az keyvault key

Gerir chaves.

Comandos

Name Description Tipo Status
az keyvault key backup

Solicite que um backup da chave especificada seja baixado para o cliente.

Principal GA
az keyvault key create

Crie uma nova chave, armazene-a e, em seguida, devolve parâmetros e atributos chave ao cliente.

Principal GA
az keyvault key decrypt

Desencriptar um único bloco de dados encriptados.

Principal Pré-visualizar
az keyvault key delete

Exclua uma chave de qualquer tipo do armazenamento no Vault ou HSM.

Principal GA
az keyvault key download

Transfira a parte pública de uma chave armazenada.

Principal GA
az keyvault key encrypt

Criptografe uma sequência arbitrária de bytes usando uma chave de criptografia armazenada em um Vault ou HSM.

Principal Pré-visualizar
az keyvault key get-policy-template

Modelo de política de retorno como definição de política codificada em JSON.

Principal Pré-visualizar
az keyvault key import

Importe uma chave privada.

Principal GA
az keyvault key list

Liste chaves no Vault ou HSM especificado.

Principal GA
az keyvault key list-deleted

Liste as chaves excluídas no Vault ou HSM especificado.

Principal GA
az keyvault key list-versions

Liste os identificadores e as propriedades das versões de uma chave.

Principal GA
az keyvault key purge

Exclua permanentemente a chave especificada.

Principal GA
az keyvault key random

Obtenha o número solicitado de bytes aleatórios de um HSM gerenciado.

Principal GA
az keyvault key recover

Recupere a chave excluída para sua versão mais recente.

Principal GA
az keyvault key restore

Restaure uma chave de backup para um Vault ou HSM.

Principal GA
az keyvault key rotate

Gire a chave com base na política de chave gerando uma nova versão da chave.

Principal GA
az keyvault key rotation-policy

Gerencie a política de rotação de chaves.

Principal GA
az keyvault key rotation-policy show

Obtenha a política de rotação de uma chave do Cofre da Chave.

Principal GA
az keyvault key rotation-policy update

Atualize a política de rotação de uma chave do Cofre da Chave.

Principal GA
az keyvault key set-attributes

A operação de chave de atualização altera atributos especificados de uma chave armazenada e pode ser aplicada a qualquer tipo de chave e versão de chave armazenada no Vault ou HSM.

Principal GA
az keyvault key show

Obtenha os atributos de uma chave e, se for uma chave assimétrica, o seu material público.

Principal GA
az keyvault key show-deleted

Obtenha a parte pública de uma chave excluída.

Principal GA
az keyvault key sign

Crie uma assinatura a partir de um resumo usando uma chave armazenada em um Vault ou HSM.

Principal GA
az keyvault key verify

Verifique uma assinatura usando a chave armazenada em um Vault ou HSM.

Principal GA

az keyvault key backup

Solicite que um backup da chave especificada seja baixado para o cliente.

A operação de backup de chaves exporta uma chave do Vault ou HSM em um formato protegido. Observe que essa operação NÃO retorna material de chave em um formato que pode ser usado fora do sistema Vault ou HSM, o material de chave retornado é protegido para um HSM ou para o próprio Vault. A intenção dessa operação é permitir que um cliente GERE uma chave em uma instância do Vault ou HSM, faça backup da chave e, em seguida, RESTAURE-a em outra instância do Vault ou HSM. A operação BACKUP pode ser usada para exportar, de forma protegida, qualquer tipo de chave do Vault ou HSM. Não é possível fazer backup de versões individuais de uma chave. BACKUP / RESTORE pode ser realizado apenas dentro de limites geográficos; o que significa que um BACKUP de uma área geográfica não pode ser restaurado para outra área geográfica. Por exemplo, uma cópia de salvaguarda da zona geográfica dos EUA não pode ser restabelecida numa zona geográfica da UE. Esta operação requer a permissão de chave/backup.

az keyvault key backup --file
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Parâmetros Obrigatórios

--file -f

Caminho do arquivo local no qual armazenar o backup de chave.

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key create

Crie uma nova chave, armazene-a e, em seguida, devolve parâmetros e atributos chave ao cliente.

A operação create key pode ser usada para criar qualquer tipo de chave no Vault ou HSM. Se a chave nomeada já existir, o Vault ou HSM criará uma nova versão da chave. Requer as chaves/permissão de criação.

az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--policy]
                       [--protection {hsm, software}]
                       [--size]
                       [--tags]
                       [--vault-name]

Parâmetros Opcionais

--curve

Nome da curva elíptica. Para valores válidos, consulte: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename.

