跨区域移动密钥保管库
Azure 密钥保管库不允许将密钥保管库从一个区域移到另一个区域。 但是,可以在新区域中创建密钥保管库,手动将每个密钥、机密或证书从现有密钥保管库复制到新密钥保管库,然后删除原始密钥保管库。
先决条件
在尝试将此解决方法应用于生产环境之前,请务必先了解它会造成的后果。
准备
首先,必须在要移到的区域中创建新的密钥保管库。 可以通过 Azure 门户、Azure CLI 或 Azure PowerShell 执行此操作。
请记住以下概念:
- 密钥保管库名称具备全局唯一性。 不能重复使用保管库名称。
- 需要在新的密钥保管库中重新配置访问策略和网络配置设置。
- 需要在新的密钥保管库中重新配置软删除和清除保护。
- 备份和还原操作不会保留自动轮换设置。 你可能需要重新配置这些设置。
移动
从旧密钥保管库导出密钥、机密或证书,然后将其导入新的保管库。
可以使用备份命令来备份保管库中的每个机密、密钥和证书。 下载的机密是加密形式的 blob。 有关分步指导,请参阅 Azure 密钥保管库备份和还原。
或者,可以手动下载某些机密类型。 例如,可以将证书下载为 PFX 文件。 如果使用此选项,那么某些机密类型(如证书)不再具有地理位置方面的限制。 可以将 PFX 文件上传到任何区域中的任何密钥保管库。 以非密码保护的格式下载机密。 在移动过程中,需要负责保证机密的安全性。
下载密钥、机密或证书后,可将其还原到新的密钥保管库。
使用备份和还原命令存在两个限制:
不能在一个地理位置备份密钥保管库,并将其还原到另一个地理位置。 有关详细信息,请参阅Azure 地域。
备份命令可备份每个机密的所有版本。 如果你的机密具有大量早期版本(超过 10 个),请求大小可能超出允许的最大值,并且操作可能会失败。
验证
在删除旧密钥保管库之前,请验证新保管库是否包含所有必要的密钥、机密和证书。