az keyvault key
Gerenciar as chaves.
Comandos
| Nome | Description | Tipo | Status |
|---|---|---|---|
| az keyvault key backup |
Solicite que um backup da chave especificada seja baixado para o cliente. |
Núcleo | GA |
| az keyvault key create |
Crie uma nova chave, armazene-a e, em seguida, retorne parâmetros e atributos de chave para o cliente. |
Núcleo | GA |
| az keyvault key decrypt |
Descriptografe um único bloco de dados criptografados. |
Núcleo | Visualizar |
| az keyvault key delete |
Exclua uma chave de qualquer tipo do armazenamento no Vault ou no HSM. |
Núcleo | GA |
| az keyvault key download |
Baixe a parte pública de uma chave armazenada. |
Núcleo | GA |
| az keyvault key encrypt |
Criptografe uma sequência arbitrária de bytes usando uma chave de criptografia armazenada em um Vault ou HSM. |
Núcleo | Visualizar |
| az keyvault key get-policy-template |
Modelo de política de retorno como definição de política codificada em JSON. |
Núcleo | Visualizar |
| az keyvault key import |
Importar uma chave privada. |
Núcleo | GA |
| az keyvault key list |
Listar chaves no Vault ou HSM especificado. |
Núcleo | GA |
| az keyvault key list-deleted |
Liste as chaves excluídas no Vault ou HSM especificado. |
Núcleo | GA |
| az keyvault key list-versions |
Listar os identificadores e as propriedades das versões de uma chave. |
Núcleo | GA |
| az keyvault key purge |
Exclua permanentemente a chave especificada. |
Núcleo | GA |
| az keyvault key random |
Obtenha o número solicitado de bytes aleatórios de um HSM gerenciado. |
Núcleo | GA |
| az keyvault key recover |
Recupere a chave excluída para sua versão mais recente. |
Núcleo | GA |
| az keyvault key restore |
Restaure uma chave de backup em um Vault ou HSM. |
Núcleo | GA |
| az keyvault key rotate |
Gire a chave com base na política de chave gerando uma nova versão da chave. |
Núcleo | GA |
| az keyvault key rotation-policy |
Gerenciar a política de rotação da chave. |
Núcleo | GA |
| az keyvault key rotation-policy show |
Obtenha a política de rotação de uma chave do Cofre de Chaves. |
Núcleo | GA |
| az keyvault key rotation-policy update |
Atualize a política de rotação de uma chave do Cofre da Chave. |
Núcleo | GA |
| az keyvault key set-attributes |
A operação de atualização de chave altera atributos especificados de uma chave armazenada e pode ser aplicada a qualquer tipo de chave e versão de chave armazenada no Vault ou HSM. |
Núcleo | GA |
| az keyvault key show |
Obtenha os atributos de uma chave e, se for uma chave assimétrica, seu material público. |
Núcleo | GA |
| az keyvault key show-deleted |
Obtenha a parte pública de uma chave excluída. |
Núcleo | GA |
| az keyvault key sign |
Crie uma assinatura a partir de um resumo usando uma chave armazenada em um Vault ou HSM. |
Núcleo | GA |
| az keyvault key verify |
Verifique uma assinatura usando a chave armazenada em um Vault ou HSM. |
Núcleo | GA |
az keyvault key backup
Solicite que um backup da chave especificada seja baixado para o cliente.
A operação Key Backup exporta uma chave do Vault ou HSM em um formulário protegido. Observe que essa operação NÃO retorna o material da chave em um formulário que possa ser usado fora do sistema Vault ou HSM, o material da chave retornada está protegido para um HSM ou para o próprio Vault. A intenção dessa operação é permitir que um cliente GERE uma chave em uma instância do Vault ou HSM, faça BACKUP da chave e, em seguida, RESTAURE-a em outra instância do Vault ou HSM. A operação BACKUP pode ser usada para exportar, de forma protegida, qualquer tipo de chave do Vault ou HSM. Não é possível fazer backup de versões individuais de uma chave. O BACKUP/RESTORE pode ser realizado apenas dentro de limites geográficos; o que significa que um BACKUP de uma área geográfica não pode ser restaurado para outra área geográfica. Por exemplo, uma cópia de segurança da área geográfica dos EUA não pode ser restaurada numa área geográfica da UE. Esta operação requer a permissão de chave/backup.
az keyvault key backup --file
[--hsm-name]
[--id]
[--name]
[--vault-name]Parâmetros Exigidos
Caminho do arquivo local no qual armazenar o backup da chave.
