Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece uma visão geral de suas opções para impedir que seus discos gerenciados do Azure sejam importados ou exportados.
Função personalizada
Para limitar o número de pessoas que podem importar ou exportar discos geridos ou instantâneos usando o RBAC do Azure, crie uma função RBAC personalizada que não tenha as seguintes permissões:
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/endGetAccess/action
- Microsoft.Compute/snapshots/beginGetAccess/action
- Microsoft.Compute/snapshots/endGetAccess/action
Qualquer função personalizada sem essas permissões não pode carregar ou baixar discos gerenciados.
Autenticação do Microsoft Entra
Se estiver a utilizar o Microsoft Entra ID para controlar o acesso a recursos, também pode utilizá-lo para restringir o carregamento de discos geridos do Azure. Quando um usuário tenta carregar um disco, o Azure valida a identidade do usuário solicitante na ID do Microsoft Entra e confirma que o usuário tem as permissões necessárias. Para saber mais, consulte os artigos de PowerShell ou de CLI.
Ligações privadas
Você pode usar pontos de extremidade privados para restringir o carregamento e o download de discos gerenciados e acessar dados com mais segurança por meio de um link privado de clientes em sua rede virtual do Azure. O ponto de extremidade privado usa um endereço IP do espaço de endereço de rede virtual para seus discos gerenciados. O tráfego de rede entre clientes em sua rede virtual e discos gerenciados atravessa apenas a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição da Internet pública. Use um recurso de acesso ao disco para facilitar as conexões de link privado com os seus discos. Para obter detalhes, consulte os artigos do portal ou da CLI .
Política do Azure
Configure a Política do Azure para desativar o acesso de rede pública aos seus discos geridos.
Configurar a política de acesso à rede
Cada disco gerido e cópia instantânea tem o seu próprio parâmetro NetworkAccessPolicy que pode impedir que o recurso seja exportado. Você pode usar a CLI do Azure ou o módulo Azure PowerShell para definir o parâmetro como DenyAll, que impede a exportação do recurso.