مشاركة عبر


تقييد استيراد الأقراص المدارة أو تصديرها

توفر هذه المقالة نظرة عامة على خياراتك لمنع استيراد الأقراص المدارة من Azure أو تصديرها.

دور مخصص

للحد من عدد الأشخاص الذين يمكنهم استيراد الأقراص أو اللقطات المدارة أو تصديرها باستخدام Azure RBAC، قم بإنشاء دور RBAC مخصص لا يملك الأذونات التالية:

  • Microsoft.Compute/disks/beginGetAccess/action
  • Microsoft.Compute/disks/endGetAccess/action
  • Microsoft.Compute/snapshots/beginGetAccess/action
  • Microsoft.Compute/snapshots/endGetAccess/action

لا يمكن لأي دور مخصص بدون هذه الأذونات تحميل الأقراص المدارة أو تنزيلها.

مصادقة Microsoft Entra

إذا كنت تستخدم معرف Microsoft Entra للتحكم في الوصول إلى الموارد، يمكنك أيضا استخدامه لتقييد تحميل الأقراص المدارة من Azure. عندما يحاول مستخدم تحميل قرص، يتحقق Azure من هوية المستخدم الطالب في معرف Microsoft Entra، ويؤكد أن المستخدم لديه الأذونات المطلوبة. لمعرفة المزيد، راجع مقالات PowerShell أو CLI .

يمكنك استخدام نقاط النهاية الخاصة لتقييد تحميل وتنزيل الأقراص المدارة والوصول إلى البيانات بشكل أكثر أمانا عبر ارتباط خاص من العملاء على شبكة Azure الظاهرية. تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان الشبكة الظاهرية للأقراص المدارة. استخدام الشبكة بين العملاء على الشبكة الافتراضية والأقراص المدارة فقط عبر الشبكة الظاهرية ورابط خاص على شبكة Microsoft الأساسية، مما يلغي التعرض من الإنترنت العام. لمعرفة المزيد، راجع إما مقالات المدخل أو CLI .

Azure Policy

تكوين نهج Azure لتعطيل الوصول إلى الشبكة العامة إلى الأقراص المدارة.

تكوين نهج الوصول إلى الشبكة

يحتوي كل قرص مدار ولقطة على معلمة NetworkAccessPolicy الخاصة به التي يمكن أن تمنع تصدير المورد. يمكنك استخدام الوحدة النمطية Azure CLI أو Azure PowerShell لتعيين المعلمة إلى DenyAll، مما يمنع تصدير المورد.