Valores aceites: P-256, P-256K, P-384, P-521
--default-cvm-policy

Use a política padrão sob a qual a chave pode ser exportada para criptografia de disco CVM.

Default value: False
--disabled

Criar chave no estado desativado.

Valores aceites: false, true
Default value: False
--expires

Expiração UTC datetime (Y-m-d'T'H:M:S'Z').

--exportable

Se a chave privada pode ser exportada. Para criar a chave com a política de lançamento, "exportável" deve ser true e o chamador deve ter permissão "exportar".

Valores aceites: false, true
--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--immutable

Marque uma política de lançamento como imutável. Uma política de lançamento imutável não pode ser alterada ou atualizada depois de ser marcada como imutável. As políticas de lançamento são mutáveis por padrão.

Valores aceites: false, true
--kty

O tipo de chave a ser criada. Para valores válidos, consulte: https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype.

Valores aceites: EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM
--name -n

Nome da chave. Obrigatório se --id não for especificado.

--not-before

Chave não utilizável antes da data/hora UTC fornecida (Y-m-d'T'H:M:S'Z').

--ops

Lista separada por espaço de operações de chave da Web JSON permitidas.

Valores aceites: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

As regras de política sob as quais a chave pode ser exportada. Definição de política como JSON ou um caminho para um arquivo que contém a definição de política JSON.

--protection -p

Especifica o tipo de proteção de chave.

Valores aceites: hsm, software
--size

O tamanho da chave em bits. Por exemplo: 2048, 3072 ou 4096 para RSA. 128, 192 ou 256 para out.

--tags

Tags separadas por espaço: key[=value] [key[=value] ...]. Use "" para limpar tags existentes.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key decrypt

Pré-visualizar

Este comando está em pré-visualização e em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Desencriptar um único bloco de dados encriptados.

A operação DECRYPT desencripta um bloco bem formado de texto cifrado usando a chave de encriptação de destino e o algoritmo especificado. Esta operação é o inverso da operação ENCRYPT; Apenas um único bloco de dados pode ser desencriptado, o tamanho deste bloco depende da chave de destino e do algoritmo a ser usado. A operação DECRYPT aplica-se a chaves assimétricas e simétricas armazenadas no Vault ou HSM, uma vez que usa a parte privada da chave. Esta operação requer a permissão chaves/desencriptação.

az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--tag]
                        [--vault-name]
                        [--version]

Exemplos

Descriptografe o valor (cadeia de caracteres codificada em Base64 retornada pelo comando encrypt) com a chave do vault usando RSA-OAEP e obtenha o resultado como codificado em base64.

az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="

Descriptografe o valor (cadeia de caracteres codificada em Base64 retornada pelo comando encrypt) com a chave do MHSM usando AES-GCM e obtenha o resultado como texto sem formatação.

az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"

Parâmetros Obrigatórios

--algorithm -a

Identificador do algoritmo.

Valores aceites: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

O valor a ser desencriptado, que deve ser o resultado de "az keyvault encrypt".

Parâmetros Opcionais

--aad

Dados opcionais autenticados, mas não criptografados. Para uso com desencriptação AES-GCM.

--data-type

O tipo dos dados originais.

Valores aceites: base64, plaintext
Default value: base64
--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--iv

O vetor de inicialização usado durante a criptografia. Necessário para a desencriptação AES.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--tag

A tag de autenticação gerada durante a criptografia. Necessário apenas para desencriptação AES-GCM.

--vault-name

Nome do cofre.

--version -v

A versão chave. Se omitido, usa a versão mais recente.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key delete

Exclua uma chave de qualquer tipo do armazenamento no Vault ou HSM.

A operação de exclusão de chave não pode ser usada para remover versões individuais de uma chave. Esta operação remove o material criptográfico associado à chave, o que significa que a chave não é utilizável para operações Sign/Verify, Wrap/Unwrap ou Encrypt/Decrypt. Esta operação requer a permissão chaves/exclusão.

az keyvault key delete [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key download

Transfira a parte pública de uma chave armazenada.

az keyvault key download --file
                         [--encoding {DER, PEM}]
                         [--hsm-name]
                         [--id]
                         [--name]
                         [--vault-name]
                         [--version]

Exemplos

Salve a chave com codificação PEM.

az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pem

Salve a chave com a codificação DER.

az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.der

Parâmetros Obrigatórios

--file -f

Arquivo para receber o conteúdo da chave.

Parâmetros Opcionais

--encoding -e

Codificação da chave, padrão: PEM.

