Memindahkan Azure Key Vault ke langganan lain

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Gambaran Umum

Penting

Memindahkan vault kunci ke langganan lain akan menyebabkan pelanggaran perubahan pada lingkungan Anda. Pastikan Anda memahami dampak perubahan ini dan ikuti panduan dalam artikel ini dengan saksama sebelum memutuskan untuk memindahkan key vault ke langganan baru. Jika Anda menggunakan Identitas Layanan Terkelola (MSI), silakan baca instruksi pasca-pemindahan di bagian akhir dokumen.

Azure Key Vault secara otomatis terkait dengan ID penyewa MICROSOFT Entra ID default untuk langganan tempatnya dibuat. Anda dapat menemukan ID penyewa yang terkait dengan langganan Anda dengan mengikuti panduan ini. Semua entri kebijakan akses dan penetapan peran juga terkait dengan ID penyewa ini. Jika Anda memindahkan langganan Azure dari penyewa A ke penyewa B, key vault yang ada tidak akan dapat diakses oleh perwakilan layanan (pengguna dan aplikasi) di penyewa B. Untuk memperbaiki masalah ini, Anda perlu:

Catatan

Jika Key Vault dibuat melalui Azure Lighthouse, Key Vault akan terikat untuk mengelola id penyewa. Azure Lighthouse hanya didukung oleh model izin kebijakan akses vault. Untuk informasi selengkapnya tentang penyewa di Azure Lighthouse, lihat Penyewa, pengguna, dan peran di Azure Lighthouse.

• Mengubah ID penyewa yang terkait dengan semua key vault yang ada dalam langganan ke penyewa B.
• Menghapus semua entri kebijakan akses yang ada.
• Menambahkan entri kebijakan akses baru yang terkait dengan penyewa B.

Untuk informasi selengkapnya tentang Azure Key Vault dan ID Microsoft Entra, lihat

• Tentang Azure Key Vault
• Apa itu ID Microsoft Entra
• Cara menemukan ID penyewa

Batasan

Penting

Key Vault yang digunakan untuk enkripsi disk tidak dapat dipindahkan Jika Anda menggunakan key vault dengan enkripsi disk untuk VM, key vault tidak dapat dipindahkan ke grup sumber daya atau langganan berbeda saat enkripsi disk diaktifkan. Anda harus menonaktifkan enkripsi disk sebelum memindahkan key vault ke grup sumber daya atau langganan baru.

Beberapa perwakilan layanan (pengguna dan aplikasi) terikat dengan penyewa tertentu. Jika Anda memindahkan brankas kunci ke langganan di penyewa lain, ada kemungkinan Anda tidak akan dapat memulihkan akses ke perwakilan layanan tertentu. Periksa untuk memastikan bahwa semua perwakilan layanan penting ada di penyewa tempat Anda memindahkan key vault.

Prasyarat

• Akses tingkat Kontributor atau yang lebih tinggi ke langganan saat ini tempat key vault Anda ada. Anda dapat menetapkan peran menggunakan portal Azure, Azure CLI, atau PowerShell.
• Akses tingkat kontributor atau lebih tinggi ke langganan tempat Anda ingin memindahkan brankas kunci Anda. Anda dapat menetapkan peran menggunakan portal Azure, Azure CLI, atau PowerShell.
• Grup sumber daya di langganan baru. Anda dapat membuatnya menggunakan portal Azure, PowerShell, atau Azure CLI.

Anda dapat memeriksa peran yang ada menggunakan portal Azure, PowerShell, Azure CLI, atau REST API.

Memindahkan key vault ke langganan baru

1. Masuk ke portal Azure.
2. Navigasikan ke key vault Anda
3. Pilih pada tab "Gambaran Umum"
4. Pilih tombol "Pindahkan"
5. Pilih "Pindah ke langganan lain" dari opsi dropdown
6. Pilih grup sumber daya tempat Anda ingin memindahkan key vault
7. Akui peringatan mengenai pemindahan sumber daya
8. Pilih "OK"

Langkah tambahan saat langganan berada di penyewa baru

Jika Anda memindahkan langganan yang berisi brankas kunci ke penyewa baru, Anda perlu memperbarui ID penyewa secara manual dan menghapus kebijakan akses lama dan penetapan peran. Berikut adalah tutorial untuk langkah-langkah ini di PowerShell dan Azure CLI. Jika Anda menggunakan PowerShell, Anda mungkin perlu menjalankan perintah Clear-AzContext untuk memungkinkan Anda melihat sumber daya di luar cakupan yang Anda pilih saat ini.

Memperbarui ID penyewa di key vault

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Memperbarui kebijakan akses dan penetapan peran

Catatan

Jika Key Vault menggunakan model izin Azure RBAC. Anda juga perlu menghapus penetapan peran key vault. Anda dapat menghapus penetapan peran menggunakan portal Azure, Azure CLI, atau PowerShell.

Sekarang vault Anda dikaitkan dengan ID penyewa yang benar dan entri kebijakan akses lama atau penetapan peran dihapus, tetapkan entri kebijakan akses baru atau penetapan peran.

Untuk menetapkan kebijakan, lihat:

• Menetapkan kebijakan akses menggunakan Portal
• Menetapkan kebijakan akses menggunakan Azure CLI
• Menetapkan kebijakan akses menggunakan PowerShell

Untuk menambahkan penetapan peran, lihat:

• Menetapkan peran Azure menggunakan portal Microsoft Azure
• Menetapkan peran Microsoft Azure menggunakan Azure CLI
• Menetapkan peran Azure menggunakan PowerShell

Memperbarui identitas terkelola

Jika Anda mentransfer seluruh langganan dan menggunakan identitas terkelola untuk sumber daya Azure, Anda juga perlu memperbaruinya ke penyewa Microsoft Entra baru. Untuk informasi selengkapnya tentang identitas terkelola, lihat Gambaran umum identitas terkelola.

Jika Anda menggunakan identitas terkelola, Anda juga harus memperbarui identitas karena identitas lama tidak akan lagi berada di penyewa Microsoft Entra yang benar. Lihat dokumen berikut untuk membantu mengatasi masalah ini.

• Memperbarui MSI
• Transfer Langganan ke Direktori Baru

Langkah berikutnya

• Pelajari selengkapnya tentang kunci, rahasia, dan sertifikat
• Untuk informasi konseptual, termasuk cara menginterpretasikan log Key Vault, lihat Pengelogan Key Vault
• Panduan Pengembang Key Vault
• Fitur keamanan Azure Key Vault
• Konfigurasikan firewall dan jaringan virtual Azure Key Vault