az keyvault key
Gestire le chiavi.
Comandi
Nome | Descrizione | Tipo | Status |
---|---|---|---|
az keyvault key backup |
Richiedere il download di un backup della chiave specificata nel client. |
Core | Disponibilità generale |
az keyvault key create |
Creare una nuova chiave, archiviarla, quindi restituisce i parametri chiave e gli attributi al client. |
Core | Disponibilità generale |
az keyvault key decrypt |
Decrittografare un singolo blocco di dati crittografati. |
Core | Anteprima |
az keyvault key delete |
Eliminare una chiave di qualsiasi tipo dall'archiviazione in Vault o HSM. |
Core | Disponibilità generale |
az keyvault key download |
Scaricare la parte pubblica di una chiave archiviata. |
Core | Disponibilità generale |
az keyvault key encrypt |
Crittografare una sequenza arbitraria di byte usando una chiave di crittografia archiviata in un insieme di credenziali o in un modulo di protezione hardware. |
Core | Anteprima |
az keyvault key get-policy-template |
Restituire il modello di criteri come definizione di criteri con codifica JSON. |
Core | Anteprima |
az keyvault key import |
Importare una chiave privata. |
Core | Disponibilità generale |
az keyvault key list |
Elencare le chiavi nell'insieme di credenziali o nel modulo di protezione hardware specificato. |
Core | Disponibilità generale |
az keyvault key list-deleted |
Elencare le chiavi eliminate nell'insieme di credenziali o nel modulo di protezione hardware specificato. |
Core | Disponibilità generale |
az keyvault key list-versions |
Elencare gli identificatori e le proprietà delle versioni di una chiave. |
Core | Disponibilità generale |
az keyvault key purge |
Eliminare definitivamente la chiave specificata. |
Core | Disponibilità generale |
az keyvault key random |
Ottenere il numero richiesto di byte casuali da un modulo di protezione hardware gestito. |
Core | Disponibilità generale |
az keyvault key recover |
Ripristinare la chiave eliminata alla versione più recente. |
Core | Disponibilità generale |
az keyvault key restore |
Ripristinare una chiave sottoposta a backup in un insieme di credenziali o in un modulo di protezione hardware. |
Core | Disponibilità generale |
az keyvault key rotate |
Ruotare la chiave in base ai criteri della chiave generando una nuova versione della chiave. |
Core | Disponibilità generale |
az keyvault key rotation-policy |
Gestire i criteri di rotazione della chiave. |
Core | Disponibilità generale |
az keyvault key rotation-policy show |
Ottenere i criteri di rotazione di una chiave di Key Vault. |
Core | Disponibilità generale |
az keyvault key rotation-policy update |
Aggiornare i criteri di rotazione di una chiave di Key Vault. |
Core | Disponibilità generale |
az keyvault key set-attributes |
L'operazione di aggiornamento della chiave modifica gli attributi specificati di una chiave archiviata e può essere applicata a qualsiasi tipo di chiave e versione della chiave archiviata in Vault o HSM. |
Core | Disponibilità generale |
az keyvault key show |
Ottenere gli attributi di una chiave e, se si tratta di una chiave asimmetrica, il relativo materiale pubblico. |
Core | Disponibilità generale |
az keyvault key show-deleted |
Ottenere la parte pubblica di una chiave eliminata. |
Core | Disponibilità generale |
az keyvault key sign |
Creare una firma da un digest usando una chiave archiviata in un insieme di credenziali o un modulo di protezione hardware. |
Core | Disponibilità generale |
az keyvault key verify |
Verificare una firma usando la chiave archiviata in un insieme di credenziali o in un modulo di protezione hardware. |
Core | Disponibilità generale |
az keyvault key backup
Richiedere il download di un backup della chiave specificata nel client.
