clave.

Parámetros opcionales

--encoding -e

Codificación de la clave, valor predeterminado: PEM.

Valores aceptados: DER, PEM
Valor predeterminado: PEM
--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

--version -v

Versión de la clave. Si se omite, usa la versión más reciente.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key encrypt

Vista previa

Este comando está en versión preliminar y en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Cifre una secuencia arbitraria de bytes mediante una clave de cifrado almacenada en un almacén o HSM.

La operación ENCRYPT cifra una secuencia arbitraria de bytes mediante una clave de cifrado almacenada en Vault o HSM. Tenga en cuenta que la operación ENCRYPT solo admite un único bloque de datos, cuyo tamaño depende de la clave de destino y del algoritmo de cifrado que se va a usar. La operación ENCRYPT solo es estrictamente necesaria para las claves simétricas almacenadas en Vault pr HSM, ya que la protección con una clave asimétrica se puede realizar mediante la parte pública de la clave. Esta operación se admite para las claves asimétricas como una comodidad para los autores de llamadas que tienen una referencia de clave, pero no tienen acceso al material de clave pública. Esta operación requiere el permiso keys/encrypt.

az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--vault-name]
                        [--version]

Ejemplos

Cifre value(Cadena codificada en Base64) con la clave del almacén mediante RSA-OAEP.

az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64

Cifre value(plaintext) con la clave de MHSM mediante AES-GCM.

az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"

Parámetros requeridos

--algorithm -a

Identificador de algoritmo.

Valores aceptados: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

Valor que se va a cifrar. El tipo de datos predeterminado es cadena codificada en Base64.

Parámetros opcionales

--aad

Datos opcionales autenticados pero no cifrados. Para su uso con cifrado AES-GCM.

--data-type

Tipo de los datos originales.

Valores aceptados: base64, plaintext
Valor predeterminado: base64
--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--iv

Vector de inicialización. Necesario solo para el cifrado AES-CBC(PAD).

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

--version -v

Versión de la clave. Si se omite, usa la versión más reciente.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key get-policy-template

Vista previa

Este comando está en versión preliminar y en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Devuelve la plantilla de directiva como definición de directiva codificada en JSON.

az keyvault key get-policy-template
Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key import

Importe una clave privada.

Admite la importación de claves privadas codificadas en Base64 desde archivos PEM o cadenas. Admite la importación de claves BYOK en HSM para almacenes de claves Premium.

az keyvault key import [--byok-file]
                       [--byok-string]
                       [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, RSA, oct}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--pem-file]
                       [--pem-password]
                       [--pem-string]
                       [--policy]
                       [--protection {hsm, software}]
                       [--tags]
                       [--vault-name]

Parámetros opcionales

--byok-file

Archivo BYOK que contiene la clave que se va a importar. No debe estar protegida con contraseña.

--byok-string

Cadena BYOK que contiene la clave que se va a importar. No debe estar protegida con contraseña.

--curve

Nombre de la curva de la clave que se va a importar (solo para BYOK).

Valores aceptados: P-256, P-256K, P-384, P-521
--default-cvm-policy

Use la directiva predeterminada en la que se puede exportar la clave para el cifrado de disco CVM.

Valor predeterminado: False
--disabled

Cree la clave en estado deshabilitado.

Valores aceptados: false, true
Valor predeterminado: False
--expires

Fecha y hora UTC de expiración (Y-m-d'T'H:M:S'Z').

--exportable

Si se puede exportar la clave privada. Para crear la clave con la directiva de versión, "exportable" debe ser true y el autor de la llamada debe tener el permiso "export".

Valores aceptados: false, true
--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--immutable

Marque una directiva de versión como inmutable. Una directiva de versión inmutable no se puede cambiar ni actualizar después de marcarse inmutable. Las directivas de versión son mutables de forma predeterminada.

Valores aceptados: false, true
--kty

Tipo de clave que se va a importar (solo para BYOK).

Valores aceptados: EC, RSA, oct
Valor predeterminado: RSA
--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--not-before

Clave no utilizable antes de la fecha y hora UTC proporcionada (Y-m-d'T'H:M:S'Z').

--ops

Lista separada por espacios de las operaciones de clave web JSON permitidas.

Valores aceptados: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--pem-file

Archivo PEM que contiene la clave que se va a importar.

--pem-password

Contraseña del archivo PEM.

--pem-string

Cadena PEM que contiene la clave que se va a importar.

--policy

Reglas de directiva en las que se puede exportar la clave. Definición de directiva como JSON o ruta de acceso a un archivo que contiene la definición de directiva JSON.

--protection -p

Especifica el tipo de protección de claves.

Valores aceptados: hsm, software
--tags

Etiquetas separadas por espacios: key[=value] [key[=value] ...]. Use "" para borrar las etiquetas existentes.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key list

Enumera las claves en el almacén o HSM especificados.

