Déplacement d’un coffre Azure Key Vault vers un nouvel abonnement

Notes

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour bien démarrer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Vue d’ensemble

Important

Le déplacement d’un coffre de clés vers un autre abonnement entraîne un changement radical de votre environnement. Veillez à bien comprendre l’impact de ce changement et suivez attentivement les conseils prodigués dans cet article avant de décider de déplacer le coffre de clés vers un nouvel abonnement. Si vous utilisez des identités de service managées (MSI), lisez les instructions postérieures au déplacement à la fin de ce document.

Azure Key Vault est automatiquement lié à l’ID de locataire Microsoft Entra ID par défaut pour l’abonnement dans lequel il est créé. Vous pouvez trouver l’ID de locataire associé à votre abonnement en suivant ce guide. Toutes les entrées de stratégie d’accès les attributions de rôle sont également liées à cet ID de locataire. Si vous déplacez votre abonnement Azure d’un locataire A vers un locataire B, vos coffres de clés existants ne sont pas accessibles par les principaux du service (utilisateurs et applications) dans le locataire B. Pour résoudre ce problème, vous devez :

Notes

Si Key Vault est créé par l’intermédiaire d’Azure Lighthouse, il est lié à la gestion de l’ID de locataire à la place. Azure Lighthouse est uniquement pris en charge par le modèle d’autorisation de stratégie d’accès de coffre. Pour plus d’informations sur les locataires dans Azure Lighthouse, consultez Locataires, utilisateurs et rôles dans Azure Lighthouse.

  • remplacer l’ID de locataire associé à tous les coffres de clés existants dans l’abonnement par le locataire B ;
  • supprimer toutes les entrées de stratégie d’accès existantes ;
  • ajouter de nouvelles entrées de stratégie d’accès associées au locataire B.

Pour plus d’informations sur Azure Key Vault et Microsoft Entra ID, consultez

Limites

Important

Les coffres de clés utilisés pour le chiffrement de disque ne peuvent pas être déplacés : si vous utilisez un coffre de clés avec le chiffrement de disque pour une machine virtuelle, le coffre de clés ne peut pas être déplacé vers un autre groupe de ressources ou un abonnement lorsque le chiffrement de disque est activé. Vous devez désactiver le chiffrement de disque avant de déplacer le coffre de clés vers un nouveau groupe de ressources ou un nouvel abonnement.

Certains principaux du service (utilisateurs et applications) sont liés à un locataire spécifique. Si vous déplacez votre coffre de clés vers un abonnement dans un autre locataire, vous risquez de ne pas pouvoir restaurer l’accès à un principal du service spécifique. Vérifiez que tous les principaux du service essentiels existent dans le locataire vers lequel vous déplacez votre coffre de clés.

Prérequis

Vous pouvez vérifier les rôles existants à l’aide de Portail Azure, de PowerShell, d’Azure CLI ou de l’API REST.

Déplacement d’un coffre de clés vers un nouvel abonnement

  1. Connectez-vous au portail Azure.
  2. Accédez à votre coffre de clés.
  3. Sélectionnez l’onglet « Vue d’ensemble »
  4. Sélectionnez le bouton « Déplacer ».
  5. Dans la liste déroulante, sélectionnez l’option « Déplacer vers un autre abonnement ».
  6. Sélectionnez le groupe de ressources vers lequel vous souhaitez déplacer votre coffre de clés.
  7. Confirmer la lecture de l’avertissement sur le déplacement des ressources
  8. Sélectionner « OK »

Étapes supplémentaires lorsque l’abonnement est dans un nouveau locataire

Si vous avez déplacé votre abonnement contenant le coffre de clés vers un nouveau locataire, vous devez manuellement mettre à jour l’ID du locataire et supprimer les anciennes stratégies d’accès et attributions de rôle. Voici des didacticiels pour ces étapes dans PowerShell et Azure CLI. Si vous utilisez PowerShell, vous devrez peut-être exécuter la commande Clear-AzContext pour pouvoir visualiser les ressources en dehors de l’étendue sélectionnée actuelle.

Mettre à jour l’ID de locataire dans un coffre de clés

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
$tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Mettre à jour les stratégies d’accès et les attributions de rôles

Notes

Si Key Vault utilise un modèle d’autorisation Azure RBAC. Vous devez également supprimer les attributions de rôle de coffre de clés. Vous pouvez supprimer des attributions de rôles à l’aide de Portail Azure, d’Azure CLI ou de PowerShell.

Maintenant que votre coffre est associé à l’ID de locataire qui convient et que les anciennes entrées de stratégie d’accès ou attributions de rôle sont supprimées, définissez les nouvelles entrées de stratégie d’accès ou attributions de rôle.

Pour attribuer des stratégies, consultez :

Pour ajouter des attributions de rôles, consultez :

Mettre à jour les identités managées

Si vous transférez un abonnement entier et que vous utilisez une identité managée pour les ressources Azure, vous devez également la mettre à jour vers le nouveau locataire Microsoft Entra. Pour plus d’informations sur les identités managées, consultez Vue d’ensemble des identités managées.

Si vous utilisez une identité managée, vous devrez également mettre à jour l’identité, car l’ancienne identité ne se trouvera plus dans le bon locataire Microsoft Entra. Consultez les documents suivants qui vous aideront à résoudre ce problème.

Étapes suivantes