本文概述了阻止导入或导出Azure托管磁盘的选项。
自定义角色
若要限制可以使用 Azure RBAC 导入或导出托管磁盘或快照的人数,请创建一个没有以下权限的自定义 RBAC 角色:
- Microsoft。计算/磁盘/beginGetAccess/action
- Microsoft/计算/磁盘/endGetAccess/action
- Microsoft。Compute/snapshots/beginGetAccess/action
- Microsoft。Compute/snapshots/endGetAccess/action
任何没有这些权限的自定义角色都无法上传或下载受管磁盘。
Microsoft Entra身份验证
如果使用Microsoft Entra ID来控制资源访问,还可以使用它来限制Azure托管磁盘的上传。 当用户尝试上传磁盘时,Azure验证Microsoft Entra ID中请求用户的标识,并确认用户具有所需的权限。 若要了解详细信息,请参阅 安全下载和上传 Azure 托管磁盘。
专用链接
可以使用专用终结点来限制托管磁盘的上传和下载,并通过Azure虚拟网络上的客户端的专用链接更安全地访问数据。 专用终结点使用来自虚拟网络地址空间的 IP 地址为您的托管磁盘。 其虚拟网络上的客户端与托管磁盘之间的网络流量仅通过虚拟网络和Azure主干网络上的专用链接进行遍历,从而消除了来自公共 Internet 的暴露。 使用磁盘访问资源来促进私有链接与磁盘的连接。 有关详细信息,请参阅 门户 或 CLI 文章。
Azure策略
配置 Azure Policy以禁用对托管磁盘的公共网络访问。
配置网络访问策略
每个托管磁盘和快照都有自己的 NetworkAccessPolicy 参数,可阻止导出资源。 可以使用 Azure CLI 或 Azure PowerShell 模块将参数设置为 DenyAll,从而阻止导出资源。