Udostępnij za pośrednictwem

Ogranicz importowanie lub eksportowanie dysków zarządzanych

  • Artykuł

Ten artykuł zawiera omówienie opcji uniemożliwiających importowanie lub eksportowanie dysków zarządzanych platformy Azure.

Rola niestandardowa

Aby ograniczyć liczbę osób, które mogą importować lub eksportować dyski zarządzane lub migawki przy użyciu kontroli dostępu opartej na rolach platformy Azure, utwórz niestandardową rolę RBAC, która nie ma następujących uprawnień:

  • Microsoft.Compute/disks/beginGetAccess/action
  • Microsoft.Compute/disks/endGetAccess/action
  • Microsoft.Compute/snapshots/beginGetAccess/action
  • Microsoft.Compute/snapshots/endGetAccess/action

Każda rola niestandardowa bez tych uprawnień nie może przekazywać ani pobierać dysków zarządzanych.

Uwierzytelnianie Microsoft Entra

Jeśli używasz identyfikatora Entra firmy Microsoft do kontrolowania dostępu do zasobów, możesz również użyć go do ograniczenia przekazywania dysków zarządzanych platformy Azure. Gdy użytkownik próbuje przekazać dysk, platforma Azure weryfikuje tożsamość żądanego użytkownika w identyfikatorze Entra firmy Microsoft i potwierdza, że użytkownik ma wymagane uprawnienia. Aby dowiedzieć się więcej, zobacz artykuły programu PowerShell lub interfejsu wiersza polecenia .

Za pomocą prywatnych punktów końcowych można ograniczyć przekazywanie i pobieranie dysków zarządzanych oraz bezpieczniej uzyskiwać dostęp do danych za pośrednictwem łącza prywatnego od klientów w sieci wirtualnej platformy Azure. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej dla dysków zarządzanych. Ruch sieciowy między klientami w sieci wirtualnej i dyskach zarządzanych przechodzi tylko przez sieć wirtualną i łącze prywatne w sieci szkieletowej firmy Microsoft, eliminując narażenie z publicznego Internetu. Aby dowiedzieć się więcej, zobacz artykuły dotyczące portalu lub interfejsu wiersza polecenia.

Azure Policy

Skonfiguruj usługę Azure Policy , aby wyłączyć dostęp do sieci publicznej na dyskach zarządzanych.

Konfigurowanie zasad dostępu do sieci

Każdy dysk zarządzany i migawka ma własny parametr NetworkAccessPolicy, który może uniemożliwić eksportowanie zasobu. Możesz użyć interfejsu wiersza polecenia platformy Azure lub modułu Azure PowerShell, aby ustawić parametr na DenyAll, co uniemożliwia eksportowanie zasobu.