Traslado de Azure Key Vault a otra suscripción

Nota:

Se recomienda usar el módulo de PowerShell de Azure Az para interactuar con Azure. Para comenzar, consulte Instalación de Azure PowerShell. Para obtener información sobre cómo migrar al módulo Az PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Información general

Importante

Trasladar un almacén de claves a otra suscripción, producirá un cambio importante en el entorno. Asegúrese de entender el impacto de este cambio y siga atentamente las instrucciones de este artículo antes de decidir si desea trasladar el almacén de claves a una nueva suscripción. Si usa Identidades de servicio administradas (MSI), lea las instrucciones posteriores al traslado al final del documento.

Azure Key Vault se asocia automáticamente al identificador de inquilino predeterminado de Microsoft Entra ID para la suscripción en la que se crea. Puede encontrar el identificador de inquilino asociado a su suscripción siguiendo esta guía. Todas las entradas y asignaciones de roles de la directiva de acceso también están vinculadas a este identificador de inquilino. Si traslada la suscripción de Azure del inquilino A al inquilino B, las entidades de servicio (usuarios y aplicaciones) del inquilino B no pueden acceder a los almacenes de claves existentes. Para corregir este problema, debe:

Nota:

Si Key Vault se crea mediante Azure Lighthouse, está vinculado al identificador de inquilino de administración en su lugar. Azure Lighthouse solo admite el modelo de permisos de directiva de acceso del almacén. Para más información sobre los inquilinos de Azure Lighthouse, consulte Inquilinos, usuarios y roles en Azure Lighthouse.

• Cambie el Id. de inquilino asociado a todos los almacenes de claves existentes en la suscripción al inquilino B.
• Quitar todas las entradas de la directiva de acceso existentes.
• Agregar nuevas entradas de la directiva de acceso asociadas al inquilino B.

Para más información sobre Azure Key Vault y microsoft Entra ID, consulte:

• Acerca de Azure Key Vault
• ¿Qué es Microsoft Entra ID?
• Cómo buscar el identificador de inquilino

Limitaciones

Importante

No se pueden mover los almacenes de claves usados para el cifrado de disco Si usa key vault con cifrado de disco para una máquina virtual (VM), el almacén de claves no se puede mover a otro grupo de recursos o a una suscripción mientras está habilitado el cifrado de disco. Debe deshabilitar el cifrado de disco antes de mover el almacén de claves a un nuevo grupo de recursos o suscripción.

Algunas entidades de servicio (usuarios y aplicaciones) están enlazadas a un inquilino específico. Si traslada el almacén de claves a una suscripción de otro inquilino, existe la posibilidad de que no pueda restaurar el acceso a una entidad de servicio específica. Asegúrese de que todas las entidades de servicio esenciales existen en el inquilino al que va a trasladar el almacén de claves.

Prerrequisitos

• Acceso de nivel de Colaborador o superior a la suscripción actual en la que existe el almacén de claves. Puede asignar un rol mediante Azure Portal, la CLI de Azure o PowerShell.
• Acceso de nivel de Colaborador o superior a la suscripción a la que quiere trasladar el almacén de claves. Puede asignar un rol mediante Azure Portal, la CLI de Azure o PowerShell.
• Un grupo de recursos dentro de la nueva suscripción. Puede crear uno mediante Azure Portal, PowerShell o la CLI de Azure.

Puede comprobar los roles existentes mediante Azure Portal, PowerShell, la CLI de Azure o la API REST.

Traslado de un almacén de claves a una nueva suscripción

1. Inicie sesión en Azure Portal.
2. Vaya al almacén de claves
3. Seleccione en la pestaña "Información general"
4. Seleccione el botón "Mover"
5. Seleccione "Mover a otra suscripción" en las opciones desplegables.
6. Seleccione el grupo de recursos en el que desea mover el almacén de claves
7. Reconocer la advertencia sobre el traslado de recursos
8. Seleccione "Aceptar"

Pasos adicionales cuando la suscripción se encuentra en un nuevo inquilino

Si ha migrado la suscripción que contiene el almacén de claves a un inquilino nuevo, tendrá que actualizar manualmente el id. de inquilino y quitar las directivas de acceso anteriores y las asignaciones de roles. Estos son los tutoriales para estos pasos en PowerShell y la CLI de Azure. Si usa PowerShell, es posible que tenga que ejecutar el comando Clear-AzContext para permitirle ver los recursos fuera del ámbito seleccionado actual.

Actualización del identificador de inquilino en un almacén de claves

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Actualización de directivas de acceso y asignaciones de roles

Nota:

Si el modelo de permisos de Azure RBAC está en uso en Key Vault, también debe eliminar las asignaciones de roles de Key Vault. Puede quitar asignaciones de roles mediante Azure Portal, la CLI de Azure o PowerShell.

Ahora que el almacén está asociado al identificador de inquilino correcto y que se han quitado las entradas de la directiva de acceso antiguas o las asignaciones de roles, establezca nuevas entradas o asignaciones.

Para asignar directivas, consulte:

• Asignación de una directiva de acceso mediante el portal
• Asignación de una directiva de acceso mediante la CLI de Azure
• Asignación de una directiva de acceso mediante PowerShell

Para agregar asignaciones de roles, consulte:

• Asignación de roles de Azure mediante Azure Portal
• Asignación de roles de Azure mediante la CLI de Azure
• Asignación de roles de Azure mediante PowerShell

Actualización de identidades administradas

Si va a transferir la suscripción completa y usa una identidad administrada para los recursos de Azure, tendrá que actualizarla también al nuevo inquilino de Microsoft Entra. Para más información sobre las identidades administradas, introducción a la identidad administrada.

Si usa identidad administrada, también tendrá que actualizar la identidad, ya que la anterior ya no estará en el inquilino de Microsoft Entra correcto. Consulte los siguientes documentos para ayudar a resolver este problema.

• Actualización de MSI
• Transferir suscripción a nuevo directorio

Pasos siguientes

• Más información sobre claves, secretos y certificados
• Para obtener información conceptual, incluida la interpretación de los registros de Key Vault, consulte Registro de Key Vault.
• Guía del desarrollador de Key Vault
• Características de seguridad de Azure Key Vault
• Configuración de firewalls y redes virtuales de Azure Key Vault