次の方法で共有


az keyvault key

キーの管理。

コマンド

名前 説明 状態
az keyvault key backup

指定したキーのバックアップをクライアントにダウンロードするように要求します。

コア GA
az keyvault key create

新しいキーを作成して格納し、キー パラメーターと属性をクライアントに返します。

コア GA
az keyvault key decrypt

暗号化されたデータの 1 つのブロックを復号化します。

コア プレビュー
az keyvault key delete

コンテナーまたは HSM のストレージから任意の種類のキーを削除します。

コア GA
az keyvault key download

保存されているキーの公開部分をダウンロードします。

コア GA
az keyvault key encrypt

コンテナーまたは HSM に格納されている暗号化キーを使用して、任意のバイト シーケンスを暗号化します。

コア プレビュー
az keyvault key get-policy-template

ポリシー テンプレートを JSON でエンコードされたポリシー定義として返します。

コア プレビュー
az keyvault key import

秘密キーをインポートします。

コア GA
az keyvault key list

指定したコンテナーまたは HSM のキーを一覧表示します。

コア GA
az keyvault key list-deleted

指定したコンテナーまたは HSM で削除されたキーを一覧表示します。

コア GA
az keyvault key list-versions

キーのバージョンの識別子とプロパティを一覧表示します。

コア GA
az keyvault key purge

指定したキーを完全に削除します。

コア GA
az keyvault key random

マネージド HSM から要求されたランダム バイト数を取得します。

コア GA
az keyvault key recover

削除したキーを最新バージョンに回復します。

コア GA
az keyvault key restore

バックアップされたキーをコンテナーまたは HSM に復元します。

コア GA
az keyvault key rotate

キーの新しいバージョンを生成して、キー ポリシーに基づいてキーをローテーションします。

コア GA
az keyvault key rotation-policy

キーのローテーション ポリシーを管理します。

コア GA
az keyvault key rotation-policy show

Key Vault キーのローテーション ポリシーを取得します。

コア GA
az keyvault key rotation-policy update

Key Vault キーのローテーション ポリシーを更新します。

コア GA
az keyvault key set-attributes

更新キー操作では、格納されているキーの指定された属性が変更され、コンテナーまたは HSM に格納されている任意のキーの種類とキー バージョンに適用できます。

コア GA
az keyvault key show

キーの属性を取得し、非対称キーの場合は公開資料を取得します。

コア GA
az keyvault key show-deleted

削除されたキーの公開部分を取得します。

コア GA
az keyvault key sign

コンテナーまたは HSM に格納されているキーを使用して、ダイジェストから署名を作成します。

コア GA
az keyvault key verify

コンテナーまたは HSM に格納されているキーを使用して署名を確認します。

コア GA

az keyvault key backup

指定したキーのバックアップをクライアントにダウンロードするように要求します。

キー バックアップ操作では、保護された形式でコンテナーまたは HSM からキーをエクスポートします。 この操作では、コンテナーまたは HSM システムの外部で使用できる形式のキー マテリアルは返されません。返されるキー マテリアルは、HSM またはコンテナー自体に対して保護されます。 この操作の目的は、クライアントが 1 つのコンテナーまたは HSM インスタンスでキーを生成し、キーをバックアップしてから、別のコンテナーまたは HSM インスタンスに復元できるようにすることです。 BACKUP 操作は、コンテナーまたは HSM から任意のキーの種類を保護された形式でエクスポートするために使用できます。 キーの個々のバージョンをバックアップすることはできません。 BACKUP / RESTOREは地理的境界内でのみ実行できます。は、ある地理的領域の BACKUP を別の地理的領域に復元できないことを意味します。 たとえば、米国の地理的領域からのバックアップを EU の地理的領域に復元することはできません。 この操作には、キー/バックアップのアクセス許可が必要です。

az keyvault key backup --file
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

必須のパラメーター

--file -f

キー バックアップを格納するローカル ファイル パス。

省略可能のパラメーター

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key create

新しいキーを作成して格納し、キー パラメーターと属性をクライアントに返します。

キーの作成操作を使用して、任意の種類のキーをコンテナーまたは HSM に作成できます。 名前付きキーが既に存在する場合は、コンテナーまたは HSM によって新しいバージョンのキーが作成されます。 これには、キー/作成アクセス許可が必要です。

az keyvault key create [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--policy]
                       [--protection {hsm, software}]
                       [--size]
                       [--tags]
                       [--vault-name]

省略可能のパラメーター

--curve

楕円曲線の名前。 有効な値については、次を参照してください https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeycurvename

指定可能な値: P-256, P-256K, P-384, P-521
--default-cvm-policy

CVM ディスク暗号化のためにキーをエクスポートできる既定のポリシーを使用します。

規定値: False
--disabled

無効な状態でキーを作成します。

指定可能な値: false, true
規定値: False
--expires

有効期限 UTC 日時 (Y-m-d'T'H:M:S'Z')。

--exportable

秘密キーをエクスポートできるかどうか。 リリース ポリシーを使用してキーを作成するには、"exportable" が true で、呼び出し元に "エクスポート" アクセス許可が必要です。

指定可能な値: false, true
--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--immutable

リリース ポリシーを変更不可としてマークします。 変更できないリリース ポリシーは、変更不可としてマークされた後は変更または更新できません。 リリース ポリシーは既定で変更可能です。

指定可能な値: false, true
--kty

作成するキーの種類。 有効な値については、次を参照してください https://docs.microsoft.com/rest/api/keyvault/keys/create-key/create-key#jsonwebkeytype

指定可能な値: EC, EC-HSM, RSA, RSA-HSM, oct, oct-HSM
--name -n

キーの名前。 --id が指定されていない場合は必須です。

--not-before

指定された UTC 日時 (Y-m-d'T'H:M:S'Z') の前にはキーを使用できません。

--ops

許可される JSON Web キー操作のスペース区切りの一覧。

指定可能な値: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

キーをエクスポートできるポリシー ルール。 JSON としてのポリシー定義、または JSON ポリシー定義を含むファイルへのパス。

--protection -p

キー保護の種類を指定します。

指定可能な値: hsm, software
--size

キー サイズ (ビット単位)。 たとえば、RSA の場合は 2048、3072、4096 などです。 10 月の場合は 128、192、または 256。

--tags

スペース区切りのタグ: key[=value] [key[=value] ...]既存のタグをクリアするには、"" を使用します。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key decrypt

プレビュー

このコマンドはプレビュー段階であり、開発中です。 参照レベルとサポート レベル: https://aka.ms/CLI_refstatus

暗号化されたデータの 1 つのブロックを復号化します。

DECRYPT 操作は、ターゲット暗号化キーと指定されたアルゴリズムを使用して、整形式の暗号テキスト ブロックを復号化します。 この操作は ENCRYPT 操作の逆です。暗号化を解除できるのは 1 つのデータ ブロックだけです。このブロックのサイズは、使用するターゲット キーとアルゴリズムに依存します。 DECRYPT 操作は、キーの秘密部分を使用するため、コンテナーまたは HSM に格納されている非対称キーと対称キーに適用されます。 この操作には、キー/復号化アクセス許可が必要です。

az keyvault key decrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--tag]
                        [--vault-name]
                        [--version]

RSA-OAEP を使用してコンテナーのキーを使用して value (encrypt コマンドによって返される Base64 でエンコードされた文字列) を復号化し、base64 でエンコードされた結果を取得します。

az keyvault key decrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --data-type base64 --value "CbFcCxHG7WTU+nbpFRrHoqSduwlPy8xpWxf1JxZ2y12BY/qFJirMSYq1i4SO9rvSmvmEMxFV5kw5s9Tc+YoKmv8X6oe+xXx+JytYV8obA5l3OQD9epuuQHWW0kir/mp88lzhcYWxYuF7mKDpPKDV4if+wnAZqQ4woB6t2JEZU5MVK3s+3E/EU4ehb5XrVxAl6xpYy8VYbyF33uJ5s+aUsYIrsVtXgrW99HQ3ic7tJtIOGuWqKhPCdQRezRkOcyxkJcmnDHOLjWA/9strzzx/dyg/t884gT7qrkmIHh8if9SFal/vi1h4XhoDqUleMTnKev2IFHyDNcYVYG3pftJiuA=="

AES-GCM を使用して MHSM のキーを使用して value (encrypt コマンドによって返される Base64 でエンコードされた文字列) を復号化し、結果をプレーンテキストとして取得します。

az keyvault key decrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "N5w02jS77xg536Ddzv/xPWQ=" --data-type plaintext
--aad "101112131415161718191a1b1c1d1e1f" --iv "727b26f78e55cf4cd8d34216" --tag "f7207d02cead35a77a1c7e5f8af959e9"

