Gérer les plans de protection DDoS : autorisations et restrictions
Un plan de protection DDoS fonctionne dans les régions et les abonnements. Le même plan peut être associé à des réseaux virtuels d’autres abonnements dans différentes régions, dans votre locataire. L’abonnement associé entraîne la facture mensuelle et les frais de dépassement du plan si les adresses IP publiques protégées dépassent 100. Pour en savoir plus sur la tarification du service de protection DDoS, consultez la rubrique relative aux détails de tarification.
Prérequis
- Avant de pouvoir exécuter la procédure de ce didacticiel, vous devez créer un plan Azure DDoS Protection.
Autorisations
Pour que vous puissiez travailler avec des plans de protection DDoS, il est nécessaire que votre compte ait le rôle contributeur réseau ou un rôle personnalisé disposant des autorisations appropriées, listées dans le tableau suivant :
| Action | Nom |
|---|---|
| Microsoft.Network/ddosProtectionPlans/read | Lire un plan de protection DDoS |
| Microsoft.Network/ddosProtectionPlans/write | Créer ou mettre à jour un plan de protection DDoS |
| Microsoft.Network/ddosProtectionPlans/delete | Supprimer un plan de protection DDoS |
| Microsoft.Network/ddosProtectionPlans/join/action | Joindre un plan de protection DDoS |
Pour que vous puissiez activer la protection DDoS sur un réseau virtuel, il est nécessaire que votre compte dispose des autorisations appropriées pour les réseaux virtuels.
Important
Une fois qu’un plan de protection DDoS a été activé sur un réseau virtuel, les opérations suivantes sur ce réseau virtuel nécessitent toujours l'Microsoft.Network/ddosProtectionPlans/join/action autorisation action.
Azure Policy
La création de plusieurs plans n’est pas requise pour la plupart des organisations. Un plan ne peut pas être déplacé d’un abonnement vers un autre. Si vous souhaitez changer l’abonnement auquel un plan est rattaché, vous devez supprimer le plan existant et en créer un.
Pour les clients qui disposent de plusieurs abonnements différents et qui souhaitent déployer un seul et même plan sur l’ensemble de leur locataire pour maîtriser les coûts, vous pouvez utiliser Azure Policy afin de restreindre la création de plans Azure DDoS Protection. Cette stratégie bloque la création de plans DDoS, sauf si l’abonnement a été marqué comme une exception. Cette stratégie affiche également la liste de tous les abonnements pour lesquels un plan DDoS est déployé alors qu’il ne devrait pas l’être, en les signalant comme non conformes.