Azure Key Vault'u başka bir aboneliğe taşıma

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Genel bakış

Önemli

Anahtar kasasını başka bir aboneliğe taşımak, ortamınızda hataya neden olan bir değişikliğe yol açar. Bu değişikliğin etkisini anladığınızdan emin olun ve anahtar kasasını yeni bir aboneliğe taşımaya karar vermeden önce bu makaledeki rehberi dikkatle izleyin. Yönetilen Hizmet Kimlikleri (MSI) kullanıyorsanız lütfen belgenin sonundaki taşıma sonrası yönergeleri okuyun.

Azure Key Vault , oluşturulduğu abonelik için varsayılan Microsoft Entra Id kiracı kimliğine otomatik olarak bağlanır. Bu kılavuzu izleyerek aboneliğinizle ilişkili kiracı kimliğini bulabilirsiniz. Tüm erişim ilkesi girişleri ve rol atamaları da bu kiracı kimliğine bağlıdır. Azure aboneliğinizi A kiracısından B kiracısına taşırsanız mevcut anahtar kasalarınız, B kiracısındaki hizmet sorumluları (kullanıcılar ve uygulamalar) tarafından erişilemez duruma gelir. Bu sorunu çözmek için şunları yapmanız gerekir:

Not

Key Vault, Azure Lighthouse aracılığıyla oluşturulduysa, bunun yerine kiracı kimliğini yönetmeye bağlıdır. Azure Lighthouse yalnızca kasa erişim ilkesi izin modeli tarafından desteklenir. Azure Lighthouse'daki kiracılar hakkında daha fazla bilgi için bkz . Azure Lighthouse'da kiracılar, kullanıcılar ve roller.

• Abonelikteki tüm mevcut anahtar kasalarıyla ilişkili kiracı kimliğini B kiracısı olarak değiştirin.
• Mevcut tüm erişim ilkesi girdilerini kaldırın.
• B kiracısı ile ilişkilendirilmiş yeni erişim ilkesi girdileri ekleyin.

Azure Key Vault ve Microsoft Entra Id hakkında daha fazla bilgi için bkz.

• Azure Key Vault hakkında
• Microsoft Entra ID nedir?
• Kiracı kimliğini bulma

Sınırlamalar

Önemli

Disk şifrelemesi için kullanılan Anahtar Kasaları taşınamıyor Bir VM için disk şifrelemesi ile anahtar kasası kullanıyorsanız, disk şifrelemesi etkinken anahtar kasası farklı bir kaynak grubuna veya aboneliğe taşınamaz. Anahtar kasasını yeni bir kaynak grubuna veya aboneliğe taşımadan önce disk şifrelemesini devre dışı bırakmanız gerekir.

Bazı hizmet sorumluları (kullanıcılar ve uygulamalar) belirli bir kiracıya bağlıdır. Anahtar kasanızı başka bir kiracıdaki bir aboneliğe taşırsanız, belirli bir hizmet sorumlusuna erişimi geri yükleyememe olasılığınız vardır. Anahtar kasanızı taşıdığınız kiracıda tüm temel hizmet sorumlularının mevcut olduğundan emin olun.

Önkoşullar

• Anahtar kasanızın bulunduğu geçerli aboneliğe katkıda bulunan düzeyinde erişim veya daha yüksek. Azure portalını, Azure CLI'yı veya PowerShell'i kullanarak rol atayabilirsiniz.
• Anahtar kasanızı taşımak istediğiniz aboneliğe katkıda bulunan düzeyinde erişim veya daha yüksek. Azure portalını, Azure CLI'yı veya PowerShell'i kullanarak rol atayabilirsiniz.
• Yeni abonelikteki bir kaynak grubu. Azure portalını, PowerShell'i veya Azure CLI'yı kullanarak oluşturabilirsiniz.

Azure portalı, PowerShell, Azure CLI veya REST API'yi kullanarak mevcut rolleri de kontrol edebilirsiniz.

Anahtar kasasını yeni aboneliğe taşıma

1. Azure Portal’ında oturum açın.
2. Anahtar kasanıza gidin
3. "Genel Bakış" sekmesinden seçin
4. "Taşı" düğmesini seçin
5. Açılan seçeneklerden "Başka bir aboneliğe taşı" seçeneğini belirleyin
6. Anahtar kasanızı taşımak istediğiniz kaynak grubunu seçin
7. Kaynakları taşımayla ilgili uyarıyı kabul edin
8. "Tamam"ı seçin

Abonelik yeni bir kiracıda olduğunda ek adımlar

Anahtar kasasını içeren aboneliğinizi yeni bir kiracıya taşıdıysanız kiracı kimliğini el ile güncelleştirmeniz ve eski erişim ilkelerini ve rol atamalarını kaldırmanız gerekir. PowerShell ve Azure CLI'daki bu adımlara yönelik öğreticiler aşağıdadır. PowerShell kullanıyorsanız, geçerli seçtiğiniz kapsamın dışındaki kaynakları görmenize olanak sağlamak için Clear-AzContext komutunu çalıştırmanız gerekebilir.

Anahtar kasasında kiracı kimliğini güncelleştirme

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Erişim ilkelerini ve rol atamalarını güncelleştirme

Not

Key Vault Azure RBAC izin modelini kullanıyorsa. Anahtar kasası rol atamalarını da kaldırmanız gerekir. Rol atamalarını Azure portalı, Azure CLI veya PowerShell kullanarak kaldırabilirsiniz.

Kasanız doğru kiracı kimliğiyle ilişkilendirildiğinden ve eski erişim ilkesi girdileri veya rol atamaları kaldırıldığına göre, yeni erişim ilkesi girdilerini veya rol atamalarını ayarlayın.

İlke atamak için bkz:

• Portalı kullanarak erişim ilkesi atama
• Azure CLI kullanarak erişim ilkesi atama
• PowerShell kullanarak erişim ilkesi atama

Rol atamaları eklemek için bkz:

• Azure portalı kullanarak Azure rolleri atama
• Azure CLI kullanarak Azure rolleri atama
• PowerShell kullanarak Azure rolleri atama

Yönetilen kimlikleri güncelleştirme

Aboneliğin tamamını aktarıyorsanız ve Azure kaynakları için yönetilen kimlik kullanıyorsanız, aboneliği yeni Microsoft Entra kiracısına da güncelleştirmeniz gerekir. Yönetilen kimlikler hakkında daha fazla bilgi için Yönetilen kimliğe genel bakış.

Yönetilen kimlik kullanıyorsanız, eski kimlik artık doğru Microsoft Entra kiracısında olmayacağından kimliği de güncelleştirmeniz gerekir. Bu sorunu çözmeye yardımcı olması için aşağıdaki belgelere bakın.

• MSI güncelleştiriliyor
• Aboneliği Yeni Dizine Aktarma

Sonraki adımlar

• Anahtarlar, gizli diziler ve sertifikalar hakkında daha fazla bilgi edinin
• Key Vault günlüklerini yorumlama da dahil olmak üzere kavramsal bilgiler için bkz . Key Vault günlüğü
• Key Vault Geliştirici Kılavuzu
• Azure Key Vault güvenlik özellikleri
• Azure Key Vault güvenlik duvarlarını ve sanal ağları yapılandırma