Parâmetros Opcionais
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key create
Crie uma nova chave, armazene-a e, em seguida, retorne parâmetros e atributos de chave para o cliente.
A operação create key pode ser usada para criar qualquer tipo de chave no Vault ou HSM. Se a chave nomeada já existir, o Vault ou o HSM criará uma nova versão da chave. Requer a permissão keys/create.
az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
[--default-cvm-policy]
[--disabled {false, true}]
[--expires]
[--exportable {false, true}]
[--hsm-name]
[--id]
[--immutable {false, true}]
[--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
[--name]
[--not-before]
[--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
[--policy]
[--protection {hsm, software}]
[--size]
[--tags]
[--vault-name]Parâmetros Opcionais
Nome da curva elíptica. Para valores válidos, consulte: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename.
Use a política padrão sob a qual a chave pode ser exportada para criptografia de disco CVM.
Criar chave no estado desabilitado.
Data de expiração UTC (Y-m-d'T'H:M:S'Z').
Se a chave privada pode ser exportada. Para criar uma chave com a política de liberação, "exportável" deve ser verdadeiro e o chamador deve ter permissão de "exportação".
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Marque uma política de lançamento como imutável. Uma política de versão imutável não pode ser alterada ou atualizada depois de ser marcada como imutável. As políticas de lançamento são mutáveis por padrão.
Tipo de chave a ser criado. Para valores válidos, consulte: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype.
Nome da chave. Obrigatório se --id não for especificado.
Chave não utilizável antes da data/hora UTC fornecida (Y-m-d'T'H:M:S'Z').
Lista separada por espaço de operações de chave da Web JSON permitidas.
As regras de política sob as quais a chave pode ser exportada. Definição de política como JSON ou um caminho para um arquivo que contém a definição de política JSON.
Especifica o tipo de proteção de chave.
O tamanho da chave em bits. Por exemplo: 2048, 3072 ou 4096 para RSA. 128, 192 ou 256 para out.
Tags separadas por espaço: key[=value] [key[=value] ...]. Use "" para limpar as tags existentes.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key decrypt
Este comando está em pré-visualização e em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus
Descriptografe um único bloco de dados criptografados.
A operação DECRYPT descriptografa um bloco bem formado de texto cifrado usando a chave de criptografia de destino e o algoritmo especificado. Esta operação é o inverso da operação ENCRYPT; Apenas um único bloco de dados pode ser descriptografado, o tamanho desse bloco depende da chave de destino e do algoritmo a ser usado. A operação DECRYPT aplica-se a chaves assimétricas e simétricas armazenadas no Vault ou HSM, uma vez que utiliza a parte privada da chave. Esta operação requer a permissão keys/decrypt.
az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
--value
[--aad]
[--data-type {base64, plaintext}]
[--hsm-name]
[--id]
[--iv]
[--name]
[--tag]
[--vault-name]
[--version]Exemplos
Descriptografe o valor (cadeia de caracteres codificada em Base64 retornada pelo comando encrypt) com a chave do vault usando RSA-OAEP e obtenha o resultado como codificado em base64.
az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="Descriptografe o valor(cadeia de caracteres codificada em Base64 retornada pelo comando encrypt) com a chave do MHSM usando AES-GCM e obtenha o resultado como texto sem formatação.
az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"Parâmetros Exigidos
Identificador de algoritmo.
O valor a ser descriptografado, que deve ser o resultado de "az keyvault encrypt".
Parâmetros Opcionais
Dados opcionais autenticados, mas não criptografados. Para uso com descriptografia AES-GCM.
O tipo dos dados originais.
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
O vetor de inicialização usado durante a criptografia. Necessário para descriptografia AES.
Nome da chave. Obrigatório se --id não for especificado.
A tag de autenticação gerada durante a criptografia. Necessário apenas para a descriptografia AES-GCM.
Nome do cofre.
A versão principal. Se omitido, usa a versão mais recente.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key delete
Exclua uma chave de qualquer tipo do armazenamento no Vault ou no HSM.
A operação de exclusão de chave não pode ser usada para remover versões individuais de uma chave. Essa operação remove o material criptográfico associado à chave, o que significa que a chave não é utilizável para operações Assinar/Verificar, Encapsular/Desencapsular ou Criptografar/Descriptografar. Essa operação requer a permissão de exclusão/chaves.
az keyvault key delete [--hsm-name]
[--id]
[--name]
[--vault-name]Parâmetros Opcionais
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key download
Baixe a parte pública de uma chave armazenada.
az keyvault key download --file
[--encoding {DER, PEM}]
[--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]Exemplos
Salve a chave com a codificação PEM.
az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pemSalve a chave com codificação DER.
az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.derParâmetros Exigidos
Arquivo para receber o conteúdo da chave.
