Gestire i piani di protezione DDoS: autorizzazioni e restrizioni
Un piano di protezione DDoS funziona tra aree e sottoscrizioni. Lo stesso piano può essere collegato alle reti virtuali di altre sottoscrizioni in aree diverse, nel tenant. La sottoscrizione associata comporta addebiti mensili e eccedenza del piano se gli indirizzi IP pubblici protetti superano i 100. Per altre informazioni sui prezzi di DDoS, vedere i dettagli sui prezzi.
Prerequisiti
- Prima di poter completare i passaggi di questa esercitazione, è necessario creare un piano di protezione DDoS di Azure.
Autorizzazioni
Per lavorare con i piani di protezione DDoS, l'account deve essere assegnato al ruolo Collaboratore Rete o a un ruolo personalizzato a cui sono assegnate le operazioni appropriate elencate nella tabella seguente:
| Azione | Nome |
|---|---|
| Microsoft.Network/ddosProtectionPlans/read | Leggere un piano di protezione DDoS |
| Microsoft.Network/ddosProtectionPlans/write | Creare o aggiornare un piano di protezione DDoS |
| Microsoft.Network/ddosProtectionPlans/delete | Eliminare un piano di protezione DDoS |
| Microsoft.Network/ddosProtectionPlans/join/action | Aggiungere un piano di Protezione DDoS |
Per abilitare la protezione DDoS per una rete virtuale, all'account devono anche essere assegnate le appropriate operazioni per le reti virtuali.
Importante
Dopo aver abilitato un piano di protezione DDoS in un Rete virtuale, le operazioni successive su tale Rete virtuale richiedono comunque l'autorizzazione di Microsoft.Network/ddosProtectionPlans/join/action azione.
Criteri di Azure
La creazione di più piani non è necessaria per la maggior parte delle organizzazioni. Non è possibile spostare un piano tra sottoscrizioni. Se si vuole modificare la sottoscrizione di un piano, è necessario eliminare il piano esistente e crearne uno nuovo.
Per i clienti che hanno diverse sottoscrizioni e che vogliono assicurarsi che un singolo piano venga distribuito nel tenant per il controllo dei costi, è possibile usare Criteri di Azure per limitare la creazione di piani di protezione DDoS di Azure. Questo criterio blocca la creazione di qualsiasi piano DDoS, a meno che la sottoscrizione non sia stata contrassegnata in precedenza come eccezione. Questo criterio mostrerà anche un elenco di tutte le sottoscrizioni con un piano DDoS distribuito, ma non dovrebbe, contrassegnandole come non conformi.