Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Annotazioni
È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.
Informazioni generali
Importante
Lo spostamento di un insieme di credenziali delle chiavi in un'altra sottoscrizione darà luogo a una modifica che causa un'interruzione nell'ambiente. Assicurati di comprendere l'impatto di questa modifica e segui attentamente le indicazioni riportate in questo articolo prima di decidere di spostare il key vault a una nuova sottoscrizione. Se state utilizzando Identità dei Servizi Gestiti (MSI), leggete le istruzioni post-spostamento alla fine del documento.
Azure Key Vault è associato automaticamente all'ID tenant predefinito di Microsoft Entra ID per la sottoscrizione in cui viene creata. È possibile trovare l'ID tenant associato alla sottoscrizione seguendo questa guida. Tutte le voci dei criteri di accesso e le assegnazioni dei ruoli sono associate anche a questo ID tenant. Se si sposta la sottoscrizione di Azure dal tenant A al tenant B, i Key Vault esistenti non sono accessibili dai principali del servizio (utenti e applicazioni) nel tenant B. Per risolvere questo problema, è necessario:
Annotazioni
Se Key Vault viene creato tramite Azure Lighthouse, viene invece associato all'ID tenant di gestione. Azure Lighthouse supporta solo il modello di autorizzazione dei criteri di accesso dell'insieme di credenziali. Per altre informazioni sui tenant in Azure Lighthouse, vedere Tenant, utenti e ruoli in Azure Lighthouse.
- Modificare l'ID tenant associato a tutti gli insiemi di credenziali delle chiavi esistenti nella sottoscrizione impostandolo sul tenant B.
- Rimuovere tutte le voci dei criteri di accesso esistenti.
- Aggiungere nuove voci dei criteri di accesso associate al tenant B.
Per altre informazioni su Azure Key Vault e Microsoft Entra ID, vedere:
Limitazioni
Importante
Non è possibile spostare gli insiemi di credenziali delle chiavi usati per la crittografia del disco Se si usa l'insieme di credenziali delle chiavi con crittografia del disco per una macchina virtuale, l'insieme di credenziali delle chiavi non può essere spostato in un gruppo di risorse diverso o in una sottoscrizione mentre è abilitata la crittografia del disco. È necessario disabilitare la crittografia del disco prima di spostare il Key Vault in un nuovo gruppo di risorse o sottoscrizione.
Alcune entità servizio (utenti e applicazioni) sono associate a un tenant specifico. Se si sposta l'insieme di credenziali delle chiavi in una sottoscrizione in un altro tenant, è possibile che non sia possibile ripristinare l'accesso a un'entità servizio specifica. Verificare che tutte le entità servizio essenziali esistano nel tenant in cui si sposta l'insieme di credenziali delle chiavi.
Prerequisiti
- Accesso di livello collaboratore o superiore alla sottoscrizione corrente in cui è presente l'insieme di credenziali delle chiavi. È possibile assegnare un ruolo usando il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell.
- Accesso a livello di collaboratore o superiore alla sottoscrizione in cui si vuole spostare l'insieme di credenziali delle chiavi. È possibile assegnare un ruolo usando il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell.
- Un gruppo di risorse nella nuova sottoscrizione. È possibile crearne uno usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.
È possibile controllare i ruoli esistenti usando il portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.
Spostamento di un insieme di credenziali delle chiavi in una nuova sottoscrizione
- Accedere al portale di Azure.
- Passare all'insieme di credenziali delle chiavi
- Selezionare la scheda "Panoramica"
- Selezionare il pulsante "Sposta"
- Selezionare "Spostare in un'altra sottoscrizione" nelle opzioni dell'elenco a discesa
- Selezionare il gruppo di risorse in cui spostare l'insieme di credenziali delle chiavi
- Riconoscere l'avviso relativo allo spostamento delle risorse
- Selezionare "OK"
Passaggi aggiuntivi quando la sottoscrizione si trova in un nuovo tenant
Se la sottoscrizione contenente il vault delle chiavi è stata spostata in un nuovo tenant, è necessario aggiornare manualmente l'ID tenant e rimuovere le vecchie politiche di accesso e le assegnazioni di ruolo. Ecco le esercitazioni per questi passaggi in PowerShell e nell'interfaccia della riga di comando di Azure. Se si usa PowerShell, potrebbe essere necessario eseguire il comando Clear-AzContext per consentire di visualizzare le risorse all'esterno dell'ambito selezionato corrente.
Aggiornare l'ID tenant in un insieme di credenziali delle chiavi
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
Aggiornare i criteri di accesso e le assegnazioni di ruolo
Annotazioni
Se Key Vault utilizza il modello di autorizzazione RBAC di Azure, è necessario rimuovere anche le assegnazioni di ruolo del key vault. È possibile rimuovere le assegnazioni di ruolo usando il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell.
Ora che l'insieme di credenziali è associato all'ID tenant corretto e le voci dei criteri di accesso o le assegnazioni di ruolo precedenti sono state rimosse, impostare le nuove voci dei criteri di accesso o le nuove assegnazioni di ruolo.
Per l'assegnazione dei criteri, vedere:
- Assegnare un criterio di accesso tramite il portale
- Assegnare un criterio di accesso usando l'interfaccia della riga di comando di Azure
- Assegnare un criterio di accesso tramite PowerShell
Per l'aggiunta di assegnazioni di ruolo, vedere:
- Assegnare ruoli di Azure usando il portale di Azure
- Assegnare i ruoli di Azure usando l'interfaccia della riga di comando di Azure
- Assegnare ruoli di Azure con PowerShell
Aggiornare le identità gestite
Se si trasferisce l'intera sottoscrizione e si usa un'identità gestita per le risorse di Azure, sarà necessario aggiornarla anche al nuovo tenant di Microsoft Entra. Per altre informazioni sulle identità gestite, Panoramica delle identità gestite.
Se si usa l'identità gestita, sarà anche necessario aggiornare l'identità perché l'identità precedente non si troverà più nel tenant Microsoft Entra corretto. Per risolvere questo problema, vedere i documenti seguenti.
Passaggi successivi
- Altre informazioni su chiavi, segreti e certificati
- Per informazioni concettuali, tra cui come interpretare i log di Key Vault, vedere Registrazione di Key Vault
- Guida per gli sviluppatori al Key Vault
- Funzionalità di sicurezza di Azure Key Vault
- Configurare reti virtuali e firewall di Azure Key Vault