Valores aceites: DER, PEM
Default value: PEM
--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

--version -v

A versão chave. Se omitido, usa a versão mais recente.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key encrypt

Pré-visualizar

Este comando está em pré-visualização e em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Criptografe uma sequência arbitrária de bytes usando uma chave de criptografia armazenada em um Vault ou HSM.

A operação ENCRYPT criptografa uma sequência arbitrária de bytes usando uma chave de criptografia armazenada no Vault ou HSM. Observe que a operação ENCRYPT suporta apenas um único bloco de dados, cujo tamanho depende da chave de destino e do algoritmo de criptografia a ser usado. A operação ENCRYPT só é estritamente necessária para chaves simétricas armazenadas no Vault pr HSM, uma vez que a proteção com uma chave assimétrica pode ser executada usando a parte pública da chave. Esta operação é suportada para chaves assimétricas como uma conveniência para chamadores que têm uma referência de chave, mas não têm acesso ao material de chave pública. Esta operação requer a permissão chaves/criptografar.

az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--vault-name]
                        [--version]

Exemplos

Criptografe o valor (cadeia codificada em Base64) com a chave do vault usando RSA-OAEP.

az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64

Criptografe o valor (texto sem formatação) com a chave do MHSM usando AES-GCM.

az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"

Parâmetros Obrigatórios

--algorithm -a

Identificador do algoritmo.

Valores aceites: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

O valor a ser criptografado. O tipo de dados padrão é a cadeia de caracteres codificada Base64.

Parâmetros Opcionais

--aad

Dados opcionais autenticados, mas não criptografados. Para utilização com encriptação AES-GCM.

--data-type

O tipo dos dados originais.

Valores aceites: base64, plaintext
Default value: base64
--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--iv

Vetor de inicialização. Necessário apenas para criptografia AES-CBC(PAD).

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

--version -v

A versão chave. Se omitido, usa a versão mais recente.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key get-policy-template

Pré-visualizar

Este comando está em pré-visualização e em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Modelo de política de retorno como definição de política codificada JSON.

az keyvault key get-policy-template
Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key import

Importe uma chave privada.

Suporta a importação de chaves privadas codificadas base64 de arquivos PEM ou strings. Suporta a importação de chaves BYOK para HSM para cofres de chaves premium.

az keyvault key import [--byok-file]
                       [--byok-string]
                       [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, RSA, oct}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--pem-file]
                       [--pem-password]
                       [--pem-string]
                       [--policy]
                       [--protection {hsm, software}]
                       [--tags]
                       [--vault-name]

Parâmetros Opcionais

--byok-file

BYOK contendo a chave a ser importada. Não deve ser protegido por senha.

--byok-string

Cadeia de caracteres BYOK contendo a chave a ser importada. Não deve ser protegido por senha.

--curve

O nome da curva da chave a ser importada (somente para BYOK).

Valores aceites: P-256, P-256K, P-384, P-521
--default-cvm-policy

Use a política padrão sob a qual a chave pode ser exportada para criptografia de disco CVM.

Default value: False
--disabled

Criar chave no estado desativado.

Valores aceites: false, true
Default value: False
--expires

Expiração UTC datetime (Y-m-d'T'H:M:S'Z').

--exportable

Se a chave privada pode ser exportada. Para criar a chave com a política de lançamento, "exportável" deve ser true e o chamador deve ter permissão "exportar".

Valores aceites: false, true
--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--immutable

Marque uma política de lançamento como imutável. Uma política de lançamento imutável não pode ser alterada ou atualizada depois de ser marcada como imutável. As políticas de lançamento são mutáveis por padrão.

Valores aceites: false, true
--kty

O tipo de chave a importar (apenas para BYOK).

Valores aceites: EC, RSA, oct
Default value: RSA
--name -n

Nome da chave. Obrigatório se --id não for especificado.

--not-before

Chave não utilizável antes da data/hora UTC fornecida (Y-m-d'T'H:M:S'Z').

--ops

Lista separada por espaço de operações de chave da Web JSON permitidas.

Valores aceites: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--pem-file

PEM contendo a chave a ser importada.

--pem-password

Senha do arquivo PEM.

--pem-string

Cadeia de caracteres PEM contendo a chave a ser importada.

--policy

As regras de política sob as quais a chave pode ser exportada. Definição de política como JSON ou um caminho para um arquivo que contém a definição de política JSON.

--protection -p

Especifica o tipo de proteção de chave.

Valores aceites: hsm, software
--tags

Tags separadas por espaço: key[=value] [key[=value] ...]. Use "" para limpar tags existentes.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key list

Liste chaves no Vault ou HSM especificado.

