Add-AzKeyVaultKey

Add-AzKeyVaultKey
    [-VaultName] <String>
    [-Name] <String>
    -Destination <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-VaultName] <String>
    [-Name] <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Destination <String>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-Name] <String>
    -HsmName <String>
    -KeyType <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-Name] <String>
    -HsmName <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-InputObject] <PSKeyVault>
    [-Name] <String>
    -Destination <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-InputObject] <PSKeyVault>
    [-Name] <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Destination <String>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-HsmObject] <PSManagedHsm>
    [-Name] <String>
    -KeyType <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-HsmObject] <PSManagedHsm>
    [-Name] <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-ResourceId] <String>
    [-Name] <String>
    -Destination <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-ResourceId] <String>
    [-Name] <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Destination <String>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-KeyType <String>]
    [-CurveName <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-Name] <String>
    -HsmResourceId <String>
    -KeyType <String>
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-Size <Int32>]
    [-CurveName <String>]
    [-Exportable]
    [-Immutable]
    [-ReleasePolicyPath <String>]
    [-UseDefaultCVMPolicy]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Add-AzKeyVaultKey
    [-Name] <String>
    -HsmResourceId <String>
    -KeyFilePath <String>
    [-KeyFilePassword <SecureString>]
    [-Disable]
    [-KeyOps <String[]>]
    [-Expires <DateTime>]
    [-NotBefore <DateTime>]
    [-Tag <Hashtable>]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

L’applet de commande Add-AzKeyVaultKey crée une clé dans un coffre de clés dans Azure Key Vault ou importe une clé dans un coffre de clés. Utilisez cette applet de commande pour ajouter des clés à l’aide de l’une des méthodes suivantes :

• Créez une clé dans un module de sécurité matériel (HSM) dans le service Key Vault.
• Créez une clé dans le logiciel dans le service Key Vault.
• Importez une clé à partir de votre propre module de sécurité matériel (HSM) vers des modules HSM dans le service Key Vault.
• Importez une clé à partir d’un fichier .pfx sur votre ordinateur.
• Importez une clé à partir d’un fichier .pfx sur votre ordinateur vers des modules de sécurité matériels (HSM) dans le service Key Vault. Pour l’une de ces opérations, vous pouvez fournir des attributs clés ou accepter des paramètres par défaut. Si vous créez ou importez une clé portant le même nom qu’une clé existante dans votre coffre de clés, la clé d’origine est mise à jour avec les valeurs que vous spécifiez pour la nouvelle clé. Vous pouvez accéder aux valeurs précédentes à l’aide de l’URI spécifique à la version de cette version de la clé. Pour en savoir plus sur les versions de clés et la structure d’URI, consultez La documentation sur les clés et les secrets dans la documentation de l’API REST Key Vault. Remarque : Pour importer une clé à partir de votre propre module de sécurité matériel, vous devez d’abord générer un package BYOK (un fichier avec une extension de nom de fichier .byok) à l’aide de l’ensemble d’outils BYOK Azure Key Vault. Pour plus d’informations, consultez Comment générer et transférer des clés HSM-Protected pour Azure Key Vault. En guise de bonne pratique, sauvegardez votre clé après sa création ou sa mise à jour à l’aide de l’applet de commande Backup-AzKeyVaultKey. Il n’existe aucune fonctionnalité d’annulation de suppression. Par conséquent, si vous supprimez accidentellement votre clé ou supprimez-la, puis changez d’avis, la clé n’est pas récupérable, sauf si vous avez une sauvegarde de celle-ci que vous pouvez restaurer.

Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITSoftware' -Destination 'Software'

Vault/HSM Name : contoso
Name           : ITSoftware
Key Type       : RSA
Key Size       : 2048
Curve Name     :
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITSoftware/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Cette commande crée une clé protégée par logiciel nommée ITSoftware dans le coffre de clés nommé Contoso.

Add-AzKeyVaultKey -VaultName test-kv -Name test-key -Destination Software -KeyType EC

Vault/HSM Name : test-kv
Name           : test-key
Key Type       : EC
Key Size       :
Curve Name     : P-256
Version        : 4da74af2b4fd47d6b1aa0b05c9a2ed13
Id             : https://test-kv.vault.azure.net:443/keys/test-key/4da74af2b4fd47d6b1aa0b05c9a2ed13
Enabled        : True
Expires        :
Not Before     :
Created        : 8/24/2021 6:38:34 AM
Updated        : 8/24/2021 6:38:34 AM
Recovery Level : Recoverable+Purgeable
Tags           :

Cette commande crée une clé EC protégée par logiciel nommée test-key dans le coffre de clés nommé test-kv. Son nom de courbe est P-256 par défaut.

Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITHsm' -Destination 'HSM'

Vault Name     : contoso
Name           : ITHsm
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITSoftware/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Cette commande crée une clé protégée par HSM dans le coffre de clés nommé Contoso.

$KeyOperations = 'decrypt', 'verify'
$Expires = (Get-Date).AddYears(2).ToUniversalTime()
$NotBefore = (Get-Date).ToUniversalTime()
$Tags = @{'Severity' = 'high'; 'Accounting' = "true"}
Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITHsmNonDefault' -Destination 'HSM' -Expires $Expires -NotBefore $NotBefore -KeyOps $KeyOperations -Disable -Tag $Tags

Vault/HSM Name : contoso
Name           : ITHsmNonDefault
Key Type       : RSA
Key Size       : 2048
Version        : 929bfc14db84439b823ffd1bedadaf5f
Id             : https://contoso.vault.azure.net:443/keys/ITHsmNonDefault/929bfc14db84439b823ffd1bedadaf5f
Enabled        : False
Expires        : 5/21/2020 11:12:43 PM
Not Before     : 5/21/2018 11:12:50 PM
Created        : 5/21/2018 11:13:17 PM
Updated        : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags           : Name        Value
                 Severity    high
                 Accounting  true

La première commande stocke les valeurs déchiffrer et vérifier dans la variable $KeyOperations. La deuxième commande crée un objet DateTime , défini au format UTC, à l’aide de l’applet de commande Get-Date . Cet objet spécifie une période de deux ans à l’avenir. La commande stocke cette date dans la variable $Expires. Pour plus d’informations, tapez Get-Help Get-Date. La troisième commande crée un objet DateTime à l’aide de l’applet de commande Get-Date . Cet objet spécifie l’heure UTC actuelle. La commande stocke cette date dans la variable $NotBefore. La commande finale crée une clé nommée ITHsmNonDefault qui est une clé protégée par HSM. La commande spécifie les valeurs des opérations de clé autorisées stockées $KeyOperations. La commande spécifie des heures pour les paramètres Expires et NotBefore créés dans les commandes précédentes, ainsi que les balises pour la gravité élevée et l’informatique. La nouvelle clé est désactivée. Vous pouvez l’activer à l’aide de l’applet de commande Set-AzKeyVaultKey .

Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITByok' -KeyFilePath 'C:\Contoso\ITByok.byok' -Destination 'HSM'

Vault Name     : contoso
Name           : ITByok
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITByok/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

Cette commande importe la clé nommée ITByok à partir de l’emplacement spécifié par le paramètre KeyFilePath . La clé importée est une clé protégée par HSM. Pour importer une clé à partir de votre propre module de sécurité matériel, vous devez d’abord générer un package BYOK (un fichier avec une extension de nom de fichier .byok) à l’aide de l’ensemble d’outils AZURE Key Vault BYOK. Pour plus d’informations, consultez Comment générer et transférer des clés HSM-Protected pour Azure Key Vault.

$Password = ConvertTo-SecureString -String "****" -AsPlainText -Force
Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITPfx' -KeyFilePath 'C:\Contoso\ITPfx.pfx' -KeyFilePassword $Password

Vault Name     : contoso
Name           : ITPfx
Version        : 67da57e9cadf48a2ad8d366b115843ab
Id             : https://contoso.vault.azure.net:443/keys/ITPfx/67da57e9cadf48a2ad8d366b115843ab
Enabled        : True
Expires        :
Not Before     :
Created        : 5/21/2018 11:10:58 PM
Updated        : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags           :

La première commande convertit une chaîne en chaîne sécurisée à l’aide de l’applet de commande ConvertTo-SecureString , puis stocke cette chaîne dans la variable $Password. Pour plus d’informations, tapez Get-Help ConvertTo-SecureString. La deuxième commande crée un mot de passe logiciel dans le coffre de clés Contoso. La commande spécifie l’emplacement de la clé et le mot de passe stockés dans $Password.

