将 Azure Key Vault 移动到另一个订阅

概述

Azure Key Vault 会自动绑定到创建它的订阅的默认 Microsoft Entra ID 租户 ID。 可以按照本指南查找与订阅关联的租户 ID。 所有访问策略条目和角色分配也都绑定到此租户 ID。 如果将 Azure 订阅从租户 A 移到租户 B，租户 B 中的服务主体（用户和应用程序）将无法访问现有的密钥保管库。若要解决此问题，需执行以下操作：

• 将与订阅中所有现有密钥保管库关联的租户 ID 更改到租户 B。
• 删除所有现有的访问策略条目。
• 添加与租户 B 关联的新访问策略条目。

有关 Azure Key Vault 和 Microsoft Entra ID 的详细信息，请参阅

• 关于 Azure Key Vault
• 什么是 Microsoft Entra ID
• 如何查找租户 ID

限制

某些服务主体（用户和应用程序）绑定到特定的租户。 如果将密钥保管库移动到其他租户中的订阅，则可能无法还原对特定服务主体的访问权限。 请进行检查，确保在要将密钥保管库移动到其中的租户中存在所有基本的服务主体。

先决条件

• 对密钥保管库所在的当前订阅具有参与者级别或更高级别的访问权限。 可以使用 Azure 门户、Azure CLI 或 PowerShell 来分配角色。
• 对于要将密钥保管库移动到的订阅具有参与者级别或更高级别的访问权限。可以使用 Azure 门户、Azure CLI 或 PowerShell 来分配角色。
• 新订阅中有一个资源组。 可以使用 Azure 门户、PowerShell 或 Azure CLI 来创建资源组。

可以使用 Azure 门户、PowerShell、Azure CLI 或 REST API 来检查现有角色。

将密钥保管库移动到新的订阅

1. 登录 Azure 门户。
2. 导航到密钥保管库
3. 选择“概述”选项卡
4. 选择“移动”按钮
5. 从下拉选项中选择“移动到另一个订阅”
6. 选择要将密钥保管库移动到其中的资源组
7. 确认有关移动资源的警告
8. 选择“确定”

订阅在新租户中时的其他步骤

如果已将包含密钥保管库的订阅移到新租户，则需要手动更新租户 ID 并删除旧的访问策略和角色分配。 下面是通过 PowerShell 和 Azure CLI 执行这些步骤的教程。 如果使用的是 PowerShell，可能需要运行 Clear-AzContext 命令，这样就能查看当前所选范围外的资源。

更新密钥保管库中的租户 ID

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount -Environment AzureChinaCloud                                                          #Log in again to confirm you have the correct tenant id

az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
$tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

更新访问策略和角色分配

现在，保管库已与正确的租户 ID 关联，并且旧的访问策略条目或角色分配已删除，请设置新的访问策略条目或角色分配。

有关添加角色分配，请参阅：

• 使用 Azure 门户分配 Azure 角色
• 使用 Azure CLI 分配 Azure 角色
• 使用 PowerShell 分配 Azure 角色

更新托管标识

如果要传输整个订阅并使用 Azure 资源的托管标识，则还需要将其更新为新的 Microsoft Entra 租户。 有关托管标识的详细信息，请参阅托管标识概述。

如果使用的是托管标识，则还必须更新标识，因为旧标识将不再位于相应的 Microsoft Entra 租户中。 参阅下述有助于解决此问题的文档。

• 更新 MSI
• 将订阅转移到新目录

后续步骤

• 详细了解密钥、机密和证书
• 关于如何解释 Key Vault 日志等概念性信息，请参阅 Key Vault 日志记录
• Key Vault 开发人员指南
• Azure Key Vault 安全功能
• 配置 Azure Key Vault 防火墙和虚拟网络