Azure Key Vault verplaatsen naar een andere regio

  • Artikel

Azure Key Vault biedt geen ondersteuning voor het verplaatsen van de sleutelkluis naar een andere regio.

In plaats van verplaatsing moet u het volgende doen:

  • Maak een nieuwe sleutelkluis met de verplaatsing van de bijbehorende Azure-services.
  • Genereer alle vereiste sleutels, geheimen of certificaten opnieuw. In sommige gevallen moet u mogelijk de geheimen of certificaten van uw bestaande sleutelkluis overdragen naar de verplaatste sleutelkluis.

Diagram met het herlocatiepatroon van Azure Key Vault

Vereisten

  • Controleer of u met uw Azure-abonnement sleutelkluizen in de doelregio kunt maken.

  • Maak een afhankelijkheidstoewijzing met alle Azure-services die worden gebruikt door de Key Vault. Voor de diensten die binnen het bereik van de herlocatie vallen, moet u de juiste herlocatiestrategie kiezen.

  • Afhankelijk van uw Key Vault-ontwerp moet u mogelijk het virtuele netwerk in de doelregio implementeren en configureren.

  • Documenteer en plan om opnieuw te configureren in de Sleutelkluis in de doelregio:

    • Instellingen voor toegangsbeleid en netwerkconfiguratie.
    • Voorlopig verwijderen en beveiliging tegen opschonen.
    • Instellingen voor automatischerotatie.

Uitvaltijd

Zie Cloud Adoption Framework voor Azure om inzicht te hebben in de mogelijke downtime: Selecteer een herlocatiemethode.

Overweging voor service-eindpunten

De service-eindpunten van het virtuele netwerk voor Azure Key Vault beperken de toegang tot een opgegeven virtueel netwerk. De eindpunten kunnen ook de toegang tot een lijst met IPv4-adresbereiken (internetprotocol versie 4) beperken. Elke gebruiker die verbinding maakt met de Key Vault van buiten deze bronnen, wordt de toegang geweigerd. Als service-eindpunten zijn geconfigureerd in de bronregio voor de Key Vault-resource, moet hetzelfde gebeuren in de doelregio.

Voor een geslaagde recreatie van de Key Vault naar de doelregio moet het VNet en subnet vooraf worden gemaakt. Als de verplaatsing van deze twee resources wordt uitgevoerd met het Azure Resource Mover-hulpprogramma, worden de service-eindpunten niet automatisch geconfigureerd. Daarom moeten ze handmatig worden geconfigureerd, wat kan worden gedaan via Azure Portal, de Azure CLI of Azure PowerShell.

Overweging voor privé-eindpunt

Azure Private Link biedt privéconnectiviteit van een virtueel netwerk naar Azure PaaS (Platform as a Service), klant- of Microsoft-partnerservices. Private Link vereenvoudigt de netwerkarchitectuur en beveiligt de verbinding tussen eindpunten in Azure door gegevensblootstelling op het openbare internet te elimineren.

Voor een geslaagde recreatie van de Key Vault in de doelregio moet het VNet en subnet worden gemaakt voordat de daadwerkelijke recreatie plaatsvindt.

Overweging voor DNS-integratie van privé-eindpunten in Azure

Het is belangrijk dat u uw DNS-instellingen correct configureert om het IP-adres van het privé-eindpunt om te stellen naar de FQDN (Fully Qualified Domain Name) van de verbindingsreeks.

Bestaande Microsoft Azure-services hebben mogelijk al een DNS-configuratie voor een openbaar eindpunt. Deze configuratie moet worden overschreven om verbinding te maken met uw privé-eindpunt.

De netwerkinterface die is gekoppeld aan het privé-eindpunt bevat de informatie voor het configureren van uw DNS. De netwerkinterface-informatie bevat FQDN en privé-IP-adressen voor uw private link-resource.

U kunt de volgende opties gebruiken om uw DNS-instellingen voor privé-eindpunten te configureren:

  • Gebruik het hostbestand (alleen aanbevolen voor testen). U kunt het hostbestand op een virtuele machine gebruiken om de DNS te overschrijven.
  • Een Privé-DNS-zone gebruiken. Gebruik privé-DNS-zones om de DNS-omzetting voor een privé-eindpunt te overschrijven. Een privé-DNS-zone kan worden gekoppeld aan uw virtuele netwerk om specifieke domeinen om te zetten.
  • Gebruik uw DNS-doorstuurserver (optioneel). U kunt uw DNS-forwarder gebruiken om de DNS-resolutie voor een private linkbron op te heffen. Maak een DNS-doorstuurregel om een privé-DNS-zone te gebruiken op uw DNS-server die wordt gehost in een virtueel netwerk.

Voorbereiden

Een sjabloon exporteren via de Azure-portal:

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer Alle resources en selecteer vervolgens uw sleutelkluis.

  3. Selecteer >automation-exportsjabloon>.

  4. Kies Downloaden op de blade Sjabloon exporteren .

  5. Zoek het .zip bestand dat u hebt gedownload uit de portal en pak dat bestand uit naar een map van uw keuze.

    Dit zip-bestand bevat de .json bestanden die bestaan uit de sjabloon en scripts om de sjabloon te implementeren.

