Cmdleten Add-AzKeyVaultKey skapar en nyckel i ett nyckelvalv i Azure Key Vault eller importerar en nyckel till ett nyckelvalv.
Använd den här cmdleten för att lägga till nycklar med någon av följande metoder:
Skapa en nyckel i en maskinvarusäkerhetsmodul (HSM) i Key Vault-tjänsten.
Skapa en nyckel i programvara i Key Vault-tjänsten.
Importera en nyckel från din egen maskinvarusäkerhetsmodul (HSM) till HSM:er i Key Vault-tjänsten.
Importera en nyckel från en .pfx-fil på datorn.
Importera en nyckel från en .pfx-fil på datorn till maskinvarusäkerhetsmoduler (HSM) i Key Vault-tjänsten.
För någon av dessa åtgärder kan du ange nyckelattribut eller acceptera standardinställningar.
Om du skapar eller importerar en nyckel som har samma namn som en befintlig nyckel i nyckelvalvet uppdateras den ursprungliga nyckeln med de värden som du anger för den nya nyckeln. Du kan komma åt tidigare värden med hjälp av den versionsspecifika URI:n för den versionen av nyckeln. Mer information om nyckelversioner och URI-strukturen finns i Om nycklar och hemligheter i dokumentationen för Key Vault REST API.
Obs! Om du vill importera en nyckel från din egen maskinvarusäkerhetsmodul måste du först generera ett BYOK-paket (en fil med filnamnstillägget .byok) med hjälp av AZURE Key Vault BYOK-verktygen. Mer information finns i Generera och överföra HSM-Protected nycklar för Azure Key Vault.
Vi rekommenderar att du säkerhetskopierar nyckeln när den har skapats eller uppdaterats med hjälp av cmdleten Backup-AzKeyVaultKey. Det finns ingen oborttagningsfunktion, så om du av misstag tar bort din nyckel eller tar bort den och sedan ändrar dig kan nyckeln inte återställas om du inte har en säkerhetskopia av den som du kan återställa.
Vault/HSM Name : test-kv
Name : test-key
Key Type : EC
Key Size :
Curve Name : P-256
Version : 4da74af2b4fd47d6b1aa0b05c9a2ed13
Id : https://test-kv.vault.azure.net:443/keys/test-key/4da74af2b4fd47d6b1aa0b05c9a2ed13
Enabled : True
Expires :
Not Before :
Created : 8/24/2021 6:38:34 AM
Updated : 8/24/2021 6:38:34 AM
Recovery Level : Recoverable+Purgeable
Tags :
Det här kommandot skapar en programvaruskyddad EC-nyckel med namnet test-key i nyckelvalvet med namnet test-kv. Dess kurvnamn är P-256 som standard.
Vault/HSM Name : contoso
Name : ITHsmNonDefault
Key Type : RSA
Key Size : 2048
Version : 929bfc14db84439b823ffd1bedadaf5f
Id : https://contoso.vault.azure.net:443/keys/ITHsmNonDefault/929bfc14db84439b823ffd1bedadaf5f
Enabled : False
Expires : 5/21/2020 11:12:43 PM
Not Before : 5/21/2018 11:12:50 PM
Created : 5/21/2018 11:13:17 PM
Updated : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags : Name Value
Severity high
Accounting true
Det första kommandot lagrar värdena dekryptera och verifierar i variabeln $KeyOperations.
Det andra kommandot skapar ett DateTime-objekt som definieras i UTC med hjälp av cmdleten Get-Date .
Det objektet anger en tid två år i framtiden. Kommandot lagrar det datumet i variabeln $Expires. Om du vill ha mer information skriver du Get-Help Get-Date.
Det tredje kommandot skapar ett DateTime-objekt med cmdleten Get-Date . Det objektet anger aktuell UTC-tid. Kommandot lagrar det datumet i variabeln $NotBefore.
Det sista kommandot skapar en nyckel med namnet ITHsmNonDefault som är en HSM-skyddad nyckel. Kommandot anger värden för tillåtna nyckelåtgärder som lagras $KeyOperations. Kommandot anger tider för parametrarna Expires och NotBefore som skapades i föregående kommandon och taggar för hög allvarlighetsgrad och IT. Den nya nyckeln är inaktiverad. Du kan aktivera den med hjälp av cmdleten Set-AzKeyVaultKey .
Vault Name : contoso
Name : ITByok
Version : 67da57e9cadf48a2ad8d366b115843ab
Id : https://contoso.vault.azure.net:443/keys/ITByok/67da57e9cadf48a2ad8d366b115843ab
Enabled : True
Expires :
Not Before :
Created : 5/21/2018 11:10:58 PM
Updated : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags :
Det här kommandot importerar nyckeln med namnet ITByok från den plats som KeyFilePath-parametern anger. Den importerade nyckeln är en HSM-skyddad nyckel.
Om du vill importera en nyckel från din egen maskinvarusäkerhetsmodul måste du först generera ett BYOK-paket (en fil med filnamnstillägget .byok) med hjälp av Azure Key Vault BYOK-verktygsuppsättningen.
Mer information finns i Generera och överföra HSM-Protected nycklar för Azure Key Vault.
Vault Name : contoso
Name : ITPfx
Version : 67da57e9cadf48a2ad8d366b115843ab
Id : https://contoso.vault.azure.net:443/keys/ITPfx/67da57e9cadf48a2ad8d366b115843ab
Enabled : True
Expires :
Not Before :
Created : 5/21/2018 11:10:58 PM
Updated : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags :
Det första kommandot konverterar en sträng till en säker sträng med hjälp av cmdleten ConvertTo-SecureString och lagrar sedan strängen i variabeln $Password. Om du vill ha mer information skriver du Get-Help ConvertTo-SecureString.
Det andra kommandot skapar ett programvarulösenord i Contoso-nyckelvalvet. Kommandot anger platsen för nyckeln och lösenordet som lagras i $Password.
Exempel 7: Importera en nyckel och tilldela attribut
Vault Name : contoso
Name : ITPfxToHSM
Version : 929bfc14db84439b823ffd1bedadaf5f
Id : https://contoso.vault.azure.net:443/keys/ITPfxToHSM/929bfc14db84439b823ffd1bedadaf5f
Enabled : True
Expires : 5/21/2020 11:12:43 PM
Not Before :
Created : 5/21/2018 11:13:17 PM
Updated : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags : Name Value
Severity high
Accounting true
Det första kommandot konverterar en sträng till en säker sträng med hjälp av cmdleten ConvertTo-SecureString och lagrar sedan strängen i variabeln $Password.
Det andra kommandot skapar ett DateTime-objekt med cmdleten Get-Date och lagrar sedan objektet i variabeln $Expires.
Det tredje kommandot skapar variabeln $tags för att ange taggar för hög allvarlighetsgrad och IT.
Det sista kommandot importerar en nyckel som en HSM-nyckel från den angivna platsen. Kommandot anger förfallotiden som lagras i $Expires och lösenordet som lagras i $Password och tillämpar taggarna som lagras i $tags.
Exempel 8: Generera en nyckel exchange-nyckel (KEK) för funktionen "bring your own key" (BYOK)
Anger om nyckeln ska läggas till som en programvaruskyddad nyckel eller en HSM-skyddad nyckel i Key Vault-tjänsten.
Giltiga värden är: HSM och Software.
Obs! Om du vill använda HSM som mål måste du ha ett nyckelvalv som stöder HSM. Mer information om tjänstnivåer och funktioner för Azure Key Vault finns på webbplatsen för Prissättning för Azure Key Vault.
Den här parametern krävs när du skapar en ny nyckel. Om du importerar en nyckel med hjälp av parametern KeyFilePath är den här parametern valfri:
Om du inte anger den här parametern och den här cmdleten importerar en nyckel som har filnamnstillägget .byok importeras nyckeln som en HSM-skyddad nyckel. Cmdleten kan inte importera den nyckeln som programvaruskyddad nyckel.
Om du inte anger den här parametern och den här cmdleten importerar en nyckel som har filnamnstillägget .pfx importeras nyckeln som en programvaruskyddad nyckel.
Anger att nyckeln som du lägger till är inställd på ett inledande inaktiverat tillstånd. Alla försök att använda nyckeln misslyckas. Använd den här parametern om du förinstallerar nycklar som du tänker aktivera senare.
Anger förfallotiden för nyckeln i UTC, som ett DateTime-objekt , för nyckeln som den här cmdleten lägger till. Om den inte anges upphör nyckeln inte att gälla. Om du vill hämta ett DateTime-objekt använder du cmdleten Get-Date . Om du vill ha mer information skriver du Get-Help Get-Date. Observera att förfallodatum ignoreras för nyckelutbytesnyckeln som används i BYOK-processen.
Anger versionsprincipen som oföränderligt tillstånd. När den har markerats som oföränderlig kan den här flaggan inte återställas och principen kan inte ändras under några omständigheter.
Anger ett lösenord för den importerade filen som ett SecureString-objekt . Om du vill hämta ett SecureString-objekt använder du cmdleten ConvertTo-SecureString . Om du vill ha mer information skriver du Get-Help ConvertTo-SecureString. Du måste ange det här lösenordet för att importera en fil med filnamnstillägget .pfx.
Anger sökvägen till en lokal fil som innehåller nyckelmaterial som denna cmdlet importerar.
De giltiga filnamnstilläggen är .byok och .pfx.
Om filen är en .byok-fil skyddas nyckeln automatiskt av HSM:er efter importen och du kan inte åsidosätta den här standardinställningen.
Om filen är en .pfx-fil skyddas nyckeln automatiskt av programvara efter importen. Om du vill åsidosätta den här standardinställningen anger du målparametern till HSM så att nyckeln är HSM-skyddad.
När du anger den här parametern är målparametern valfri.
Anger en matris med åtgärder som kan utföras med hjälp av nyckeln som den här cmdleten lägger till.
Om du inte anger den här parametern kan alla åtgärder utföras.
De acceptabla värdena för den här parametern är en kommaavgränsad lista över nyckelåtgärder enligt JSON-specifikationen (JSON Web Key):
Anger namnet på nyckeln som ska läggas till i nyckelvalvet. Den här cmdleten konstruerar det fullständigt kvalificerade domännamnet (FQDN) för en nyckel baserat på namnet som den här parametern anger, namnet på nyckelvalvet och din aktuella miljö. Namnet måste vara en sträng på 1 till 63 tecken som endast innehåller 0-9, a-z, A-Z och - (strecksymbolen).
Anger den tid, som ett DateTime-objekt , innan nyckeln inte kan användas. Den här parametern använder UTC. Om du vill hämta ett DateTime-objekt använder du cmdleten Get-Date . Om du inte anger den här parametern kan nyckeln användas omedelbart.
Anger namnet på nyckelvalvet som den här cmdleten lägger till nyckeln i. Den här cmdleten konstruerar FQDN för ett nyckelvalv baserat på namnet som den här parametern anger och din aktuella miljö.
Den här cmdleten stöder vanliga parametrar: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction och -WarningVariable. Mer information finns i about_CommonParameters.
Källan för det här innehållet finns på GitHub, där du även kan skapa och granska ärenden och pull-begäranden. Se vår deltagarguide för mer information.