L'operazione di backup delle chiavi esporta una chiave da Vault o HSM in un modulo protetto. Si noti che questa operazione non restituisce materiale della chiave in un modulo che può essere usato all'esterno del sistema dell'insieme di credenziali o del modulo di protezione hardware, il materiale della chiave restituito è protetto da un modulo di protezione hardware o da un insieme di credenziali stesso. L'intento di questa operazione consiste nell'consentire a un client di generare una chiave in un'istanza di Vault o HSM, ESEGUIRE IL BACKUP della chiave e quindi ripristinarla in un'altra istanza di Vault o HSM. L'operazione BACKUP può essere usata per esportare, in formato protetto, qualsiasi tipo di chiave da Vault o HSM. Non è possibile eseguire il backup di singole versioni di una chiave. BACKUP/RESTORE può essere eseguito solo entro i limiti geografici; significa che un BACKUP da un'area geografica non può essere ripristinato in un'altra area geografica. Ad esempio, un backup dall'area geografica degli Stati Uniti non può essere ripristinato in un'area geografica dell'UE. Questa operazione richiede l'autorizzazione chiave/backup.
az keyvault key backup --file
[--hsm-name]
[--id]
[--name]
[--vault-name]
Parametri necessari
Percorso del file locale in cui archiviare il backup delle chiavi.
Parametri facoltativi
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key create
Creare una nuova chiave, archiviarla, quindi restituisce i parametri chiave e gli attributi al client.
L'operazione di creazione della chiave può essere usata per creare qualsiasi tipo di chiave in Vault o HSM. Se la chiave denominata esiste già, Vault o HSM crea una nuova versione della chiave. Richiede l'autorizzazione chiavi/creazione.
az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
[--default-cvm-policy]
[--disabled {false, true}]
[--expires]
[--exportable {false, true}]
[--hsm-name]
[--id]
[--immutable {false, true}]
[--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
[--name]
[--not-before]
[--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
[--policy]
[--protection {hsm, software}]
[--size]
[--tags]
[--vault-name]
Parametri facoltativi
Nome curva ellittica. Per i valori validi, vedere: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename.
Usare i criteri predefiniti con cui è possibile esportare la chiave per la crittografia del disco CVM.
Creare la chiave in stato disabilitato.
Scadenza UTC datetime (Y-m-d'H:M:S'Z').
Indica se la chiave privata può essere esportata. Per creare la chiave con i criteri di rilascio, "esportabile" deve essere true e il chiamante deve disporre dell'autorizzazione "export".
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Contrassegnare un criterio di versione come non modificabile. Non è possibile modificare o aggiornare criteri di versione non modificabili dopo essere stati contrassegnati come non modificabili. I criteri di rilascio sono modificabili per impostazione predefinita.
Tipo di chiave da creare. Per i valori validi, vedere: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype.
Nome della chiave. Obbligatorio se --id non è specificato.
Chiave non utilizzabile prima dell'ora UTC specificata (Y-m-d'H:M:S'Z').
Elenco delimitato da spazi delle operazioni consentite della chiave Web JSON.
Regole dei criteri in base alle quali è possibile esportare la chiave. Definizione di criteri come JSON o percorso di un file contenente la definizione dei criteri JSON.
Specifica il tipo di protezione della chiave.
Dimensione della chiave in bit. Ad esempio: 2048, 3072 o 4096 per RSA. 128, 192 o 256 per ott.
Tag separati da spazi: key[=value] [key[=value] ...]. Usare "" per cancellare i tag esistenti.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key decrypt
Questo comando è in anteprima e in fase di sviluppo. Livelli di riferimento e supporto: https://aka.ms/CLI_refstatus
Decrittografare un singolo blocco di dati crittografati.
L'operazione DECRYPT decrittografa un blocco ben formato di testo crittografato usando la chiave di crittografia di destinazione e l'algoritmo specificato. Questa operazione è inversa dell'operazione ENCRYPT; è possibile decrittografare solo un singolo blocco di dati, le dimensioni di questo blocco dipendono dalla chiave di destinazione e dall'algoritmo da usare. L'operazione DECRYPT si applica alle chiavi asimmetriche e simmetriche archiviate in Vault o HSM perché usa la parte privata della chiave. Questa operazione richiede l'autorizzazione chiavi/decrittografia.
az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
--value
[--aad]
[--data-type {base64, plaintext}]
[--hsm-name]
[--id]
[--iv]
[--name]
[--tag]
[--vault-name]
[--version]
Esempio
Decrittografare il valore (stringa con codifica Base64 restituita dal comando encrypt) con la chiave dell'insieme di credenziali usando RSA-OAEP e ottenere il risultato come codificato in base64.
az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="
Decrittografare il valore (stringa con codifica Base64 restituita dal comando encrypt) con la chiave di MHSM usando AES-GCM e ottenere il risultato come testo non crittografato.
az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"
Parametri necessari
Identificatore dell'algoritmo.
