Mover o Azure Key Vault para outra subscrição

Visão geral

Azure Key Vault está automaticamente associado ao ID de inquilino predefinido Microsoft Entra ID da subscrição em que foi criado. Pode encontrar o ID do inquilino associado à sua subscrição seguindo este guia. Todas as entradas de política de acesso e atribuições de funções também estão vinculadas a essa ID de locatário. Se transferir a sua subscrição do Azure do locatário A para o locatário B, os seus cofres de chaves existentes tornam-se inacessíveis para os principais de serviço (utilizadores e aplicações) no locatário B. Para resolver este problema, precisa de:

• Altere o ID do inquilino associado a todos os cofres de chaves existentes na assinatura para o inquilino B.
• Remover todas as entradas de política de acesso existentes.
• Adicionar novas entradas de política de acesso associadas ao inquilino B.

Para mais informações sobre Azure Key Vault e Microsoft Entra ID, veja:

• Sobre Azure Key Vault
• O que é Microsoft Entra ID
• Como encontrar o ID do inquilino

Limitações

Algumas entidades de serviço (usuários e aplicativos) estão vinculadas a um locatário específico. Se mover o seu cofre de chaves para uma subscrição noutro inquilino, há uma chance de não conseguir restaurar o acesso a uma entidade de serviço específica. Verifique se todas as entidades de serviço essenciais existem no locatário para onde você está movendo o cofre de chaves.

Pré-requisitos

• Acesso de nível colaborador ou superior à subscrição atual onde existe o cofre de chaves. Pode atribuir funções usando o portal Azure, CLI do Azure ou PowerShell.
• Nível de acesso de Contribuidor ou superior à subscrição para a qual pretende mover o cofre de chaves. Pode atribuir funções usando o portal Azure, CLI do Azure ou PowerShell.
• Um grupo de recursos na nova assinatura. Podes criar um usando o portal Azure, PowerShell ou CLI do Azure.

Pode verificar as funções existentes usando o portal Azure, PowerShell, CLI do Azure ou REST.

Mover um cofre de chaves para uma nova subscrição

1. Inicie sessão no portal Azure.
2. Navegue até o cofre das chaves
3. Selecione na guia "Visão geral"
4. Selecione o botão "Mover"
5. Selecione "Mover para outra assinatura" no menu suspenso
6. Selecione o grupo de recursos para onde pretende mover o cofre de chaves
7. Reconheça o aviso sobre a transferência de recursos
8. Selecione "OK"

Etapas adicionais quando a assinatura está em um novo locatário

Se você moveu sua assinatura que contém o cofre de chaves para um novo locatário, precisará atualizar manualmente a ID do locatário e remover políticas de acesso e atribuições de função antigas. Aqui estão tutoriais para estes passos no PowerShell e no CLI do Azure. Se você estiver usando o PowerShell, talvez seja necessário executar o comando Clear-AzContext para permitir que você veja recursos fora do escopo selecionado atual.

Atualizar o ID do locatário em um cofre de chaves

Select-AzSubscription -SubscriptionId <subscription-id>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id

az account set -s <subscription-id>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Atualizar políticas de acesso e atribuições de função

Agora que o seu cofre-forte está associado à ID do inquilino correta e que as antigas entradas de política de acesso ou atribuições de função foram removidas, defina novas entradas de política de acesso ou atribuições de função.

Para atribuir políticas, consulte:

• Atribuir a política de acesso ao Key Vault

Para adicionar atribuições de função, consulte:

• Atribuir Azure funções usando o portal Azure
• Atribui Azure funções usando CLI do Azure
• Atribuir Azure funções usando PowerShell

Atualizar identidades gerenciadas

Se estiver a transferir toda a subscrição e a usar uma identidade gerida para recursos do Azure, terá de a atualizar também para o novo tenant Microsoft Entra. Para obter mais informações sobre identidades gerenciadas, Visão geral da identidade gerenciada.

Se estiver a usar identidade gerida, também terá de atualizar a identidade porque a identidade antiga já não estará no tenant correto do Microsoft Entra. Consulte os seguintes documentos para ajudar a resolver este problema.

• Atualizando o MSI
• Transferir Subscrição para Novo Diretório

Próximos passos

• Saiba mais sobre chaves, segredos e certificados
• Para informações conceptuais, incluindo como interpretar logs do Key Vault, consulte Key Vault logging
• Guia do Desenvolvedor do Key Vault
• Funcionalidades de segurança do Azure Key Vault
• Configurar firewalls Azure Key Vault e redes virtuais