Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje přehled možností, jak zabránit importu nebo exportu spravovaných disků Azure.
Vlastní role
Pokud chcete omezit počet lidí, kteří můžou importovat nebo exportovat spravované disky nebo snímky pomocí Azure RBAC, vytvořte vlastní roli RBAC , která nemá následující oprávnění:
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/endGetAccess/action
- Microsoft.Compute/snapshots/beginGetAccess/action
- Microsoft.Compute/snapshots/endGetAccess/action
Žádná vlastní role bez těchto oprávnění nemůže nahrávat ani stahovat spravované disky.
Ověřovací systém Microsoft Entra
Pokud k řízení přístupu k prostředkům používáte Microsoft Entra ID, můžete ho také použít k omezení nahrávání spravovaných disků Azure. Když se uživatel pokusí nahrát disk, Azure ověří identitu žádajícího uživatele v ID Microsoft Entra a potvrdí, že má uživatel požadovaná oprávnění. Další informace najdete v článcích o PowerShellu a rozhraní příkazového řádku.
Privátní propojení
Privátní koncové body můžete použít k omezení nahrávání a stahování spravovaných disků a bezpečnějšímu přístupu k datům přes privátní propojení z klientů ve vaší virtuální síti Azure. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro vaše spravované disky. Síťový provoz mezi klienty ve své virtuální síti a spravovanými disky prochází pouze přes virtuální síť a privátní propojení v páteřní síti Microsoftu, čímž se eliminuje vystavení z veřejného internetu. Pomocí prostředku přístupu k disku můžete usnadnit připojení privátního propojení k vašim diskům. Podrobnosti najdete v článcích portál nebo rozhraní příkazového řádku.
Azure Policy
Nakonfigurujte službu Azure Policy tak, aby zakázala přístup k vašim spravovaným diskům ve veřejné síti.
Konfigurace zásad přístupu k síti
Každý spravovaný disk a snímek má vlastní parametr NetworkAccessPolicy, který může zabránit exportu prostředku. Pomocí Azure CLI nebo modulu Azure PowerShell můžete nastavit parametr DenyAll, což brání exportu prostředku.