Flytta en Azure Key Vault-instans till en annan prenumeration

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Översikt

Viktigt!

Om du flyttar ett nyckelvalv till en annan prenumeration sker en icke-bakåtkompatibel ändring i din miljö. Du bör känna till effekten av ändringen och följa anvisningarna i artikeln noggrant innan du bestämmer dig för att flytta nyckelvalvet till en ny prenumeration. Om du använder hanterade tjänstidentiteter (MSI) läser du anvisningarna efter flytten i slutet av dokumentet.

Azure Key Vault är automatiskt kopplat till standardklient-ID :t för Microsoft Entra-ID :t för den prenumeration där det skapas. Du hittar klientorganisations-ID som är associerat med din prenumeration genom att följa den här guiden. Alla åtkomstprincipposter och rolltilldelningar är också kopplade till det här klientorganisations-ID:t. Om du flyttar din Azure-prenumeration från klientorganisation A till klientorganisation B, är dina befintliga nyckelvalv inte tillgängliga för tjänstens huvudnamn (användare och program) i klientorganisation B. Om du vill åtgärda problemet måste du:

Kommentar

Om Key Vault skapas via Azure Lighthouse är det kopplat till att hantera klient-ID i stället. Azure Lighthouse stöds endast av behörighetsmodellen för valvåtkomstprinciper. Mer information om klientorganisationer i Azure Lighthouse finns i Klientorganisationer, användare och roller i Azure Lighthouse.

• Ändra klientorganisations-ID:t som är associerat med alla befintliga nyckelvalv i prenumerationen till klient B.
• Ta bort alla åtkomstprincipposter.
• Lägga till nya åtkomstprincipposter som är associerade med klientorganisation B.

Mer information om Azure Key Vault och Microsoft Entra-ID finns i

• Om Azure Key Vault
• Vad är Microsoft Entra ID
• Så här hittar du klientorganisations-ID

Begränsningar

Viktigt!

Nyckelvalv som används för diskkryptering kan inte flyttas Om du använder nyckelvalv med diskkryptering för en virtuell dator kan nyckelvalvet inte flyttas till en annan resursgrupp eller prenumeration när diskkryptering är aktiverat. Du måste inaktivera diskkryptering innan du flyttar nyckelvalvet till en ny resursgrupp eller prenumeration.

Vissa tjänsthuvudnamn (användare och program) är bundna till en specifik klientorganisation. Om du flyttar ditt nyckelvalv till en prenumeration i en annan klientorganisation finns det en chans att du inte kan återställa åtkomsten till ett specifikt huvudnamn för tjänsten. Kontrollera att alla viktiga tjänsthuvudnamn finns i klientorganisationen där du flyttar ditt nyckelvalv.

Förutsättningar

• Åtkomst på deltagarnivå eller högre till den aktuella prenumerationen där ditt nyckelvalv finns. Du kan tilldela rollen med hjälp av Azure-portalen, Azure CLI eller PowerShell.
• Åtkomst på deltagarnivå eller högre till prenumerationen där du vill flytta ditt nyckelvalv. Du kan tilldela rollen med hjälp av Azure-portalen, Azure CLI eller PowerShell.
• En resursgrupp i den nya prenumerationen. Du kan skapa en med hjälp av Azure-portalen, PowerShell eller Azure CLI.

Du kan kontrollera befintliga roller med hjälp av Azure-portalen, PowerShell, Azure CLI eller REST API.

Flytta ett nyckelvalv till en ny prenumeration

1. Logga in på Azure-portalen.
2. Gå till ditt nyckelvalv
3. Välj på fliken Översikt
4. Välj knappen Flytta
5. Välj "Flytta till en annan prenumeration" i listrutan
6. Välj den resursgrupp där du vill flytta ditt nyckelvalv
7. Bekräfta varningen om att flytta resurser
8. Välj OK

Ytterligare steg när prenumerationen finns i en ny klientorganisation

Om du har flyttat din prenumeration som innehåller nyckelvalvet till en ny klient måste du uppdatera klientorganisations-ID:t manuellt och ta bort gamla åtkomstprinciper och rolltilldelningar. Här följer självstudier för de här stegen i PowerShell och Azure CLI. Om du använder PowerShell kan du behöva köra kommandot Clear-AzContext så att du kan se resurser utanför det aktuella valda omfånget.

Uppdatera klientorganisations-ID i ett nyckelvalv

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Uppdatera åtkomstprinciper och rolltilldelningar

Kommentar

Om Key Vault använder Azure RBAC-behörighetsmodellen . Du måste också ta bort rolltilldelningar för nyckelvalv. Du kan ta bort rolltilldelningar med hjälp av Azure-portalen, Azure CLI eller PowerShell.

Nu när valvet är associerat med rätt klient-ID och gamla åtkomstprincipposter eller rolltilldelningar har tagits bort anger du nya åtkomstprincipposter eller rolltilldelningar.

Information om hur du tilldelar principer finns i:

• Tilldela en åtkomstprincip med hjälp av portalen
• Tilldela en åtkomstprincip med Hjälp av Azure CLI
• Tilldela en åtkomstprincip med PowerShell

Information om hur du lägger till rolltilldelningar finns i:

• Tilldela Azure-roller med hjälp av Azure-portalen
• Tilldela Azure-roller med Hjälp av Azure CLI
• Tilldela Azure-roller med PowerShell

Uppdatera hanterade identiteter

Om du överför hela prenumerationen och använder en hanterad identitet för Azure-resurser måste du även uppdatera den till den nya Microsoft Entra-klientorganisationen. Mer information om hanterade identiteter finns i Översikt över hanterad identitet.

Om du använder hanterad identitet måste du också uppdatera identiteten eftersom den gamla identiteten inte längre finns i rätt Microsoft Entra-klientorganisation. Se följande dokument för att lösa problemet.

• Uppdatera MSI
• Överföra prenumeration till ny katalog

Nästa steg

• Läs mer om nycklar, hemligheter och certifikat
• Konceptuell information, inklusive hur du tolkar Key Vault-loggar, finns i Key Vault-loggning
• Utvecklarguide för Key Vault
• Säkerhetsfunktioner i Azure Key Vault
• Konfigurera Azure Key Vault-brandväggar och virtuella nätverk