Verschieben einer Azure Key Vault-Instanz in ein anderes Abonnement

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Übersicht

Wichtig

Das Verschieben eines Schlüsseltresors in ein anderes Abonnement stellt einen Breaking Change Ihrer Umgebung dar. Stellen Sie sicher, dass Ihnen die Auswirkungen dieser Änderung bekannt sind, und befolgen Sie die Anleitungen in diesem Artikel sorgfältig, bevor Sie sich entscheiden, einen Schlüsseltresor in ein neues Abonnement zu verschieben. Wenn Sie verwaltete Dienstidentitäten (Managed Service Identities, MSI) verwenden, lesen Sie die Anweisungen für Aktionen im Anschluss an das Verschieben am Ende des Dokuments.

Azure Key Vault wird automatisch an die standardmäßige Azure Active Directory-Mandanten-ID für das Abonnement gebunden, in dem die Instanz erstellt wurde. Die Mandanten-ID, die Ihrem Abonnement zugeordnet ist, finden Sie in diesem Leitfaden. Außerdem werden auch alle Zugriffsrichtlinieneinträge und Rollenzuweisung an diese Mandanten-ID gebunden. Wenn Sie Ihr Azure-Abonnement aus Mandant A in Mandant B verschieben, können die Dienstprinzipale (Benutzer und Anwendungen) in Mandant B nicht auf Ihre vorhandenen Schlüsseltresore zugreifen. Gehen Sie wie folgt vor, um dies zu beheben:

Hinweis

Wenn Key Vault über Azure Lighthouse erstellt wird, ist es stattdessen an die Verwaltung der Mandanten-ID gebunden. Azure Lighthouse wird nur vom Berechtigungsmodell für Tresorzugriffsrichtlinien unterstützt. Weitere Informationen zu Mandanten in Azure Lighthouse finden Sie unter Mandanten, Benutzer und Rollen in Azure Lighthouse.

• Ändern Sie die Mandanten-ID, die allen vorhandenen Schlüsseltresoren im Abonnement zugeordnet ist, in den Mandanten B.
• Entfernen Sie alle vorhandenen Zugriffsrichtlinieneinträge.
• Fügen Sie neue Zugriffsrichtlinieneinträge hinzu, die Mandant B zugeordnet sind.

Weitere Informationen zu Azure Key Vault und Microsoft Entra ID finden Sie unter

• Informationen zu Azure Key Vault
• Was ist Microsoft Entra ID
• Ermitteln der Mandanten-ID

Einschränkungen

Wichtig

Für die Datenträgerverschlüsselung verwendete Schlüsseltresore können nicht verschoben werden Wenn Sie Key Vault mit Datenträgerverschlüsselung für einen virtuellen Computer verwenden, kann der Schlüsseltresor nicht in eine andere Ressourcengruppe oder ein anderes Abonnement verschoben werden, solange die Datenträgerverschlüsselung aktiviert ist. Sie müssen die Datenträgerverschlüsselung deaktivieren, bevor Sie den Schlüsseltresor in eine neue Ressourcengruppe oder ein neues Abonnement verschieben.

Einige Dienstprinzipale (Benutzer und Anwendungen) sind an einen bestimmten Mandanten gebunden. Wenn Sie Ihren Schlüsseltresor in ein Abonnement in einem anderen Mandanten verschieben, besteht die Möglichkeit, dass Sie den Zugriff auf einen bestimmten Dienstprinzipal nicht wiederherstellen können. Stellen Sie sicher, dass alle wichtigen Dienstprinzipale in dem Mandanten vorhanden sind, in den Sie Ihren Schlüsseltresor verschieben.

Voraussetzungen

• Zugriffsebene Mitwirkender oder höher für das aktuelle Abonnement mit dem Schlüsseltresor Sie können eine Rolle über das Azure-Portal, die Azure-Befehlszeilenschnittstelle oder PowerShell zuweisen.
• Zugriff auf Ebene Mitwirkender oder höher für das Abonnement, in das Sie Ihren Schlüsseltresor verschieben wollen. Sie können eine Rolle über das Azure-Portal, die Azure-Befehlszeilenschnittstelle oder PowerShell zuweisen.
• Eine Ressourcengruppe im neuen Abonnement Sie können eine über das Azure-Portal, PowerShell oder die Azure-Befehlszeilenschnittstelle erstellen.