Parâmetros Opcionais
Codificação da chave, padrão: PEM.
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
A versão principal. Se omitido, usa a versão mais recente.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key encrypt
Este comando está em pré-visualização e em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus
Criptografe uma sequência arbitrária de bytes usando uma chave de criptografia armazenada em um Vault ou HSM.
A operação ENCRYPT criptografa uma sequência arbitrária de bytes usando uma chave de criptografia armazenada no Vault ou HSM. Observe que a operação ENCRYPT oferece suporte apenas a um único bloco de dados, cujo tamanho depende da chave de destino e do algoritmo de criptografia a ser usado. A operação ENCRYPT só é estritamente necessária para chaves simétricas armazenadas no Vault pr HSM, uma vez que a proteção com uma chave assimétrica pode ser executada usando a parte pública da chave. Essa operação é suportada para chaves assimétricas como uma conveniência para chamadores que têm uma referência de chave, mas não têm acesso ao material de chave pública. Esta operação requer a permissão keys/encrypt .
az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
--value
[--aad]
[--data-type {base64, plaintext}]
[--hsm-name]
[--id]
[--iv]
[--name]
[--vault-name]
[--version]Exemplos
Criptografar valor(cadeia de caracteres codificada em Base64) com a chave do cofre usando RSA-OAEP.
az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64Criptografe o valor (texto sem formatação) com a chave do MHSM usando AES-GCM.
az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"Parâmetros Exigidos
Identificador de algoritmo.
O valor a ser criptografado. O tipo de dados padrão é a cadeia de caracteres codificada em Base64.
Parâmetros Opcionais
Dados opcionais autenticados, mas não criptografados. Para uso com criptografia AES-GCM.
O tipo dos dados originais.
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Vetor de inicialização. Necessário apenas para criptografia AES-CBC(PAD).
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
A versão principal. Se omitido, usa a versão mais recente.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key get-policy-template
Este comando está em pré-visualização e em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus
Modelo de política de retorno como definição de política codificada em JSON.
az keyvault key get-policy-templateParâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key import
Importar uma chave privada.
Suporta a importação de chaves privadas codificadas em base64 de arquivos PEM ou cadeias de caracteres. Suporta a importação de chaves BYOK para HSM para cofres de chaves premium.
az keyvault key import [--byok-file]
[--byok-string]
[--curve {P-256, P-256K, P-384, P-521}]
[--default-cvm-policy]
[--disabled {false, true}]
[--expires]
[--exportable {false, true}]
[--hsm-name]
[--id]
[--immutable {false, true}]
[--kty {EC, RSA, oct}]
[--name]
[--not-before]
[--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
[--pem-file]
[--pem-password]
[--pem-string]
[--policy]
[--protection {hsm, software}]
[--tags]
[--vault-name]Parâmetros Opcionais
BYOK contendo a chave a ser importada. Não deve ser protegido por senha.
Cadeia de caracteres BYOK que contém a chave a ser importada. Não deve ser protegido por senha.
O nome da curva da chave a ser importada (somente para BYOK).
Use a política padrão sob a qual a chave pode ser exportada para criptografia de disco CVM.
Criar chave no estado desabilitado.
Data de expiração UTC (Y-m-d'T'H:M:S'Z').
Se a chave privada pode ser exportada. Para criar uma chave com a política de liberação, "exportável" deve ser verdadeiro e o chamador deve ter permissão de "exportação".
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Marque uma política de lançamento como imutável. Uma política de versão imutável não pode ser alterada ou atualizada depois de ser marcada como imutável. As políticas de lançamento são mutáveis por padrão.
O tipo de chave a ser importada (somente para BYOK).
Nome da chave. Obrigatório se --id não for especificado.
Chave não utilizável antes da data/hora UTC fornecida (Y-m-d'T'H:M:S'Z').
Lista separada por espaço de operações de chave da Web JSON permitidas.
PEM contendo a chave a ser importada.
Senha do arquivo PEM.
Cadeia de caracteres PEM que contém a chave a ser importada.
As regras de política sob as quais a chave pode ser exportada. Definição de política como JSON ou um caminho para um arquivo que contém a definição de política JSON.
