Verwalten von DDoS Protection-Plänen: Berechtigungen und Einschränkungen
EIn DDoS Protection-Plan funktioniert regions- und abonnementübergreifend. Derselbe Plan kann mit virtuellen Netzwerken aus anderen Abonnements in unterschiedlichen Regionen in Ihrem gesamten Mandanten verknüpft werden. Das zugeordnete Abonnement verursacht die monatliche Rechnung des Plans und Überlastungsgebühren, wenn die geschützten öffentlichen IP-Adressen 100 überschreiten. Weitere Informationen zu den Preisen für DDoS finden Sie unter Preise.
Voraussetzungen
- Um die Schritte in diesem Tutorial auszuführen, müssen Sie zunächst einen Azure DDoS Protection-Plan erstellen.
Berechtigungen
Zum Arbeiten mit DDoS-Schutzplänen muss Ihr Konto der Rolle Netzwerkmitwirkender oder einer benutzerdefinierten Rolle zugewiesen sein, der die entsprechenden Aktionen in der folgenden Tabelle zugewiesen wurden:
Aktion | Name |
---|---|
Microsoft.Network/ddosProtectionPlans/read | Lesen eines DDoS-Schutzplans |
Microsoft.Network/ddosProtectionPlans/write | Erstellen oder Aktualisieren eines DDoS-Schutzplans |
Microsoft.Network/ddosProtectionPlans/delete | Löschen eines DDoS-Schutzplans |
Microsoft.Network/ddosProtectionPlans/join/action | Verknüpfen eines DDoS-Schutzplans |
Für eine Aktivierung des DDoS-Schutzes für ein virtuelles Netz müssen Ihrem Konto darüber hinaus die entsprechenden Aktionen für virtuelle Netzwerke zugewiesen werden.
Wichtig
Nachdem ein DDoS-Schutzplan für ein virtuelles Netzwerk aktiviert wurde, erfordern nachfolgende Vorgänge in diesem virtuellen Netzwerk weiterhin die Berechtigung für die Aktion Microsoft.Network/ddosProtectionPlans/join/action
.
Azure Policy
Die Erstellung von mehr als einem Plan ist für die meisten Organisationen nicht erforderlich. Ein Plan kann nicht zwischen den Abonnements verschoben werden. Wenn das Abonnement, das einen Plan enthält, geändert werden soll, müssen Sie den vorhandenen Plan löschen und einen neuen erstellen.
Für Kunden mit verschiedenen Abonnements, die sicherstellen möchten, dass ein einziger Plan zur Kostenkontrolle für ihren Mandanten bereitgestellt wird, können Sie mit Azure Policy die Erstellung von Azure DDoS Protection-Plänen einschränken. Diese Richtlinie blockiert die Erstellung von DDoS-Plänen, es sei denn, das Abonnement wurde zuvor als Ausnahme gekennzeichnet. Diese Richtlinie zeigt außerdem eine Liste aller Abonnements an, für die fälschlicherweise ein DDoS-Plan bereitgestellt wurde, und markiert diese als nicht kompatibel.