Recupere uma lista das chaves no Vault ou HSM como estruturas JSON Web Key que contêm a parte pública de uma chave armazenada. A operação LIST é aplicável a todos os tipos de chave, no entanto, apenas o identificador de chave base, atributos e tags são fornecidos na resposta. As versões individuais de uma chave não estão listadas na resposta. Esta operação requer a permissão chaves/lista.

az keyvault key list [--hsm-name]
                     [--id]
                     [--include-managed {false, true}]
                     [--maxresults]
                     [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. Pode ser omitido se --id for especificado.

--id

URI completo do cofre ou HSM. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--include-managed

Inclua chaves gerenciadas.

Valores aceites: false, true
Default value: False
--maxresults

Número máximo de resultados a devolver.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key list-deleted

Liste as chaves excluídas no Vault ou HSM especificado.

Recupere uma lista das chaves no Vault ou HSM como estruturas JSON Web Key que contêm a parte pública de uma chave excluída. Esta operação inclui informações específicas de exclusão. A operação Obter chaves excluídas é aplicável para cofres habilitados para exclusão suave. Embora a operação possa ser invocada em qualquer Vault ou HSM, ela retornará um erro se invocada em um Vault ou HSM não habilitado para exclusão suave. Esta operação requer a permissão chaves/lista.

az keyvault key list-deleted [--hsm-name]
                             [--id]
                             [--maxresults]
                             [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. Pode ser omitido se --id for especificado.

--id

URI completo do cofre ou HSM. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--maxresults

Número máximo de resultados a devolver.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key list-versions

Liste os identificadores e as propriedades das versões de uma chave.

Requer permissão de chaves/lista.

az keyvault key list-versions [--hsm-name]
                              [--id]
                              [--maxresults]
                              [--name]
                              [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--maxresults

Número máximo de resultados a devolver.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key purge

Exclua permanentemente a chave especificada.

A operação Purge Deleted Key é aplicável a Vaults ou HSMs habilitados para soft-delete. Embora a operação possa ser invocada em qualquer Vault ou HSM, ela retornará um erro se invocada em um Vault ou HSM não habilitado para exclusão suave. Esta operação requer a permissão chaves/purge.

az keyvault key purge [--hsm-name]
                      [--id]
                      [--name]
                      [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

A ID de recuperação da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key random

Obtenha o número solicitado de bytes aleatórios de um HSM gerenciado.

az keyvault key random --count
                       [--hsm-name]
                       [--id]

Parâmetros Obrigatórios

--count

O número solicitado de bytes aleatórios.

Parâmetros Opcionais

--hsm-name

Nome do HSM.

--id

URI completo do HSM.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key recover

Recupere a chave excluída para sua versão mais recente.

A operação Recuperar Chave Excluída é aplicável para chaves excluídas em Vaults ou HSMs habilitados para exclusão suave. Ele recupera a chave excluída de volta para sua versão mais recente em /keys. Uma tentativa de recuperar uma chave não excluída retornará um erro. Considere isso o inverso da operação de exclusão em Vaults ou HSMs habilitados para exclusão suave. Esta operação requer a permissão chaves/recuperação.

az keyvault key recover [--hsm-name]
                        [--id]
                        [--name]
                        [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

A ID de recuperação da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key restore

Restaure uma chave de backup para um Vault ou HSM.

Importe uma chave previamente copiada para o Vault ou HSM, restaurando a chave, seu identificador de chave, atributos e políticas de controle de acesso. A operação RESTORE pode ser usada para importar uma chave de backup anterior. As versões individuais de uma chave não podem ser restauradas. A chave é restaurada na íntegra com o mesmo nome de chave que tinha quando foi feito o backup. Se o nome da chave não estiver disponível no Cofre da Chave de destino, a operação RESTORE será rejeitada. Embora o nome da chave seja mantido durante a restauração, o identificador de chave final será alterado se a chave for restaurada para um Vault ou HSM diferente. A restauração restaurará todas as versões e preservará os identificadores de versão. A operação RESTORE está sujeita a restrições de segurança. O Cofre ou HSM de destino deve pertencer à mesma Assinatura do Microsoft Azure que o Cofre ou HSM de origem. O usuário deve ter permissão RESTORE no Vault ou HSM de destino. Esta operação requer a permissão chaves/restauração.

az keyvault key restore [--backup-folder]
                        [--blob-container-name]
                        [--file]
                        [--hsm-name]
                        [--id]
                        [--name]
                        [--no-wait]
                        [--storage-account-name]
                        [--storage-container-SAS-token]
                        [--storage-resource-uri]
                        [--vault-name]

Parâmetros Opcionais

--backup-folder

Nome do contêiner de blob que contém o backup.

--blob-container-name

Nome do contêiner de Blob.

