概要
リソース グループ間でのキー ボールトの移動は、サポートされているキー ボールト機能です。 リソース グループ間でキー コンテナーを移動しても、キー コンテナーのファイアウォールやアクセス ポリシーの構成には影響しません。 接続されたアプリケーションとサービス プリンシパルは、引き続き意図したとおりに動作する必要があります。
重要
ディスク暗号化に使用される Key Vault は移動できません。 仮想マシン (VM) のディスク暗号化でキー コンテナーを使用している場合、ディスク暗号化が有効になっている間は、キー コンテナーを別のリソース グループまたはサブスクリプションに移動できません。 キー コンテナーを新しいリソース グループまたはサブスクリプションに移動する前に、ディスク暗号化を無効にする必要があります。
設計に関する考慮事項
組織では、リソース グループ レベルで適用または除外された Azure Policy を実装できます。 キー コンテナーが現在存在するリソース グループと、キー コンテナーを移動するリソース グループには、別のポリシー割り当てのセットが存在する可能性があります。 ポリシー要件の競合により、アプリケーションが中断される可能性があります。
例
2 年間有効な証明書を作成するキー コンテナーに接続されているアプリケーションがある。 キー コンテナーを移動しようとしているリソース グループには、1 年以上有効な証明書の作成をブロックするポリシー割り当てがあります。 キー コンテナーを新しいリソース グループに移動した後、2 年間有効な証明書を作成する操作は、Azure Policy の割り当てによってブロックされます。
解決策
Azure portal の Azure Policy ページに移動し、現在のリソース グループと移動先のリソース グループのポリシー割り当てを確認し、不一致がないことを確認します。
プロシージャ
- Azure Portal にログインする
- お使いのキー コンテナーに移動する
- [概要] タブをクリックします
- [移動] ボタンを選択する
- ドロップダウン オプションから [別のリソース グループに移動] を選択します
- キー コンテナーの移動先のリソース グループを選択する
- リソースの移動に関する警告を確認する
- [OK] を選択します
Key Vault では、リソースの移動の有効性が評価され、エラーが通知されます。 エラーが見つからない場合は、リソースの移動が完了します。