Sie können benutzerdefinierte Rollen über das Azure-Portal, PowerShell, die Azure-Befehlszeilenschnittstelle oder die REST-API überprüfen.

Verschieben eines Schlüsseltresors in ein neues Abonnement.

1. Melden Sie sich beim Azure-Portal an.
2. Navigieren Sie zu Ihrem Schlüsseltresor.
3. Auswahl auf der Registerkarte „Übersicht“
4. Auswählen der Schaltfläche „Verschieben“
5. Auswählen der Option „In ein anderes Abonnement verschieben“ im Dropdownmenü
6. Auswählen der Ressourcengruppe, in die der Schlüsseltresor verschoben werden soll
7. Bestätigen der Warnung zum Verschieben von Ressourcen
8. Auswählen von „OK“

Weitere Schritte, wenn sich das Abonnement in einem neuen Mandanten befindet

Wenn Sie Ihr Abonnement mit enthaltenem Schlüsseltresor in einen neuen Mandanten verschoben haben, müssen Sie die Mandanten-ID manuell aktualisieren und alte Zugriffsrichtlinien und Rollenzuweisungen entfernen. Hier finden Sie Tutorials für diese Schritte mit PowerShell und der Azure-Befehlszeilenschnittstelle. Wenn Sie PowerShell verwenden, müssen Sie möglicherweise den Befehl „Clear-AzContext“ ausführen, damit Sie Ressourcen außerhalb des aktuell ausgewählten Bereichs anzeigen können.

Aktualisieren der Mandanten-ID in einem Schlüsseltresor

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Aktualisieren von Zugriffsrichtlinien und Rollenzuweisungen

Hinweis

Wenn Key Vault das Berechtigungsmodell Azure RBAC verwendet, müssen Sie zudem Rollenzuweisungen für den Schlüsseltresor entfernen. Sie können Rollenzuweisungen über das Azure-Portal, die Azure-Befehlszeilenschnittstelle oder PowerShell entfernen.

Nachdem Sie Ihren Tresor nun der richtigen Mandanten-ID zugeordnet haben und alte Zugriffsrichtlinieneinträge und Rollenzuweisungen entfernt wurden, können Sie neue Zugriffsrichtlinieneinträge bzw. Rollenzuweisungen festlegen.

Informationen zum Zuweisen von Richtlinien finden Sie unter:

• Zuweisen einer Key Vault-Zugriffsrichtlinie über das Azure-Portal
• Zuweisen einer Key Vault-Zugriffsrichtlinie mit der Azure CLI
• Zuweisen einer Key Vault-Zugriffsrichtlinie mit Azure PowerShell

Informationen zum Hinzufügen von Rollenzuweisungen finden Sie unter:

• Zuweisen von Azure-Rollen über das Azure-Portal
• Zuweisen von Azure-Rollen mithilfe der Azure-Befehlszeilenschnittstelle
• Zuweisen von Azure-Rollen mithilfe von Azure PowerShell

Aktualisieren von verwalteten Identitäten

Wenn Sie ein ganzes Abonnement übertragen und eine verwaltete Identität für Azure-Ressourcen verwenden, müssen Sie sie ebenfalls auf den neuen Azure Active Directory-Mandanten aktualisieren. Weitere Informationen zu verwalteten Identitäten finden Sie unter Verwaltete Identitäten: Übersicht.

Wenn Sie verwaltete Identitäten verwenden, müssen Sie auch die Identität aktualisieren, weil sich die alte Identität nicht mehr im richtigen Azure Active Directory-Mandanten befindet. Informationen zum Beheben dieses Problems finden Sie in den folgenden Dokumenten.

• Aktualisieren von MSI
• Übertragen eines Abonnements in ein neues Verzeichnis

Nächste Schritte

• Erfahren Sie mehr über Schlüssel, Geheimnisse und Zertifikate.
• Konzeptionelle Informationen einschließlich dazu, wie Protokolle in Key Vault interpretiert werden, finden Sie unter Key Vault-Protokollierung.
• Entwicklerhandbuch für Key Vault
• Azure Key Vault-Sicherheitsfunktionen
• Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken