Spostare un insieme di credenziali delle chiavi di Azure tra aree

Azure Key Vault non consente di spostare un insieme di credenziali delle chiavi da un'area a un'altra. È tuttavia possibile creare un insieme di credenziali delle chiavi nella nuova area, copiare manualmente ogni singola chiave, segreto o certificato dall'insieme di credenziali delle chiavi esistente al nuovo insieme di credenziali delle chiavi e quindi rimuovere l'insieme di credenziali delle chiavi originale.

Prerequisiti

È fondamentale comprendere le implicazioni di questa soluzione alternativa prima di tentare di applicarla in un ambiente di produzione.

Preparare

Prima di tutto, è necessario creare un nuovo insieme di credenziali delle chiavi nell'area in cui si vuole spostare. È possibile eseguire questa operazione tramite il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.

Tenere presenti i concetti seguenti:

  • I nomi degli insiemi di credenziali delle chiavi sono univoci a livello globale. Non è possibile riutilizzare un nome di insieme di credenziali.
  • È necessario riconfigurare i criteri di accesso e le impostazioni di configurazione della rete nel nuovo insieme di credenziali delle chiavi.
  • È necessario riconfigurare l'eliminazione temporanea e la protezione dall'eliminazione nel nuovo insieme di credenziali delle chiavi.
  • L'operazione di backup e ripristino non mantiene le impostazioni di rotazione automatica. Potrebbe essere necessario riconfigurare le impostazioni.

Spostamento

Esportare le chiavi, i segreti o i certificati dall'insieme di credenziali delle chiavi precedente e quindi importarli nel nuovo insieme di credenziali.

È possibile eseguire il backup di ogni segreto, chiave e certificato nell'insieme di credenziali usando il comando backup. I segreti vengono scaricati come BLOB crittografato. Per istruzioni dettagliate, vedere Backup e ripristino di Azure Key Vault.

In alternativa, è possibile scaricare manualmente determinati tipi di segreti. Ad esempio, è possibile scaricare i certificati come file PFX. Questa opzione elimina le restrizioni geografiche per alcuni tipi di segreti, come i certificati. I file PFX possono infatti essere caricati in qualsiasi insieme di credenziali delle chiavi in qualunque area. I segreti vengono scaricati in un formato non protetto da password. La responsabilità della protezione dei segreti durante lo spostamento de dell'utente.

Dopo aver scaricato le chiavi, i segreti o i certificati, è possibile ripristinarli nel nuovo insieme di credenziali delle chiavi.

L'uso dei comandi di backup e ripristino presenta due limitazioni:

  • Non è possibile eseguire il backup di un insieme di credenziali delle chiavi in un'area geografica e ripristinarlo in un'altra area geografica. Per altre informazioni, vedere Aree geografiche di Azure.

  • Il comando backup esegue il backup di tutte le versioni di ogni segreto. Se un segreto ha un numero elevato di versioni precedenti (più di 10), le dimensioni della richiesta potrebbero superare il valore massimo consentito e l'operazione potrebbe non riuscire.

Verifica

Prima di eliminare l'insieme di credenziali delle chiavi precedente, verificare che il nuovo insieme di credenziali contenga tutte le chiavi, i segreti e i certificati necessari.

Passaggi successivi