Delen via


Een Azure Key Vault verplaatsen naar een ander abonnement

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Overzicht

Belangrijk

Het verplaatsen van een sleutelkluis naar een ander abonnement veroorzaakt een wijziging die fouten veroorzaakt in uw omgeving. Zorg ervoor dat u de impact van deze wijziging begrijpt en volg de richtlijnen in dit artikel zorgvuldig voordat u besluit de sleutelkluis naar een nieuw abonnement te verplaatsen. Als u Managed Service Identities (MSI) gebruikt, leest u de instructies na verplaatsing aan het einde van het document.

Azure Key Vault wordt automatisch gekoppeld aan de standaardtenant-id van Microsoft Entra ID voor het abonnement waarin deze wordt gemaakt. U vindt de tenant-id die is gekoppeld aan uw abonnement door deze handleiding te volgen. Alle vermeldingen van toegangsbeleid en roltoewijzingen zijn ook gekoppeld aan deze tenant-id. Als u uw Azure-abonnement van tenant A naar tenant B verplaatst, hebben de service-principals (gebruikers en toepassingen) geen toegang tot de bestaande sleutelkluizen in tenant B. U kunt dit probleem oplossen door:

Notitie

Als Key Vault wordt gemaakt via Azure Lighthouse, is deze gekoppeld aan het beheren van tenant-id's. Azure Lighthouse wordt alleen ondersteund door het machtigingsmodel voor kluistoegangsbeleid. Zie Tenants, gebruikers en rollen in Azure Lighthouse voor meer informatie over tenants in Azure Lighthouse.

  • De tenant-ID die is gekoppeld aan alle bestaande sleutelkluizen in het abonnement te wijzigen in tenant B.
  • Alle bestaande vermeldingen van het toegangsbeleid te verwijderen.
  • Nieuwe aan tenant B gekoppelde vermeldingen van het toegangsbeleid toe te voegen.

Zie voor meer informatie over Azure Key Vault en Microsoft Entra ID

Beperkingen

Belangrijk

Sleutelkluizen die worden gebruikt voor schijfversleuteling kunnen niet worden verplaatst als u sleutelkluis gebruikt met schijfversleuteling voor een virtuele machine, kan de sleutelkluis niet worden verplaatst naar een andere resourcegroep of een abonnement terwijl schijfversleuteling is ingeschakeld. U moet schijfversleuteling uitschakelen voordat u de sleutelkluis naar een nieuwe resourcegroep of een nieuw abonnement verplaatst.

Sommige service-principals (gebruikers en toepassingen) zijn gebonden aan een specifieke tenant. Als u uw sleutelkluis verplaatst naar een abonnement in een andere tenant, is er een kans dat u de toegang tot een specifieke service-principal niet kunt herstellen. Controleer of alle essentiƫle service-principals aanwezig zijn in de tenant waar u uw sleutelkluis verplaatst.

Vereisten

U kunt bestaande rollen controleren met behulp van Azure Portal, PowerShell, Azure CLI of REST API.

Een sleutelkluis verplaatsen naar een nieuw abonnement

  1. Meld u aan bij het Azure-portaal.
  2. Navigeer naar uw sleutelkluis
  3. Selecteer op het tabblad Overzicht
  4. Selecteer de knop Verplaatsen
  5. Selecteer 'Verplaatsen naar een ander abonnement' in de vervolgkeuzelijst
  6. Selecteer de resourcegroep waar u de sleutelkluis wilt verplaatsen
  7. De waarschuwing met betrekking tot het verplaatsen van resources bevestigen
  8. Selecteer OK

Aanvullende stappen wanneer het abonnement zich in een nieuwe tenant bevindt

Als u uw abonnement met de sleutelkluis naar een nieuwe tenant hebt verplaatst, moet u de tenant-id handmatig bijwerken en oude toegangsbeleidsregels en roltoewijzingen verwijderen. Hier volgen zelfstudies voor deze stappen in PowerShell en Azure CLI. Als u PowerShell gebruikt, moet u mogelijk de opdracht Clear-AzContext uitvoeren om resources buiten het huidige geselecteerde bereik weer te geven.

Tenant-id bijwerken in een sleutelkluis

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
$tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Toegangsbeleid en roltoewijzingen bijwerken

Notitie

Als Key Vault gebruikmaakt van het Azure RBAC-machtigingsmodel . U moet ook sleutelkluisroltoewijzingen verwijderen. U kunt roltoewijzingen verwijderen met behulp van Azure Portal, Azure CLI of PowerShell.

Nu uw kluis is gekoppeld aan de juiste tenant-id en oude toegangsbeleidsvermeldingen of roltoewijzingen worden verwijderd, stelt u nieuwe vermeldingen of roltoewijzingen voor toegangsbeleid in.

Zie voor het toewijzen van beleidsregels:

Zie voor het toevoegen van roltoewijzingen:

Beheerde identiteiten bijwerken

Als u het hele abonnement overdraagt en een beheerde identiteit voor Azure-resources gebruikt, moet u het ook bijwerken naar de nieuwe Microsoft Entra-tenant. Overzicht van beheerde identiteiten voor meer informatie over beheerde identiteiten.

Als u beheerde identiteit gebruikt, moet u ook de identiteit bijwerken omdat de oude identiteit niet meer in de juiste Microsoft Entra-tenant staat. Raadpleeg de volgende documenten om dit probleem op te lossen.

Volgende stappen