限制导入或导出托管磁盘

本文概述了用于阻止导入或导出 Azure 托管磁盘的选项。

若要限制可以使用 Azure RBAC 导入或导出托管磁盘或快照的人数，请创建不具有以下权限的自定义 RBAC 角色：

• Microsoft.Compute/disks/beginGetAccess/action
• Microsoft.Compute/disks/endGetAccess/action
• Microsoft.Compute/snapshots/beginGetAccess/action
• Microsoft.Compute/snapshots/endGetAccess/action

任何没有这些权限的自定义角色都无法上传或下载托管磁盘。

如果使用 Microsoft Entra ID 控制资源访问，还可使用它来限制 Azure 托管磁盘的上传。 当用户尝试上传磁盘时，Azure 会在 Microsoft Entra ID 中验证发出请求的用户的标识，并确认该用户具有所需的权限。 若要了解详细信息，请参阅 PowerShell 或 CLI 文章。

你可以使用专用终结点来限制托管磁盘的上传和下载，并在 Azure 虚拟网络上通过专用链接更安全地从客户端访问数据。 专用终结点将虚拟网络地址空间中的 IP 地址用于托管磁盘。 虚拟网络上的客户端与托管磁盘之间的网络流量仅穿过虚拟网络以及 Azure 主干网络上的专用链接，因此不会在公共 Internet 中公开。 要了解详细信息，请查看门户。

配置 Azure Policy 以禁用对托管磁盘的公共网络访问。

每个托管磁盘和快照都有自己的 NetworkAccessPolicy 参数，可阻止导出资源。 你可以使用 Azure CLI 或 Azure PowerShell 模块将该参数设置为“DenyAll”，从而阻止导出资源。