Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
本文概述了阻止导入或导出 Azure 托管磁盘的选项。
自定义角色
若要限制能够使用 Azure RBAC 导入或导出托管磁盘或快照的人数,请创建一个不具有以下权限的 自定义 RBAC 角色:
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/endGetAccess/action
- Microsoft.Compute/snapshots/beginGetAccess/action
- Microsoft.Compute/snapshots/endGetAccess/action
任何没有这些权限的自定义角色都无法上传或下载受管磁盘。
Microsoft Entra 身份验证
如果使用 Microsoft Entra ID 来控制资源访问,还可以使用它来限制上传 Azure 托管磁盘。 当用户尝试上传磁盘时,Azure验证Microsoft Entra ID中请求用户的标识,并确认用户具有所需的权限。 若要了解详细信息,请参阅 Azure 托管磁盘的安全下载和上传。
专用链接
您可以使用专用终结点来限制托管磁盘的上传和下载,并通过 Azure 虚拟网络中的客户端更安全地通过专用链接访问数据。 专用终结点使用来自虚拟网络地址空间的 IP 地址为您的托管磁盘。 客户端在虚拟网络与托管磁盘之间的网络流量仅通过虚拟网络和 Azure 主干网络上的专用链接传输,从而避免了公共互联网的暴露。 使用磁盘访问资源来促进私有链接与磁盘的连接。 有关详细信息,请参阅 门户 或 CLI 文章。
Azure策略
配置 Azure 策略以禁用托管磁盘的公共网络访问。
配置网络访问策略
每个托管磁盘和快照都有自己的 NetworkAccessPolicy 参数,可阻止导出资源。 可以使用 Azure CLI 或 Azure PowerShell 模块将参数设置为 DenyAll,从而阻止导出资源。