必須のパラメーター

--algorithm -a

アルゴリズム識別子。

指定可能な値: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

復号化する値。これは "az keyvault encrypt" の結果である必要があります。

省略可能のパラメーター

--aad

認証されているが暗号化されていないオプションのデータ。 AES-GCM 暗号化解除で使用します。

--data-type

元のデータの型。

指定可能な値: base64, plaintext
規定値: base64
--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--iv

暗号化中に使用される初期化ベクトル。 AES 復号化に必要です。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--tag

暗号化中に生成される認証タグ。 AES-GCM 復号化にのみ必要です。

--vault-name

コンテナーの名前。

--version -v

キーのバージョン。 省略した場合は、最新バージョンを使用します。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key delete

コンテナーまたは HSM のストレージから任意の種類のキーを削除します。

キーの削除操作を使用して、キーの個々のバージョンを削除することはできません。 この操作により、キーに関連付けられている暗号化マテリアルが削除されます。つまり、キーは署名/検証、ラップ/ラップ解除、暗号化/復号化の操作には使用できません。 この操作には、keys/delete のアクセス許可が必要です。

az keyvault key delete [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

省略可能のパラメーター

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key download

保存されているキーの公開部分をダウンロードします。

az keyvault key download --file
                         [--encoding {DER, PEM}]
                         [--hsm-name]
                         [--id]
                         [--name]
                         [--vault-name]
                         [--version]

PEM エンコードを使用してキーを保存します。

az keyvault key download --vault-name MyKeyVault -n MyKey -e PEM -f mykey.pem

DER エンコードを使用してキーを保存します。

az keyvault key download --vault-name MyKeyVault -n MyKey -e DER -f mykey.der

必須のパラメーター

--file -f

キーの内容を受け取るファイル。

省略可能のパラメーター

--encoding -e

キーのエンコード。既定値: PEM。

指定可能な値: DER, PEM
規定値: PEM
--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

--version -v

キーのバージョン。 省略した場合は、最新バージョンを使用します。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key encrypt

プレビュー

このコマンドはプレビュー段階であり、開発中です。 参照レベルとサポート レベル: https://aka.ms/CLI_refstatus

コンテナーまたは HSM に格納されている暗号化キーを使用して、任意のバイト シーケンスを暗号化します。

ENCRYPT 操作では、Vault または HSM に格納されている暗号化キーを使用して任意のバイト シーケンスを暗号化します。 ENCRYPT 操作では、1 つのデータ ブロックのみがサポートされることに注意してください。そのサイズは、使用するターゲット キーと暗号化アルゴリズムに依存します。 暗号化操作は、キーの公開部分を使用して非対称キーによる保護を実行できるため、Vault pr HSM に格納されている対称キーに対してのみ厳密に必要です。 この操作は、キー参照があるが公開キー マテリアルにアクセスできない呼び出し元にとって便利な方法として、非対称キーに対してサポートされます。 この操作には、キー/暗号化アクセス許可が必要です。

az keyvault key encrypt --algorithm {A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5}
                        --value
                        [--aad]
                        [--data-type {base64, plaintext}]
                        [--hsm-name]
                        [--id]
                        [--iv]
                        [--name]
                        [--vault-name]
                        [--version]

RSA-OAEP を使用して、コンテナーのキーを使用して value(Base64 でエンコードされた文字列) を暗号化します。

az keyvault key encrypt --name mykey --vault-name myvault --algorithm RSA-OAEP --value "YWJjZGVm" --data-type base64

AES-GCM を使用して、MHSM のキーで値 (プレーンテキスト) を暗号化します。

az keyvault key encrypt --name mykey --hsm-name myhsm --algorithm A256GCM --value "this is plaintext" --data-type plaintext --aad "101112131415161718191a1b1c1d1e1f"

必須のパラメーター

--algorithm -a

アルゴリズム識別子。

指定可能な値: A128CBC, A128CBCPAD, A128GCM, A192CBC, A192CBCPAD, A192GCM, A256CBC, A256CBCPAD, A256GCM, RSA-OAEP, RSA-OAEP-256, RSA1_5
--value

暗号化する値。 既定のデータ型は、Base64 でエンコードされた文字列です。

省略可能のパラメーター

--aad

認証されているが暗号化されていないオプションのデータ。 AES-GCM 暗号化で使用します。

--data-type

元のデータの型。

指定可能な値: base64, plaintext
規定値: base64
--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--iv

初期化ベクター。 AES-CBC(PAD) 暗号化にのみ必要です。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

--version -v

キーのバージョン。 省略した場合は、最新バージョンを使用します。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key get-policy-template