Recupere una lista de las claves del almacén o HSM como estructuras de clave web JSON que contienen la parte pública de una clave almacenada. La operación LIST se aplica a todos los tipos de clave, pero solo se proporcionan en la respuesta el identificador de clave base, los atributos y las etiquetas. Las versiones individuales de una clave no aparecen en la respuesta. Esta operación requiere el permiso keys/list.

az keyvault key list [--hsm-name]
                     [--id]
                     [--include-managed {false, true}]
                     [--maxresults]
                     [--vault-name]

Parámetros opcionales

--hsm-name

Nombre del HSM. Se puede omitir si se especifica --id.

--id

URI completo del almacén o HSM. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--include-managed

Incluir claves administradas.

Valores aceptados: false, true
Valor predeterminado: False
--maxresults

El número máximo de resultados que se devolverán.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key list-deleted

Enumere las claves eliminadas en el almacén o HSM especificados.

Recupere una lista de las claves del almacén o HSM como estructuras de clave web JSON que contienen la parte pública de una clave eliminada. Esta operación incluye información específica de eliminación. La operación Obtener claves eliminadas es aplicable a los almacenes habilitados para la eliminación temporal. Aunque la operación se puede invocar en cualquier almacén o HSM, devolverá un error si se invoca en un almacén o HSM no habilitado para eliminación temporal. Esta operación requiere el permiso keys/list.

az keyvault key list-deleted [--hsm-name]
                             [--id]
                             [--maxresults]
                             [--vault-name]

Parámetros opcionales

--hsm-name

Nombre del HSM. Se puede omitir si se especifica --id.

--id

URI completo del almacén o HSM. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--maxresults

El número máximo de resultados que se devolverán.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key list-versions

Enumere los identificadores y las propiedades de las versiones de una clave.

Requiere el permiso keys/list.

az keyvault key list-versions [--hsm-name]
                              [--id]
                              [--maxresults]
                              [--name]
                              [--vault-name]

Parámetros opcionales

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--maxresults

El número máximo de resultados que se devolverán.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key purge

Elimine permanentemente la clave especificada.

La operación Purgar clave eliminada es aplicable a almacenes o HSM habilitados para eliminación temporal. Aunque la operación se puede invocar en cualquier almacén o HSM, devolverá un error si se invoca en un almacén o HSM no habilitado para eliminación temporal. Esta operación requiere el permiso claves/purgar.

az keyvault key purge [--hsm-name]
                      [--id]
                      [--name]
                      [--vault-name]

Parámetros opcionales

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de recuperación de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key random

Obtenga el número solicitado de bytes aleatorios de un HSM administrado.

az keyvault key random --count
                       [--hsm-name]
                       [--id]

Parámetros requeridos

--count

Número solicitado de bytes aleatorios.

Parámetros opcionales

--hsm-name

Nombre del HSM.

--id

URI completo del HSM.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key recover

Recupere la clave eliminada a su versión más reciente.

La operación Recuperar clave eliminada es aplicable a las claves eliminadas en almacenes o HSM habilitados para eliminación temporal. Recupera la clave eliminada a su versión más reciente en /keys. Un intento de recuperar una clave no eliminada devolverá un error. Tenga en cuenta esto al contrario de la operación de eliminación en almacenes o HSM habilitados para eliminación temporal. Esta operación requiere el permiso keys/recover.

az keyvault key recover [--hsm-name]
                        [--id]
                        [--name]
                        [--vault-name]

Parámetros opcionales

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de recuperación de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key restore

Restaure una clave de copia de seguridad en un almacén o HSM.

Importe una clave de copia de seguridad anterior en Vault o HSM, restaurando la clave, su identificador de clave, atributos y directivas de control de acceso. La operación RESTORE se puede usar para importar una clave de copia de seguridad anterior. No se pueden restaurar versiones individuales de una clave. La clave se restaura en su totalidad con el mismo nombre de clave que tenía cuando se realizó una copia de seguridad. Si el nombre de clave no está disponible en el almacén de claves de destino, se rechazará la operación RESTORE. Mientras se conserva el nombre de la clave durante la restauración, el identificador de clave final cambiará si la clave se restaura en otro almacén o HSM. La restauración restaurará todas las versiones y conservará los identificadores de versión. La operación RESTORE está sujeta a restricciones de seguridad. El almacén de destino o HSM debe ser propiedad de la misma suscripción de Microsoft Azure que el almacén de origen o HSM. El usuario debe tener el permiso RESTORE en el almacén de destino o HSM. Esta operación requiere el permiso de claves y restauración.

az keyvault key restore [--backup-folder]
                        [--blob-container-name]
                        [--file]
                        [--hsm-name]
                        [--id]
                        [--name]
                        [--no-wait]
                        [--storage-account-name]
                        [--storage-container-SAS-token]
                        [--storage-resource-uri]
                        [--vault-name]

Parámetros opcionales

--backup-folder

Nombre del contenedor de blobs que contiene la copia de seguridad.

