Impedir que discos gerenciados sejam importados ou exportados
Este artigo fornece uma visão geral de suas opções para impedir que seus discos gerenciados do Azure sejam importados ou exportados.
Função personalizada
Para limitar o número de pessoas que podem importar ou exportar discos gerenciados ou instantâneos usando o RBAC do Azure, crie uma função RBAC personalizada que não tenha as seguintes permissões:
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/endGetAccess/action
- Microsoft.Compute/snapshots/beginGetAccess/action
- Microsoft.Compute/snapshots/endGetAccess/action
Qualquer função personalizada sem essas permissões não pode carregar ou baixar discos gerenciados.
Autenticação do Microsoft Entra
Se estiver a utilizar o Microsoft Entra ID para controlar o acesso a recursos, também pode utilizá-lo para restringir o carregamento de discos geridos do Azure. Quando um usuário tenta carregar um disco, o Azure valida a identidade do usuário solicitante na ID do Microsoft Entra e confirma que o usuário tem as permissões necessárias. Para saber mais, consulte os artigos do PowerShell ou da CLI.
Ligações privadas
Você pode usar pontos de extremidade privados para restringir o carregamento e o download de discos gerenciados e acessar dados com mais segurança por meio de um link privado de clientes em sua rede virtual do Azure. O ponto de extremidade privado usa um endereço IP do espaço de endereço de rede virtual para seus discos gerenciados. O tráfego de rede entre clientes em sua rede virtual e discos gerenciados atravessa apenas a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição da Internet pública. Para saber mais, consulte os artigos do portal ou da CLI.
Azure policy
Configure uma Política do Azure para desabilitar o acesso de rede pública aos seus discos gerenciados.
Configurar a política de acesso à rede
Cada disco gerenciado e instantâneo tem seu próprio parâmetro NetworkAccessPolicy que pode impedir que o recurso seja exportado. Você pode usar a CLI do Azure ou o módulo do Azure PowerShell para definir o parâmetro como DenyAll, o que impede que o recurso seja exportado.