Valore da decrittografare, che deve essere il risultato di "az keyvault encrypt".
Parametri facoltativi
Dati facoltativi autenticati ma non crittografati. Per l'uso con la decrittografia AES-GCM.
Tipo dei dati originali.
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Vettore di inizializzazione utilizzato durante la crittografia. Obbligatorio per la decrittografia AES.
Nome della chiave. Obbligatorio se --id non è specificato.
Tag di autenticazione generato durante la crittografia. Obbligatorio solo per la decrittografia AES-GCM.
Nome dell'insieme di credenziali.
Versione della chiave. Se omesso, usa la versione più recente.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key delete
Eliminare una chiave di qualsiasi tipo dall'archiviazione in Vault o HSM.
L'operazione di eliminazione della chiave non può essere utilizzata per rimuovere singole versioni di una chiave. Questa operazione rimuove il materiale crittografico associato alla chiave, il che significa che la chiave non è utilizzabile per le operazioni Sign/Verify, Wrap/Unwrap o Encrypt/Decrypt. Questa operazione richiede l'autorizzazione chiavi/eliminazione.
az keyvault key delete [--hsm-name]
[--id]
[--name]
[--vault-name]
Parametri facoltativi
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key download
Scaricare la parte pubblica di una chiave archiviata.
az keyvault key download --file
[--encoding {DER, PEM}]
[--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]
Esempio
Salvare la chiave con codifica PEM.
az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pem
Salvare la chiave con la codifica DER.
az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.der
Parametri necessari
File per ricevere il contenuto della chiave.
Parametri facoltativi
Codifica della chiave, valore predefinito: PEM.
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Versione della chiave. Se omesso, usa la versione più recente.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key encrypt
Questo comando è in anteprima e in fase di sviluppo. Livelli di riferimento e supporto: https://aka.ms/CLI_refstatus
Crittografare una sequenza arbitraria di byte usando una chiave di crittografia archiviata in un insieme di credenziali o in un modulo di protezione hardware.
L'operazione ENCRYPT crittografa una sequenza arbitraria di byte usando una chiave di crittografia archiviata in Vault o HSM. Si noti che l'operazione ENCRYPT supporta solo un singolo blocco di dati, le cui dimensioni dipendono dalla chiave di destinazione e dall'algoritmo di crittografia da usare. L'operazione ENCRYPT è strettamente necessaria solo per le chiavi simmetriche archiviate nel modulo di protezione hardware pr dell'insieme di credenziali, poiché è possibile eseguire la protezione con una chiave asimmetrica usando una parte pubblica della chiave. Questa operazione è supportata per le chiavi asimmetriche come praticità per i chiamanti che dispongono di un riferimento chiave, ma non hanno accesso al materiale della chiave pubblica. Questa operazione richiede l'autorizzazione chiavi/crittografia.
az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
--value
[--aad]
[--data-type {base64, plaintext}]
[--hsm-name]
[--id]
[--iv]
[--name]
[--vault-name]
[--version]
Esempio
Crittografare il valore (stringa con codifica Base64) con la chiave dell'insieme di credenziali usando RSA-OAEP.
az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64
Crittografare il valore (testo non crittografato) con la chiave di MHSM usando AES-GCM.
az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"
Parametri necessari
Identificatore dell'algoritmo.
Valore da crittografare. Il tipo di dati predefinito è La stringa con codifica Base64.
Parametri facoltativi
Dati facoltativi autenticati ma non crittografati. Per l'uso con la crittografia AES-GCM.
Tipo dei dati originali.
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Vettore di inizializzazione. Obbligatorio solo per la crittografia AES-CBC(PAD).
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Versione della chiave. Se omesso, usa la versione più recente.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key get-policy-template
Questo comando è in anteprima e in fase di sviluppo. Livelli di riferimento e supporto: https://aka.ms/CLI_refstatus
Restituire il modello di criteri come definizione di criteri con codifica JSON.
az keyvault key get-policy-template
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key import
Importare una chiave privata.
