Een Azure Key Vault verplaatsen naar een ander abonnement

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Overzicht

Belangrijk

Het verplaatsen van een sleutelkluis naar een ander abonnement veroorzaakt een wijziging die fouten veroorzaakt in uw omgeving. Zorg ervoor dat u de impact van deze wijziging begrijpt en volg de richtlijnen in dit artikel zorgvuldig voordat u besluit de sleutelkluis naar een nieuw abonnement te verplaatsen. Als u Managed Service Identities (MSI) gebruikt, leest u de instructies na verplaatsing aan het einde van het document.

Azure Key Vault wordt automatisch gekoppeld aan de standaardtenant-id van Microsoft Entra ID voor het abonnement waarin deze wordt gemaakt. U vindt de tenant-id die is gekoppeld aan uw abonnement door deze handleiding te volgen. Alle vermeldingen van toegangsbeleid en roltoewijzingen zijn ook gekoppeld aan deze tenant-id. Als u uw Azure-abonnement van tenant A naar tenant B verplaatst, hebben de service-principals (gebruikers en toepassingen) geen toegang tot de bestaande sleutelkluizen in tenant B. U kunt dit probleem oplossen door:

Notitie

Als Key Vault wordt gemaakt via Azure Lighthouse, is deze gekoppeld aan het beheren van tenant-id's. Azure Lighthouse wordt alleen ondersteund door het machtigingsmodel voor kluistoegangsbeleid. Zie Tenants, gebruikers en rollen in Azure Lighthouse voor meer informatie over tenants in Azure Lighthouse.

• De tenant-ID die is gekoppeld aan alle bestaande sleutelkluizen in het abonnement te wijzigen in tenant B.
• Alle bestaande vermeldingen van het toegangsbeleid te verwijderen.
• Nieuwe aan tenant B gekoppelde vermeldingen van het toegangsbeleid toe te voegen.

Zie voor meer informatie over Azure Key Vault en Microsoft Entra ID

• Info over Azure Key Vault
• Wat is Microsoft Entra ID
• Tenant-id zoeken

Beperkingen

Belangrijk

Sleutelkluizen die worden gebruikt voor schijfversleuteling kunnen niet worden verplaatst als u sleutelkluis gebruikt met schijfversleuteling voor een virtuele machine, kan de sleutelkluis niet worden verplaatst naar een andere resourcegroep of een abonnement terwijl schijfversleuteling is ingeschakeld. U moet schijfversleuteling uitschakelen voordat u de sleutelkluis naar een nieuwe resourcegroep of een nieuw abonnement verplaatst.

Sommige service-principals (gebruikers en toepassingen) zijn gebonden aan een specifieke tenant. Als u uw sleutelkluis verplaatst naar een abonnement in een andere tenant, is er een kans dat u de toegang tot een specifieke service-principal niet kunt herstellen. Controleer of alle essentiële service-principals aanwezig zijn in de tenant waar u uw sleutelkluis verplaatst.

Vereisten

• Toegang op inzenderniveau of hoger tot het huidige abonnement waar uw sleutelkluis bestaat. U kunt een rol toewijzen met behulp van Azure Portal, Azure CLI of PowerShell.
• Toegang op inzenderniveau of hoger naar het abonnement waar u uw sleutelkluis wilt verplaatsen. U kunt een rol toewijzen met behulp van Azure Portal, Azure CLI of PowerShell.
• Een resourcegroep in het nieuwe abonnement. U kunt er een maken met behulp van Azure Portal, PowerShell of Azure CLI.

U kunt bestaande rollen controleren met behulp van Azure Portal, PowerShell, Azure CLI of REST API.

Een sleutelkluis verplaatsen naar een nieuw abonnement

1. Meld u aan bij het Azure-portaal.
2. Navigeer naar uw sleutelkluis
3. Selecteer op het tabblad Overzicht
4. Selecteer de knop Verplaatsen
5. Selecteer 'Verplaatsen naar een ander abonnement' in de vervolgkeuzelijst
6. Selecteer de resourcegroep waar u de sleutelkluis wilt verplaatsen
7. De waarschuwing met betrekking tot het verplaatsen van resources bevestigen
8. Selecteer OK

Aanvullende stappen wanneer het abonnement zich in een nieuwe tenant bevindt

Als u uw abonnement met de sleutelkluis naar een nieuwe tenant hebt verplaatst, moet u de tenant-id handmatig bijwerken en oude toegangsbeleidsregels en roltoewijzingen verwijderen. Hier volgen zelfstudies voor deze stappen in PowerShell en Azure CLI. Als u PowerShell gebruikt, moet u mogelijk de opdracht Clear-AzContext uitvoeren om resources buiten het huidige geselecteerde bereik weer te geven.

Tenant-id bijwerken in een sleutelkluis

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Toegangsbeleid en roltoewijzingen bijwerken

Notitie

Als Key Vault gebruikmaakt van het Azure RBAC-machtigingsmodel . U moet ook sleutelkluisroltoewijzingen verwijderen. U kunt roltoewijzingen verwijderen met behulp van Azure Portal, Azure CLI of PowerShell.

Nu uw kluis is gekoppeld aan de juiste tenant-id en oude toegangsbeleidsvermeldingen of roltoewijzingen worden verwijderd, stelt u nieuwe vermeldingen of roltoewijzingen voor toegangsbeleid in.

Zie voor het toewijzen van beleidsregels:

• Een toegangsbeleid toewijzen met behulp van de portal
• Een toegangsbeleid toewijzen met behulp van Azure CLI
• Een toegangsbeleid toewijzen met behulp van PowerShell

Zie voor het toevoegen van roltoewijzingen:

• Azure-rollen toewijzen met behulp van het Azure Portal
• Azure-rollen toewijzen met behulp van Azure CLI
• Azure-rollen toewijzen met behulp van PowerShell

Beheerde identiteiten bijwerken

Als u het hele abonnement overdraagt en een beheerde identiteit voor Azure-resources gebruikt, moet u het ook bijwerken naar de nieuwe Microsoft Entra-tenant. Overzicht van beheerde identiteiten voor meer informatie over beheerde identiteiten.

Als u beheerde identiteit gebruikt, moet u ook de identiteit bijwerken omdat de oude identiteit niet meer in de juiste Microsoft Entra-tenant staat. Raadpleeg de volgende documenten om dit probleem op te lossen.

• MSI bijwerken
• Abonnement overdragen naar nieuwe map

Volgende stappen

• Meer informatie over sleutels, geheimen en certificaten
• Zie Key Vault-logboekregistratie voor conceptuele informatie, waaronder het interpreteren van Key Vault-logboeken
• Gids voor Key Vault-ontwikkelaars
• Azure Key Vault-beveiligingsfuncties
• Azure Key Vault-firewalls en virtuele netwerken configureren