Dela via

Begränsa att hanterade diskar importeras eller exporteras

  • Artikel

Den här artikeln innehåller en översikt över dina alternativ för att förhindra att dina Hanterade Azure-diskar importeras eller exporteras.

Anpassad roll

Om du vill begränsa antalet personer som kan importera eller exportera hanterade diskar eller ögonblicksbilder med hjälp av Azure RBAC skapar du en anpassad RBAC-roll som inte har följande behörigheter:

  • Microsoft.Compute/disks/beginGetAccess/action
  • Microsoft.Compute/disks/endGetAccess/action
  • Microsoft.Compute/snapshots/beginGetAccess/action
  • Microsoft.Compute/snapshots/endGetAccess/action

Alla anpassade roller utan dessa behörigheter kan inte ladda upp eller ladda ned hanterade diskar.

Microsoft Entra-autentisering

Om du använder Microsoft Entra-ID för att styra resursåtkomst kan du också använda det för att begränsa uppladdningen av Azure-hanterade diskar. När en användare försöker ladda upp en disk verifierar Azure identiteten för den begärande användaren i Microsoft Entra-ID och bekräftar att användaren har de behörigheter som krävs. Mer information finns i powershell - eller CLI-artiklarna .

Du kan använda privata slutpunkter för att begränsa uppladdning och nedladdning av hanterade diskar och få säkrare åtkomst till data via en privat länk från klienter i ditt virtuella Azure-nätverk. Den privata slutpunkten använder en IP-adress från det virtuella nätverkets adressutrymme för dina hanterade diskar. Nätverkstrafik mellan klienter i deras virtuella nätverk och hanterade diskar passerar bara över det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet. Mer information finns i antingen portalen eller CLI-artiklarna.

Azure-policy

Konfigurera en Azure Policy för att inaktivera åtkomsten till det offentliga nätverket till dina hanterade diskar.

Konfigurera principen för nätverksåtkomst

Varje hanterad disk och ögonblicksbild har en egen NetworkAccessPolicy-parameter som kan förhindra att resursen exporteras. Du kan använda Azure CLI - eller Azure PowerShell-modulen för att ange parametern till DenyAll, vilket förhindrar att resursen exporteras.