安全下载和上传 Azure 托管磁盘

如果使用 Microsoft Entra ID 来控制资源访问，还可以使用它来限制 Azure 托管磁盘的上传和下载。当用户尝试上传或下载磁盘时，Azure验证Microsoft Entra ID中请求用户的标识，并确认用户具有所需的权限。如果用户没有所需的权限，则无法上传或下载托管磁盘。

在更高级别，系统管理员可以在Azure帐户或订阅级别设置策略，以确保所有磁盘和快照都必须使用Microsoft Entra ID进行上传或下载。如果在使用 Microsoft Entra ID 保护上传或下载方面有任何疑问，请联系：azuredisks@microsoft .com。

Restrictions

虚拟硬盘 (VHD) 无法上传到空快照。
Azure Backup目前不支持使用 Microsoft Entra ID 保护的磁盘。
Azure Site Recovery目前不支持使用 Microsoft Entra ID 保护的磁盘。

先决条件

安装最新的 Azure PowerShell 模块或 latest Azure CLI。

分配 RBAC 角色

若要访问由 Microsoft Entra ID 保护的托管磁盘，用户必须具有托管磁盘数据操作员角色或具有以下权限的自定义角色：

Microsoft.Compute/disks/download/action
Microsoft.Compute/disks/upload/action
Microsoft.Compute/snapshots/download/action
Microsoft.Compute/snapshots/upload/action

有关分配角色的详细步骤，请参阅以下文章，了解 portal、PowerShell 或 CLI。若要创建或更新自定义角色，请参阅以下文章，了解 portal、PowerShell 或 CLI。

将访问限制到单个磁盘

若要将access限制为单个磁盘，请在该磁盘上启用 data access 身份验证模式。

可以在创建磁盘时启用此设置，也可以在现有磁盘的“设置”下的“磁盘导出”页上启用此设置。

磁盘数据访问身份验证模式复选框的截图，勾选复选框以限制对磁盘的访问，并保存更改。

将dataAccessAuthMode设置为"AzureActiveDirectory"，以便在磁盘被保护时进行下载。使用以下脚本更新现有磁盘。在运行脚本之前替换-ResourceGroupName和-DiskName的值。

New-AzDiskUpdateConfig -DataAccessAuthMode "AzureActiveDirectory" | Update-AzDisk -ResourceGroupName 'yourResourceGroupName' -DiskName 'yourDiskName"

将dataAccessAuthMode设置为"AzureActiveDirectory"，以便在磁盘被保护时进行下载。使用以下脚本更新现有磁盘。在运行脚本之前替换--resource-group和--Name的值。

az disk update --name yourDiskName --resource-group yourResourceGroup --data-access-auth-mode AzureActiveDirectory

分配 Azure 策略

还可以分配带有修正任务的 Azure 策略。具有修正任务的策略会持续审核资源，并在其中任何一项不合规时通知你。你分配的内置策略定义是在 导出或上传到磁盘或快照时，使用身份验证要求保护数据。若要了解如何分配Azure policy，请参阅 Azure portal、Azure CLI 或 Azure PowerShell 模块文章。

后续步骤

Last updated on 2026-03-10

Compartir a través de