Traslado de Azure Key Vault a otra suscripción
Nota
Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Información general
Importante
Trasladar un almacén de claves a otra suscripción, producirá un cambio importante en el entorno. Asegúrese de entender el impacto de este cambio y siga atentamente las instrucciones de este artículo antes de decidir si desea trasladar el almacén de claves a una nueva suscripción. Si usa identidades de servicio administradas (MSI), lea las instrucciones posteriores al traslado, al final del documento.
Azure Key Vault se asocia automáticamente al identificador de inquilino predeterminado de Microsoft Entra ID para la suscripción en la que se ha creado. Puede encontrar el identificador de inquilino asociado a la suscripción si sigue esta guía. Todas las entradas de la directiva de acceso y las asignaciones de roles también se asocian con este identificador de inquilino. Al trasladar una suscripción de Azure del inquilino A al inquilino B, las entidades de servicio (usuarios y aplicaciones) del inquilino B no podrán acceder a los almacenes de claves ya existentes. Para corregir este problema, es necesario:
Nota
Si el almacén de claves se crea mediante Azure Lighthouse, está vinculado al identificador de inquilino de administración en su lugar. Azure Lighthouse solo es compatible con el modelo de permisos de directiva de acceso al almacén. Para más información sobre los inquilinos de Azure Lighthouse, consulte Inquilinos, usuarios y roles en Azure Lighthouse.
- Cambiar el identificador de inquilino asociado a todas las instancias de Key Vault existentes en la suscripción al inquilino B.
- Quitar todas las entradas de la directiva de acceso existentes.
- Agregar nuevas entradas de la directiva de acceso asociadas al inquilino B.
Para obtener más información sobre Azure Key Vault y Microsoft Entra ID, consulte
Limitaciones
Importante
Los almacenes de claves utilizados para el cifrado de disco no pueden moverse Si utiliza Key Vault con el cifrado de discos para una máquina virtual, el almacén de claves no puede migrarse a otro grupo de recursos o a una suscripción mientras esté habilitado el cifrado de discos. Antes de mover el almacén de claves a un nuevo grupo de recursos o a una nueva suscripción, debe deshabilitar el cifrado de discos.
Algunas entidades de servicio (usuarios y aplicaciones) están enlazadas a un inquilino específico. Si traslada el almacén de claves a una suscripción de otro inquilino, existe la posibilidad de que no pueda restaurar el acceso a una entidad de servicio específica. Asegúrese de que todas las entidades de servicio esenciales existen en el inquilino al que va a trasladar el almacén de claves.
Requisitos previos
- Acceso de nivel de colaborador o superior a la suscripción actual en la que existe el almacén de claves. Puede asignar el rol mediante Azure Portal, la CLI de Azure o PowerShell.
- Acceso de nivel de colaborador o superior a la suscripción a la que quiere trasladar el almacén de claves. Puede asignar el rol mediante Azure Portal, la CLI de Azure o PowerShell.
- Un grupo de recursos en la nueva suscripción. Puede crear uno mediante Azure Portal, PowerShell o la CLI de Azure.
Puede comprobar los roles existentes mediante Azure Portal, PowerShell, la CLI de Azure o la API REST.
Traslado de un almacén de claves a una nueva suscripción
- Inicie sesión en Azure Portal.
- Vaya al almacén de claves.
- Seleccione la pestaña "Información general".
- Seleccione el botón «Mover»
- Seleccione «Mover a otra suscripción» de las opciones de la lista desplegable
- Seleccione el grupo de recursos a donde quiere trasladar el almacén de claves
- Confirme la advertencia relacionada con el traslado de recursos.
- Seleccione Aceptar.
Pasos adicionales cuando la suscripción se encuentra en un nuevo inquilino
Si ha migrado la suscripción que contiene el almacén de claves a un inquilino nuevo, tendrá que actualizar manualmente el id. de inquilino y quitar las directivas de acceso anteriores y las asignaciones de roles. Estos son los tutoriales de estos pasos en PowerShell y la CLI de Azure. Si usa PowerShell, es posible que tenga que ejecutar el comando Clear-AzContext para poder ver recursos que estén fuera del ámbito seleccionado actualmente.
Actualización del identificador de inquilino en un almacén de claves
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
Actualización de las directivas de acceso y las asignaciones de roles
Nota
Si Key Vault usa el modelo de permisos RBAC de Azure. También tendrá que quitar las asignaciones de roles del almacén de claves. Puede quitar las asignaciones de roles Azure Portal, la CLI de Azure o PowerShell.
Ahora que el almacén está asociado al identificador de inquilino correcto y que se han quitado las entradas de la directiva de acceso antiguas o las asignaciones de roles, establezca nuevas entradas o asignaciones.
Para asignar directivas, vea lo siguiente:
- Asignación de directivas de acceso mediante el portal
- Asignación de directivas de acceso mediante la CLI de Azure
- Asignación de directivas de acceso mediante PowerShell
Para agregar asignaciones de roles, vea lo siguiente:
- Asignación de roles de Azure mediante Azure Portal
- Asignación de roles de Azure mediante la CLI de Azure
- Asignación de roles de Azure mediante PowerShell
Actualización de identidades administradas
Si va a transferir la suscripción completa y usa una identidad administrada para los recursos de Azure, tendrá que actualizarla también al nuevo inquilino de Microsoft Entra. Para más información sobre las identidades administradas, consulte Identidades administradas para recursos de Azure.
Si usa identidad administrada, también tendrá que actualizar la identidad, ya que la anterior ya no estará en el inquilino de Microsoft Entra correcto. Consulte los siguientes documentos para ayudar a resolver este problema.
Pasos siguientes
- Más información sobre claves, secretos y certificados
- Para obtener información conceptual, incluido cómo interpretar los registros de Key Vault, consulte Registro de Azure Key Vault.
- Guía del desarrollador de Key Vault
- Características de seguridad de Azure Key Vault
- Configuración de firewalls y redes virtuales de Azure Key Vault