Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma visão geral das suas opções para impedir que seus discos gerenciados do Azure sejam importados ou exportados.
Função personalizada
Para limitar o número de pessoas que podem importar ou exportar discos gerenciados ou instantâneos usando o RBAC do Azure, crie uma função RBAC personalizada que não tenha as seguintes permissões:
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/endGetAccess/action
- Microsoft.Compute/snapshots/beginGetAccess/action
- Microsoft.Compute/snapshots/endGetAccess/action
Qualquer função personalizada sem essas permissões não pode carregar ou baixar discos gerenciados.
autenticação do Microsoft Entra
Se você estiver usando o Microsoft Entra ID para controlar o acesso a recursos, também poderá usá-lo para restringir o upload de discos gerenciados do Azure. Quando um usuário tenta carregar um disco, o Azure valida a identidade do usuário solicitante no Microsoft Entra ID e confirma que o usuário tem as permissões necessárias. Para saber mais, consulte o artigo sobre o PowerShell ou CLI.
Links privados
Você pode usar pontos de extremidade privados para restringir o upload e o download de discos gerenciados e acessar dados com mais segurança por um link privado de clientes na sua rede virtual do Azure. O ponto de extremidade privado usa um endereço IP do espaço de endereço de rede virtual nos discos gerenciados. O tráfego de rede entre os clientes na rede virtual e os discos gerenciados atravessa somente a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição na Internet pública. Utilize um recurso para acesso a disco que facilite as conexões de link privado aos seus discos. Para obter detalhes, consulte os artigos do portal ou da CLI .
Azure Policy
Configure um Azure Policy para desabilitar o acesso à rede pública aos seus discos gerenciados.
Configurar a política de acesso à rede
Cada disco e instantâneo gerenciado tem seu próprio parâmetro NetworkAccessPolicy que pode impedir que o recurso seja exportado. Você pode usar a CLI do Azure ou o módulo do Azure PowerShell para definir o parâmetro como DenyAll, o que impede que o recurso seja exportado.