ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
إشعار
نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.
نظرة عامة
هام
سيؤدي نقل مخزن مفاتيح إلى اشتراك آخر إلى تغيير فاصل في بيئتك. تأكد من فهم تأثير هذا التغيير واتبع الإرشادات الواردة في هذه المقالة بعناية قبل أن تقرر نقل key vault إلى اشتراك جديد. إذا كنت تستخدم هويات الخدمة المدارة (MSI)، فاقرأ إرشادات ما بعد النقل في نهاية المستند.
يرتبط Azure Key Vault تلقائيا بمعرف مستأجر معرف Microsoft Entra الافتراضي للاشتراك الذي تم إنشاؤه فيه. يمكنك العثور على معرف المستأجر المقترن باشتراكك باتباع هذا الدليل. ترتبط أيضا جميع إدخالات نهج الوصول وتعيينات الأدوار بمعرف المستأجر هذا. إذا قمت بنقل اشتراك Azure الخاص بك من المستأجر A إلى المستأجر B، فإن خزائن المفاتيح الحالية الخاصة بك لا يمكن الوصول إليها من قبل كيانات الخدمة (المستخدمين والتطبيقات) في المستأجر B. لإصلاح هذه المشكلة، تحتاج إلى:
إشعار
إذا تم إنشاء Key Vault من خلال Azure Lighthouse، فإنه يرتبط بإدارة معرف المستأجر بدلا من ذلك. يدعم Azure Lighthouse نموذج إذن نهج الوصول إلى المخزن فقط. لمزيد من المعلومات حول المستأجرين في Azure Lighthouse، راجع المستأجرين والمستخدمين والأدوار في Azure Lighthouse.
- قم بتغيير معرف المستأجر المقترن بجميع خزائن المفاتيح الموجودة في الاشتراك للمستأجر B.
- قم بإزالة كافة إدخالات نهج الوصول الحالية.
- إضافة إدخالات نهج وصول جديدة مقترنة بالمستأجر B.
لمزيد من المعلومات حول Azure Key Vault ومعرف Microsoft Entra، راجع:
القيود
هام
لا يمكن نقل Key Vaults المستخدمة لتشفير القرص إذا كنت تستخدم key vault مع تشفير القرص لجهاز ظاهري (VM)، فلا يمكن نقل مخزن المفاتيح إلى مجموعة موارد مختلفة أو اشتراك أثناء تمكين تشفير القرص. يجب تعطيل تشفير القرص قبل نقل مخزن المفاتيح إلى مجموعة موارد جديدة أو اشتراك جديد.
ترتبط بعض كيانات الخدمة (المستخدمون والتطبيقات) بمستأجر معين. إذا قمت بنقل مخزن المفاتيح الخاص بك إلى اشتراك في مستأجر آخر، فهناك فرصة أنك لن تتمكن من استعادة الوصول إلى كيان خدمة معين. تحقق للتأكد من وجود جميع كيانات الخدمة الأساسية في المستأجر حيث تقوم بنقل مخزن المفاتيح الخاص بك.
المتطلبات الأساسية
- وصول مستوى المساهم أو أعلى إلى الاشتراك الحالي حيث يوجد مخزن المفاتيح الخاص بك. يمكنك تعيين دور باستخدام مدخل Microsoft Azure أو Azure CLI أو PowerShell.
- وصول مستوى المساهم أو أعلى إلى الاشتراك حيث تريد نقل خزنة المفاتيح الخاصة بك. يمكنك تعيين دور باستخدام مدخل Microsoft Azure أو Azure CLI أو PowerShell.
- مجموعة موارد في الاشتراك الجديد. يمكنك إنشاء واحد باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI.
يمكنك التحقق من الأدوار الموجودة باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI أو REST API.
نقل مخزن مفاتيح إلى اشتراك جديد
- قم بتسجيل الدخول إلى بوابة Azure.
- انتقل إلى مخزن المفاتيح الخاص بك
- حدد في علامة التبويب "نظرة عامة"
- حدد الزر "نقل"
- حدد "الانتقال إلى اشتراك آخر" من خيارات القائمة المنسدلة
- حدد مجموعة الموارد حيث تريد نقل خزنة المفاتيح الخاصة بك
- الإقرار بالتحذير المتعلق بنقل الموارد
- حدد "موافق"
خطوات إضافية عندما يكون الاشتراك في مستأجر جديد
إذا قمت بنقل اشتراكك الذي يحتوي على مخزن المفاتيح إلى مستأجر جديد، فستحتاج إلى تحديث معرف المستأجر يدويا وإزالة نهج الوصول القديمة وتعيينات الأدوار. فيما يلي برامج تعليمية لهذه الخطوات في PowerShell وAzure CLI. إذا كنت تستخدم PowerShell، فقد تحتاج إلى تشغيل الأمر Clear-AzContext للسماح لك برؤية الموارد خارج النطاق المحدد الحالي.
تحديث معرف المستأجر في مخزن مفاتيح
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
تحديث نهج الوصول وتعيينات الأدوار
إشعار
إذا كان Key Vault يستخدم نموذج إذن Azure RBAC ، فستحتاج أيضا إلى إزالة تعيينات دور key vault. يمكنك إزالة تعيينات الأدوار باستخدام مدخل Microsoft Azure أو Azure CLI أو PowerShell.
الآن بعد أن أصبح المخزن الخاص بك مقترنا بمعرف المستأجر الصحيح وتمت إزالة إدخالات نهج الوصول القديمة أو تعيينات الأدوار، قم بتعيين إدخالات نهج الوصول الجديدة أو تعيينات الأدوار.
لتعيين النهج، راجع:
لإضافة تعيينات الأدوار، راجع:
- تعيين أدوار Azure باستخدام مدخل Microsoft Azure
- تعيين أدوار Azure باستخدام Azure PowerShell
- تعيين أدوار Azure باستخدام PowerShell
تحديث الهويات المدارة
إذا كنت تقوم بنقل اشتراك كامل واستخدام هوية مدارة لموارد Azure، فستحتاج إلى تحديثه إلى مستأجر Microsoft Entra الجديد أيضا. لمزيد من المعلومات حول الهويات المدارة، نظرة عامة على الهوية المدارة.
إذا كنت تستخدم الهوية المدارة، فستضطر أيضا إلى تحديث الهوية لأن الهوية القديمة لن تكون في مستأجر Microsoft Entra الصحيح. راجع المستندات التالية للمساعدة في حل هذه المشكلة.
الخطوات التالية
- تعرف على المزيد حول المفاتيح والأسرار والشهادات
- للحصول على معلومات مفاهيمية، بما في ذلك كيفية تفسير سجلات Key Vault، راجع تسجيل Key Vault
- Key Vault Developer's Guide
- ميزات أمان Azure Key Vault
- تكوين جدران حماية مخزن Azure الرئيسي والشبكات الظاهرية