Houd rekening met de volgende concepten:

  • Namen van sleutelkluizen zijn globaal uniek. U kunt een kluisnaam niet opnieuw gebruiken.
  • U moet uw toegangsbeleid en netwerkconfiguratie-instellingen opnieuw configureren in de nieuwe sleutelkluis.
  • U moet de beveiliging voor voorlopig verwijderen en opschonen opnieuw configureren in de nieuwe sleutelkluis.
  • De back-up- en herstelbewerking behoudt uw instellingen voor automatischerotatie niet. Mogelijk moet u de instellingen opnieuw configureren.

De sjabloon aanpassen

Wijzig de sjabloon door de naam en regio van de sleutelkluis te wijzigen.

Ga als volgende te werk om de sjabloon te implementeren met behulp van Azure Portal:

  1. Selecteer in Azure Portal Een resource maken.

  2. In Marketplace doorzoeken typt u sjabloonimplementatie. Druk vervolgens op ENTER.

  3. Selecteer Sjabloonimplementatie.

  4. Selecteer Maken.

  5. Selecteer Bouw uw eigen sjabloon in de editor.

  6. Selecteer Bestand laden en volg de instructies voor het laden van het template.json-bestand dat u in de laatste sectie hebt gedownload.

  7. Geef in het bestand template.json de sleutelkluis een naam door de standaardwaarde van de naam van de sleutelkluis in te stellen. In dit voorbeeld wordt de standaardwaarde van de naam van de sleutelkluis ingesteld op mytargetaccount.

    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
    "vaults_name": {
        "defaultValue": "key-vault-name",
        "type": "String"
    }
},

  8. Bewerk de locatie-eigenschap in het template.json bestand in de doelregio. In dit voorbeeld wordt de doelregio ingesteld op centralus.

    "resources": [
    {
        "type": "Microsoft.KeyVault/vaults",
        "apiVersion": "2023-07-01",
        "name": "[parameters('vaults_name')]",
        "location": "centralus",
        ...
    },
    ...
]

    Zie Azure-locaties voor het verkrijgen van regiolocatiecodes. De code voor een regio is de regionaam zonder spaties, VS = - centraal.

  9. Verwijder resources van het type privé-eindpunt in de sjabloon.

    {
"type": "Microsoft.KeyVault/vaults/privateEndpointConnections",
...
}

  10. Als u een service-eindpunt hebt geconfigureerd in uw sleutelkluis, voegt u in de sectie networkAcl , onder virtualNetworkRules, de regel voor het doelsubnet toe. Zorg ervoor dat de vlag ignoreMissingVnetServiceEndpoint is ingesteld op False, zodat de IaC de Sleutelkluis niet kan implementeren als het service-eindpunt niet is geconfigureerd in de doelregio.

    parameter.json

    {
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "target_vnet_externalid": {
      "value": "virtualnetwork-externalid"
    },
    "target_subnet_name": {
      "value": "subnet-name"
    }
  }
}

    _template.json

        "networkAcls": {
        "bypass": "AzureServices",
        "defaultAction": "Deny",
        "ipRules": [],
        "virtualNetworkRules": [
            {
                "id": "[concat(parameters('target_vnet_externalid'), concat('/subnets/', parameters('target_subnet_name')]",
                "ignoreMissingVnetServiceEndpoint": false
            }
        ]
    }

Opnieuw implementeren

Implementeer de sjabloon om een nieuwe sleutelkluis te maken in de doelregio.

  1. Sla het template.json bestand op.

  2. Typ of selecteer de volgende waarden:

    • Subscription: selecteer een Azure-abonnement.

    • Resourcegroep: selecteer Nieuwe maken en geef de resourcegroep een naam.

    • Locatie: Selecteer een Azure-locatie.

  3. Selecteer Ik ga akkoord met de bovenstaande voorwaarden en selecteer vervolgens Aankoop selecteren.

  4. Toegangsbeleid en netwerkconfiguratie-instellingen (privé-eindpunten) moeten opnieuw worden geconfigureerd in de nieuwe Sleutelkluis. Voorlopig verwijderen en opschonen moet opnieuw worden geconfigureerd in de nieuwe sleutelkluis en de instellingen voor automatisch draaien.

Tip

Als u een foutmelding krijgt waarin wordt aangegeven dat de opgegeven XML niet syntactisch geldig is, vergelijkt u de JSON in uw sjabloon met de schema's die worden beschreven in de Documentatie van Azure Resource Manager.

Opnieuw implementeren met gegevensmigratie

Belangrijk

Als u van plan bent om een Key Vault te verplaatsen tussen regio's, maar binnen dezelfde geografie, is het raadzaam om een back-up en herstel uit te voeren voor geheimen, sleutels en certificaten .

  1. Volg de stappen in de beschreven methode voor opnieuw implementeren.
  2. Voor geheimen:
    1. Kopieer en sla de geheime waarde op in de bronsleutelkluis.
    2. Maak het geheim opnieuw in de doelsleutelkluis en stel de waarde in op opgeslagen geheim.
  3. Voor certificaten:
    1. Exporteer het certificaat naar een PFX-bestand.
    2. Importeer het PFX-bestand in de doelsleutelkluis. Als u de persoonlijke sleutel (niet ingesteld) kunt exporteren,exportable moet u een nieuw certificaat genereren en importeren in de doelsleutelkluis.
  4. Bij de herlocatie van de gekoppelde Azure-service worden de sleutels opnieuw gegenereerd.
  5. Controleer of de sleutels zijn gegenereerd voor de bijbehorende service.

Verifiëren

Voordat u uw oude sleutelkluis verwijdert, controleert u of de nieuwe kluis alle vereiste sleutels, geheimen en certificaten bevat na de herlocatie van de bijbehorende Azure-services.