نقل Azure Key Vault إلى اشتراك آخر
إشعار
نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.
نظرة عامة
هام
سيؤدي نقل خزنة مفاتيح إلى اشتراك آخر إلى تغيير جذري في بيئتك. تأكد من فهمك لتأثير هذا التغيير واتبع الإرشادات الواردة في هذه المقالة بعناية قبل أن تقرر نقل خزينة المفاتيح إلى اشتراك جديد. إذا كنت تستخدم معرفات الخدمة المُدارة (MSI) فيرجى قراءة إرشادات ما بعد النقل في نهاية المستند.
يرتبط Azure Key Vault تلقائيا بمعرف مستأجر معرف Microsoft Entra الافتراضي للاشتراك الذي تم إنشاؤه فيه. يمكنك العثور على معرّف المستأجر المرتبط باشتراكك باتباع هذا الدليل. جميع إدخالات نهج الوصول وتعيينات الأدوار مرتبطة أيضًا بمعرف المستأجر هذا. إذا قمت بنقل اشتراك Azure الخاص بك من المستأجر "أ" إلى المستأجر "ب" فلن يتمكن مسؤولو الخدمة (المستخدمون والتطبيقات) من الوصول إلى الخزائن الرئيسية الحالية في المستأجر ب. لإصلاح هذه المشكلة، تحتاج إلى:
إشعار
إذا تم إنشاء Key Vault من خلال Azure Lighthouse فسيكون مرتبطًا بإدارة معرف المستأجر بدلاً من ذلك. لا يتم دعم Azure Lighthouse إلا من خلال نموذج إذن نهج الوصول إلى المخزن. لمزيد من المعلومات حول المستأجرين في Azure Lighthouse، راجع المستأجرين والمستخدمين والأدوار في Azure Lighthouse.
- قم بتغيير معرّف المستأجر المرتبط بجميع الخزائن الرئيسية الموجودة في الاشتراك في المستأجر ب.
- قم بإزالة كافة إدخالات نهج الوصول الحالية.
- إضافة إدخالات نهج الوصول الجديدة المرتبطة بالمستأجر ب.
لمزيد من المعلومات حول Azure Key Vault ومعرف Microsoft Entra، راجع
القيود
هام
لا يمكن نقل Key Vaults المستخدمة لتشفير القرص إذا كنت تستخدم خزنة مفاتيح مع تشفير القرص لـ VM، فلا يمكن نقل خزنة المفاتيح إلى مجموعة موارد مختلفة أو اشتراك أثناء تمكين تشفير القرص. يجب عليك تعطيل تشفير القرص قبل نقل خزنة المفاتيح إلى مجموعة موارد جديدة أو اشتراك.
تلتزم بعض مبادئ الخدمة (المستخدمون والتطبيقات) بمستأجر معين. إذا قمت بنقل مخزن المفاتيح الخاص بك إلى اشتراك في مستأجر آخر، فهناك فرصة أنك لن تتمكن من استعادة الوصول إلى كيان خدمة معين. تحقق للتأكد من وجود جميع مبادئ الخدمة الأساسية في المستأجر حيث تقوم بنقل خزينة المفاتيح الخاصة بك.
المتطلبات الأساسية
- وصول مستوىالمساهم أو أعلى إلى الاشتراك الحالي حيث يوجد خزينة المفاتيح الخاصة بك. يمكنك تعيين دور باستخدام مدخل Microsoft Azure أو Azure CLI أو PowerShell.
- وصول مستوى المساهم أو أعلى إلى الاشتراك حيث تريد نقل خزنة المفاتيح الخاصة بك. يمكنك تعيين دور باستخدام مدخل Microsoft Azure أو Azure CLI أو PowerShell.
- مجموعة موارد في الاشتراك الجديد. يمكنك إنشاء واحد باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI.
يمكنك التحقق من الأدوار الموجودة باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI أو REST API.
نقل خزنة المفاتيح إلى اشتراك جديد
- قم بتسجيل الدخول إلى بوابة Azure.
- انتقل إلى مخزن المفاتيح
- حدد في علامة التبويب "نظرة عامة"
- حدد زر "نقل"
- حدد "نقل إلى اشتراك آخر" من الخيارات المنسدلة
- حدد مجموعة الموارد حيث تريد نقل خزينة المفاتيح الخاصة بك
- أقر بالتحذير المتعلق بنقل الموارد
- حدد "Ok"
خطوات إضافية عندما يكون الاشتراك في مستأجر جديد
إذا قمت بنقل اشتراكك الذي يحتوي على مخزن المفاتيح إلى مستأجر جديد، فستحتاج إلى تحديث معرف المستأجر يدويا وإزالة نهج الوصول القديمة وتعيينات الأدوار. فيما يلي برامج تعليمية لهذه الخطوات في PowerShell و Azure CLI. إذا كنت تستخدم PowerShell، فقد تحتاج إلى تشغيل الأمر Clear-AzContext للسماح لك برؤية الموارد خارج النطاق المحدد الحالي.
تحديث معرف المستأجر في خزنة المفاتيح
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
تحديث نُهج الوصول وتعيينات الأدوار
إشعار
إذا كان Key Vault يستخدم نموذج إذن Azure RBAC . تحتاج أيضًا إلى إزالة تعيينات أدوار المخزن الرئيسي. يمكنك إزالة تعيينات الأدوار باستخدام مدخل Microsoft Azure أو Azure CLI أو PowerShell.
الآن بعد أن تم ربط المخزن الخاص بك بمعرف المستأجر الصحيح وتمت إزالة إدخالات نهج الوصول القديمة أو تعيينات الأدوار؛ قم بتعيين إدخالات نهج الوصول الجديدة أو تعيينات الأدوار.
لتعيين النُهج، راجع:
- تعيين نهج وصول باستخدام البوابة
- تعيين نهج وصول باستخدام Azure CLI
- تعيين نهج وصول باستخدام PowerShell
لإضافة تعيينات الأدوار؛ راجع:
- تعيين أدوار Azure باستخدام مدخل Microsoft Azure
- تعيين أدوار Azure باستخدام Azure PowerShell
- تعيين أدوار Azure باستخدام PowerShell
تحديث الهويات المدارة
إذا كنت تقوم بنقل اشتراك كامل واستخدام هوية مدارة لموارد Azure، فستحتاج إلى تحديثه إلى مستأجر Microsoft Entra الجديد أيضا. لمزيد من المعلومات حول الهويات المُدارة: نظرة عامة على الهوية المُدارة.
إذا كنت تستخدم الهوية المدارة، فستضطر أيضا إلى تحديث الهوية لأن الهوية القديمة لن تكون في مستأجر Microsoft Entra الصحيح. راجع المستندات التالية للمساعدة في حل هذه المشكلة.
الخطوات التالية
- تعرّف على المزيد حول المفاتيح والأسرار والشهادات
- للحصول على المعلومات المفاهيمية بما في ذلك كيفية تفسير سجلات Key Vault؛ راجع تسجيل الدخول إلى Key Vault
- دليل مطور Key Vault
- ميزات أمان Azure Key Vault
- تكوين جدران حماية مخزن Azure الرئيسي والشبكات الظاهرية