Mover um Azure Key Vault para outra subscrição
Nota
Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.
Descrição geral
Importante
Mover um cofre de chaves para outra subscrição causará uma alteração interruptiva no seu ambiente. Confirme que compreende o impacto desta alteração e siga cuidadosamente as orientações neste artigo antes de decidir mover o cofre de chaves para uma nova subscrição. Se você estiver usando Identidades de Serviço Gerenciado (MSI), leia as instruções pós-movimentação no final do documento.
O Azure Key Vault é automaticamente vinculado à ID de locatário padrão do Microsoft Entra ID para a assinatura na qual ele é criado. Pode encontrar o ID do inquilino associado à sua subscrição seguindo este guia. Todas as entradas de política de acesso e atribuições de funções também estão vinculadas a essa ID de locatário. Se mover a sua subscrição do Azure do inquilino A para o inquilino B, os seus cofres de chaves existentes ficarão inacessíveis pelos principais de serviço (utilizadores e aplicações) no inquilino B. Para corrigir este problema, tem de:
Nota
Se o Cofre da Chave for criado por meio do Azure Lighthouse, ele estará vinculado ao gerenciamento da ID do locatário. O Azure Lighthouse só é suportado pelo modelo de permissão de política de acesso ao cofre. Para obter mais informações sobre locatários no Azure Lighthouse, consulte Locatários, usuários e funções no Azure Lighthouse.
- Altere o ID do locatário associado a todos os cofres de chaves existentes na assinatura do locatário B.
- Remover todas as entradas de política de acesso existentes.
- Adicionar novas entradas de política de acesso associadas ao inquilino B.
Para obter mais informações sobre o Azure Key Vault e o Microsoft Entra ID, consulte
Limitações
Importante
Cofres de chaves usados para criptografia de disco não podem ser movidos Se você estiver usando o cofre de chaves com criptografia de disco para uma VM, o cofre de chaves não poderá ser movido para um grupo de recursos diferente ou uma assinatura enquanto a criptografia de disco estiver habilitada. Você deve desabilitar a criptografia de disco antes de mover o cofre de chaves para um novo grupo de recursos ou assinatura.
Algumas entidades de serviço (usuários e aplicativos) estão vinculadas a um locatário específico. Se você mover seu cofre de chaves para uma assinatura em outro locatário, há uma chance de não conseguir restaurar o acesso a uma entidade de serviço específica. Verifique se todas as entidades de serviço essenciais existem no locatário para onde você está movendo o cofre de chaves.
Pré-requisitos
- Acesso de nível de colaborador ou superior à subscrição atual onde existe o cofre de chaves. Você pode atribuir função usando o portal do Azure, a CLI do Azure ou o PowerShell.
- Acesso ao nível de colaborador ou superior à subscrição para a qual pretende mover o cofre de chaves. Você pode atribuir função usando o portal do Azure, a CLI do Azure ou o PowerShell.
- Um grupo de recursos na nova assinatura. Você pode criar um usando o portal do Azure, o PowerShell ou a CLI do Azure.
Você pode verificar as funções existentes usando o portal do Azure, PowerShell, CLI do Azure ou API REST.
Mover um cofre de chaves para uma nova subscrição
- Inicie sessão no portal do Azure.
- Navegue até o cofre das chaves
- Selecione na guia "Visão geral"
- Selecione o botão "Mover"
- Selecione "Mover para outra assinatura" nas opções suspensas
- Selecione o grupo de recursos para onde pretende mover o cofre de chaves
- Reconheça o aviso sobre a movimentação de recursos
- Selecione "OK".
Etapas adicionais quando a assinatura está em um novo locatário
Se você moveu sua assinatura que contém o cofre de chaves para um novo locatário, precisará atualizar manualmente a ID do locatário e remover políticas de acesso e atribuições de função antigas. Aqui estão tutoriais para essas etapas no PowerShell e na CLI do Azure. Se você estiver usando o PowerShell, talvez seja necessário executar o comando Clear-AzContext para permitir que você veja recursos fora do escopo selecionado atual.
Atualizar o ID do locatário em um cofre de chaves
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
$tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
Atualizar políticas de acesso e atribuições de função
Nota
Se o Cofre da Chave estiver usando o modelo de permissão do RBAC do Azure. Você também precisa remover as atribuições de função de cofre de chave. Você pode remover atribuições de função usando o portal do Azure, a CLI do Azure ou o PowerShell.
Agora que seu cofre está associado à ID de locatário correta e que as antigas entradas de política de acesso ou atribuições de função foram removidas, defina novas entradas de política de acesso ou atribuições de função.
Para atribuir políticas, consulte:
- Atribuir uma política de acesso usando o Portal
- Atribuir uma política de acesso usando a CLI do Azure
- Atribuir uma política de acesso usando o PowerShell
Para adicionar atribuições de função, consulte:
- Atribuir funções do Azure com o portal do Azure
- Atribuir funções do Azure usando a CLI do Azure
- Atribuir funções do Azure usando o PowerShell
Atualizar identidades gerenciadas
Se você estiver transferindo uma assinatura inteira e usando uma identidade gerenciada para recursos do Azure, também precisará atualizá-la para o novo locatário do Microsoft Entra. Para obter mais informações sobre identidades gerenciadas, Visão geral da identidade gerenciada.
Se você estiver usando a identidade gerenciada, também terá que atualizar a identidade porque a identidade antiga não estará mais no locatário correto do Microsoft Entra. Consulte os seguintes documentos para ajudar a resolver este problema.
Próximos passos
- Saiba mais sobre chaves, segredos e certificados
- Para obter informações conceituais, incluindo como interpretar logs do Cofre da Chave, consulte Log do Cofre da Chave
- Guia do Programador do Key Vault
- Recursos de segurança do Azure Key Vault
- Configurar firewalls e redes virtuais do Azure Key Vault