Especifica o tipo de proteção de chave.
Tags separadas por espaço: key[=value] [key[=value] ...]. Use "" para limpar as tags existentes.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key list
Listar chaves no Vault ou HSM especificado.
Recupere uma lista das chaves no Vault ou HSM como estruturas de chave da Web JSON que contêm a parte pública de uma chave armazenada. A operação LIST é aplicável a todos os tipos de chave, no entanto, apenas o identificador de chave base, atributos e tags são fornecidos na resposta. Versões individuais de uma chave não são listadas na resposta. Esta operação requer a permissão chaves/lista.
az keyvault key list [--hsm-name]
[--id]
[--include-managed {false, true}]
[--maxresults]
[--vault-name]Parâmetros Opcionais
Nome do HSM. Pode ser omitido se --id for especificado.
URI completo do Vault ou HSM. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Incluir chaves gerenciadas.
Número máximo de resultados a serem retornados.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key list-deleted
Liste as chaves excluídas no Vault ou HSM especificado.
Recupere uma lista das chaves no Vault ou HSM como estruturas de chave da Web JSON que contêm a parte pública de uma chave excluída. Essa operação inclui informações específicas de exclusão. A operação Obter chaves excluídas é aplicável a cofres habilitados para exclusão flexível. Embora a operação possa ser invocada em qualquer Vault ou HSM, ela retornará um erro se invocada em um Vault ou HSM habilitado para exclusão suave. Esta operação requer a permissão chaves/lista.
az keyvault key list-deleted [--hsm-name]
[--id]
[--maxresults]
[--vault-name]Parâmetros Opcionais
Nome do HSM. Pode ser omitido se --id for especificado.
URI completo do Vault ou HSM. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Número máximo de resultados a serem retornados.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key list-versions
Listar os identificadores e as propriedades das versões de uma chave.
Requer permissão de chaves/lista.
az keyvault key list-versions [--hsm-name]
[--id]
[--maxresults]
[--name]
[--vault-name]Parâmetros Opcionais
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Número máximo de resultados a serem retornados.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key purge
Exclua permanentemente a chave especificada.
A operação Purge Deleted Key é aplicável a Vaults ou HSMs habilitados para soft-delete. Embora a operação possa ser invocada em qualquer Vault ou HSM, ela retornará um erro se invocada em um Vault ou HSM habilitado para exclusão suave. Esta operação requer a permissão keys/purge.
az keyvault key purge [--hsm-name]
[--id]
[--name]
[--vault-name]Parâmetros Opcionais
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
A ID de recuperação da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key random
Obtenha o número solicitado de bytes aleatórios de um HSM gerenciado.
az keyvault key random --count
[--hsm-name]
[--id]Parâmetros Exigidos
O número solicitado de bytes aleatórios.
Parâmetros Opcionais
Nome do HSM.
URI completo do HSM.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key recover
Recupere a chave excluída para sua versão mais recente.
A operação Recuperar chave excluída é aplicável a chaves excluídas em Vaults ou HSMs habilitados para soft-delete. Ele recupera a chave excluída de volta para sua versão mais recente em /keys. Uma tentativa de recuperar uma chave não excluída retornará um erro. Considere isso o inverso da operação de exclusão em Vaults ou HSMs habilitados para soft-delete. Esta operação requer a permissão keys/recover.
az keyvault key recover [--hsm-name]
[--id]
[--name]
[--vault-name]Parâmetros Opcionais
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
A ID de recuperação da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key restore
Restaure uma chave de backup em um Vault ou HSM.
Importe uma chave de backup anterior para o Vault ou HSM, restaurando a chave, seu identificador de chave, atributos e políticas de controle de acesso. A operação RESTORE pode ser usada para importar uma chave de backup anterior. Versões individuais de uma chave não podem ser restauradas. A chave é restaurada em sua totalidade com o mesmo nome de chave que tinha quando foi feito backup. Se o nome da chave não estiver disponível no Cofre da Chave de destino, a operação RESTORE será rejeitada. Enquanto o nome da chave é mantido durante a restauração, o identificador de chave final será alterado se a chave for restaurada para um Vault ou HSM diferente. A restauração restaurará todas as versões e preservará os identificadores de versão. A operação RESTORE está sujeita a restrições de segurança. O Vault ou HSM de destino deve pertencer à mesma Assinatura do Microsoft Azure que o Vault ou HSM de origem. O usuário deve ter permissão RESTORE no Vault ou HSM de destino. Esta operação requer a permissão chaves/restauração.
az keyvault key restore [--backup-folder]
[--blob-container-name]
[--file]
[--hsm-name]
[--id]
[--name]
[--no-wait]
[--storage-account-name]
[--storage-container-SAS-token]
[--storage-resource-uri]
[--vault-name]Parâmetros Opcionais
Nome do contêiner de blob que contém o backup.
