Realocar o Azure Key Vault para outra região

Há vários motivos pelos quais você pode querer mover seus recursos existentes do Azure de uma região para outra. Você pode querer:

Aproveite uma nova região do Azure.
Implante recursos ou serviços disponíveis apenas em regiões específicas.
Atender aos requisitos internos de política e governança.
Alinhar-se com fusões e aquisições de empresas
Atenda aos requisitos de planejamento de capacidade.

O Azure Key Vault não oferece suporte à realocação do cofre de chaves para outra região.

Em vez de realocar, você precisa:

Crie um novo cofre de chaves com a realocação dos serviços do Azure associados.
Regenere todas as chaves, segredos ou certificados necessários. Em alguns casos, pode ser necessário transferir os segredos ou certificados do cofre de chaves existente para o cofre de chaves realocado.

Diagrama do padrão de realocação do Azure Key Vault.

Pré-requisitos

Verifique se sua assinatura do Azure permite que você crie cofres de chaves na região de destino.
Crie um mapa de dependência com todos os serviços do Azure usados pelo Cofre da Chave. Para os serviços que estão no escopo da recolocação, você deve escolher a estratégia de realocação apropriada.
Dependendo do design do Cofre da Chave, talvez seja necessário implantar e configurar a Rede Virtual na região de destino.
Documentar e planear a reconfiguração no Key Vault na região de destino.
- Políticas de acesso e definições de configuração de rede.
- Eliminação suave e proteção contra purga.
- Configurações de rotação automática.

Tempo de inatividade

Para compreender os períodos de inatividade possíveis envolvidos, consulte o Cloud Adoption Framework para Azure: Selecionar um método de realocação.

Consideração sobre os pontos terminais do serviço

Os pontos de extremidade do serviço de rede virtual para o Azure Key Vault restringem o acesso a uma rede virtual específica. Os terminais também podem restringir o acesso a uma lista de intervalos de endereços IPv4 (protocolo de internet versão 4). Qualquer usuário que se conecte ao Cofre da Chave de fora dessas fontes tem acesso negado. Se os pontos de extremidade de serviço foram configurados na região de origem para o recurso do Cofre de Chaves, seria necessário configurar os mesmos pontos de extremidade na região de destino.

Para uma recriação bem-sucedida do Cofre da Chave para a região de destino, a VNet e a Sub-rede devem ser criadas previamente. Caso a transferência desses dois recursos esteja a ser realizada com a ferramenta Azure Resource Mover, os pontos de extremidade de serviço não serão configurados automaticamente. Assim, precisam ser configurados manualmente, o que pode ser feito através do Azure portal, da Azure CLI ou do Azure PowerShell.

Consideração para o ponto final privado

O Azure Private Link oferece conectividade privada de uma rede virtual para o Azure plataforma como serviço (PaaS), serviços de clientes ou serviços de parceiros da Microsoft. O Private Link simplifica a arquitetura de rede e assegura a conexão entre endpoints no Azure, eliminando a exposição de dados à internet pública.

Para uma recriação bem-sucedida do Cofre da Chave na região de destino, a VNet e a Sub-rede devem ser criadas antes que a recriação real ocorra.

Consideração sobre a integração DNS do ponto de extremidade privado do Azure

É importante configurar corretamente as configurações de DNS para resolver o endereço IP do ponto de extremidade privado para o nome de domínio totalmente qualificado (FQDN) da cadeia de conexão.

Os serviços existentes do Microsoft Azure podem já ter uma configuração de DNS para um ponto de extremidade público. Essa configuração deve ser substituída para se conectar usando seu ponto de extremidade privado.

A interface de rede associada ao ponto de extremidade privado contém as informações para configurar seu DNS. As informações da interface de rede incluem FQDN e endereços IP privados para o seu recurso de link privado.

Pode utilizar as seguintes opções para configurar as definições de DNS para pontos finais privados:

Utilizar o ficheiro de anfitrião (apenas recomendado para testes) . Pode utilizar o ficheiro de anfitrião numa máquina virtual para substituir o DNS.
Utilize uma zona DNS privada. Pode usar zonas DNS privadas para substituir a resolução DNS de um ponto final privado. Uma zona DNS privado pode ser ligada à rede virtual para resolver domínios específicos.
Utilize o seu encaminhador DNS (opcional). Pode usar o seu encaminhador DNS para substituir a resolução DNS de um recurso de ligação privada. Crie uma regra de encaminhamento DNS para usar uma zona DNS privada no seu servidor DNS hospedado numa rede virtual.

