Как запретить локальным пользователям загружать данные из виртуальной машины Azure вовне

Question

Я строю систему в Azure таким образом, чтобы пользователи не могли передавать данные с виртуальной машины Azure во внешний мир.Но администратор должен быть в состоянии сделать это.

Мне известно, что этим можно управлять через Azure NSG, но это решение заблокирует ВСЕХ пользователей (включая учетную запись администратора).Виртуальные машины не являются частью домена, поэтому о GPO не может быть и речи.

Есть ли другой способ добиться этого?

Answer 1

Я бы посоветовал вам поместить данные в учетную запись хранения, а затем сделать контейнер личным, а также настроить RBAC таким образом, чтобы только администраторы имели доступ. Так что никто из Интернета не сможет скачать.

Когда вы хотите загрузить, Admin может создать SAS URL, а пользователи могут скачать его.

Это экономически эффективный и безопасный способ выполнения задачи.