将 Azure 资源托管标识重定位到另一区域

出于多种原因，你可能希望将现有 Azure 资源从一个区域移到另一个区域。 你可以采取以下建议：

• 利用新的 Azure 区域。
• 部署仅在特定区域可用的功能和服务。
• 满足内部策略和治理要求。
• 与公司合并和收购保持一致
• 满足容量计划要求。

不支持跨 Azure 区域移动用户分配的托管标识。 但你可以在目标区域中重新创建用户分配的托管标识。

先决条件

Azure 资源托管标识是 Azure Entra ID 的一项功能。 支持 Azure 资源托管标识的每个 Azure 服务都受其自己的时间线限制。

• 请务必查看资源托管标识的可用性状态

• 了解 Azure 资源托管标识的已知问题。

• 使用要移动的托管标识所使用的 Azure 服务创建依赖项映射。 对于重定位范围内的服务，必须选择适当的重定位策略。

• 列出授予现有用户分配的托管标识的权限的权限。

• 授予新用户分配的托管标识所需的权限的权限。

• 向 Azure 资源分配新的用户分配标识的权限。

• 如果用户分配的托管标识是一个或多个组的成员，则是编辑组成员身份的权限。

停机时间

若要了解可能涉及的停机，请参阅适用于 Azure 的云采用框架：选择迁移方法。

准备并移动

1. 复制由用户分配的托管标识分配的权限。 可以列出 Azure 角色分配，但这可能不够，具体取决于如何授予用户分配的托管标识的权限。 应确认解决方案不依赖于使用服务特定选项授予的权限。
2. 在目标区域创建新的用户分配的托管标识。
3. 授予托管标识与其要替换的原始标识相同的权限，包括组成员身份。 可以查看将 Azure 角色分配到托管标识和组成员身份。
4. 在使用新创建的用户分配的托管标识的资源实例的属性中指定新标识。

验证

重新配置服务以在目标区域中使用新的托管标识后，必须确认所有操作均已还原。

清理

确认服务重新联机后，可以继续删除源区域中不再使用的任何资源。

后续步骤

• 管理用户分配的托管标识