Add-AzKeyVaultKey

Add-AzKeyVaultKey
    [-VaultName] <String>
    [-Name] <String>
    -Destination <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-VaultName] <String>
    [-Name] <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Destination <String>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-Name] <String>
    -HsmName <String>
    -KeyType <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-Name] <String>
    -HsmName <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-InputObject] <PSKeyVault>
    [-Name] <String>
    -Destination <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-InputObject] <PSKeyVault>
    [-Name] <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Destination <String>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-HsmObject] <PSManagedHsm>
    [-Name] <String>
    -KeyType <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-HsmObject] <PSManagedHsm>
    [-Name] <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-ResourceId] <String>
    [-Name] <String>
    -Destination <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-ResourceId] <String>
    [-Name] <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Destination <String>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-Name] <String>
    -HsmResourceId <String>
    -KeyType <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-Name] <String>
    -HsmResourceId <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Командлет Add-AzKeyVaultKey создает ключ в хранилище ключей в Azure Key Vault или импортирует ключ в хранилище ключей. Используйте этот командлет для добавления ключей с помощью любого из следующих методов:

• Создайте ключ в аппаратном модуле безопасности (HSM) в службе Key Vault.
• Создайте ключ в программном обеспечении в службе Key Vault.
• Импортируйте ключ из собственного аппаратного модуля безопасности (HSM) в HSM в службе Key Vault.
• Импортируйте ключ из PFX-файла на компьютере.
• Импортируйте ключ из PFX-файла на компьютере в аппаратные модули безопасности (HSM) в службе Key Vault. Для любой из этих операций можно указать ключевые атрибуты или принять параметры по умолчанию. Если вы создаете или импортируете ключ с тем же именем, что и существующий ключ в хранилище ключей, исходный ключ обновляется со значениями, указанными для нового ключа. Вы можете получить доступ к предыдущим значениям с помощью URI конкретной версии для этой версии ключа. Дополнительные сведения о версиях ключей и структуре URI см. в документации по REST API Key Vault. Примечание. Чтобы импортировать ключ из собственного аппаратного модуля безопасности, необходимо сначала создать пакет BYOK (файл с расширением имени файла byok) с помощью набора инструментов BYOK в Azure Key Vault. Дополнительные сведения см. в статье "Создание и передача ключей HSM-Protected для Azure Key Vault". Рекомендуется создать резервную копию ключа после его создания или обновления с помощью командлета Backup-AzKeyVaultKey. Нет функции отмены, поэтому если вы случайно удалите ключ или удалите его, а затем измените свое мнение, ключ не может восстановиться, если у вас нет резервной копии, которую можно восстановить.

Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITSoftware' -Destination 'Software'

Vault/HSM Name : contoso
Name           : ITSoftware
Key Type       : RSA
Key Size       : 2048
Curve Name     :
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITSoftware/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Эта команда создает защищенный программным обеспечением ключ с именем ITSoftware в хранилище ключей с именем Contoso.

Add-AzKeyVaultKey -VaultName test-kv -Name test-key -Destination Software -KeyType EC

Vault/HSM Name : test-kv
Name           : test-key
Key Type       : EC
Key Size       :
Curve Name     : P-256
Version        : 4da74af2b4fd47d6b1aa0b05c9a2ed13
Id             : https://test-kv.vault.azure.net:443/keys/test-key/4da74af2b4fd47d6b1aa0b05c9a2ed13
Enabled        : True
Expires        :
Not Before     :
Created        : 8/24/2021 6:38:34 AM
Updated        : 8/24/2021 6:38:34 AM
Recovery Level : Recoverable+Purgeable
Tags           :

Эта команда создает защищенный программным обеспечением ключ EC с именем test-key в хранилище ключей с именем test-kv. По умолчанию его имя кривой — P-256.

Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITHsm' -Destination 'HSM'

Vault Name     : contoso
Name           : ITHsm
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITSoftware/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Эта команда создает ключ, защищенный HSM, в хранилище ключей с именем Contoso.