プレビュー

このコマンドはプレビュー段階であり、開発中です。 参照レベルとサポート レベル: https://aka.ms/CLI_refstatus

ポリシー テンプレートを JSON でエンコードされたポリシー定義として返します。

az keyvault key get-policy-template
グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key import

秘密キーをインポートします。

PEM ファイルまたは文字列からの base64 でエンコードされた秘密キーのインポートをサポートします。 Premium キー コンテナーの HSM への BYOK キーのインポートをサポートします。

az keyvault key import [--byok-file]
                       [--byok-string]
                       [--curve {P-256, P-256K, P-384, P-521}]
                       [--default-cvm-policy]
                       [--disabled {false, true}]
                       [--expires]
                       [--exportable {false, true}]
                       [--hsm-name]
                       [--id]
                       [--immutable {false, true}]
                       [--kty {EC, RSA, oct}]
                       [--name]
                       [--not-before]
                       [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                       [--pem-file]
                       [--pem-password]
                       [--pem-string]
                       [--policy]
                       [--protection {hsm, software}]
                       [--tags]
                       [--vault-name]

省略可能のパラメーター

--byok-file

インポートするキーを含む BYOK ファイル。 パスワードで保護しないでください。

--byok-string

インポートするキーを含む BYOK 文字列。 パスワードで保護しないでください。

--curve

インポートするキーの曲線名 (BYOK の場合のみ)。

指定可能な値: P-256, P-256K, P-384, P-521
--default-cvm-policy

CVM ディスク暗号化のためにキーをエクスポートできる既定のポリシーを使用します。

規定値: False
--disabled

無効な状態でキーを作成します。

指定可能な値: false, true
規定値: False
--expires

有効期限 UTC 日時 (Y-m-d'T'H:M:S'Z')。

--exportable

秘密キーをエクスポートできるかどうか。 リリース ポリシーを使用してキーを作成するには、"exportable" が true で、呼び出し元に "エクスポート" アクセス許可が必要です。

指定可能な値: false, true
--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--immutable

リリース ポリシーを変更不可としてマークします。 変更できないリリース ポリシーは、変更不可としてマークされた後は変更または更新できません。 リリース ポリシーは既定で変更可能です。

指定可能な値: false, true
--kty

インポートするキーの種類 (BYOK の場合のみ)。

指定可能な値: EC, RSA, oct
規定値: RSA
--name -n

キーの名前。 --id が指定されていない場合は必須です。

--not-before

指定された UTC 日時 (Y-m-d'T'H:M:S'Z') の前にはキーを使用できません。

--ops

許可される JSON Web キー操作のスペース区切りの一覧。

指定可能な値: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--pem-file

インポートするキーを含む PEM ファイル。

--pem-password

PEM ファイルのパスワード。

--pem-string

インポートするキーを含む PEM 文字列。

--policy

キーをエクスポートできるポリシー ルール。 JSON としてのポリシー定義、または JSON ポリシー定義を含むファイルへのパス。

--protection -p

キー保護の種類を指定します。

指定可能な値: hsm, software
--tags

スペース区切りのタグ: key[=value] [key[=value] ...]既存のタグをクリアするには、"" を使用します。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key list

指定したコンテナーまたは HSM のキーを一覧表示します。

格納されているキーの公開部分を含む JSON Web キー構造として、コンテナーまたは HSM 内のキーの一覧を取得します。 LIST 操作はすべてのキーの種類に適用できますが、応答では基本キー識別子、属性、タグのみが提供されます。 個々のバージョンのキーは応答に一覧表示されません。 この操作には、キー/リストのアクセス許可が必要です。

az keyvault key list [--hsm-name]
                     [--id]
                     [--include-managed {false, true}]
                     [--maxresults]
                     [--vault-name]

省略可能のパラメーター

--hsm-name

HSM の名前。 --id が指定されている場合は省略できます。

--id

コンテナーまたは HSM の完全な URI。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--include-managed

マネージド キーを含めます。

指定可能な値: false, true
規定値: False
--maxresults

返す最大結果数。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key list-deleted

指定したコンテナーまたは HSM で削除されたキーを一覧表示します。

コンテナーまたは HSM 内のキーの一覧を、削除されたキーの公開部分を含む JSON Web キー構造として取得します。 この操作には、削除固有の情報が含まれます。 削除済みキーの取得操作は、論理的な削除が有効なコンテナーに適用されます。 操作は任意のコンテナーまたは HSM で呼び出すことができますが、論理的な削除が有効になっていないコンテナーまたは HSM で呼び出されるとエラーが返されます。 この操作には、キー/リストのアクセス許可が必要です。

az keyvault key list-deleted [--hsm-name]
                             [--id]
                             [--maxresults]
                             [--vault-name]

