Partager via

Restreindre l’importation ou l’exportation des disques managés

  • Article

Cet article fournit une vue d’ensemble des options permettant d’empêcher l’importation ou l’exportation de vos disques managés Azure.

Rôle personnalisé

Pour limiter le nombre de personnes qui peuvent importer ou exporter des disques managés ou des captures instantanées à l’aide d’Azure RBAC, créez un rôle RBAC personnalisé qui ne dispose pas des autorisations suivantes :

  • Microsoft.Compute/disks/beginGetAccess/action
  • Microsoft.Compute/disks/endGetAccess/action
  • Microsoft.Compute/snapshots/beginGetAccess/action
  • Microsoft.Compute/snapshots/endGetAccess/action

Tout rôle personnalisé sans ces autorisations ne peut pas charger ou télécharger des disques managés.

Authentification Microsoft Entra

Si vous utilisez Microsoft Entra ID pour contrôler l’accès aux ressources, vous pouvez également l’utiliser pour restreindre le chargement de disques managés Azure. Quand un utilisateur tente de charger un disque, Azure valide l’identité de l’utilisateur demandeur dans Microsoft Entra ID et confirme que l’utilisateur dispose des autorisations requises. Pour plus d’informations, consultez l’article relatif à PowerShell ou à CLI.

Vous pouvez utiliser des points de terminaison privés pour restreindre le chargement et le téléchargement de disques managés, et accéder de manière plus sécurisée aux données via une liaison privée à partir des clients de votre réseau virtuel Azure. Le point de terminaison privé utilise une adresse IP de l’espace d’adressage du réseau virtuel pour vos disques managés. Le trafic réseau entre clients sur leurs réseau virtuel et disques managés transite uniquement sur le réseau virtuel et une liaison privée sur le réseau principal de Microsoft, éliminant ainsi toute exposition à partir de l’Internet public. Pour plus d’informations, consultez l’article relatif à portail ou à CLI.

Stratégie Azure

Configurez un Azure Policy pour désactiver l’accès réseau public à vos disques managés.

Configurer la stratégie d’accès réseau

Chaque disque managé et capture instantanée possède son propre paramètre NetworkAccessPolicy qui peut empêcher l’exportation de la ressource. Vous pouvez utiliser Azure CLI ou le module Azure PowerShell pour définir le paramètre sur DenyAll, ce qui empêche l’exportation de la ressource.