Nome do contêiner de blob.
Backup de chave local a partir do qual restaurar a chave.
Nome do HSM. Pode ser omitido se --id for especificado.
URI completo do Vault ou HSM. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. (Somente para restaurar a partir da conta de armazenamento).
Não aguarde a conclusão da operação de execução longa.
Nome da conta de armazenamento do Azure.
O token SAS apontando para um contêiner de armazenamento de Blob do Azure.
Uri do contêiner de armazenamento de Blobs do Azure. Se especificado, todos os outros argumentos 'Storage Id' devem ser omitidos.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key rotate
Gire a chave com base na política de chave gerando uma nova versão da chave.
az keyvault key rotate [--hsm-name]
[--id]
[--name]
[--vault-name]Parâmetros Opcionais
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key set-attributes
A operação de atualização de chave altera os atributos especificados de uma chave armazenada e pode ser aplicada a qualquer tipo de chave e versão de chave armazenada no Vault ou HSM.
Para executar essa operação, a chave já deve existir no Vault ou HSM. O material criptográfico de uma chave em si não pode ser alterado. Esta operação requer a permissão keys/update.
az keyvault key set-attributes [--enabled {false, true}]
[--expires]
[--hsm-name]
[--id]
[--immutable {false, true}]
[--name]
[--not-before]
[--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
[--policy]
[--tags]
[--vault-name]
[--version]Parâmetros Opcionais
Habilite a chave.
Data de expiração UTC (Y-m-d'T'H:M:S'Z').
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Marque uma política de lançamento como imutável. Uma política de versão imutável não pode ser alterada ou atualizada depois de ser marcada como imutável. As políticas de lançamento são mutáveis por padrão.
Nome da chave. Obrigatório se --id não for especificado.
Chave não utilizável antes da data/hora UTC fornecida (Y-m-d'T'H:M:S'Z').
Lista separada por espaço de operações de chave da Web JSON permitidas.
As regras de política sob as quais a chave pode ser exportada. Definição de política como JSON ou um caminho para um arquivo que contém a definição de política JSON.
Tags separadas por espaço: key[=value] [key[=value] ...]. Use "" para limpar as tags existentes.
Nome do cofre.
A versão principal. Se omitido, usa a versão mais recente.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key show
Obtenha os atributos de uma chave e, se for uma chave assimétrica, seu material público.
Requer chaves/obter permissão.
az keyvault key show [--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]Parâmetros Opcionais
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
A versão principal. Se omitido, usa a versão mais recente.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key show-deleted
Obtenha a parte pública de uma chave excluída.
A operação Get Deleted Key é aplicável a Vaults ou HSMs habilitados para soft-delete. Embora a operação possa ser invocada em qualquer Vault ou HSM, ela retornará um erro se invocada em um Vault ou HSM habilitado para exclusão não soft-delete. Esta operação requer as chaves/obter permissão.
az keyvault key show-deleted [--hsm-name]
[--id]
[--name]
[--vault-name]Parâmetros Opcionais
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key sign
Crie uma assinatura a partir de um resumo usando uma chave armazenada em um Vault ou HSM.
az keyvault key sign --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
--digest
[--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]Exemplos
Crie uma assinatura a partir de um resumo usando a chave do keyvault.
az keyvault key sign --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012"Parâmetros Exigidos
Identificador de algoritmo.
O valor a ser assinado.
Parâmetros Opcionais
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
A versão principal. Se omitido, usa a versão mais recente.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az keyvault key verify
Verifique uma assinatura usando a chave armazenada em um Vault ou HSM.
az keyvault key verify --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
--digest
--signature
[--hsm-name]
[--id]
[--name]
[--vault-name]
[--version]Exemplos
Verifique uma assinatura usando a chave do keyvault.
az keyvault key verify --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012" --signature XXXYYYZZZParâmetros Exigidos
Identificador de algoritmo.
O valor a ser assinado.
Assinatura para verificar.
Parâmetros Opcionais
Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).
ID da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.
Nome da chave. Obrigatório se --id não for especificado.
Nome do cofre.
A versão principal. Se omitido, usa a versão mais recente.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