省略可能のパラメーター

--hsm-name

HSM の名前。 --id が指定されている場合は省略できます。

--id

コンテナーまたは HSM の完全な URI。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--maxresults

返す最大結果数。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key list-versions

キーのバージョンの識別子とプロパティを一覧表示します。

キー/リストのアクセス許可が必要です。

az keyvault key list-versions [--hsm-name]
                              [--id]
                              [--maxresults]
                              [--name]
                              [--vault-name]

省略可能のパラメーター

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--maxresults

返す最大結果数。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key purge

指定したキーを完全に削除します。

削除されたキーの消去操作は、論理的な削除が有効なコンテナーまたは HSM に適用されます。 操作は任意のコンテナーまたは HSM で呼び出すことができますが、論理的な削除が有効になっていないコンテナーまたは HSM で呼び出されるとエラーが返されます。 この操作には、キー/消去アクセス許可が必要です。

az keyvault key purge [--hsm-name]
                      [--id]
                      [--name]
                      [--vault-name]

省略可能のパラメーター

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの回復 ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key random

マネージド HSM から要求されたランダム バイト数を取得します。

az keyvault key random --count
                       [--hsm-name]
                       [--id]

必須のパラメーター

--count

要求されたランダム バイト数。

省略可能のパラメーター

--hsm-name

HSM の名前。

--id

HSM の完全な URI。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key recover

削除したキーを最新バージョンに回復します。

削除されたキーの回復操作は、論理的な削除が有効なコンテナーまたは HSM の削除されたキーに適用されます。 削除されたキーは、/keys の下の最新バージョンに回復されます。 削除されていないキーを回復しようとすると、エラーが返されます。 これは、論理的な削除が有効なコンテナーまたは HSM での削除操作の逆と考えてください。 この操作には、キー/回復アクセス許可が必要です。

az keyvault key recover [--hsm-name]
                        [--id]
                        [--name]
                        [--vault-name]

省略可能のパラメーター

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの回復 ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key restore

バックアップされたキーをコンテナーまたは HSM に復元します。

以前にバックアップしたキーをコンテナーまたは HSM にインポートし、キー、そのキー識別子、属性、アクセス制御ポリシーを復元します。 RESTORE 操作を使用して、以前にバックアップしたキーをインポートできます。 キーの個々のバージョンを復元することはできません。 キーは、バックアップ時と同じキー名で完全に復元されます。 ターゲット Key Vault でキー名を使用できない場合、RESTORE 操作は拒否されます。 復元中にキー名が保持されている間、キーが別のコンテナーまたは HSM に復元されると、最終的なキー識別子が変更されます。 復元では、すべてのバージョンが復元され、バージョン識別子が保持されます。 RESTORE 操作は、セキュリティ上の制約の対象となります。 ターゲット コンテナーまたは HSM は、ソース コンテナーまたは HSM と同じ Microsoft Azure サブスクリプションによって所有されている必要があります。 ユーザーは、ターゲット コンテナーまたは HSM で RESTORE アクセス許可を持っている必要があります。 この操作には、キー/復元アクセス許可が必要です。

az keyvault key restore [--backup-folder]
                        [--blob-container-name]
                        [--file]
                        [--hsm-name]
                        [--id]
                        [--name]
                        [--no-wait]
                        [--storage-account-name]
                        [--storage-container-SAS-token]
                        [--storage-resource-uri]
                        [--vault-name]

省略可能のパラメーター

--backup-folder

バックアップを含む BLOB コンテナーの名前。

--blob-container-name

BLOB コンテナーの名前。

--file -f

キーの復元元のローカル キー バックアップ。

--hsm-name

HSM の名前。 --id が指定されている場合は省略できます。

--id

コンテナーまたは HSM の完全な URI。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 (ストレージ アカウントから復元する場合のみ)。

--no-wait

実行時間の長い操作の終了を待機しません。

規定値: False
--storage-account-name

Azure ストレージ アカウントの名前。

--storage-container-SAS-token -t

Azure Blob Storage コンテナーを指す SAS トークン。

--storage-resource-uri -u

Azure Blob Storage コンテナー URI。 指定した場合は、他のすべての 'Storage Id' 引数を省略する必要があります。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key rotate

キーの新しいバージョンを生成して、キー ポリシーに基づいてキーをローテーションします。

az keyvault key rotate [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]

