你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 IaC 模板启用和配置 Defender for Storage

建议在订阅级别启用 Microsoft Defender for Storage。这样做有助于确保订阅中当前的所有存储帐户都受到保护。在您已在订阅级别启用 Defender for Storage 后创建的新存储帐户，其保护将在创建后最多 24 小时内开始。

提示

始终可以使用与订阅级别配置的设置不同的自定义设置来配置特定的存储帐户。也就是说，可以替代订阅级设置。

在订阅上启用
在存储帐户上启用

Terraform 模板

若要使用 Terraform 在订阅级别启用和配置 Defender for Storage，可以使用以下代码片段：

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "10000"
      BlobScanResultsOptions = "BlobIndexTags"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

通过自定义此代码，可以：

修改恶意软件扫描的每月上限：将 CapGBPerMonthPerStorageAccount 参数调整为首选值。此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。如果要允许无限制的扫描，请分配该值 -1。默认限制为 10,000 GB。
关闭上传的恶意软件扫描或敏感数据威胁检测功能：从 Terraform 代码中删除相应的扩展块。
禁用整个 Defender for Storage 计划：将 tier 属性值 "Free"设置为，然后删除 subPlan 和 extension 属性。

若要了解有关资源的详细信息 azurerm_security_center_subscription_pricing ，请参阅其 Terraform 文档。还可以在 Terraform AzureRM 文档中查找有关适用于 Azure 的 Terraform 提供程序的综合详细信息。

Bicep 模板

若要使用 Bicep 在订阅级别启用和配置 Defender for Storage，请确保目标范围设置为 subscription。将以下代码添加到 Bicep 模板：

targetScope = 'subscription'

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '10000'
          BlobScanResultsOptions: 'BlobIndexTags'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

通过自定义此代码，可以：

修改恶意软件扫描的每月上限：将 CapGBPerMonthPerStorageAccount 参数调整为首选值。此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。如果要允许无限制的扫描，请分配该值 -1。默认限制为 10,000 GB。
关闭上传时的恶意软件扫描或敏感数据威胁检测功能：将 isEnabled 的值更改为 False 在 SensitiveDataDiscovery 下。
禁用整个 Defender for Storage 计划：将 pricingTier 属性值 Free设置为，然后删除 subPlan 和 extensions 属性。

在 Microsoft.Security 定价说明文档中了解更多关于 Bicep 模板的信息。

Azure 资源管理器模板

若要使用 Azure 资源管理器模板（ARM 模板）在订阅级别启用和配置 Defender for Storage，请将此 JSON 代码片段添加到 resources ARM 模板的部分：

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "10000",
                    "BlobScanResultsOptions": "BlobIndexTags"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

通过自定义此代码，可以：

修改恶意软件扫描的每月上限：将 CapGBPerMonthPerStorageAccount 参数调整为首选值。此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。如果要允许无限制的扫描，请分配该值 -1。默认限制为 10,000 GB。
关闭上传时的恶意软件扫描或敏感数据威胁检测功能：将 isEnabled 的值更改为 False 在 SensitiveDataDiscovery 下。
禁用整个 Defender for Storage 计划：将 pricingTier 属性值 Free设置为，然后删除 subPlan 和 extension 属性。

在 Microsoft.Security 定价文档中详细了解 ARM 模板。

Terraform 模板

若要使用 Terraform 在存储帐户级别启用和配置 Defender for Storage，请导入 AzAPI 提供程序并使用以下代码片段：

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 10000
          blobScanResultsOptions = BlobIndexTags
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

在此代码中，azapi_resource_action 是一个与 Defender for Storage 配置相关的动作。它不同于 Terraform 中的典型资源声明。它用于对资源执行特定作，例如启用或禁用功能。

通过自定义此代码，可以：

修改恶意软件扫描的每月上限：将 capGBPerMonth 参数调整为首选值。此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。如果要允许无限制的扫描，请分配该值 -1。默认限制为 10,000 GB。
关闭上传时的恶意软件扫描或敏感数据威胁检测功能：在或isEnabled属性的节中，将False值更改为malwareScanning。

禁用整个 Defender for Storage 计划：使用以下代码片段：

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "disable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = false
      overrideSubscriptionLevelSettings = false
    }
  })
}

如果希望在订阅级别启用了 Defender for Storage 的情况下禁用某个存储帐户的 Defender for Storage 计划，可以将值 overrideSubscriptionLevelSettings 更改为 True。如果要启用一些功能，可以相应地修改属性。

若要进一步自定义和控制存储帐户的安全设置，请参阅 Microsoft.Security/defenderForStorageSettings API 文档。还可以在 Terraform AzureRM 文档中查找有关适用于 Azure 的 Terraform 提供程序的综合详细信息。

Bicep 模板

若要使用 Bicep 在存储帐户级别启用和配置 Defender for Storage，请将以下代码添加到 Bicep 模板：

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 10000
        blobScanResultsOptions: BlobIndexTags
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

通过自定义此代码，可以：

修改恶意软件扫描的每月上限：将 capGBPerMonth 参数调整为首选值。此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。如果要允许无限制的扫描，请分配该值 -1。默认限制为 10,000 GB。
关闭上传时的恶意软件扫描或敏感数据威胁检测功能：在或isEnabled属性的节中，将False值更改为malwareScanning。
禁用整个 Defender for Storage 计划：将 isEnabled 属性值 False设置为，并从属性中删除 malwareScanning 和 sensitiveDataDiscovery 节。

有关详细信息，请参阅 Microsoft.Security/DefenderForStorageSettings API 文档。

ARM 模板

若要使用 Azure 资源管理器模板（ARM 模板）在存储帐户级别启用和配置 Defender for Storage，请将此 JSON 代码片段添加到 resources ARM 模板的节：

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 10000,
                "blobScanResultsOptions": BlobIndexTags
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

通过自定义此代码，可以：

修改恶意软件扫描的每月上限：将 capGBPerMonth 参数调整为首选值。此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。如果要允许无限制的扫描，请分配该值 -1。默认限制为 10,000 GB。
关闭上传时的恶意软件扫描或敏感数据威胁检测功能：在或isEnabled属性的节中，将False值更改为malwareScanning。
禁用整个 Defender for Storage 计划：将 isEnabled 属性值 False设置为，并从属性中删除 malwareScanning 和 sensitiveDataDiscovery 节。

提示

可以将恶意软件扫描配置为将扫描结果发送到：

Azure 事件网格自定义主题：用于在几乎实时地对每个扫描结果作出自动响应。
Log Analytics 工作区：用于将每个扫描结果存储在集中的日志存储库中，以便进行合规性和审核。

详细了解如何为恶意软件扫描结果设置响应。

查看 Microsoft.Security/DefenderForStorageSettings API 文档。

反馈

此页面是否有帮助？

Last updated on 2025-10-30

通过

使用 IaC 模板启用和配置 Defender for Storage

Terraform 模板

Bicep 模板

Azure 资源管理器模板

相关内容

反馈

其他资源