マネージド ディスクがインポートまたはエクスポートされる操作を制限する

この記事では、Azure マネージド ディスクがインポートまたはエクスポートされないようにするためのオプションの概要について説明します。

カスタム ロール

Azure RBAC を使用してマネージド ディスクまたはスナップショットをインポートまたはエクスポートできるユーザーの数を制限するには、次のアクセス許可のないカスタム RBAC ロールを作成します。

• Microsoft.Compute/disks/beginGetAccess/action
• Microsoft.Compute/disks/endGetAccess/action
• Microsoft.Compute/snapshots/beginGetAccess/action
• Microsoft.Compute/snapshots/endGetAccess/action

これらのアクセス許可のないカスタム ロールはすべて、マネージド ディスクをアップロードまたはダウンロードできません。

Microsoft Entra 認証

Microsoft Entra ID を使用してリソース アクセスを制御している場合は、それを使用して Azure マネージド ディスクのアップロードを制限することもできるようになりました。 ユーザーがディスクをアップロードしようとすると、Azure により、要求しているユーザーの ID が Microsoft Entra ID で検証されて、ユーザーが必要なアクセス許可を持っていることが確認されます。 詳細については、PowerShell または CLI のどちらかの記事を参照してください。

プライベート リンク

プライベート エンドポイントを使用すると、マネージド ディスクのアップロードやダウンロードを制限したり、Azure 仮想ネットワーク上のクライアントからプライベート リンク経由でデータにより安全にアクセスしたりできます。 プライベート エンドポイントでは、対象のマネージド ディスクのために仮想ネットワークのアドレス空間の IP アドレスが使用されます。 仮想ネットワーク上のクライアントとマネージド ディスク間のネットワーク トラフィックは、仮想ネットワークおよび Microsoft バックボーン ネットワーク上のプライベート リンク経由でのみ送信され、パブリック インターネットから公開されることはなくなります。 詳細については、ポータルまたは CLI のどちらかの記事を参照してください。

Azure ポリシー

マネージド ディスクへのパブリック ネットワーク アクセスを無効にするように Azure Policy を構成します。

ネットワーク アクセス ポリシーを構成する

マネージド ディスクとスナップショットには、それぞれ、リソースがエクスポートされないようにできる独自の NetworkAccessPolicy パラメーターがあります。 Azure CLI または Azure PowerShell モジュールを使用して、このパラメーターを (リソースがエクスポートされないようにする) DenyAll に設定できます。