省略可能のパラメーター

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key set-attributes

更新キー操作では、格納されているキーの指定された属性が変更され、コンテナーまたは HSM に格納されている任意のキーの種類とキー バージョンに適用できます。

この操作を実行するには、キーがコンテナーまたは HSM に既に存在している必要があります。 キー自体の暗号化マテリアルは変更できません。 この操作には、キー/更新アクセス許可が必要です。

az keyvault key set-attributes [--enabled {false, true}]
                               [--expires]
                               [--hsm-name]
                               [--id]
                               [--immutable {false, true}]
                               [--name]
                               [--not-before]
                               [--ops {decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey}]
                               [--policy]
                               [--tags]
                               [--vault-name]
                               [--version]

省略可能のパラメーター

--enabled

キーを有効にします。

指定可能な値: false, true
--expires

有効期限 UTC 日時 (Y-m-d'T'H:M:S'Z')。

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--immutable

リリース ポリシーを変更不可としてマークします。 変更できないリリース ポリシーは、変更不可としてマークされた後は変更または更新できません。 リリース ポリシーは既定で変更可能です。

指定可能な値: false, true
--name -n

キーの名前。 --id が指定されていない場合は必須です。

--not-before

指定された UTC 日時 (Y-m-d'T'H:M:S'Z') の前にはキーを使用できません。

--ops

許可される JSON Web キー操作のスペース区切りの一覧。

指定可能な値: decrypt, encrypt, export, import, sign, unwrapKey, verify, wrapKey
--policy

キーをエクスポートできるポリシー ルール。 JSON としてのポリシー定義、または JSON ポリシー定義を含むファイルへのパス。

--tags

スペース区切りのタグ: key[=value] [key[=value] ...]既存のタグをクリアするには、"" を使用します。

--vault-name

コンテナーの名前。

--version -v

キーのバージョン。 省略した場合は、最新バージョンを使用します。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key show

キーの属性を取得し、非対称キーの場合は公開資料を取得します。

キー/取得アクセス許可が必要です。

az keyvault key show [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

省略可能のパラメーター

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

--version -v

キーのバージョン。 省略した場合は、最新バージョンを使用します。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key show-deleted

削除されたキーの公開部分を取得します。

削除されたキーの取得操作は、論理的な削除が有効なコンテナーまたは HSM に適用されます。 操作は任意のコンテナーまたは HSM で呼び出すことができますが、論理的な削除が有効になっていないコンテナーまたは HSM で呼び出されるとエラーが返されます。 この操作には、キー/取得アクセス許可が必要です。

az keyvault key show-deleted [--hsm-name]
                             [--id]
                             [--name]
                             [--vault-name]

省略可能のパラメーター

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key sign

コンテナーまたは HSM に格納されているキーを使用して、ダイジェストから署名を作成します。

az keyvault key sign --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                     --digest
                     [--hsm-name]
                     [--id]
                     [--name]
                     [--vault-name]
                     [--version]

keyvault のキーを使用してダイジェストから署名を作成します。

az keyvault key sign --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012"

必須のパラメーター

--algorithm -a

アルゴリズム識別子。

指定可能な値: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

署名する値。

省略可能のパラメーター

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

--version -v

キーのバージョン。 省略した場合は、最新バージョンを使用します。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az keyvault key verify

コンテナーまたは HSM に格納されているキーを使用して署名を確認します。

az keyvault key verify --algorithm {ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512}
                       --digest
                       --signature
                       [--hsm-name]
                       [--id]
                       [--name]
                       [--vault-name]
                       [--version]

keyvault のキーを使用して署名を確認します。

az keyvault key verify --name mykey --vault-name myvault --algorithm RS256 --digest "12345678901234567890123456789012" --signature XXXYYYZZZ

必須のパラメーター

--algorithm -a

アルゴリズム識別子。

指定可能な値: ES256, ES256K, ES384, ES512, PS256, PS384, PS512, RS256, RS384, RS512
--digest

署名する値。

--signature

検証する署名。

省略可能のパラメーター

--hsm-name

HSM の名前。 (--hsm-name と --vault-name は相互に排他的です。そのうちの 1 つだけを指定してください)。

--id

キーの ID。 他のすべての 'Id' 引数を指定する場合は省略する必要があります。

--name -n

キーの名前。 --id が指定されていない場合は必須です。

--vault-name

コンテナーの名前。

--version -v

キーのバージョン。 省略した場合は、最新バージョンを使用します。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。