Supporta l'importazione di chiavi private con codifica Base64 da file o stringhe PEM. Supporta l'importazione di chiavi BYOK nel modulo di protezione hardware per gli insiemi di credenziali delle chiavi Premium.
az keyvault key import [--byok-file]
[--byok-string]
[--curve {P-256, P-256K, P-384, P-521}]
[--default-cvm-policy]
[--disabled {false, true}]
[--expires]
[--exportable {false, true}]
[--hsm-name]
[--id]
[--immutable {false, true}]
[--kty {EC, RSA, oct}]
[--name]
[--not-before]
[--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
[--pem-file]
[--pem-password]
[--pem-string]
[--policy]
[--protection {hsm, software}]
[--tags]
[--vault-name]
Parametri facoltativi
File BYOK contenente la chiave da importare. Non deve essere protetto da password.
Stringa BYOK contenente la chiave da importare. Non deve essere protetto da password.
Nome della curva della chiave da importare (solo per BYOK).
Usare i criteri predefiniti con cui è possibile esportare la chiave per la crittografia del disco CVM.
Creare la chiave in stato disabilitato.
Scadenza UTC datetime (Y-m-d'H:M:S'Z').
Indica se la chiave privata può essere esportata. Per creare la chiave con i criteri di rilascio, "esportabile" deve essere true e il chiamante deve disporre dell'autorizzazione "export".
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Contrassegnare un criterio di versione come non modificabile. Non è possibile modificare o aggiornare criteri di versione non modificabili dopo essere stati contrassegnati come non modificabili. I criteri di rilascio sono modificabili per impostazione predefinita.
Tipo di chiave da importare (solo per BYOK).
Nome della chiave. Obbligatorio se --id non è specificato.
Chiave non utilizzabile prima dell'ora UTC specificata (Y-m-d'H:M:S'Z').
Elenco delimitato da spazi delle operazioni consentite della chiave Web JSON.
File PEM contenente la chiave da importare.
Password del file PEM.
Stringa PEM contenente la chiave da importare.
Regole dei criteri in base alle quali è possibile esportare la chiave. Definizione di criteri come JSON o percorso di un file contenente la definizione dei criteri JSON.
Specifica il tipo di protezione della chiave.
Tag separati da spazi: key[=value] [key[=value] ...]. Usare "" per cancellare i tag esistenti.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key list
Elencare le chiavi nell'insieme di credenziali o nel modulo di protezione hardware specificato.
Recuperare un elenco delle chiavi nell'insieme di credenziali o nel modulo di protezione hardware come strutture di chiave Web JSON che contengono la parte pubblica di una chiave archiviata. L'operazione LIST è applicabile a tutti i tipi di chiave, ma solo l'identificatore di chiave di base, gli attributi e i tag vengono forniti nella risposta. Le singole versioni di una chiave non sono elencate nella risposta. Questa operazione richiede l'autorizzazione keys/list.
az keyvault key list [--hsm-name]
[--id]
[--include-managed {false, true}]
[--maxresults]
[--vault-name]
Parametri facoltativi
Nome del modulo di protezione hardware. Può essere omesso se è specificato --id.
URI completo dell'insieme di credenziali o del modulo di protezione hardware. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Includere chiavi gestite.
Numero massimo di risultati da restituire.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key list-deleted
Elencare le chiavi eliminate nell'insieme di credenziali o nel modulo di protezione hardware specificato.
Recuperare un elenco delle chiavi nell'insieme di credenziali o nel modulo di protezione hardware come strutture di chiave Web JSON che contengono la parte pubblica di una chiave eliminata. Questa operazione include informazioni specifiche per l'eliminazione. L'operazione Get Deleted Keys è applicabile per gli insiemi di credenziali abilitati per l'eliminazione temporanea. Anche se l'operazione può essere richiamata in qualsiasi insieme di credenziali o modulo di protezione hardware, verrà restituito un errore se richiamato su un insieme di credenziali o un modulo di protezione hardware non abilitato per l'eliminazione temporanea. Questa operazione richiede l'autorizzazione keys/list.
az keyvault key list-deleted [--hsm-name]
[--id]
[--maxresults]
[--vault-name]
Parametri facoltativi
Nome del modulo di protezione hardware. Può essere omesso se è specificato --id.
URI completo dell'insieme di credenziali o del modulo di protezione hardware. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Numero massimo di risultati da restituire.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key list-versions
Elencare gli identificatori e le proprietà delle versioni di una chiave.
