Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel bietet eine Übersicht über die Optionen zum Verhindern, dass Ihre verwalteten Azure-Datenträger importiert oder exportiert werden.
Benutzerdefinierte Rolle
Um die Anzahl der Personen zu begrenzen, die verwaltete Datenträger oder Momentaufnahmen mithilfe von Azure RBAC importieren oder exportieren können, erstellen Sie eine benutzerdefinierte RBAC-Rolle, die nicht über die folgenden Berechtigungen verfügt:
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/endGetAccess/action
- Microsoft.Compute/snapshots/beginGetAccess/action
- Microsoft.Compute/snapshots/endGetAccess/action
Jede benutzerdefinierte Rolle ohne diese Berechtigungen kann verwaltete Datenträger nicht hoch- oder herunterladen.
Microsoft Entra-Authentifizierung
Wenn Sie Microsoft Entra ID zur Steuerung des Ressourcenzugriffs verwenden, können Sie damit auch das Hochladen von in Azure verwalteten Datenträgern einschränken. Beim Versuch, einen Datenträger hochzuladen, überprüft Azure die Identität der anfordernden Benutzer*innen in Microsoft Entra ID, um sicherzustellen, dass sie über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie im Artikel zu PowerShell oder zur CLI.
Private Links
Sie können private Endpunkte verwenden, um das Hoch- und Herunterladen von verwalteten Datenträgern einzuschränken und sichereren Zugriff auf Daten über eine private Verbindung von Clients in Ihrem virtuellen Azure-Netzwerk zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem Adressraum des virtuellen Netzwerks für Ihre verwalteten Datenträger. Der Netzwerkdatenverkehr zwischen den Clients im virtuellen Netzwerk und den verwalteten Datenträgern wird nur über das virtuelle Netzwerk und eine private Verbindung im Microsoft-Backbonenetzwerk geleitet und somit nicht dem öffentlichen Internet ausgesetzt. Weitere Informationen finden Sie im Artikel zum Portal oder zur CLI.
Azure-Richtlinie
Konfigurieren Sie eine Azure Policy-Instanz, um den Zugriff auf Ihre verwalteten Datenträger über öffentliche Netzwerke zu deaktivieren.
Konfigurieren der Netzwerkzugriffsrichtlinie
Jeder verwaltete Datenträger und jede Momentaufnahme verfügt über einen eigenen NetworkAccessPolicy-Parameter, der verhindern kann, dass die Ressource exportiert wird. Sie können die Azure CLI oder das Azure PowerShell-Modul verwenden, um den Parameter auf DenyAll festzulegen, wodurch verhindert wird, dass die Ressource exportiert werden kann.