--file -f

Backup de chave local a partir do qual restaurar a chave.

--hsm-name

Nome do HSM. Pode ser omitido se --id for especificado.

--id

URI completo do cofre ou HSM. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. (Apenas para restaurar a partir da conta de armazenamento).

--no-wait

Não espere que a operação de longa duração termine.

Default value: False
--storage-account-name

Nome da Conta de Armazenamento do Azure.

--storage-container-SAS-token -t

O token SAS apontando para um contêiner de armazenamento de Blob do Azure.

--storage-resource-uri -u

Uri do contêiner de armazenamento de Blob do Azure. Se especificado, todos os outros argumentos 'ID de armazenamento' devem ser omitidos.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key rotate

Gire a chave com base na política de chave gerando uma nova versão da chave.

az keyvault key rotate [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key set-attributes

A operação de chave de atualização altera atributos especificados de uma chave armazenada e pode ser aplicada a qualquer tipo de chave e versão de chave armazenada no Vault ou HSM.

Para executar essa operação, a chave já deve existir no Vault ou HSM. O material criptográfico de uma chave em si não pode ser alterado. Esta operação requer a permissão chaves/atualização.

az keyvault key set-attributes [--enabled {false, true}]
                               [--expires]
                               [--hsm-name]
                               [--id]
                               [--immutable {false, true}]
                               [--name]
                               [--not-before]
                               [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                               [--policy]
                               [--tags]
                               [--vault-name]
                               [--version]

Parâmetros Opcionais

--enabled

Habilite a chave.

Valores aceites: false, true
--expires

Expiração UTC datetime (Y-m-d'T'H:M:S'Z').

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--immutable

Marque uma política de lançamento como imutável. Uma política de lançamento imutável não pode ser alterada ou atualizada depois de ser marcada como imutável. As políticas de lançamento são mutáveis por padrão.

Valores aceites: false, true
--name -n

Nome da chave. Obrigatório se --id não for especificado.

--not-before

Chave não utilizável antes da data/hora UTC fornecida (Y-m-d'T'H:M:S'Z').

--ops

Lista separada por espaço de operações de chave da Web JSON permitidas.

Valores aceites: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

As regras de política sob as quais a chave pode ser exportada. Definição de política como JSON ou um caminho para um arquivo que contém a definição de política JSON.

--tags

Tags separadas por espaço: key[=value] [key[=value] ...]. Use "" para limpar tags existentes.

--vault-name

Nome do cofre.

--version -v

A versão chave. Se omitido, usa a versão mais recente.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key show

Obtenha os atributos de uma chave e, se for uma chave assimétrica, o seu material público.

Requer chaves/obter permissão.

az keyvault key show [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

--version -v

A versão chave. Se omitido, usa a versão mais recente.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key show-deleted

Obtenha a parte pública de uma chave excluída.

A operação Obter chave excluída é aplicável para cofres ou HSMs habilitados para exclusão suave. Embora a operação possa ser invocada em qualquer Vault ou HSM, ela retornará um erro se invocada em um Vault ou HSM não habilitado para exclusão suave. Esta operação requer as chaves/obter permissão.

az keyvault key show-deleted [--hsm-name]
                             [--id]
                             [--name]
                             [--vault-name]

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key sign

Crie uma assinatura a partir de um resumo usando uma chave armazenada em um Vault ou HSM.

az keyvault key sign --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                     --digest
                     [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

Exemplos

Crie uma assinatura a partir de um resumo usando a chave do keyvault.

az keyvault key sign --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012"

Parâmetros Obrigatórios

--algorithm -a

Identificador do algoritmo.

Valores aceites: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

O valor a assinar.

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

--version -v

A versão chave. Se omitido, usa a versão mais recente.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az keyvault key verify

Verifique uma assinatura usando a chave armazenada em um Vault ou HSM.

az keyvault key verify --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                       --digest
                       --signature
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]
                       [--version]

Exemplos

Verifique uma assinatura usando a chave do keyvault.

az keyvault key verify --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012" --signature XXXYYYZZZ

Parâmetros Obrigatórios

--algorithm -a

Identificador do algoritmo.

Valores aceites: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

O valor a assinar.

--signature

Assinatura a verificar.

Parâmetros Opcionais

--hsm-name

Nome do HSM. (--hsm-name e --vault-name são mutuamente exclusivos, especifique apenas um deles).

--id

Id da chave. Se especificado, todos os outros argumentos 'Id' devem ser omitidos.

--name -n

Nome da chave. Obrigatório se --id não for especificado.

--vault-name

Nome do cofre.

--version -v

A versão chave. Se omitido, usa a versão mais recente.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.