Egy Azure-kulcstartó áthelyezése egy másik előfizetésbe

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Áttekintés

Fontos

Ha egy Key Vault-tárolót egy másik előfizetésbe szeretne áthelyezni, azzal kompatibilitástörő változást okoz a környezetben. Mielőtt egy másik előfizetésbe helyezne egy Key Vault-tárolót, győződjön meg róla, hogy megértette a folyamat hatását, és szorosan kövesse a cikkben található utasításokat. Ha felügyeltszolgáltatás-identitásokat (MSI) használ, olvassa el az áthelyezés utáni utasításokat a dokumentum végén.

Az Azure Key Vault automatikusan az alapértelmezett Microsoft Entra-azonosító bérlőazonosítóhoz van kötve ahhoz az előfizetéshez, amelyben létre van hozva. Az előfizetéshez társított bérlőazonosítót az alábbi útmutatóban találja. A hozzáférési szabályzat bejegyzései és szerepkör-hozzárendelései szintén ehhez a bérlőazonosítóhoz vannak kötve. Ha áthelyezi az Azure előfizetését az A bérlőtől a B bérlőhöz, a meglévő kulcstartók elérhetetlenné válnak a B bérlőhöz tartozó alkalmazáspéldányok (felhasználók és alkalmazások) számára. A következőképpen oldhatja meg a problémát:

Feljegyzés

Ha a Key Vault az Azure Lighthouse-on keresztül jön létre, az inkább a bérlőazonosító kezeléséhez van kötve. Az Azure Lighthouse-t csak a tárolóelérési szabályzat engedélymodellje támogatja. További információ az Azure Lighthouse-bérlőkről: Bérlők, felhasználók és szerepkörök az Azure Lighthouse-ban.

• Módosítsa az előfizetés összes meglévő kulcstartójával társított bérlőazonosítót B bérlőre.
• Törölnie kell minden meglévő hozzáférésiszabályzat-bejegyzést.
• Új, a B bérlőhöz kapcsolódó hozzáférésiszabályzat-bejegyzéseket kell létrehoznia.

További információ az Azure Key Vaultról és a Microsoft Entra-azonosítóról:

• Az Azure Key Vault bemutatása
• Mi a Microsoft Entra ID
• Bérlőazonosító megkeresése

Korlátozások

Fontos

A lemeztitkosításhoz használt kulcstartók nem helyezhetők át Ha virtuális gép lemeztitkosításával rendelkező kulcstartót használ, a kulcstartó nem helyezhető át másik erőforráscsoportba vagy előfizetésbe, amíg a lemeztitkosítás engedélyezve van. A kulcstartó új erőforráscsoportba vagy előfizetésbe való áthelyezése előtt le kell tiltania a lemeztitkosítást.

Egyes szolgáltatásnevek (felhasználók és alkalmazások) egy adott bérlőhöz vannak kötve. Ha egy másik bérlőben lévő előfizetésbe helyezi át a kulcstartót, előfordulhat, hogy nem tudja visszaállítani a hozzáférést egy adott szolgáltatásnévhez. Ellenőrizze, hogy az összes alapvető szolgáltatásnév létezik-e abban a bérlőben, ahol a kulcstartót áthelyezi.

Előfeltételek

• Közreműködői szintű hozzáférés vagy magasabb szintű hozzáférés ahhoz az aktuális előfizetéshez, ahol a kulcstartó létezik. Szerepköröket az Azure Portal, az Azure CLI vagy a PowerShell használatával rendelhet hozzá.
• Közreműködői szintű hozzáférés vagy magasabb szintű hozzáférés ahhoz az előfizetéshez, ahová át szeretné helyezni a kulcstartót. Szerepköröket az Azure Portal, az Azure CLI vagy a PowerShell használatával rendelhet hozzá.
• Egy erőforráscsoport az új előfizetésben. Létrehozhat egyet az Azure Portal, a PowerShell vagy az Azure CLI használatával.

A meglévő szerepköröket az Azure Portal, a PowerShell, az Azure CLI vagy a REST API használatával ellenőrizheti.

Kulcstartó áthelyezése új előfizetésbe

1. Jelentkezzen be az Azure Portalra.
2. Navigálás a kulcstartóhoz
3. Kiválasztás az "Áttekintés" lapon
4. Válassza az "Áthelyezés" gombot
5. Válassza az "Áthelyezés másik előfizetésbe" lehetőséget a legördülő menüből
6. Válassza ki azt az erőforráscsoportot, ahová a kulcstartót át szeretné helyezni
7. Az erőforrások áthelyezésére vonatkozó figyelmeztetés nyugtázása
8. Válassza az OK gobot.

További lépések, ha az előfizetés új bérlőben van

Ha áthelyezte a kulcstartót tartalmazó előfizetését egy új bérlőre, manuálisan frissítenie kell a bérlőazonosítót, és el kell távolítania a régi hozzáférési szabályzatokat és szerepkör-hozzárendeléseket. Az alábbi oktatóanyagok a PowerShellben és az Azure CLI-ben ismertetett lépésekhez szükségesek. Ha PowerShellt használ, előfordulhat, hogy a Clear-AzContext parancsot kell futtatnia, hogy a jelenlegi kijelölt hatókörön kívüli erőforrásokat láthasson.

Bérlőazonosító frissítése kulcstartóban

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Hozzáférési szabályzatok és szerepkör-hozzárendelések frissítése

Feljegyzés

Ha a Key Vault Azure RBAC-engedélymodellt használ. El kell távolítania a Key Vault szerepkör-hozzárendeléseit is. A szerepkör-hozzárendeléseket az Azure Portal, az Azure CLI vagy a PowerShell használatával távolíthatja el.

Most, hogy a tároló a megfelelő bérlőazonosítóhoz van társítva, és a régi hozzáférési szabályzat bejegyzései vagy szerepkör-hozzárendelései el lettek távolítva, állítsa be az új hozzáférési szabályzat bejegyzéseit vagy szerepkör-hozzárendeléseit.

Szabályzatok hozzárendeléséhez lásd:

• Hozzáférési szabályzat hozzárendelése a Portál használatával
• Hozzáférési szabályzat hozzárendelése az Azure CLI használatával
• Hozzáférési szabályzat hozzárendelése a PowerShell használatával

Szerepkör-hozzárendelések hozzáadásához lásd:

• Azure-szerepkörök hozzárendelése az Azure Portalon
• Azure-szerepkörök hozzárendelése az Azure CLI használatával
• Azure-szerepkörök hozzárendelése a PowerShell használatával

Felügyelt identitások frissítése

Ha teljes előfizetést ad át, és felügyelt identitást használ az Azure-erőforrásokhoz, azt is frissítenie kell az új Microsoft Entra-bérlőre. A felügyelt identitásokkal kapcsolatos további információkért tekintse át a felügyelt identitások áttekintését.

Felügyelt identitás használata esetén az identitást is frissítenie kell, mert a régi identitás már nem a megfelelő Microsoft Entra-bérlőben lesz. A probléma megoldásához tekintse meg az alábbi dokumentumokat.

• AZ MSI frissítése
• Előfizetés átvitele új könyvtárba

Következő lépések

• További információ a kulcsokról, titkos kódokról és tanúsítványokról
• A Key Vault naplóinak értelmezését ismertető elméleti információkért lásd: Key Vault-naplózás
• Key Vault fejlesztői útmutató
• Az Azure Key Vault biztonsági funkciói
• Azure Key Vault-tűzfalak és virtuális hálózatok konfigurálása