Mover um Azure Key Vault para outra subscrição

Nota

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Descrição geral

Importante

Mover um cofre de chaves para outra subscrição causará uma alteração interruptiva no seu ambiente. Confirme que compreende o impacto desta alteração e siga cuidadosamente as orientações neste artigo antes de decidir mover o cofre de chaves para uma nova subscrição. Se você estiver usando Identidades de Serviço Gerenciado (MSI), leia as instruções pós-movimentação no final do documento.

O Azure Key Vault é automaticamente vinculado à ID de locatário padrão do Microsoft Entra ID para a assinatura na qual ele é criado. Pode encontrar o ID do inquilino associado à sua subscrição seguindo este guia. Todas as entradas de política de acesso e atribuições de funções também estão vinculadas a essa ID de locatário. Se mover a sua subscrição do Azure do inquilino A para o inquilino B, os seus cofres de chaves existentes ficarão inacessíveis pelos principais de serviço (utilizadores e aplicações) no inquilino B. Para corrigir este problema, tem de:

Nota

Se o Cofre da Chave for criado por meio do Azure Lighthouse, ele estará vinculado ao gerenciamento da ID do locatário. O Azure Lighthouse só é suportado pelo modelo de permissão de política de acesso ao cofre. Para obter mais informações sobre locatários no Azure Lighthouse, consulte Locatários, usuários e funções no Azure Lighthouse.

• Altere o ID do locatário associado a todos os cofres de chaves existentes na assinatura do locatário B.
• Remover todas as entradas de política de acesso existentes.
• Adicionar novas entradas de política de acesso associadas ao inquilino B.

Para obter mais informações sobre o Azure Key Vault e o Microsoft Entra ID, consulte

• Sobre o Azure Key Vault
• O que é o Microsoft Entra ID
• Como encontrar o ID do inquilino

Limitações

Importante

Cofres de chaves usados para criptografia de disco não podem ser movidos Se você estiver usando o cofre de chaves com criptografia de disco para uma VM, o cofre de chaves não poderá ser movido para um grupo de recursos diferente ou uma assinatura enquanto a criptografia de disco estiver habilitada. Você deve desabilitar a criptografia de disco antes de mover o cofre de chaves para um novo grupo de recursos ou assinatura.

Algumas entidades de serviço (usuários e aplicativos) estão vinculadas a um locatário específico. Se você mover seu cofre de chaves para uma assinatura em outro locatário, há uma chance de não conseguir restaurar o acesso a uma entidade de serviço específica. Verifique se todas as entidades de serviço essenciais existem no locatário para onde você está movendo o cofre de chaves.

Pré-requisitos

• Acesso de nível de colaborador ou superior à subscrição atual onde existe o cofre de chaves. Você pode atribuir função usando o portal do Azure, a CLI do Azure ou o PowerShell.
• Acesso ao nível de colaborador ou superior à subscrição para a qual pretende mover o cofre de chaves. Você pode atribuir função usando o portal do Azure, a CLI do Azure ou o PowerShell.
• Um grupo de recursos na nova assinatura. Você pode criar um usando o portal do Azure, o PowerShell ou a CLI do Azure.

Você pode verificar as funções existentes usando o portal do Azure, PowerShell, CLI do Azure ou API REST.

Mover um cofre de chaves para uma nova subscrição

1. Inicie sessão no portal do Azure.
2. Navegue até o cofre das chaves
3. Selecione na guia "Visão geral"
4. Selecione o botão "Mover"
5. Selecione "Mover para outra assinatura" nas opções suspensas
6. Selecione o grupo de recursos para onde pretende mover o cofre de chaves
7. Reconheça o aviso sobre a movimentação de recursos
8. Selecione "OK".

Etapas adicionais quando a assinatura está em um novo locatário

Se você moveu sua assinatura que contém o cofre de chaves para um novo locatário, precisará atualizar manualmente a ID do locatário e remover políticas de acesso e atribuições de função antigas. Aqui estão tutoriais para essas etapas no PowerShell e na CLI do Azure. Se você estiver usando o PowerShell, talvez seja necessário executar o comando Clear-AzContext para permitir que você veja recursos fora do escopo selecionado atual.

Atualizar o ID do locatário em um cofre de chaves

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Atualizar políticas de acesso e atribuições de função

Nota

Se o Cofre da Chave estiver usando o modelo de permissão do RBAC do Azure. Você também precisa remover as atribuições de função de cofre de chave. Você pode remover atribuições de função usando o portal do Azure, a CLI do Azure ou o PowerShell.

Agora que seu cofre está associado à ID de locatário correta e que as antigas entradas de política de acesso ou atribuições de função foram removidas, defina novas entradas de política de acesso ou atribuições de função.

Para atribuir políticas, consulte:

• Atribuir uma política de acesso usando o Portal
• Atribuir uma política de acesso usando a CLI do Azure
• Atribuir uma política de acesso usando o PowerShell

Para adicionar atribuições de função, consulte:

• Atribuir funções do Azure com o portal do Azure
• Atribuir funções do Azure usando a CLI do Azure
• Atribuir funções do Azure usando o PowerShell

Atualizar identidades gerenciadas

Se você estiver transferindo uma assinatura inteira e usando uma identidade gerenciada para recursos do Azure, também precisará atualizá-la para o novo locatário do Microsoft Entra. Para obter mais informações sobre identidades gerenciadas, Visão geral da identidade gerenciada.

Se você estiver usando a identidade gerenciada, também terá que atualizar a identidade porque a identidade antiga não estará mais no locatário correto do Microsoft Entra. Consulte os seguintes documentos para ajudar a resolver este problema.

• Atualizando o MSI
• Transferir Subscrição para Novo Diretório

Próximos passos

• Saiba mais sobre chaves, segredos e certificados
• Para obter informações conceituais, incluindo como interpretar logs do Cofre da Chave, consulte Log do Cofre da Chave
• Guia do Programador do Key Vault
• Recursos de segurança do Azure Key Vault
• Configurar firewalls e redes virtuais do Azure Key Vault