Поделиться через

Ограничение импорта или экспорта управляемых дисков

  • Статья

В этой статье приведен обзор вариантов предотвращения импорта или экспорта управляемых дисков Azure.

Настраиваемая роль

Чтобы ограничить количество пользователей, которые могут импортировать или экспортировать управляемые диски или моментальные снимки с помощью Azure RBAC, создайте пользовательскую роль RBAC, которая не имеет следующих разрешений:

  • Microsoft.Compute/disks/beginGetAccess/action
  • Microsoft.Compute/disks/endGetAccess/action
  • Microsoft.Compute/snapshots/beginGetAccess/action
  • Microsoft.Compute/snapshots/endGetAccess/action

Любая пользовательская роль без этих разрешений не может отправлять или скачивать управляемые диски.

Проверка подлинности Microsoft Entra

Если вы используете идентификатор Microsoft Entra для управления доступом к ресурсам, вы также можете использовать его для ограничения отправки управляемых дисков Azure. Когда пользователь пытается отправить диск, Azure проверяет удостоверение запрашивающего пользователя в идентификаторе Microsoft Entra и подтверждает, что у пользователя есть необходимые разрешения. Дополнительные сведения см. в статьях PowerShell или CLI .

Частные конечные точки можно использовать для ограничения отправки и скачивания управляемых дисков и более безопасного доступа к данным через приватный канал от клиентов в виртуальной сети Azure. Частная конечная точка использует для управляемых дисков IP-адрес из адресного пространства виртуальной сети. Сетевой трафик между клиентами в виртуальной сети и управляемыми дисками проходит через виртуальную сеть и приватный канал в магистральной сети Майкрософт, что позволяет избежать рисков, связанных с использованием общедоступного Интернета. Дополнительные сведения см. в статьях портала или CLI .

Политика Azure

Настройте Политика Azure, чтобы отключить доступ к управляемым дискам общедоступной сети.

Настройка политики доступа к сети

Каждый управляемый диск и моментальный снимок имеет собственный параметр NetworkAccessPolicy, который может предотвратить экспорт ресурса. Вы можете использовать модуль Azure CLI или Azure PowerShell для задания параметра DenyAll, что предотвращает экспорт ресурса.