Przenoszenie magazynu kluczy platformy Azure do innej subskrypcji
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Omówienie
Ważne
Przeniesienie magazynu kluczy do innej subskrypcji wiąże się ze zmianą powodującą niezgodność w Twoim środowisku. Przed podjęciem decyzji o przeniesieniu magazynu kluczy do nowej subskrypcji upewnij się, że rozumiesz wpływ tej zmiany, i postępuj zgodnie ze wskazówkami zawartymi w tym artykule. Jeśli używasz tożsamości usługi zarządzanej (MSI), przeczytaj instrukcje po przeniesieniu na końcu dokumentu.
Usługa Azure Key Vault jest automatycznie powiązana z domyślnym identyfikatorem dzierżawy microsoft Entra ID dla subskrypcji, w której została utworzona. Identyfikator dzierżawy skojarzony z subskrypcją można znaleźć, postępując zgodnie z tym przewodnikiem. Wszystkie wpisy zasad dostępu i przypisania ról są również powiązane z tym identyfikatorem dzierżawy. Po przeniesieniu subskrypcji platformy Azure z dzierżawy A do dzierżawy B istniejące magazyny kluczy będą niedostępne dla jednostek usługi (użytkowników i aplikacji) w dzierżawie B. Aby rozwiązać ten problem, wykonaj następujące czynności:
Uwaga
Jeśli usługa Key Vault jest tworzona za pośrednictwem usługi Azure Lighthouse, jest ona powiązana z identyfikatorem dzierżawy zarządzania. Usługa Azure Lighthouse jest obsługiwana tylko przez model uprawnień zasad dostępu do magazynu. Aby uzyskać więcej informacji na temat dzierżaw w usłudze Azure Lighthouse, zobacz Dzierżawy, użytkownicy i role w usłudze Azure Lighthouse.
- Zmień identyfikator dzierżawy skojarzony ze wszystkimi istniejącymi magazynami kluczy w subskrypcji na dzierżawę B.
- usunąć wszystkie istniejące wpisy zasad dostępu,
- Dodawanie nowych wpisów w zasadach dostępu skojarzonych z dzierżawą B.
Aby uzyskać więcej informacji na temat usługi Azure Key Vault i identyfikatora entra firmy Microsoft, zobacz
- Informacje o usłudze Azure Key Vault
- Co to jest Microsoft Entra ID
- Jak znaleźć identyfikator dzierżawy
Ograniczenia
Ważne
Nie można przenieść magazynów kluczy używanych do szyfrowania dysków, jeśli używasz magazynu kluczy z szyfrowaniem dysków dla maszyny wirtualnej, nie można przenieść magazynu kluczy do innej grupy zasobów lub subskrypcji podczas włączania szyfrowania dysków. Przed przeniesieniem magazynu kluczy do nowej grupy zasobów lub subskrypcji należy wyłączyć szyfrowanie dysków.
Niektóre jednostki usługi (użytkownicy i aplikacje) są powiązane z określoną dzierżawą. Jeśli przeniesiesz magazyn kluczy do subskrypcji w innej dzierżawie, istnieje prawdopodobieństwo, że nie będzie można przywrócić dostępu do określonej jednostki usługi. Upewnij się, że wszystkie podstawowe jednostki usługi istnieją w dzierżawie, w której przenosisz magazyn kluczy.
Wymagania wstępne
- Dostęp na poziomie współautora lub wyższy do bieżącej subskrypcji, w której istnieje magazyn kluczy. Rolę można przypisać przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu PowerShell.
- Dostęp na poziomie współautora lub wyższy do subskrypcji, w której chcesz przenieść magazyn kluczy. Rolę można przypisać przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu PowerShell.
- Grupa zasobów w nowej subskrypcji. Można go utworzyć przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.
Istniejące role można sprawdzić przy użyciu witryny Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.
Przenoszenie magazynu kluczy do nowej subskrypcji
- Zaloguj się w witrynie Azure Portal.
- Przejdź do magazynu kluczy
- Wybierz kartę "Przegląd"
- Wybierz przycisk "Przenieś"
- Wybierz pozycję "Przenieś do innej subskrypcji" z opcji listy rozwijanej
- Wybierz grupę zasobów, w której chcesz przenieść magazyn kluczy
- Potwierdzanie ostrzeżenia dotyczącego przenoszenia zasobów
- Wybierz pozycję „OK”
Dodatkowe kroki, gdy subskrypcja znajduje się w nowej dzierżawie
Jeśli subskrypcja została przeniesiona z magazynem kluczy do nowej dzierżawy, musisz ręcznie zaktualizować identyfikator dzierżawy i usunąć stare zasady dostępu i przypisania ról. Poniżej przedstawiono samouczki dotyczące tych kroków w programie PowerShell i interfejsie wiersza polecenia platformy Azure. Jeśli używasz programu PowerShell, może być konieczne uruchomienie polecenia Clear-AzContext, aby umożliwić wyświetlanie zasobów poza bieżącym wybranym zakresem.
Aktualizowanie identyfikatora dzierżawy w magazynie kluczy
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
Aktualizowanie zasad dostępu i przypisań ról
Uwaga
Jeśli usługa Key Vault korzysta z modelu uprawnień RBAC platformy Azure. Należy również usunąć przypisania ról magazynu kluczy. Przypisania ról można usunąć przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu PowerShell.
Teraz, gdy magazyn jest skojarzony z prawidłowym identyfikatorem dzierżawy, a stare wpisy zasad dostępu lub przypisania ról zostaną usunięte, ustaw nowe wpisy zasad dostępu lub przypisania ról.
Aby uzyskać informacje na temat przypisywania zasad, zobacz:
- Przypisywanie zasad dostępu przy użyciu portalu
- Przypisywanie zasad dostępu przy użyciu interfejsu wiersza polecenia platformy Azure
- Przypisywanie zasad dostępu przy użyciu programu PowerShell
Aby dodać przypisania ról, zobacz:
- Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal
- Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure
- Przypisywanie ról platformy Azure przy użyciu programu PowerShell
Aktualizowanie tożsamości zarządzanych
Jeśli przenosisz całą subskrypcję i używasz tożsamości zarządzanej dla zasobów platformy Azure, musisz również zaktualizować ją do nowej dzierżawy usługi Microsoft Entra. Aby uzyskać więcej informacji na temat tożsamości zarządzanych, omówienie tożsamości zarządzanej.
Jeśli używasz tożsamości zarządzanej, musisz również zaktualizować tożsamość, ponieważ stara tożsamość nie będzie już znajdować się w prawidłowej dzierżawie usługi Microsoft Entra. Zapoznaj się z następującymi dokumentami, aby rozwiązać ten problem.
Następne kroki
- Dowiedz się więcej o kluczach, wpisach tajnych i certyfikatach
- Aby uzyskać informacje koncepcyjne, w tym sposób interpretowania dzienników usługi Key Vault, zobacz Rejestrowanie usługi Key Vault
- Przewodnik dewelopera usługi Key Vault
- Funkcje zabezpieczeń usługi Azure Key Vault
- Konfigurowanie zapór i sieci wirtualnych usługi Azure Key Vault