Gérer les plans de protection DDoS : autorisations et restrictions

Un plan de protection DDoS fonctionne dans les régions et les abonnements. Le même plan peut être associé à des réseaux virtuels d’autres abonnements dans différentes régions, dans votre locataire. L’abonnement auquel le plan est associé subit la facturation mensuelle périodique du plan, ainsi que les frais de dépassement, si le nombre d’adresses IP publiques protégées est supérieur à 100. Pour en savoir plus sur la tarification du service de protection DDoS, consultez la rubrique relative aux détails de tarification.

Prérequis

Autorisations

Pour que vous puissiez travailler avec des plans de protection DDoS, il est nécessaire que votre compte ait le rôle contributeur réseau ou un rôle personnalisé disposant des autorisations appropriées, listées dans le tableau suivant :

Action Nom
Microsoft.Network/ddosProtectionPlans/read Lire un plan de protection DDoS
Microsoft.Network/ddosProtectionPlans/write Créer ou mettre à jour un plan de protection DDoS
Microsoft.Network/ddosProtectionPlans/delete Supprimer un plan de protection DDoS
Microsoft.Network/ddosProtectionPlans/join/action Joindre un plan de protection DDoS

Pour que vous puissiez activer la protection DDoS sur un réseau virtuel, il est nécessaire que votre compte dispose des autorisations appropriées pour les réseaux virtuels.

Important

Une fois qu’un plan de protection DDoS a été activé sur un réseau virtuel, les opérations suivantes sur ce réseau virtuel nécessitent toujours l'Microsoft.Network/ddosProtectionPlans/join/action autorisation action.

Azure Policy

La création de plusieurs plans n’est pas requise pour la plupart des organisations. Un plan ne peut pas être déplacé d’un abonnement vers un autre. Si vous souhaitez changer l’abonnement auquel un plan est rattaché, vous devez supprimer le plan existant et en créer un.

Pour les clients qui disposent de plusieurs abonnements différents et qui souhaitent déployer un seul et même plan sur l’ensemble de leur locataire pour maîtriser les coûts, vous pouvez utiliser Azure Policy afin de restreindre la création de plans Azure DDoS Protection. Cette stratégie bloque la création de plans DDoS, sauf si l’abonnement a été marqué comme une exception. Cette stratégie affiche également la liste de tous les abonnements pour lesquels un plan DDoS est déployé alors qu’il ne devrait pas l’être, en les signalant comme non conformes.

Étapes suivantes

Pour savoir comment consulter et configurer la télémétrie pour votre plan de protection DDoS, passez aux tutoriels.