$KeyOperations = 'decrypt', 'verify'
$Expires = (Get-Date).AddYears(2).ToUniversalTime()
$NotBefore = (Get-Date).ToUniversalTime()
$Tags = @{'Severity' = 'high'; 'Accounting' = "true"}
Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITHsmNonDefault' -Destination 'HSM' -Expires $Expires -NotBefore $NotBefore -KeyOps $KeyOperations -Disable -Tag $Tags

Vault/HSM Name : contoso
Name           : ITHsmNonDefault
Key Type       : RSA
Key Size       : 2048
Version        : 929bfc14db84439b823ffd1bedadaf5f
Id             : https://contoso.vault.azure.net:443/keys/ITHsmNonDefault/929bfc14db84439b823ffd1bedadaf5f
Enabled        : False
Expires        : 5/21/2020 11:12:43 PM
Not Before     : 5/21/2018 11:12:50 PM
Created        : 5/21/2018 11:13:17 PM
Updated        : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags           : Name        Value
                 Severity    high
                 Accounting  true

Первая команда сохраняет значения расшифровки и проверки в переменной $KeyOperations. Вторая команда создает объект DateTime , определенный в формате UTC, с помощью командлета Get-Date . Этот объект указывает время два года в будущем. Команда сохраняет эту дату в переменной $Expires. Для получения дополнительных сведений введите Get-Help Get-Date. Третья команда создает объект DateTime с помощью командлета Get-Date . Этот объект указывает текущее время в формате UTC. Команда сохраняет эту дату в переменной $NotBefore. Последняя команда создает ключ с именем ITHsmNonDefault, который является ключом, защищенным HSM. Команда задает значения для разрешенных операций ключей, хранящихся $KeyOperations. Команда указывает время истечения срока действия и параметров NotBefore , созданных в предыдущих командах, и теги для высокой серьезности и ИТ-специалистов. Новый ключ отключен. Его можно включить с помощью командлета Set-AzKeyVaultKey .

Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITByok' -KeyFilePath 'C:\Contoso\ITByok.byok' -Destination 'HSM'

Vault Name     : contoso
Name           : ITByok
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITByok/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Эта команда импортирует ключ с именем ITByok из расположения, указанного параметром KeyFilePath . Импортированный ключ — это защищенный HSM ключ. Чтобы импортировать ключ из собственного аппаратного модуля безопасности, необходимо сначала создать пакет BYOK (файл с расширением имени файла byok) с помощью набора инструментов BYOK в Azure Key Vault. Дополнительные сведения см. в статье "Создание и передача ключей HSM-Protected для Azure Key Vault".

$Password = ConvertTo-SecureString -String "****" -AsPlainText -Force
Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITPfx' -KeyFilePath 'C:\Contoso\ITPfx.pfx' -KeyFilePassword $Password

Vault Name     : contoso
Name           : ITPfx
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITPfx/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Первая команда преобразует строку в безопасную строку с помощью командлета ConvertTo-SecureString , а затем сохраняет эту строку в переменной $Password. Для получения дополнительных сведений введите Get-Help ConvertTo-SecureString. Вторая команда создает пароль программного обеспечения в хранилище ключей Contoso. Команда указывает расположение ключа и пароля, хранящегося в $Password.

$Password = ConvertTo-SecureString -String "****" -AsPlainText -Force
$Expires = (Get-Date).AddYears(2).ToUniversalTime()
$Tags = @{ 'Severity' = 'high'; 'Accounting' = "true" }
Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITPfxToHSM' -Destination 'HSM' -KeyFilePath 'C:\Contoso\ITPfx.pfx' -KeyFilePassword $Password -Expires $Expires -Tag $Tags

