Déplacement d’un coffre Azure Key Vault vers un nouvel abonnement
Notes
Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Vue d’ensemble
Important
Le déplacement d’un coffre de clés vers un autre abonnement entraîne un changement radical de votre environnement. Veillez à bien comprendre l’impact de ce changement et suivez attentivement les conseils prodigués dans cet article avant de décider de déplacer le coffre de clés vers un nouvel abonnement. Si vous utilisez des identités de service managées (MSI), lisez les instructions postérieures au déplacement à la fin de ce document.
Azure Key Vault est automatiquement lié à l’ID de locataire Microsoft Entra ID par défaut pour l’abonnement dans lequel il est créé. Vous pouvez trouver l’ID de locataire associé à votre abonnement en suivant ce guide. Toutes les entrées de stratégie d’accès les attributions de rôle sont également liées à cet ID de locataire. Si vous déplacez votre abonnement Azure d’un locataire A vers un locataire B, vos coffres de clés existants ne sont pas accessibles par les principaux du service (utilisateurs et applications) dans le locataire B. Pour résoudre ce problème, vous devez :
Notes
Si Key Vault est créé par l’intermédiaire d’Azure Lighthouse, il est lié à la gestion de l’ID de locataire à la place. Azure Lighthouse est uniquement pris en charge par le modèle d’autorisation de stratégie d’accès de coffre. Pour plus d’informations sur les locataires dans Azure Lighthouse, consultez Locataires, utilisateurs et rôles dans Azure Lighthouse.
- remplacer l’ID de locataire associé à tous les coffres de clés existants dans l’abonnement par le locataire B ;
- supprimer toutes les entrées de stratégie d’accès existantes ;
- ajouter de nouvelles entrées de stratégie d’accès associées au locataire B.
Pour plus d’informations sur Azure Key Vault et Microsoft Entra ID, consultez
- À propos d’Azure Key Vault
- Qu’est-ce que Microsoft Entra ID ?
- Guide pratique pour rechercher un ID de locataire
Limites
Important
Les coffres de clés utilisés pour le chiffrement de disque ne peuvent pas être déplacés : si vous utilisez un coffre de clés avec le chiffrement de disque pour une machine virtuelle, le coffre de clés ne peut pas être déplacé vers un autre groupe de ressources ou un abonnement lorsque le chiffrement de disque est activé. Vous devez désactiver le chiffrement de disque avant de déplacer le coffre de clés vers un nouveau groupe de ressources ou un nouvel abonnement.
Certains principaux du service (utilisateurs et applications) sont liés à un locataire spécifique. Si vous déplacez votre coffre de clés vers un abonnement dans un autre locataire, vous risquez de ne pas pouvoir restaurer l’accès à un principal du service spécifique. Vérifiez que tous les principaux du service essentiels existent dans le locataire vers lequel vous déplacez votre coffre de clés.
Prérequis
- Accès de niveau Contributeur ou supérieur à l’abonnement actuel dans lequel se trouve votre coffre de clés. Vous pouvez attribuer un rôle à l’aide de Portail Azure, d’Azure CLI ou de PowerShell.
- Niveau d’accès Contributeur ou supérieur sur l’abonnement où vous voulez déplacer votre coffre de clés. Vous pouvez attribuer un rôle à l’aide de Portail Azure, d’Azure CLI ou de PowerShell.
- Groupe de ressources dans le nouvel abonnement. Vous pouvez en créer un à l’aide de Portail Azure, de PowerShell ou d’Azure CLI.
Vous pouvez vérifier les rôles existants à l’aide de Portail Azure, de PowerShell, d’Azure CLI ou de l’API REST.
Déplacement d’un coffre de clés vers un nouvel abonnement
- Connectez-vous au portail Azure.
- Accédez à votre coffre de clés.
- Sélectionnez l’onglet « Vue d’ensemble »
- Sélectionnez le bouton « Déplacer ».
- Dans la liste déroulante, sélectionnez l’option « Déplacer vers un autre abonnement ».
- Sélectionnez le groupe de ressources vers lequel vous souhaitez déplacer votre coffre de clés.
- Confirmer la lecture de l’avertissement sur le déplacement des ressources
- Sélectionner « OK »
Étapes supplémentaires lorsque l’abonnement est dans un nouveau locataire
Si vous avez déplacé votre abonnement contenant le coffre de clés vers un nouveau locataire, vous devez manuellement mettre à jour l’ID du locataire et supprimer les anciennes stratégies d’accès et attributions de rôle. Voici des didacticiels pour ces étapes dans PowerShell et Azure CLI. Si vous utilisez PowerShell, vous devrez peut-être exécuter la commande Clear-AzContext pour pouvoir visualiser les ressources en dehors de l’étendue sélectionnée actuelle.
Mettre à jour l’ID de locataire dans un coffre de clés
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
Mettre à jour les stratégies d’accès et les attributions de rôles
Notes
Si Key Vault utilise un modèle d’autorisation Azure RBAC. Vous devez également supprimer les attributions de rôle de coffre de clés. Vous pouvez supprimer des attributions de rôles à l’aide de Portail Azure, d’Azure CLI ou de PowerShell.
Maintenant que votre coffre est associé à l’ID de locataire qui convient et que les anciennes entrées de stratégie d’accès ou attributions de rôle sont supprimées, définissez les nouvelles entrées de stratégie d’accès ou attributions de rôle.
Pour attribuer des stratégies, consultez :
- Attribuer une stratégie d’accès à l’aide du portail
- Attribuer une stratégie d’accès à l’aide d’Azure CLI
- Attribuer une stratégie d’accès à l’aide de PowerShell
Pour ajouter des attributions de rôles, consultez :
- Attribuer des rôles Azure à l’aide du portail Azure
- Attribuer des rôles Azure à l’aide d’Azure CLI
- Attribuer des rôles Azure à l’aide de PowerShell
Mettre à jour les identités managées
Si vous transférez un abonnement entier et que vous utilisez une identité managée pour les ressources Azure, vous devez également la mettre à jour vers le nouveau locataire Microsoft Entra. Pour plus d’informations sur les identités managées, consultez Vue d’ensemble des identités managées.
Si vous utilisez une identité managée, vous devrez également mettre à jour l’identité, car l’ancienne identité ne se trouvera plus dans le bon locataire Microsoft Entra. Consultez les documents suivants qui vous aideront à résoudre ce problème.
Étapes suivantes
- En savoir plus sur les clés, secrets et certificats
- Pour obtenir des informations conceptuelles, notamment sur l’interprétation des journaux Key Vault, consultez Journalisation de Key Vault.
- Guide du développeur Key Vault
- Fonctionnalités de sécurité pour Azure Key Vault
- Configurer les pare-feux et réseaux virtuels d’Azure Key Vault