Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour bien démarrer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Aperçu
Important
Le déplacement d’un coffre de clés vers un autre abonnement entraîne un changement cassant de votre environnement. Assurez-vous de bien comprendre les implications de ce changement et suivez attentivement les recommandations de cet article avant de décider de transférer le Key Vault vers un nouvel abonnement. Si vous utilisez Managed Service Identitys (MSI), lisez les instructions post-déplacement à la fin du document.
Azure Key Vault est automatiquement lié à l’ID de locataire Microsoft Entra ID par défaut pour l’abonnement dans lequel il est créé. Vous trouverez l’ID de locataire associé à votre abonnement en suivant ce guide. Toutes les entrées de stratégie d’accès et les attributions de rôles sont également liées à cet ID de locataire. Si vous déplacez votre abonnement Azure du locataire A au locataire B, vos coffres de clés existants sont inaccessibles par les principaux de service (utilisateurs et applications) dans le locataire B. Pour résoudre ce problème, vous devez :
Remarque
Si Key Vault est créé par l’intermédiaire d’Azure Lighthouse, il est lié à la gestion de l’ID de locataire à la place. Azure Lighthouse prend uniquement en charge le modèle d’autorisation de stratégie d’accès de coffre. Pour plus d’informations sur les locataires dans Azure Lighthouse, consultez Locataires, utilisateurs et rôles dans Azure Lighthouse.
- remplacer l’ID de locataire associé à tous les coffres de clés existants dans l’abonnement par le locataire B.
- supprimer toutes les entrées de stratégie d’accès existantes ;
- ajouter de nouvelles entrées de stratégie d’accès associées au locataire B.
Pour plus d’informations sur Azure Key Vault et Microsoft Entra ID, consultez :
Limites
Important
Les coffres de clés utilisés pour le chiffrement de disque ne peuvent pas être déplacés Si vous utilisez un coffre de clés avec chiffrement de disque pour une machine virtuelle, le coffre de clés ne peut pas être déplacé vers un autre groupe de ressources ou un abonnement pendant que le chiffrement de disque est activé. Vous devez désactiver le chiffrement de disque avant de déplacer le coffre de clés vers un nouveau groupe de ressources ou un nouvel abonnement.
Certains principaux du service (utilisateurs et applications) sont liés à un locataire spécifique. Si vous déplacez votre coffre de clés vers un abonnement dans un autre locataire, vous risquez de ne pas pouvoir restaurer l’accès à un principal du service spécifique. Vérifiez que tous les principaux du service essentiels existent dans le locataire vers lequel vous déplacez votre coffre de clés.
Conditions préalables
- Accès de niveau Contributeur ou supérieur à l’abonnement actuel dans lequel se trouve votre coffre de clés. Vous pouvez attribuer un rôle à l’aide du portail Azure, d’Azure CLI ou de PowerShell.
- Niveau d’accès Contributeur ou supérieur sur l’abonnement où vous voulez déplacer votre coffre de clés. Vous pouvez attribuer un rôle à l’aide du portail Azure, d’Azure CLI ou de PowerShell.
- Groupe de ressources dans le nouvel abonnement. Vous pouvez en créer un à l’aide du portail Azure, de PowerShell ou d’Azure CLI.
Vous pouvez vérifier les rôles existants à l’aide du portail Azure, de PowerShell, d’Azure CLI ou de l’API REST.
Déplacement d’un coffre de clés vers un nouvel abonnement
- Connectez-vous au portail Azure.
- Accédez à votre coffre de clés
- Sélectionnez l’onglet « Vue d’ensemble »
- Sélectionnez le bouton « Déplacer »
- Sélectionnez « Déplacer vers un autre abonnement » dans les options de liste déroulante
- Sélectionnez le groupe de ressources vers lequel vous souhaitez transférer votre coffre de clés.
- Accusez réception de l’avertissement concernant le déplacement des ressources
- Sélectionnez « OK »
Étapes supplémentaires lorsque l’abonnement est dans un nouveau locataire
Si vous avez déplacé votre abonnement contenant le coffre de clés vers un nouveau locataire, vous devez mettre à jour manuellement l’ID de locataire et supprimer les anciennes stratégies d’accès et les attributions de rôles. Voici des tutoriels pour ces étapes dans PowerShell et Azure CLI. Si vous utilisez PowerShell, vous devrez peut-être exécuter la commande Clear-AzContext pour vous permettre de voir les ressources en dehors de votre étendue sélectionnée actuelle.
Mettre à jour l’ID de locataire dans un coffre de clés
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
Mettre à jour les stratégies d’accès et les attributions de rôles
Remarque
Si Key Vault utilise le modèle d’autorisation RBAC Azure, vous devez également supprimer les attributions de rôles de Key Vault. Vous pouvez supprimer des attributions de rôles à l’aide du portail Azure, d’Azure CLI ou de PowerShell.
Maintenant que votre coffre est associé à l'ID du locataire approprié et que les anciennes entrées de stratégie d’accès ou attributions de rôles sont supprimées, définissez de nouvelles entrées de stratégie d’accès ou nouvelles attributions de rôles.
Pour attribuer des stratégies, consultez :
- Attribuer une stratégie d’accès à l’aide du portail
- Attribuer une stratégie d’accès à l’aide d’Azure CLI
- Attribuer une stratégie d’accès à l’aide de PowerShell
Pour ajouter des attributions de rôles, consultez :
- Attribuer des rôles Azure à l’aide du portail Azure
- Attribuer des rôles Azure à l’aide d’Azure CLI
- Attribuer des rôles Azure à l’aide de PowerShell
Mettre à jour des identités managées
Si vous transférez l’intégralité de l’abonnement et que vous utilisez une identité managée pour les ressources Azure, vous devez également le mettre à jour vers le nouveau locataire Microsoft Entra. Pour plus d’informations sur les identités managées, vue d’ensemble de l’identité managée.
Si vous utilisez une identité managée, vous devez également mettre à jour l’identité, car l’ancienne identité ne se trouve plus dans le locataire Microsoft Entra correct. Consultez les documents suivants pour vous aider à résoudre ce problème.
Étapes suivantes
- En savoir plus sur les clés, les secrets et les certificats
- Pour plus d’informations conceptuelles, notamment sur l’interprétation des journaux d'événements Key Vault, consultez la journalisation de Key Vault.
- Guide du développeur Key Vault
- Fonctionnalités de sécurité pour Azure Key Vault
- Configurer les pare-feux et réseaux virtuels d’Azure Key Vault