Para exportar um modelo com o portal do Azure:

Inicie sessão no portal Azure.
Selecione Todos os recursos e, em seguida, selecione o cofre de chaves.
Selecione >Automação>Modelo de exportação.
Escolha Download na folha Exportar modelo .
Localize o arquivo .zip que você baixou do portal e descompacte esse arquivo para uma pasta de sua escolha.

Esse arquivo zip contém os arquivos .json que compõem o modelo e os scripts para implantar o modelo.

Para exportar um modelo usando o PowerShell:

Entre na sua assinatura do Azure com o comando Connect-AzAccount e siga as instruções na tela:
```
Connect-AzAccount
```
Se a sua identidade estiver associada a mais do que uma subscrição, defina a sua subscrição ativa para a subscrição associada ao cofre de chaves que pretende mover.
```
$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context
```

Exporte o modelo do seu cofre de chaves de origem. Esses comandos salvam um modelo json no diretório atual.

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <key-vault-name> `
  -ResourceType Microsoft.KeyVault/vaults `
Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

Tenha em mente os seguintes conceitos:

Os nomes dos cofres de chaves são globalmente exclusivos. Não é possível reutilizar um nome de cofre.
Você precisa reconfigurar suas políticas de acesso e definições de configuração de rede no novo cofre de chaves.
Você precisa reconfigurar a proteção de exclusão suave e limpeza no novo cofre de chaves.
A operação de backup e restauração não preserva as configurações de rotação automática. Talvez seja necessário redefinir as configurações.

Modificar o modelo

Modifique o modelo alterando o nome e a região do cofre de chaves.

Portais
PowerShell

Para implantar o modelo usando o portal do Azure:

No portal do Azure, selecione Criar um recurso.
Em Pesquisar no Marketplace, escreva implementação de modelo e prima ENTER.
Selecione Implementação de modelo.
Selecione Criar.
Selecione Crie o seu próprio modelo no editor.
Selecione Carregar ficheiro e, em seguida, siga as instruções para carregar o ficheiro template.json que transferiu na última secção.

No arquivo template.json, nomeie o cofre de chaves definindo o valor padrão do nome do cofre de chaves. Este exemplo define o valor padrão do nome do cofre de chaves como mytargetaccount.

"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
    "vaults_name": {
        "defaultValue": "key-vault-name",
        "type": "String"
    }
},

Edite a propriedade location no ficheiro template.json para a região alvo. Este exemplo define a região de destino para centralus.
```
"resources": [
   {
     "type": "Microsoft.KeyVault/vaults",
     "apiVersion": "2023-07-01",
     "name": "[parameters('vaults_name')]",
     "location": "centralus",
     ...
   },
   ...
]
```
Para obter códigos de localização de região, consulte Azure Locations. O código para uma região é o nome da região sem espaços, Central US = centralus.

Remova recursos do tipo ponto final privado no modelo.

{
  "type": "Microsoft.KeyVault/vaults/privateEndpointConnections",
  ...
}

Caso você tenha configurado um ponto de extremidade de serviço em seu cofre de chaves, na seção networkAcl , em virtualNetworkRules, adicione a regra para a sub-rede de destino. Certifique-se de que o sinalizador ignoreMissingVnetServiceEndpoint esteja definido como False, para que o IaC não consiga implantar o Cofre da Chave caso o ponto de extremidade do serviço não esteja configurado na região de destino.

parameter.json

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "target_vnet_externalid": {
      "value": "virtualnetwork-externalid"
    },
    "target_subnet_name": {
      "value": "subnet-name"
    }
  }
}

template.json

"networkAcls": {
  "bypass": "AzureServices",
  "defaultAction": "Deny",
  "ipRules": [],
  "virtualNetworkRules": [
    {
        "id": "[concat(parameters('target_vnet_externalid'), concat('/subnets/', parameters('target_subnet_name')]",
        "ignoreMissingVnetServiceEndpoint": false
    }
  ]
}

Para implantar o modelo usando o PowerShell:

No ficheiro template.json, atribua um nome ao cofre de chaves de destino ao definir o valor predefinido do nome do cofre de chaves. Este exemplo define o valor padrão do nome do cofre de chaves como key-vault-name.

