Traslado de Azure Key Vault a otra suscripción

Nota:

Se recomienda usar el módulo Az de PowerShell de Azure para interactuar con Azure. Para empezar, consulte Install Azure PowerShell. Para obtener información sobre cómo migrar al módulo Az PowerShell, consulte Migrate Azure PowerShell de AzureRM a Az.

Información general

Importante

Trasladar un almacén de claves a otra suscripción, producirá un cambio importante en el entorno. Asegúrese de entender el impacto de este cambio y siga atentamente las instrucciones de este artículo antes de decidir si desea trasladar el almacén de claves a una nueva suscripción. Si usa Identidades de servicio administradas (MSI), lea las instrucciones posteriores al traslado al final del documento.

Azure Key Vault se asocia automáticamente al ID de inquilino predeterminado de Microsoft Entra ID de la suscripción en la que se crea. Puede encontrar el identificador de inquilino asociado a su suscripción siguiendo esta guía. Todas las entradas y asignaciones de roles de la directiva de acceso también están vinculadas a este identificador de inquilino. Si traslada la suscripción de Azure del inquilino A al inquilino B, las entidades de servicio (usuarios y aplicaciones) del inquilino B no pueden acceder a los almacenes de claves existentes. Para corregir este problema, debe:

Nota:

Si Key Vault se crea mediante Azure Lighthouse, está vinculado al identificador de inquilino de administración en su lugar. Azure Lighthouse solo admite el modelo de permisos de política de acceso a la bóveda. Para más información sobre los inquilinos de Azure Lighthouse, consulte Inquilinos, usuarios y roles en Azure Lighthouse.

• Cambie el Id. de inquilino asociado a todos los almacenes de claves existentes en la suscripción al inquilino B.
• Quitar todas las entradas de la directiva de acceso existentes.
• Agregar nuevas entradas de la directiva de acceso asociadas al inquilino B.

Para obtener más información sobre Azure Key Vault y Microsoft Entra ID, consulte:

• About Azure Key Vault
• ¿Qué es Microsoft Entra ID
• Cómo buscar el identificador de inquilino

Limitaciones

Importante

No se pueden mover los almacenes de claves usados para el cifrado de disco Si usa key vault con cifrado de disco para una máquina virtual (VM), el almacén de claves no se puede mover a otro grupo de recursos o a una suscripción mientras está habilitado el cifrado de disco. Debe deshabilitar el cifrado de disco antes de mover el almacén de claves a un nuevo grupo de recursos o suscripción.

Algunas entidades de servicio (usuarios y aplicaciones) están enlazadas a un inquilino específico. Si traslada el almacén de claves a una suscripción de otro inquilino, existe la posibilidad de que no pueda restaurar el acceso a una entidad de servicio específica. Asegúrese de que todas las entidades de servicio esenciales existen en el inquilino al que va a trasladar el almacén de claves.

Prerrequisitos

• Acceso de nivel de Colaborador o superior a la suscripción actual en la que existe el almacén de claves. Puede asignar roles mediante el portal Azure, CLI de Azure o PowerShell.
• Acceso de nivel de Colaborador o superior a la suscripción a la que quiere trasladar el almacén de claves. Puede asignar roles mediante el portal Azure, CLI de Azure o PowerShell.
• Un grupo de recursos dentro de la nueva suscripción. Puede crear uno mediante el portal Azure, PowerShell o CLI de Azure.

Puede comprobar los roles existentes mediante el portal Azure, PowerShell, CLI de Azure o REST API.

Traslado de un almacén de claves a una nueva suscripción

1. Inicie sesión en el portal Azure.
2. Vaya al almacén de claves
3. Seleccione en la pestaña "Información general"
4. Seleccione el botón "Mover"
5. Seleccione "Mover a otra suscripción" en las opciones desplegables.
6. Seleccione el grupo de recursos en el que desea mover el almacén de claves
7. Reconocer la advertencia sobre el traslado de recursos
8. Seleccione "Aceptar"

Pasos adicionales cuando la suscripción se encuentra en un nuevo inquilino

Si ha migrado la suscripción que contiene el almacén de claves a un inquilino nuevo, tendrá que actualizar manualmente el id. de inquilino y quitar las directivas de acceso anteriores y las asignaciones de roles. Estos son los tutoriales de estos pasos en PowerShell y CLI de Azure. Si usa PowerShell, es posible que tenga que ejecutar el comando Clear-AzContext para permitirle ver los recursos fuera del ámbito seleccionado actual.

Actualización del identificador de inquilino en un almacén de claves

Select-AzSubscription -SubscriptionId <subscription-id>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <subscription-id>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Actualización de directivas de acceso y asignaciones de roles

Nota:

Si Key Vault usa el modelo de permisos de Azure RBAC, también debe quitar las asignaciones de roles de Key Vault. Puede quitar asignaciones de roles mediante el portal Azure, CLI de Azure o PowerShell.

Ahora que el almacén está asociado al identificador de inquilino correcto y que se han quitado las entradas de la directiva de acceso antiguas o las asignaciones de roles, establezca nuevas entradas o asignaciones.

Para asignar directivas, consulte:

• Assignar una directiva de acceso de Key Vault

Para agregar asignaciones de roles, consulte:

• Assignar roles de Azure mediante el portal de Azure
• Asignar los roles de Azure con CLI de Azure
• Assignar roles de Azure mediante PowerShell

Actualización de identidades administradas

Si va a transferir toda la suscripción y usa una identidad administrada para recursos de Azure, deberá actualizarla también al nuevo tenant de Microsoft Entra. Para más información sobre las identidades administradas, introducción a la identidad administrada.

Si utiliza una identidad administrada, también tendrá que actualizarla porque la anterior ya no estará en el entorno de Microsoft Entra correcto. Consulte los siguientes documentos para ayudar a resolver este problema.

• Actualización de MSI
• Transferir suscripción a nuevo directorio

Pasos siguientes

• Más información sobre claves, secretos y certificados
• Para obtener información conceptual, incluido cómo interpretar los registros de Key Vault, consulte Key Vault logging
• Key Vault Guía del desarrollador
• Azure Key Vault características de seguridad
• Configurar firewalls y redes virtuales de Azure Key Vault