本文概述了阻止导入或导出Azure managed disks的选项。
自定义角色
若要限制能够使用 Azure RBAC 导入或导出托管磁盘或快照的人数,请创建一个不具有以下权限的 自定义 RBAC 角色:
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/endGetAccess/action
- Microsoft.Compute/snapshots/beginGetAccess/action
- Microsoft.Compute/snapshots/endGetAccess/action
任何没有这些权限的自定义角色都无法上传或下载受管磁盘。
Microsoft Entra 身份验证
如果使用Microsoft Entra ID控制资源访问,还可以使用它来限制上传Azure托管磁盘。 当用户尝试上传磁盘时,Azure验证Microsoft Entra ID中请求用户的标识,并确认用户具有所需的权限。 若要了解详细信息,请参阅 Azure 管理磁盘的安全下载和上传。
专用链接
您可以使用专用终结点来限制托管磁盘的上传和下载,并通过 Azure 虚拟网络中的客户端更安全地通过专用链接访问数据。 专用终结点使用来自虚拟网络地址空间的 IP 地址为您的托管磁盘。 客户端在虚拟网络与托管磁盘之间的网络流量仅通过虚拟网络和 Azure 主干网络上的专用链接传输,从而避免了公共互联网的暴露。 使用磁盘访问资源来促进私有链接与磁盘的连接。 有关详细信息,请参阅 门户 或 CLI 文章。
Azure policy
配置 Azure 策略以禁用托管磁盘的公共网络访问。
配置网络访问策略
每个托管磁盘和快照都有自己的 NetworkAccessPolicy 参数,可阻止导出资源。 可以使用 Azure CLI 或 Azure PowerShell 模块将参数设置为 DenyAll,从而阻止导出资源。