"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
   "vaults_name": {
     "defaultValue": "key-vault-name",
     "type": "String"
   }
}

Edite a propriedade location no ficheiro template.json para a região alvo. Este exemplo define a região alvo para eastus.

"resources": [
   {
     "type": "Microsoft.KeyVault/vaults",
     "apiVersion": "2023-07-01",
     "name": "[parameters('vaults_name')]",
     "location": "eastus",
     ...
   },
   ...
]

Pode obter os códigos de região executando o comando Get-AzLocation.

Get-AzLocation | format-table

Remova recursos do tipo ponto final privado no modelo.

{
  "type": "Microsoft.KeyVault/vaults/privateEndpointConnections",
  ...
}

Caso você tenha configurado um ponto de extremidade de serviço em seu cofre de chaves, na seção networkAcl , em virtualNetworkRules, adicione a regra para a sub-rede de destino. Certifique-se de que o sinalizador ignoreMissingVnetServiceEndpoint esteja definido como False, para que a implantação do IaC falhe ao tentar implantar o Key Vault caso o ponto de extremidade do serviço não esteja configurado na região de destino.

parameter.json

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "target_vnet_externalid": {
      "value": "virtualnetwork-externalid"
    },
    "target_subnet_name": {
      "value": "subnet-name"
    }
  }
}

template.json

"networkAcls": {
   "bypass": "AzureServices",
   "defaultAction": "Deny",
   "ipRules": [],
   "virtualNetworkRules": [
     {
         "id": "[concat(parameters('target_vnet_externalid'), concat('/subnets/', parameters('target_subnet_name')]",
         "ignoreMissingVnetServiceEndpoint": false
     }
   ]
}

Reimplementar

Implante o modelo para criar um novo cofre de chaves na região de destino.

Portais
PowerShell

Salve o arquivo template.json .
Introduza ou selecione os valores das propriedades:
- Subscrição: selecione uma subscrição do Azure.
- Grupo de recursos: selecione Criar novo e dê um nome ao grupo de recursos.
- Local: selecione um local do Azure.
Selecione Concordo com os termos e condições mencionados acima e, em seguida, selecione Selecionar compra.
As Políticas de Acesso e as definições de configuração de Rede (pontos de extremidade privados) precisam ser reconfiguradas no novo Cofre da Chave. A eliminação suave e proteção contra purga precisam ser reconfiguradas no novo cofre de chaves e nas configurações de autorrotação.

Obtenha o ID de assinatura onde você deseja implantar o IP público de destino com Get-AzSubscription:
```
Get-AzSubscription
```

Use estes comandos para implantar seu modelo:

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

As Políticas de Acesso e as definições de configuração de Rede (pontos de extremidade privados) precisam ser reconfiguradas no novo Cofre da Chave. A exclusão suave e a proteção contra limpeza precisam ser reconfiguradas no novo cofre de chaves e nas configurações de rotação automática.

Sugestão

Se você receber um erro informando que o XML especificado não é sintaticamente válido, compare o JSON em seu modelo com os esquemas descritos na documentação do Azure Resource Manager.

Redistribuir com migração de dados

Importante

Se você planeja mover um Cofre de Chaves entre regiões, mas dentro da mesma geografia, é recomendável fazer um backup e restaurar segredos, chaves e certificados .

Siga as etapas descritas na abordagem de reimplantação.
Para segredos:
1. Copie e guarde o valor secreto no cofre de chaves de origem.
2. Recrie o segredo no cofre de chaves de destino e defina o valor como segredo guardado.
Para os certificados:
1. Exporte o certificado para um arquivo PFX.
2. Importe o ficheiro PFX para o cofre de chaves destino. Se não for possível exportar a chave privada (exportable não está definida), você deverá gerar um novo certificado e importá-lo para o cofre de chaves de destino.
Com a realocação do serviço do Azure associado, as chaves são regeneradas.
Confirme se as chaves foram geradas para o serviço associado.

Verificar

Antes de excluir seu cofre de chaves antigo, verifique se o novo cofre contém todas as chaves, segredos e certificados necessários após a realocação dos serviços associados do Azure.

Feedback

Esta página foi útil?

Last updated on 2025-09-15