将Azure Key Vault移动到另一个订阅

概述

Azure Key Vault 会自动关联到其创建时所属订阅的默认 Microsoft Entra ID 租户 ID。 您可以按照此指南查找与您的订阅关联的租户 ID。 所有访问策略条目和角色分配也都绑定到此租户 ID。 如果将Azure订阅从租户 A 移到租户 B，则租户 B 中的服务主体（用户和应用程序）无法访问现有密钥保管库。若要解决此问题，需要：

• 将与订阅中所有现有密钥保管库关联的租户 ID 更改到租户 B。
• 删除所有现有的访问策略条目。
• 关联租户 B 的新访问策略条目。

有关Azure Key Vault和Microsoft Entra ID的详细信息，请参阅：

• About Azure Key Vault
• 什么是 Microsoft Entra ID
• 如何查找租户 ID

限制

某些服务主体（用户和应用程序）绑定到特定的租户。 如果将密钥保管库移到另一个租户中的订阅，则可能无法恢复对特定服务主体的访问权限。 检查并确保所有必要的服务主体均已存在于您要迁移密钥保管库到的租户中。

先决条件

• Contributor 级别或更高级别的访问权限，在密钥保管库所在的当前订阅中。 可以使用 Azure portal、Azure CLI 或 PowerShell2 分配角色。
• Contributor级别或更高的访问权限，适用于您希望迁移密钥保管库的订阅。 可以使用 Azure portal、Azure CLI 或 PowerShell2 分配角色。
• 新订阅中的一个资源组。 可以使用 Azure portal、PowerShell 或 Azure CLI 创建一个。

可以使用 Azure portal、PowerShell、Azure CLI 或 REST API 来检查现有角色。

将密钥保管库移动到新订阅

1. 登录到 Azure portal。
2. 导航到 密钥保管库
3. 选择“概述”选项卡
4. 选择“移动”按钮
5. 从下拉选项中选择“移动到另一个订阅”
6. 选择您要将密钥保管库移动至的资源组。
7. 注意关于移动资源的警告
8. 选择“确定”

订阅在新租户中时的其他步骤

如果将包含密钥保管库的订阅移动到新租户，则需要手动更新租户 ID，并删除旧的访问策略和角色分配。 下面是有关 PowerShell 和 Azure CLI 这些步骤的教程。 如果使用的是 PowerShell，可能需要运行 Clear-AzContext 命令，这样就能查看当前所选范围外的资源。

更新密钥保管库中的租户 ID

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount -Environment AzureChinaCloud                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

更新访问策略和角色分配

将保管库和正确的租户 ID 及旧的访问策略项目或角色分配相关联后，请设置新的访问策略项目或角色分配。

有关分配策略，请参阅：

• 通过Portal分配访问策略
• 使用 Azure CLI 分配访问策略
• 使用 PowerShell 分配访问策略

有关添加角色分配，请参阅：

• 使用 Azure portal 分配 Azure 角色
• 使用 Azure CLI 分配 Azure 角色
• 使用 PowerShell 分配 Azure 角色

更新托管标识

如果您正在传输整个订阅并使用用于 Azure 资源的托管身份，则还需要将其更新至新的 Microsoft Entra 租户。 要了解有关托管标识的详细信息，请参阅托管标识概述。

如果使用的是托管标识，则还必须更新标识，因为旧标识将不再位于相应的 Microsoft Entra 租户中。 参阅下述有助于解决此问题的文档。

• Updating MSI
• 将订阅转移到新目录

后续步骤

• 详细了解密钥、机密和证书
• 有关概念信息（包括如何解释Key Vault日志）请参阅 Key Vault 日志记录
• Key Vault开发人员指南
• Azure Key Vault安全功能
• 配置Azure Key Vault防火墙和虚拟网络