Přesun služby Azure Key Vault do jiného předplatného

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Přehled

Důležité

Přesunutí trezoru klíčů do jiného předplatného způsobí zásadní změnu vašeho prostředí. Než se rozhodnete přesunout trezor klíčů do nového předplatného, ujistěte se, že rozumíte dopadu této změny, a pečlivě postupujte podle pokynů v tomto článku. Pokud používáte identity spravované služby (MSI), přečtěte si pokyny k následnému přesunutí na konci dokumentu.

Azure Key Vault je automaticky svázaný s výchozím ID tenanta Microsoft Entra ID pro předplatné, ve kterém se vytvoří. ID tenanta přidruženého k vašemu předplatnému najdete podle tohoto průvodce. Všechny položky zásad přístupu a přiřazení rolí jsou také svázané s tímto ID tenanta. Pokud přesunete předplatné Azure z tenanta A na tenanta B, stávající trezory klíčů budou pro objekty služby (uživatelé a aplikace) v tenantovi B nepřístupné. Oprava tohoto problému vyžaduje následující postup:

Poznámka:

Pokud je služba Key Vault vytvořená prostřednictvím služby Azure Lighthouse, je místo toho svázaná se správou ID tenanta. Azure Lighthouse je podporován pouze modelem oprávnění zásad přístupu trezoru. Další informace o tenantech ve službě Azure Lighthouse najdete v tématu Tenanti, uživatelé a role ve službě Azure Lighthouse.

• Změňte ID tenanta přidružené ke všem existujícím trezorům klíčů v předplatném na tenanta B.
• Odeberte všechny stávající položky zásad přístupu.
• Přidejte nové položky zásad přístupu, které jsou přidružené k tenantovi B.

Další informace o službě Azure Key Vault a MICROSOFT Entra ID najdete v tématu

• O Azure Key Vault
• Co je Microsoft Entra ID
• Jak najít ID tenanta

Omezení

Důležité

Trezory klíčů používané pro šifrování disků nelze přesunout , pokud používáte trezor klíčů s šifrováním disků pro virtuální počítač, trezor klíčů nelze přesunout do jiné skupiny prostředků nebo předplatného, pokud je povolené šifrování disku. Před přesunem trezoru klíčů do nové skupiny prostředků nebo předplatného musíte zakázat šifrování disků.

Některé instanční objekty (uživatelé a aplikace) jsou vázané na konkrétního tenanta. Pokud přesunete trezor klíčů do předplatného v jiném tenantovi, je možné, že nebudete moct obnovit přístup ke konkrétnímu instančnímu objektu. Ujistěte se, že v tenantovi, do kterého přesouváte trezor klíčů, existují všechny základní instanční objekty.

Předpoklady

• Přístup na úrovni přispěvatele nebo vyšší k aktuálnímu předplatnému, ve kterém existuje váš trezor klíčů. Roli můžete přiřadit pomocí webu Azure Portal, Azure CLI nebo PowerShellu.
• Přístup na úrovni přispěvatele nebo vyšší k předplatnému, do kterého chcete přesunout trezor klíčů. Roli můžete přiřadit pomocí webu Azure Portal, Azure CLI nebo PowerShellu.
• Skupina prostředků v novém předplatném. Můžete ho vytvořit pomocí webu Azure Portal, PowerShellu nebo Azure CLI.

Existující role můžete zkontrolovat pomocí webu Azure Portal, PowerShellu, Azure CLI nebo rozhraní REST API.

Přesun trezoru klíčů do nového předplatného

1. Přihlaste se k portálu Azure.
2. Přejděte do trezoru klíčů.
3. Vyberte na kartě Přehled.
4. Vyberte tlačítko Přesunout.
5. V možnostech rozevíracího seznamu vyberte Přesunout do jiného předplatného.
6. Vyberte skupinu prostředků, do které chcete přesunout trezor klíčů.
7. Potvrzení upozornění týkajícího se přesunu prostředků
8. Vyberete OK.

Další kroky, když je předplatné v novém tenantovi

Pokud jste přesunuli předplatné obsahující trezor klíčů do nového tenanta, musíte ID tenanta aktualizovat ručně a odebrat staré zásady přístupu a přiřazení rolí. Tady jsou kurzy pro tyto kroky v PowerShellu a Azure CLI. Pokud používáte PowerShell, možná budete muset spustit příkaz Clear-AzContext, abyste mohli zobrazit prostředky mimo aktuální vybraný obor.

Aktualizace ID tenanta v trezoru klíčů

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Aktualizace zásad přístupu a přiřazení rolí

Poznámka:

Pokud Key Vault používá model oprávnění Azure RBAC . Musíte také odebrat přiřazení rolí trezoru klíčů. Přiřazení rolí můžete odebrat pomocí webu Azure Portal, Azure CLI nebo PowerShellu.

Teď, když je váš trezor přidružený ke správnému ID tenanta a staré položky zásad přístupu nebo přiřazení rolí se odeberou, nastavte nové položky zásad přístupu nebo přiřazení rolí.

Informace o přiřazování zásad najdete tady:

• Přiřazení zásad přístupu pomocí portálu
• Přiřazení zásad přístupu pomocí Azure CLI
• Přiřazení zásad přístupu pomocí PowerShellu

Přidání přiřazení rolí najdete tady:

• Přiřazování rolí Azure s využitím webu Azure Portal
• Přiřazení rolí Azure pomocí Azure CLI
• Přiřazení rolí Azure pomocí PowerShellu

Aktualizace spravovaných identit

Pokud převádíte celé předplatné a používáte spravovanou identitu pro prostředky Azure, budete ji muset aktualizovat také na nového tenanta Microsoft Entra. Další informace o spravovaných identitách najdete v přehledu spravované identity.

Pokud používáte spravovanou identitu, budete muset také aktualizovat identitu, protože stará identita už nebude ve správném tenantovi Microsoft Entra. Pokud chcete tento problém vyřešit, podívejte se na následující dokumenty.

• Aktualizace MSI
• Převod předplatného do nového adresáře

Další kroky

• Další informace o klíčích, tajných klíčích a certifikátech
• Koncepční informace, včetně toho, jak interpretovat protokoly služby Key Vault, najdete v tématu Protokolování služby Key Vault.
• Průvodce vývojáře pro službu Key Vault
• Funkce zabezpečení služby Azure Key Vault
• Konfigurace bran firewall a virtuálních sítí služby Azure Key Vault