Compartir por


Administración de planes de DDoS Protection: permisos y restricciones

El plan de protección contra DDoS funciona en todas las regiones y suscripciones. El mismo plan se puede vincular a las redes virtuales de otras suscripciones en diferentes regiones, a través de su inquilino. La suscripción asociada incurre en la factura mensual del plan y cargos por encima del límite si las direcciones IP públicas protegidas superan 100. Para más información sobre los precios de DDoS, consulte los detalles de precios.

Prerrequisitos

Permisos

Para trabajar con planes de protección contra DDoS, su cuenta debe estar asignada al rol de colaborador de red o a un rol personalizado que tenga asignadas las acciones adecuadas que se muestran en la tabla siguiente:

Acción Nombre
Microsoft.Network/ddosProtectionPlans/read Obtención de un plan de protección contra DDoS
Microsoft.Network/ddosProtectionPlans/write Creación o actualización de un plan de protección contra DDoS
Microsoft.Network/ddosProtectionPlans/delete Eliminación de un plan de protección contra DDoS
Microsoft.Network/ddosProtectionPlans/join/action Unión a un plan de protección contra DDoS

Para habilitar la protección contra DDoS para una red virtual, su cuenta también debe estar asignada a las acciones para redes virtuales adecuadas.

Importante

Una vez que se haya habilitado un plan de DDoS Protection en una red virtual, las operaciones posteriores en esa red virtual seguirán requiriendo el permiso de acción Microsoft.Network/ddosProtectionPlans/join/action.

Azure Policy

En la mayoría de las organizaciones, no es necesario crear más de un plan. Un plan no puede moverse entre suscripciones. Si desea cambiar la suscripción en que se encuentra un plan, debe eliminar el plan existente y crear uno nuevo.

En el caso de los clientes que tienen varias suscripciones y que desean asegurarse de que se implementa un plan único para el control de costos, puede usar Azure Policy para restringir la creación de planes de Azure DDoS Protection. Esta directiva bloqueará la creación de los planes de DDoS, a menos que la suscripción se haya marcado previamente como una excepción. Esta directiva también muestra una lista de todas las suscripciones que tienen un plan de DDoS implementado pero no deberían y las marca como un incumplimiento.

Pasos siguientes