Richiede l'autorizzazione chiavi/elenco.
az keyvault key list-versions [--hsm-name]
[--id]
[--maxresults]
[--name]
[--vault-name]
Parametri facoltativi
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Numero massimo di risultati da restituire.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key purge
Eliminare definitivamente la chiave specificata.
L'operazione Elimina chiave eliminata è applicabile per insiemi di credenziali o moduli di protezione hardware abilitati per l'eliminazione temporanea. Anche se l'operazione può essere richiamata in qualsiasi insieme di credenziali o modulo di protezione hardware, verrà restituito un errore se richiamato su un insieme di credenziali o un modulo di protezione hardware non abilitato per l'eliminazione temporanea. Questa operazione richiede l'autorizzazione chiavi/ripulitura.
az keyvault key purge [--hsm-name]
[--id]
[--name]
[--vault-name]
Parametri facoltativi
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID di ripristino della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key random
Ottenere il numero richiesto di byte casuali da un modulo di protezione hardware gestito.
az keyvault key random --count
[--hsm-name]
[--id]
Parametri necessari
Numero richiesto di byte casuali.
Parametri facoltativi
Nome del modulo di protezione hardware.
URI completo del modulo di protezione hardware.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key recover
Ripristinare la chiave eliminata alla versione più recente.
L'operazione Ripristina chiave eliminata è applicabile per le chiavi eliminate in insiemi di credenziali o moduli di protezione hardware abilitati per l'eliminazione temporanea. Ripristina la chiave eliminata nella versione più recente in /keys. Un tentativo di recupero di una chiave non eliminata restituirà un errore. Si consideri questo l'inverso dell'operazione di eliminazione su insiemi di credenziali o moduli di protezione hardware abilitati per l'eliminazione temporanea. Questa operazione richiede l'autorizzazione chiavi/ripristino.
az keyvault key recover [--hsm-name]
[--id]
[--name]
[--vault-name]
Parametri facoltativi
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID di ripristino della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key restore
Ripristinare una chiave sottoposta a backup in un insieme di credenziali o in un modulo di protezione hardware.
Importare una chiave di cui è stato eseguito il backup in precedenza in Vault o HSM, ripristinando la chiave, l'identificatore della chiave, gli attributi e i criteri di controllo di accesso. L'operazione RESTORE può essere usata per importare una chiave di cui è stato eseguito il backup in precedenza. Non è possibile ripristinare singole versioni di una chiave. La chiave viene ripristinata interamente con lo stesso nome di chiave di cui era stato eseguito il backup. Se il nome della chiave non è disponibile nell'insieme di credenziali delle chiavi di destinazione, l'operazione RESTORE verrà rifiutata. Mentre il nome della chiave viene mantenuto durante il ripristino, l'identificatore di chiave finale cambierà se la chiave viene ripristinata in un insieme di credenziali o un modulo di protezione hardware diverso. Il ripristino ripristinerà tutte le versioni e manterrà gli identificatori di versione. L'operazione RESTORE è soggetta a vincoli di sicurezza. L'insieme di credenziali di destinazione o il modulo di protezione hardware deve essere di proprietà della stessa sottoscrizione di Microsoft Azure dell'insieme di credenziali di origine o del modulo di protezione hardware. L'utente deve disporre dell'autorizzazione RESTORE nell'insieme di credenziali di destinazione o nel modulo di protezione hardware. Questa operazione richiede l'autorizzazione chiavi/ripristino.
az keyvault key restore [--backup-folder]
[--blob-container-name]
[--file]
[--hsm-name]
[--id]
[--name]
[--no-wait]
[--storage-account-name]
[--storage-container-SAS-token]
[--storage-resource-uri]
[--vault-name]
Parametri facoltativi
Nome del contenitore BLOB che contiene il backup.
Nome del contenitore BLOB.
Backup della chiave locale da cui ripristinare la chiave.
Nome del modulo di protezione hardware. Può essere omesso se è specificato --id.
URI completo dell'insieme di credenziali o del modulo di protezione hardware. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. (Solo per il ripristino dall'account di archiviazione).
Indica che non è necessario attendere il termine dell'operazione a esecuzione prolungata.
Nome dell'account Archiviazione di Azure.
Token di firma di accesso condiviso che punta a un contenitore di archiviazione BLOB di Azure.
