Azure

防止 Azure Blob 儲存中的複制

  • February 11, 2021

我有大量的 Azure 儲存帳戶。我想阻止我的任何使用者將數據複製到訂閱之外的儲存帳戶,例如,他們可以復製到同一環境的另一個區域,但不能複製到不同的帳戶。有沒有明確的方法來做到這一點?

Azure 中的內置異地複制僅支持複製到同一帳戶中的次要區域,因此這不是可用於導出數據的途徑。

鑑於此,您所討論的場景本質上是使用者下載數據然後上傳到另一個儲存帳戶,或者使用 AzCopy 之類的工具將數據從一個帳戶移動到另一個帳戶。如果使用者能夠從您的儲存帳戶下載數據,Azure 中沒有內置任何內容可以阻止使用者這樣做。您可以採取一些措施來最大程度地降低風險:

  • 僅向需要的使用者提供對儲存帳戶的訪問權限
  • 不要向使用者提供對儲存帳戶密鑰的訪問權限,而是使用具有時間限制且僅限於他們需要訪問的資源的 SaS 令牌
  • 使用 Privileged Identity Management 要求任何必須有權訪問 Azure 門戶或 CLI 中的儲存帳戶的使用者進行提升並獲得批准
  • 在 Azure 安全中心註冊儲存帳戶以檢測可疑活動
  • 使用 IP 限制限制對儲存帳戶的訪問,以僅允許從特定位置進行訪問

引用自:https://serverfault.com/questions/1052741