Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Zalecamy użycie modułu Azure Az PowerShell do interakcji z Azure. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Przegląd
Ważne
Przeniesienie magazynu kluczy do innej subskrypcji wiąże się ze zmianą powodującą niezgodność w Twoim środowisku. Upewnij się, że rozumiesz wpływ tej zmiany, i postępuj zgodnie ze wskazówkami zawartymi w tym artykule, zanim podejmiesz decyzję o przeniesieniu magazynu kluczy do nowej subskrypcji. Jeśli używasz tożsamości usługi zarządzanej (MSI), przeczytaj instrukcje po przeniesieniu na końcu dokumentu.
Usługa Azure Key Vault jest automatycznie powiązana z domyślnym identyfikatorem dzierżawy Microsoft Entra ID dla subskrypcji, w której została utworzona. Identyfikator dzierżawy skojarzony z subskrypcją można znaleźć, postępując zgodnie z tym przewodnikiem. Wszystkie wpisy zasad dostępu i przypisania ról są również powiązane z tym identyfikatorem najemcy. Jeśli przeniesiesz subskrypcję platformy Azure z dzierżawy A do dzierżawy B, istniejące magazyny kluczy będą niedostępne dla jednostek usługi (użytkowników i aplikacji) w dzierżawie B. Aby rozwiązać ten problem, należy wykonać następujące kroki:
Uwaga / Notatka
Jeśli usługa Key Vault jest tworzona za pośrednictwem usługi Azure Lighthouse, jest ona powiązana z zarządzaniem identyfikatorem dzierżawy. Usługa Azure Lighthouse obsługuje tylko model uprawnień polityki dostępu do magazynu. Aby uzyskać więcej informacji na temat dzierżaw w usłudze Azure Lighthouse, zobacz Dzierżawy, użytkownicy i role w usłudze Azure Lighthouse.
- Zmień identyfikator najemcy skojarzony ze wszystkimi istniejącymi magazynami kluczy w subskrypcji na najemcę B.
- usunąć wszystkie istniejące wpisy zasad dostępu,
- Dodaj nowe wpisy do zasad dostępu skojarzonych z dzierżawą B.
Aby uzyskać więcej informacji na temat usługi Azure Key Vault i identyfikatora entra firmy Microsoft, zobacz:
- Informacje o usłudze Azure Key Vault
- Co to jest Microsoft Entra ID
- Jak znaleźć identyfikator dzierżawy
Ograniczenia
Ważne
Nie można przenieść magazynów kluczy używanych do szyfrowania dysków Jeśli używasz magazynu kluczy z szyfrowaniem dysków dla maszyny wirtualnej, nie można przenieść magazynu kluczy do innej grupy zasobów lub subskrypcji podczas włączania szyfrowania dysku. Przed przeniesieniem magazynu kluczy do nowej grupy zasobów lub subskrypcji należy wyłączyć szyfrowanie dysków.
Niektóre główne elementy usługi (użytkownicy i aplikacje) są powiązane z określoną dzierżawą. Jeśli przeniesiesz magazyn kluczy do subskrypcji w innej dzierżawie, istnieje prawdopodobieństwo, że nie będzie można przywrócić dostępu do określonej jednostki usługi. Upewnij się, że wszystkie podstawowe zasady usługi istnieją w dzierżawie, w której przenosisz magazyn kluczy.
Wymagania wstępne
- Dostęp na poziomie współautora lub wyższy do bieżącej subskrypcji, w której znajduje się magazyn kluczy. Rolę można przypisać przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu PowerShell.
- Dostęp na poziomie współautora lub wyższy do subskrypcji, w której chcesz przenieść skarbiec kluczy. Rolę można przypisać przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu PowerShell.
- Grupa zasobów w nowej subskrypcji. Można go utworzyć przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.
Istniejące role można sprawdzić przy użyciu witryny Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.
Przenoszenie magazynu kluczy do nowej subskrypcji
- Zaloguj się do witryny Azure Portal.
- Przejdź do magazynu kluczy
- Wybierz kartę "Przegląd"
- Wybierz przycisk "Przenieś"
- Wybierz opcję "Przenieś do innej subskrypcji" z listy rozwijanej
- Wybierz grupę zasobów, w której chcesz przenieść swój magazyn kluczy
- Potwierdzanie ostrzeżenia dotyczącego przenoszenia zasobów
- Wybierz pozycję "OK"
Dodatkowe kroki, gdy subskrypcja znajduje się w nowej dzierżawie
Jeśli przeniosłeś subskrypcję zawierającą magazyn kluczy do nowej dzierżawy, musisz ręcznie zaktualizować identyfikator dzierżawy oraz usunąć stare zasady dostępu i przypisania ról. Poniżej przedstawiono samouczki dotyczące tych kroków w programie PowerShell i interfejsie wiersza polecenia platformy Azure. Jeśli używasz programu PowerShell, może być konieczne uruchomienie polecenia Clear-AzContext, aby umożliwić wyświetlanie zasobów poza bieżącym wybranym zakresem.
Zaktualizuj identyfikator dzierżawy w magazynie kluczy
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
Aktualizowanie zasad dostępu i przypisań ról
Uwaga / Notatka
Jeśli usługa Key Vault korzysta z modelu uprawnień RBAC platformy Azure, należy również usunąć przypisania ról usługi Key Vault. Przypisania ról można usunąć przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu PowerShell.
Teraz, gdy sejf jest skojarzony z prawidłowym identyfikatorem dzierżawy i stare wpisy zasad dostępu lub przypisania ról zostały usunięte, ustaw nowe wpisy zasad dostępu lub przypisania ról.
Aby uzyskać informacje na temat przypisywania zasad, zobacz:
- Przypisywanie zasad dostępu przy użyciu portalu
- Przypisywanie zasad dostępu przy użyciu interfejsu wiersza polecenia platformy Azure
- Przypisywanie zasad dostępu przy użyciu programu PowerShell
Aby dodać przypisania ról, zobacz:
- Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal
- Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure
- Przypisywanie ról platformy Azure przy użyciu programu PowerShell
Aktualizowanie tożsamości zarządzanych
Jeśli przenosisz całą subskrypcję i używasz tożsamości zarządzanej dla zasobów platformy Azure, musisz również zaktualizować ją do nowej dzierżawy usługi Microsoft Entra. Aby uzyskać więcej informacji na temat tożsamości zarządzanych, Przegląd tożsamości zarządzanej.
Jeśli używasz tożsamości zarządzanej, musisz ją również zaktualizować, ponieważ stara wersja nie będzie już znajdować się w odpowiedniej dzierżawie usługi Microsoft Entra. Zapoznaj się z następującymi dokumentami, aby rozwiązać ten problem.
Dalsze kroki
- Dowiedz się więcej o kluczach, wpisach tajnych i certyfikatach
- Aby uzyskać informacje koncepcyjne, w tym sposób interpretowania dzienników usługi Key Vault, zobacz Rejestrowanie usługi Key Vault
- Przewodnik dewelopera usługi Key Vault
- Funkcje zabezpieczeń usługi Azure Key Vault
- Konfigurowanie zapór i sieci wirtualnych usługi Azure Key Vault