在资源组之间移动 Azure Key Vault

概述

跨资源组移动密钥保管库是受支持的密钥保管库功能。 在资源组之间移动密钥保管库不会影响密钥保管库防火墙或访问策略配置。 连接的应用程序和服务主体应继续按预期工作。

重要

无法移动用于磁盘加密的密钥保管库。 如果对虚拟机(VM)使用密钥保管库进行磁盘加密,则启用磁盘加密时,无法将密钥保管库移动到其他资源组或订阅。 在将密钥保管库移动到新的资源组或订阅之前,必须禁用磁盘加密。

设计注意事项

你的组织可能已通过资源组级别的强制实施或排除实施了 Azure 策略。 在密钥保管库当前所在的资源组与要将密钥保管库移到的资源组之间,可能存在一组不同的策略分配。 策略要求中的冲突有可能破坏应用程序。

示例:

你有一个连接到 Key Vault 的应用程序,用于创建有效期为两年的证书。 尝试移动密钥保管库的资源组具有一个策略分配,阻止创建有效期超过一年的证书。 将密钥库迁移至新的资源组后,Azure Policy 分配会阻止创建有效期为两年的证书。

解决方案

确保转到 Azure 门户上的 Azure Policy 页,并查看当前资源组的策略分配以及要移动到的资源组,并确保不存在不匹配的情况。

程序

  1. 登录到 Azure 门户
  2. 导航到密钥保管库
  3. 单击“概述”选项卡
  4. 选择“移动”按钮
  5. 从下拉列表选项中选择“移动到另一个资源组”
  6. 选择要移动密钥保管库的资源组
  7. 确认有关移动资源的警告
  8. 选择“确定”

Key Vault 现在将评估资源移动的有效性,并提醒你存在错误。 如果未找到任何错误,则资源移动将完成。