Memindahkan brankas kunci Azure ke seluruh wilayah

Azure Key Vault tidak memungkinkan Anda untuk memindahkan key vault dari satu wilayah ke wilayah lain. Namun, Anda dapat membuat key vault di wilayah baru, menyalin setiap kunci, rahasia, atau sertifikat individual dari key vault yang ada ke key vault baru, lalu hapus key vault asli.

Prasyarat

Sangat penting untuk memahami implikasi dari solusi ini sebelum Anda mencoba menerapkannya di lingkungan produksi.

Siapkan

Pertama, Anda harus membuat key vault baru di wilayah tempat Anda ingin pindah. Anda bisa melakukannya melalui portal Microsoft Azure, Azure CLI, atau Azure PowerShell.

Ingat konsep berikut:

  • Nama brankas kunci unik secara global. Anda tidak dapat menggunakan kembali nama brankas.
  • Anda perlu mengonfigurasikan ulang kebijakan akses dan setelan konfigurasi jaringan di brankas kunci baru.
  • Anda perlu mengonfigurasikan ulang perlindungan penghapusan lunak dan penghapusan menyeluruh di brankas kunci baru.
  • Operasi pencadangan dan pemulihan tidak akan mempertahankan pengaturan rotasi otomatis Anda. Anda mungkin perlu mengonfigurasikan ulang pengaturan.

Memindahkan

Ekspor kunci, rahasia, atau sertifikat Anda dari key vault lama Anda, lalu impor ke vault baru Anda.

Anda dapat mencadangkan setiap rahasia, kunci, dan sertifikat individual di brankas Anda dengan menggunakan perintah cadangan. Rahasia Anda diunduh sebagai blob terenkripsi. Untuk panduan langkah demi langkah, lihat cadangan dan pemulihan Azure Key Vault.

Selain itu, Anda dapat mengunduh jenis rahasia tertentu secara manual. Misalnya, Anda dapat mengunduh sertifikat sebagai file PFX. Opsi ini menghilangkan pembatasan geografis untuk beberapa jenis rahasia, seperti sertifikat. Anda dapat mengunggah file PFX ke brankas kunci apa pun di wilayah mana pun. Rahasia diunduh dalam format yang tidak dilindungi kata sandi. Anda bertanggung jawab untuk mengamankan rahasia Anda selama pemindahan.

Setelah mengunduh kunci, rahasia, atau sertifikat, Anda dapat memulihkannya ke key vault baru Anda.

Menggunakan perintah pencadangan dan pemulihan memiliki dua batasan:

  • Anda tidak dapat mencadangkan brankas kunci dalam satu geografi dan mengembalikannya ke geografi lain. Untuk informasi selengkapnya, lihat Geografi Azure.

  • Perintah cadangan mencadangkan versi lama dari setiap rahasia. Jika Anda memiliki rahasia versi sebelumnya dengan jumlah yang besar (lebih dari 10), ukuran permintaan mungkin melebihi maksimum yang diizinkan dan operasi mungkin gagal.

Verifikasi

Sebelum menghapus key vault lama Anda, verifikasi bahwa key vault baru berisi semua kunci, rahasia, dan sertifikat yang diperlukan.

Langkah berikutnya