本文提供防止 Azure 受控磁碟匯入或匯出的選項概觀。
自訂角色
若要限制可以使用 Azure RBAC 匯入或匯出受控磁碟或快照集的人員數目,請建立沒有下列權限的自訂 RBAC 角色:
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/endGetAccess/action
- Microsoft.Compute/snapshots/beginGetAccess/action
- Microsoft.Compute/snapshots/endGetAccess/action
任何沒有這些權限的自訂角色都無法上傳或下載受控磁碟。
Microsoft Entra 驗證
如果您使用 Microsoft Entra ID 來控制資源存取,您也可使用此項目來限制 Azure 受控磁碟的上傳作業。 當使用者嘗試上傳磁碟時,Azure 會驗證 Microsoft Entra ID 中要求使用者的身分識別,並確認使用者具有必要的權限。 若要深入了解,請參閱 PowerShell 或 CLI 文章。
私人連結
您可以使用私人端點來限制受控磁碟的匯出和匯入,並透過 Azure 虛擬網路上用戶端的私人連結更安全地存取資料。 私人端點會使用來自虛擬網路位址空間的 IP 位址來處理您的受控磁碟。 虛擬網路上的用戶端與受控磁碟之間的網路流量僅會流經虛擬網路和 Microsoft 骨幹網路上的私人連結,以排除公開網際網路的風險。 使用磁碟存取資源來促使私人連結與您的磁碟建立連線。 如需詳細資訊,請參閱 入口網站 或 CLI 文章。
Azure 原則
設定 Azure 原則,以停用對受控磁碟的公用網路存取。
設定網路存取原則
每個受控磁碟和快照集都有自己的 NetworkAccessPolicy 參數,可防止資源匯出。 您可以使用 Azure CLI 或 Azure PowerShell 模組,將參數設定為 DenyAll,以防止匯出資源。