Relocaliser des identités managées pour les ressources Azure vers une autre région

Il existe plusieurs raisons de vouloir déplacer vos ressources Azure existantes d’une région à une autre. Vous pouvez :

• Bénéficier d’une nouvelle région Azure.
• Déployer des fonctionnalités ou des services uniquement disponibles dans certaines régions.
• Répondre à des exigences de gouvernance et de stratégie internes.
• S’adapter aux fusions et acquisitions de l’entreprise.
• Répondre aux exigences de planification de capacité.

Le déplacement d’identités managées affectées par l’utilisateur entre des régions Azure n’est pas pris en charge. Vous pouvez toutefois recréer une identité managée affectée par l’utilisateur dans la région cible.

Prérequis

Les identités managées pour les ressources Azure sont une fonctionnalité d’Azure Entra ID. Chacun des services Azure prenant en charge les identités managées pour les ressources Azure est soumis à sa propre chronologie.

• Veillez à passer en revue l’état de disponibilité des identités managées pour votre ressource.

• Familiarisez-vous avec les problèmes connus en lien avec les identités managées pour les ressources Azure.

• Créez une carte des dépendances avec les services Azure utilisés par l’identité managée que vous souhaitez déplacer. Pour les services qui sont dans l’étendue d’une relocalisation, vous devez sélectionner la stratégie de relocalisation appropriée.

• Autorisations pour répertorier les autorisations accordées à l’identité managée affectée par l’utilisateur existante.

• Autorisations permettant d’accorder à une nouvelle identité managée affectée par l’utilisateur les autorisations requises.

• Autorisations d’affectation d’une nouvelle identité affectée par l’utilisateur aux ressources Azure.

• Autorisations pour modifier l’appartenance au groupe, si votre identité managée affectée par l’utilisateur est membre d’un ou plusieurs groupes.

Temps d’arrêt

Pour comprendre les temps d’arrêt possibles impliqués, consultez Cloud Adoption Framework pour Azure : sélectionnez une méthode de relocalisation.

Préparer et déplacer

1. Copiez les autorisations affectées par l’identité managée affectée par l’utilisateur. Vous pouvez répertorier les attributions de rôles Azure , mais cela peut ne pas suffire en fonction de la façon dont les autorisations ont été accordées à l’identité managée affectée par l’utilisateur. Vous devez vérifier que votre solution ne dépend pas des autorisations accordées à l’aide d’une option spécifique au service.
2. Créez une identité managée affectée par l’utilisateur dans la région cible.
3. Accordez à l’identité managée les mêmes autorisations que l’identité d’origine qu’elle remplace, y compris l’appartenance au groupe. Vous pouvez consulter l’attribution de rôles Azure à une identité managée et à l’appartenance augroupe.
4. Spécifiez la nouvelle identité dans les propriétés de l’instance de ressource qui utilise l’identité managée affectée par l’utilisateur nouvellement créée.

Vérifier

Après avoir reconfiguré votre service pour utiliser vos nouvelles identités managées dans la région cible, vous devez vérifier que toutes les opérations ont été restaurées.

Nettoyage

Une fois que vous confirmez que votre service est de nouveau en ligne, vous pouvez continuer à supprimer toutes les ressources de la région source que vous n’utilisez plus.

Étapes suivantes

• Gérer les identités gérées affectées par l’utilisateur