Uri del contenitore di Archiviazione BLOB di Azure. Se specificato, tutti gli altri argomenti "ID Archiviazione" devono essere omessi.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key rotate
Ruotare la chiave in base ai criteri della chiave generando una nuova versione della chiave.
az keyvault key rotate [--hsm-name]
[--id]
[--name]
[--vault-name]
Parametri facoltativi
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key set-attributes
L'operazione di aggiornamento della chiave modifica gli attributi specificati di una chiave archiviata e può essere applicata a qualsiasi tipo di chiave e versione della chiave archiviata in Vault o HSM.
Per eseguire questa operazione, la chiave deve essere già presente nell'insieme di credenziali o nel modulo di protezione hardware. Non è possibile modificare il materiale crittografico di una chiave stessa. Questa operazione richiede l'autorizzazione chiavi/aggiornamento.
az keyvault key set-attributes [--enabled {false, true}]
[--expires]
[--hsm-name]
[--id]
[--immutable {false, true}]
[--name]
[--not-before]
[--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
[--policy]
[--tags]
[--vault-name]
[--version]
Parametri facoltativi
Abilitare la chiave.
Scadenza UTC datetime (Y-m-d'H:M:S'Z').
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Contrassegnare un criterio di versione come non modificabile. Non è possibile modificare o aggiornare criteri di versione non modificabili dopo essere stati contrassegnati come non modificabili. I criteri di rilascio sono modificabili per impostazione predefinita.
Nome della chiave. Obbligatorio se --id non è specificato.
Chiave non utilizzabile prima dell'ora UTC specificata (Y-m-d'H:M:S'Z').
Elenco delimitato da spazi delle operazioni consentite della chiave Web JSON.
Regole dei criteri in base alle quali è possibile esportare la chiave. Definizione di criteri come JSON o percorso di un file contenente la definizione dei criteri JSON.
Tag separati da spazi: key[=value] [key[=value] ...]. Usare "" per cancellare i tag esistenti.
Nome dell'insieme di credenziali.
Versione della chiave. Se omesso, usa la versione più recente.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key show
Ottenere gli attributi di una chiave e, se si tratta di una chiave asimmetrica, il relativo materiale pubblico.
Richiede le chiavi/ottenere l'autorizzazione.
az keyvault key show [--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]
Parametri facoltativi
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Versione della chiave. Se omesso, usa la versione più recente.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key show-deleted
Ottenere la parte pubblica di una chiave eliminata.
L'operazione Get Deleted Key è applicabile per gli insiemi di credenziali o i moduli di protezione hardware abilitati per l'eliminazione temporanea. Anche se l'operazione può essere richiamata in qualsiasi insieme di credenziali o modulo di protezione hardware, verrà restituito un errore se richiamato su un insieme di credenziali o un modulo di protezione hardware non abilitato per l'eliminazione temporanea. Questa operazione richiede l'autorizzazione keys/get.
az keyvault key show-deleted [--hsm-name]
[--id]
[--name]
[--vault-name]
Parametri facoltativi
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key sign
Creare una firma da un digest usando una chiave archiviata in un insieme di credenziali o un modulo di protezione hardware.
az keyvault key sign --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
--digest
[--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]
Esempio
Creare una firma da un digest usando la chiave dell'insieme di credenziali delle chiavi.
az keyvault key sign --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012"
Parametri necessari
Identificatore dell'algoritmo.
Valore da firmare.
Parametri facoltativi
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Versione della chiave. Se omesso, usa la versione più recente.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az keyvault key verify
Verificare una firma usando la chiave archiviata in un insieme di credenziali o in un modulo di protezione hardware.
az keyvault key verify --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
--digest
--signature
[--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]
Esempio
Verificare una firma usando la chiave dell'insieme di credenziali delle chiavi.
az keyvault key verify --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012" --signature XXXYYYZZZ
Parametri necessari
Identificatore dell'algoritmo.
Valore da firmare.
Firma da verificare.
Parametri facoltativi
Nome del modulo di protezione hardware. (--hsm-name e --vault-name si escludono a vicenda, specificare solo uno di essi).
ID della chiave. Se si specificano tutti gli altri argomenti 'Id' devono essere omessi.
Nome della chiave. Obbligatorio se --id non è specificato.
Nome dell'insieme di credenziali.
Versione della chiave. Se omesso, usa la versione più recente.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID
.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.