$Password = ConvertTo-SecureString -String "****" -AsPlainText -Force
$Expires = (Get-Date).AddYears(2).ToUniversalTime()
$Tags = @{ 'Severity' = 'high'; 'Accounting' = "true" }
Add-AzKeyVaultKey -VaultName 'contoso' -Name 'ITPfxToHSM' -Destination 'HSM' -KeyFilePath 'C:\Contoso\ITPfx.pfx' -KeyFilePassword $Password -Expires $Expires -Tag $Tags

Vault Name     : contoso
Name           : ITPfxToHSM
Version        : 929bfc14db84439b823ffd1bedadaf5f
Id             : https://contoso.vault.azure.net:443/keys/ITPfxToHSM/929bfc14db84439b823ffd1bedadaf5f
Enabled        : True
Expires        : 5/21/2020 11:12:43 PM
Not Before     :
Created        : 5/21/2018 11:13:17 PM
Updated        : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags           : Name        Value
                 Severity    high
                 Accounting  true

La première commande convertit une chaîne en chaîne sécurisée à l’aide de l’applet de commande ConvertTo-SecureString , puis stocke cette chaîne dans la variable $Password. La deuxième commande crée un objet DateTime à l’aide de l’applet de commande Get-Date , puis stocke cet objet dans la variable $Expires. La troisième commande crée la variable $tags pour définir des balises pour la gravité élevée et l’informatique. La commande finale importe une clé en tant que clé HSM à partir de l’emplacement spécifié. La commande spécifie l’heure d’expiration stockée dans $Expires et le mot de passe stockés dans $Password, et applique les balises stockées dans $tags.

$key = Add-AzKeyVaultKey -VaultName $vaultName -Name $keyName -Destination HSM -Size 2048 -KeyOps "import"

Génère une clé (appelée clé d’échange de clés)). La clé KEK doit être une clé RSA-HSM qui possède uniquement l’opération de clé d’importation. Seule la référence SKU Key Vault Premium prend en charge les clés RSA-HSM. Pour plus d’informations, reportez-vous à https://learn.microsoft.com/azure/key-vault/keys/hsm-protected-keys

<# release_policy_template.json
{
  "anyOf": [
    {
      "allOf": [
        {
          "claim": "<claim name>",
          "equals": "<value to match>"
        }
      ],
      "authority": "<issuer>"
    }
  ],
  "version": "1.0.0"
}
#>
Add-AzKeyVaultKey -HsmName testmhsm -Name test-key -KeyType RSA -Exportable -ReleasePolicyPath release_policy.json

Vault/HSM Name : testmhsm
Name           : test-key
Key Type       : RSA
Key Size       : 2048
Curve Name     :
Version        : ed6b026bf0a605042006635713d33ef6
Id             : https://testmhsm.managedhsm.azure.net:443/keys/test-key/ed6b026bf0a605042006635713d33ef6
Enabled        : True
Expires        :
Not Before     :
Created        : 6/2/2022 7:14:37 AM
Updated        : 6/2/2022 7:14:37 AM
Recovery Level : Recoverable+Purgeable
Release Policy :
                 Content Type   : application/json; charset=utf-8
                 Policy Content : {"anyOf":[{"allOf":[{"claim":"x-ms-sgx-is-debuggable","equals":"true"}],"authority":"htt
                 ps://sharedeus.eus.attest.azure.net/"}],"version":"1.0.0"}
                 Immutable      : False


Tags           :

Créez une clé sécurisée dans hsm managé nommé testmhsm. Son nom est la clé de test et le type est RSA.

New-AzKeyVault -Name $keyVaultName -Location $location -ResourceGroupName $resourceGroupName -Sku Premium -EnablePurgeProtection -EnabledForDiskEncryption;
$cvmAgent = Get-AzADServicePrincipal -ApplicationId '00001111-aaaa-2222-bbbb-3333cccc4444';
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ResourceGroupName $resourceGroupName -ObjectId $cvmAgent.id -PermissionsToKeys get,release;

$keySize = 3072;
Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Size $keySize -KeyOps wrapKey,unwrapKey -KeyType RSA -Destination HSM -Exportable -UseDefaultCVMPolicy;

Vault/HSM Name : <Vault Name>
Name           : <Key Name>
Key Type       : RSA
Key Size       : 3072
Curve Name     :
Version        : <Version>
Id             : <Id>
Enabled        : True
Expires        :
Not Before     :
Created        : 9/9/2022 8:36:00 PM
Updated        : 9/9/2022 8:36:00 PM
Recovery Level : Recoverable
Release Policy :
                 Content Type   : application/json; charset=utf-8
                 Policy Content : <Policy Content>
                 Immutable      : False
Tags           :

Cette applet de commande prend en charge les paramètres courants : -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction et -WarningVariable. Pour plus d’informations, consultez about_CommonParameters.