跨区域移动密钥保管库

Azure 密钥保管库不允许将密钥保管库从一个区域移到另一个区域。 但是,可以在新区域中创建密钥保管库,手动将每个密钥、机密或证书从现有密钥保管库复制到新密钥保管库,然后删除原始密钥保管库。

先决条件

在尝试将此解决方法应用于生产环境之前,请务必先了解它会造成的后果。

准备

首先,必须在要移到的区域中创建新的密钥保管库。 可以通过 Azure 门户Azure CLIAzure PowerShell 执行此操作。

请记住以下概念:

  • 密钥保管库名称具备全局唯一性。 不能重复使用保管库名称。
  • 需要在新的密钥保管库中重新配置访问策略和网络配置设置。
  • 需要在新的密钥保管库中重新配置软删除和清除保护。
  • 备份和还原操作不会保留自动轮换设置。 你可能需要重新配置这些设置。

移动

从旧密钥保管库导出密钥、机密或证书,然后将其导入新的保管库。

可以使用备份命令来备份保管库中的每个机密、密钥和证书。 下载的机密是加密形式的 blob。 有关分步指导,请参阅 Azure 密钥保管库备份和还原

或者,可以手动下载某些机密类型。 例如,可以将证书下载为 PFX 文件。 如果使用此选项,那么某些机密类型(如证书)不再具有地理位置方面的限制。 可以将 PFX 文件上传到任何区域中的任何密钥保管库。 以非密码保护的格式下载机密。 在移动过程中,需要负责保证机密的安全性。

下载密钥、机密或证书后,可将其还原到新的密钥保管库。

使用备份和还原命令存在两个限制:

  • 不能在一个地理位置备份密钥保管库,并将其还原到另一个地理位置。 有关详细信息,请参阅Azure 地域

  • 备份命令可备份每个机密的所有版本。 如果你的机密具有大量早期版本(超过 10 个),请求大小可能超出允许的最大值,并且操作可能会失败。

验证

在删除旧密钥保管库之前,请验证新保管库是否包含所有必要的密钥、机密和证书。

后续步骤