安全下载和上传 Azure 托管磁盘

如果使用 Microsoft Entra ID 来控制资源访问，还可以使用它来限制 Azure 托管磁盘的上传和下载。当用户尝试上传或下载磁盘时，Azure 会在 Microsoft Entra ID 中验证请求用户的标识，并确认用户具有所需的权限。如果用户没有所需的权限，则无法上传或下载托管磁盘。

在更高级别，系统管理员可以在 Azure 帐户或订阅级别设置策略，以确保所有磁盘和快照都必须使用 Microsoft Entra ID 进行上传或下载。如果在使用 Microsoft Entra ID 保护上传或下载方面有任何疑问，请联系：azuredisks@microsoft .com。

Restrictions

虚拟硬盘 (VHD) 无法上传到空快照。
Azure 备份目前不支持使用 Microsoft Entra ID 保护的磁盘。
Azure Site Recovery 目前不支持使用 Microsoft Entra ID 保护的磁盘。

先决条件

安装最新的 Azure PowerShell 模块或最新的 Azure CLI。

分配 RBAC 角色

若要访问使用 Microsoft Entra ID 保护的托管磁盘，用户必须具有托管磁盘的数据角色或具有以下权限的自定义角色：

Microsoft.Compute/disks/download/action
Microsoft.Compute/disks/upload/action
Microsoft.Compute/snapshots/download/action
Microsoft.Compute/snapshots/upload/action

有关分配角色的详细步骤，请参阅以下有关门户、 PowerShell 或 CLI 的文章。若要创建或更新自定义角色，请参阅以下有关门户、 PowerShell 或 CLI 的文章。

限制对单个磁盘的访问

若要限制对单个磁盘的访问，请对该磁盘启用 数据访问身份验证模式 。

可以在创建磁盘时启用此设置，也可以在现有磁盘的“设置”下的“磁盘导出”页上启用此设置。

将dataAccessAuthMode设置为"AzureActiveDirectory"，以便在磁盘被保护时进行下载。使用以下脚本更新现有磁盘。在运行脚本之前替换-ResourceGroupName和-DiskName的值。

New-AzDiskUpdateConfig -DataAccessAuthMode "AzureActiveDirectory" | Update-AzDisk -ResourceGroupName 'yourResourceGroupName' -DiskName 'yourDiskName"

将dataAccessAuthMode设置为"AzureActiveDirectory"，以便在磁盘被保护时进行下载。使用以下脚本更新现有磁盘。在运行脚本之前替换--resource-group和--Name的值。

az disk update --name yourDiskName --resource-group yourResourceGroup --data-access-auth-mode AzureActiveDirectory

分配 Azure 策略

还可以分配包含修正任务的 Azure 策略。具有修正任务的策略会持续审核资源，并在其中任何一项不合规时通知你。你分配的内置策略定义是在 导出或上传到磁盘或快照时，使用身份验证要求保护数据。若要了解如何分配 Azure 策略，请参阅 Azure 门户、 Azure CLI 或 Azure PowerShell 模块文章。

后续步骤

Last updated on 2026-02-28