Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información general sobre las alternativas para evitar que los discos administrados de Azure se importen o exporten.
Rol personalizado
Para limitar el número de personas que pueden importar o exportar discos administrados o instantáneas mediante RBAC de Azure, cree un rol RBAC personalizado que no tenga los siguientes permisos:
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/endGetAccess/action
- Microsoft.Compute/snapshots/beginGetAccess/action
- Microsoft.Compute/snapshots/endGetAccess/action
Cualquier rol personalizado sin esos permisos no podrá cargar ni descargar discos administrados.
Autenticación de Microsoft Entra
Si usa Microsoft Entra ID para controlar el acceso a los recursos, ahora puede usarlo para restringir la carga de discos administrados de Azure. Cuando un usuario intenta cargar un disco, Azure valida la identidad del usuario solicitante en Microsoft Entra ID y confirma que el usuario tiene los permisos necesarios. Para más información, consulte los artículos de PowerShell o de la CLI.
Vínculos privados
Puede usar puntos de conexión privados para restringir la carga y descarga de discos administrados y acceder de forma más segura a los datos mediante vínculo privado desde los clientes de la red virtual de Azure. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual para los discos administrados. El tráfico de red entre los clientes de su red virtual y los discos administrados solo atraviesa la red virtual y un vínculo privado de la red troncal de Microsoft, lo que elimina la exposición desde la red pública de Internet. Para más información, consulte los artículos de Portal o de la CLI.
Azure Policy
Configure Azure Policy para deshabilitar el acceso de la red pública a los discos administrados.
Configuración de la directiva de acceso de red
Cada disco administrado e instantánea tienen su propio parámetro NetworkAccessPolicy que puede impedir que el recurso se exporte. Puede usar la CLI de Azure o el módulo de Azure PowerShell para establecer el parámetro en DenyAll, lo que evitará que el recurso se exporte.