Vault Name     : contoso
Name           : ITPfxToHSM
Version        : 929bfc14db84439b823ffd1bedadaf5f
Id             : https://contoso.vault.azure.net:443/keys/ITPfxToHSM/929bfc14db84439b823ffd1bedadaf5f
Enabled        : True
Expires        : 5/21/2020 11:12:43 PM
Not Before     :
Created        : 5/21/2018 11:13:17 PM
Updated        : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags           : Name        Value
                 Severity    high
                 Accounting  true

Первая команда преобразует строку в безопасную строку с помощью командлета ConvertTo-SecureString , а затем сохраняет эту строку в переменной $Password. Вторая команда создает объект DateTime с помощью командлета Get-Date , а затем сохраняет этот объект в переменной $Expires. Третья команда создает переменную $tags, чтобы задать теги для высокой серьезности и ИТ-специалистов. Последняя команда импортирует ключ в виде ключа HSM из указанного расположения. Команда указывает время истечения срока действия, хранящееся в $Expires и паролем, хранящимся в $Password, и применяет теги, хранящиеся в $tags.

$key = Add-AzKeyVaultKey -VaultName $vaultName -Name $keyName -Destination HSM -Size 2048 -KeyOps "import"

Создает ключ (называется ключом KEK). KEK должен быть ключом RSA-HSM, который имеет только операцию импорта ключа. Только номер SKU Класса Premium Key Vault поддерживает ключи RSA-HSM. Дополнительные сведения см. в статье https://learn.microsoft.com/azure/key-vault/keys/hsm-protected-keys

<# release_policy_template.json
{
  "anyOf": [
    {
      "allOf": [
        {
          "claim": "<claim name>",
          "equals": "<value to match>"
        }
      ],
      "authority": "<issuer>"
    }
  ],
  "version": "1.0.0"
}
#>
Add-AzKeyVaultKey -HsmName testmhsm -Name test-key -KeyType RSA -Exportable -ReleasePolicyPath release_policy.json

Vault/HSM Name : testmhsm
Name           : test-key
Key Type       : RSA
Key Size       : 2048
Curve Name     :
Version        : ed6b026bf0a605042006635713d33ef6
Id             : https://testmhsm.managedhsm.azure.net:443/keys/test-key/ed6b026bf0a605042006635713d33ef6
Enabled        : True
Expires        :
Not Before     :
Created        : 6/2/2022 7:14:37 AM
Updated        : 6/2/2022 7:14:37 AM
Recovery Level : Recoverable+Purgeable
Release Policy :
                 Content Type   : application/json; charset=utf-8
                 Policy Content : {"anyOf":[{"allOf":[{"claim":"x-ms-sgx-is-debuggable","equals":"true"}],"authority":"htt
                 ps://sharedeus.eus.attest.azure.net/"}],"version":"1.0.0"}
                 Immutable      : False


Tags           :

Создайте безопасный ключ в управляемом hsm с именем testmhsm. Его имя — test-key, а тип — RSA.

New-AzKeyVault -Name $keyVaultName -Location $location -ResourceGroupName $resourceGroupName -Sku Premium -EnablePurgeProtection -EnabledForDiskEncryption;
$cvmAgent = Get-AzADServicePrincipal -ApplicationId '00001111-aaaa-2222-bbbb-3333cccc4444';
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ResourceGroupName $resourceGroupName -ObjectId $cvmAgent.id -PermissionsToKeys get,release;

$keySize = 3072;
Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Size $keySize -KeyOps wrapKey,unwrapKey -KeyType RSA -Destination HSM -Exportable -UseDefaultCVMPolicy;

Vault/HSM Name : <Vault Name>
Name           : <Key Name>
Key Type       : RSA
Key Size       : 3072
Curve Name     :
Version        : <Version>
Id             : <Id>
Enabled        : True
Expires        :
Not Before     :
Created        : 9/9/2022 8:36:00 PM
Updated        : 9/9/2022 8:36:00 PM
Recovery Level : Recoverable
Release Policy :
                 Content Type   : application/json; charset=utf-8
                 Policy Content : <Policy Content>
                 Immutable      : False
Tags           :

Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в разделе about_CommonParameters.