Egy Azure-kulcstartó áthelyezése egy másik előfizetésbe
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Áttekintés
Fontos
Ha egy Key Vault-tárolót egy másik előfizetésbe szeretne áthelyezni, azzal kompatibilitástörő változást okoz a környezetben. Mielőtt egy másik előfizetésbe helyezne egy Key Vault-tárolót, győződjön meg róla, hogy megértette a folyamat hatását, és szorosan kövesse a cikkben található utasításokat. Ha felügyeltszolgáltatás-identitásokat (MSI) használ, olvassa el az áthelyezés utáni utasításokat a dokumentum végén.
Az Azure Key Vault automatikusan az alapértelmezett Microsoft Entra-azonosító bérlőazonosítóhoz van kötve ahhoz az előfizetéshez, amelyben létre van hozva. Az előfizetéshez társított bérlőazonosítót az alábbi útmutatóban találja. A hozzáférési szabályzat bejegyzései és szerepkör-hozzárendelései szintén ehhez a bérlőazonosítóhoz vannak kötve. Ha áthelyezi az Azure előfizetését az A bérlőtől a B bérlőhöz, a meglévő kulcstartók elérhetetlenné válnak a B bérlőhöz tartozó alkalmazáspéldányok (felhasználók és alkalmazások) számára. A következőképpen oldhatja meg a problémát:
Feljegyzés
Ha a Key Vault az Azure Lighthouse-on keresztül jön létre, az inkább a bérlőazonosító kezeléséhez van kötve. Az Azure Lighthouse-t csak a tárolóelérési szabályzat engedélymodellje támogatja. További információ az Azure Lighthouse-bérlőkről: Bérlők, felhasználók és szerepkörök az Azure Lighthouse-ban.
- Módosítsa az előfizetés összes meglévő kulcstartójával társított bérlőazonosítót B bérlőre.
- Törölnie kell minden meglévő hozzáférésiszabályzat-bejegyzést.
- Új, a B bérlőhöz kapcsolódó hozzáférésiszabályzat-bejegyzéseket kell létrehoznia.
További információ az Azure Key Vaultról és a Microsoft Entra-azonosítóról:
Korlátozások
Fontos
A lemeztitkosításhoz használt kulcstartók nem helyezhetők át Ha virtuális gép lemeztitkosításával rendelkező kulcstartót használ, a kulcstartó nem helyezhető át másik erőforráscsoportba vagy előfizetésbe, amíg a lemeztitkosítás engedélyezve van. A kulcstartó új erőforráscsoportba vagy előfizetésbe való áthelyezése előtt le kell tiltania a lemeztitkosítást.
Egyes szolgáltatásnevek (felhasználók és alkalmazások) egy adott bérlőhöz vannak kötve. Ha egy másik bérlőben lévő előfizetésbe helyezi át a kulcstartót, előfordulhat, hogy nem tudja visszaállítani a hozzáférést egy adott szolgáltatásnévhez. Ellenőrizze, hogy az összes alapvető szolgáltatásnév létezik-e abban a bérlőben, ahol a kulcstartót áthelyezi.
Előfeltételek
- Közreműködői szintű hozzáférés vagy magasabb szintű hozzáférés ahhoz az aktuális előfizetéshez, ahol a kulcstartó létezik. Szerepköröket az Azure Portal, az Azure CLI vagy a PowerShell használatával rendelhet hozzá.
- Közreműködői szintű hozzáférés vagy magasabb szintű hozzáférés ahhoz az előfizetéshez, ahová át szeretné helyezni a kulcstartót. Szerepköröket az Azure Portal, az Azure CLI vagy a PowerShell használatával rendelhet hozzá.
- Egy erőforráscsoport az új előfizetésben. Létrehozhat egyet az Azure Portal, a PowerShell vagy az Azure CLI használatával.
A meglévő szerepköröket az Azure Portal, a PowerShell, az Azure CLI vagy a REST API használatával ellenőrizheti.
Kulcstartó áthelyezése új előfizetésbe
- Jelentkezzen be az Azure Portalra.
- Navigálás a kulcstartóhoz
- Kiválasztás az "Áttekintés" lapon
- Válassza az "Áthelyezés" gombot
- Válassza az "Áthelyezés másik előfizetésbe" lehetőséget a legördülő menüből
- Válassza ki azt az erőforráscsoportot, ahová a kulcstartót át szeretné helyezni
- Az erőforrások áthelyezésére vonatkozó figyelmeztetés nyugtázása
- Válassza az OK gobot.
További lépések, ha az előfizetés új bérlőben van
Ha áthelyezte a kulcstartót tartalmazó előfizetését egy új bérlőre, manuálisan frissítenie kell a bérlőazonosítót, és el kell távolítania a régi hozzáférési szabályzatokat és szerepkör-hozzárendeléseket. Az alábbi oktatóanyagok a PowerShellben és az Azure CLI-ben ismertetett lépésekhez szükségesek. Ha PowerShellt használ, előfordulhat, hogy a Clear-AzContext parancsot kell futtatnia, hogy a jelenlegi kijelölt hatókörön kívüli erőforrásokat láthasson.
Bérlőazonosító frissítése kulcstartóban
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
Hozzáférési szabályzatok és szerepkör-hozzárendelések frissítése
Feljegyzés
Ha a Key Vault Azure RBAC-engedélymodellt használ. El kell távolítania a Key Vault szerepkör-hozzárendeléseit is. A szerepkör-hozzárendeléseket az Azure Portal, az Azure CLI vagy a PowerShell használatával távolíthatja el.
Most, hogy a tároló a megfelelő bérlőazonosítóhoz van társítva, és a régi hozzáférési szabályzat bejegyzései vagy szerepkör-hozzárendelései el lettek távolítva, állítsa be az új hozzáférési szabályzat bejegyzéseit vagy szerepkör-hozzárendeléseit.
Szabályzatok hozzárendeléséhez lásd:
- Hozzáférési szabályzat hozzárendelése a Portál használatával
- Hozzáférési szabályzat hozzárendelése az Azure CLI használatával
- Hozzáférési szabályzat hozzárendelése a PowerShell használatával
Szerepkör-hozzárendelések hozzáadásához lásd:
- Azure-szerepkörök hozzárendelése az Azure Portalon
- Azure-szerepkörök hozzárendelése az Azure CLI használatával
- Azure-szerepkörök hozzárendelése a PowerShell használatával
Felügyelt identitások frissítése
Ha teljes előfizetést ad át, és felügyelt identitást használ az Azure-erőforrásokhoz, azt is frissítenie kell az új Microsoft Entra-bérlőre. A felügyelt identitásokkal kapcsolatos további információkért tekintse át a felügyelt identitások áttekintését.
Felügyelt identitás használata esetén az identitást is frissítenie kell, mert a régi identitás már nem a megfelelő Microsoft Entra-bérlőben lesz. A probléma megoldásához tekintse meg az alábbi dokumentumokat.
Következő lépések
- További információ a kulcsokról, titkos kódokról és tanúsítványokról
- A Key Vault naplóinak értelmezését ismertető elméleti információkért lásd: Key Vault-naplózás
- Key Vault fejlesztői útmutató
- Az Azure Key Vault biztonsági funkciói
- Azure Key Vault-tűzfalak és virtuális hálózatok konfigurálása