--blob-container-name

Nombre del contenedor de blobs.

--file -f

Copia de seguridad de clave local desde la que se va a restaurar la clave.

--hsm-name

Nombre del HSM. Se puede omitir si se especifica --id.

--id

URI completo del almacén o HSM. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. (Solo para restaurar desde la cuenta de almacenamiento).

--no-wait

No espere hasta que finalice la operación de ejecución prolongada.

Valor predeterminado: False
--storage-account-name

Nombre de la cuenta de Azure Storage.

--storage-container-SAS-token -t

El token de SAS que apunta a un contenedor de Azure Blob Storage.

--storage-resource-uri -u

Uri del contenedor de Azure Blob Storage. Si se especifica, se deben omitir todos los demás argumentos "Id. de almacenamiento".

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key rotate

Gire la clave en función de la directiva de claves mediante la generación de una nueva versión de la clave.

az keyvault key rotate [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Parámetros opcionales

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key set-attributes

La operación de actualización de clave cambia los atributos especificados de una clave almacenada y se puede aplicar a cualquier tipo de clave y versión de clave almacenada en Vault o HSM.

Para realizar esta operación, la clave ya debe existir en el almacén o HSM. No se puede cambiar el material criptográfico de una clave. Esta operación requiere el permiso de claves y actualización.

az keyvault key set-attributes [--enabled {false, true}]
                               [--expires]
                               [--hsm-name]
                               [--id]
                               [--immutable {false, true}]
                               [--name]
                               [--not-before]
                               [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                               [--policy]
                               [--tags]
                               [--vault-name]
                               [--version]

Parámetros opcionales

--enabled

Habilite la clave.

Valores aceptados: false, true
--expires

Fecha y hora UTC de expiración (Y-m-d'T'H:M:S'Z').

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--immutable

Marque una directiva de versión como inmutable. Una directiva de versión inmutable no se puede cambiar ni actualizar después de marcarse inmutable. Las directivas de versión son mutables de forma predeterminada.

Valores aceptados: false, true
--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--not-before

Clave no utilizable antes de la fecha y hora UTC proporcionada (Y-m-d'T'H:M:S'Z').

--ops

Lista separada por espacios de las operaciones de clave web JSON permitidas.

Valores aceptados: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

Reglas de directiva en las que se puede exportar la clave. Definición de directiva como JSON o ruta de acceso a un archivo que contiene la definición de directiva JSON.

--tags

Etiquetas separadas por espacios: key[=value] [key[=value] ...]. Use "" para borrar las etiquetas existentes.

--vault-name

Nombre del almacén.

--version -v

Versión de la clave. Si se omite, usa la versión más reciente.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key show

Obtiene los atributos de una clave y, si es una clave asimétrica, su material público.

Requiere el permiso keys/get.

az keyvault key show [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

Parámetros opcionales

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

--version -v

Versión de la clave. Si se omite, usa la versión más reciente.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key show-deleted

Obtenga la parte pública de una clave eliminada.

La operación Obtener clave eliminada es aplicable a almacenes o HSM habilitados para eliminación temporal. Aunque la operación se puede invocar en cualquier almacén o HSM, devolverá un error si se invoca en un almacén o HSM no habilitado para eliminación temporal. Esta operación requiere el permiso keys/get.

az keyvault key show-deleted [--hsm-name]
                             [--id]
                             [--name]
                             [--vault-name]

Parámetros opcionales

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key sign

Cree una firma a partir de un resumen mediante una clave almacenada en un almacén o HSM.

az keyvault key sign --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                     --digest
                     [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

Ejemplos

Cree una firma a partir de un resumen mediante la clave del almacén de claves.

az keyvault key sign --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012"

Parámetros requeridos

--algorithm -a

Identificador de algoritmo.

Valores aceptados: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

Valor que se va a firmar.

Parámetros opcionales

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

--version -v

Versión de la clave. Si se omite, usa la versión más reciente.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az keyvault key verify

Compruebe una firma mediante la clave almacenada en un almacén o HSM.

az keyvault key verify --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                       --digest
                       --signature
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]
                       [--version]

Ejemplos

Compruebe una firma mediante la clave del almacén de claves.

az keyvault key verify --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012" --signature XXXYYYZZZ

Parámetros requeridos

--algorithm -a

Identificador de algoritmo.

Valores aceptados: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

Valor que se va a firmar.

--signature

Firma que se va a comprobar.

Parámetros opcionales

--hsm-name

Nombre del HSM. (--hsm-name y --vault-name son mutuamente excluyentes, especifique solo uno de ellos).

--id

Identificador de la clave. Si se especifican todos los demás argumentos 'Id' se deben omitir.

--name -n

Nombre de la clave. Obligatorio si no se especifica --id.

--vault-name

Nombre del almacén.

--version -v

Versión de la clave. Si se omite, usa la versión más reciente.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.