Zarządzanie planami ochrony przed atakami DDoS: uprawnienia i ograniczenia
Plan ochrony przed atakami DDoS działa w różnych regionach i subskrypcjach. Ten sam plan może być połączony z sieciami wirtualnymi z innych subskrypcji w różnych regionach w dzierżawie. Skojarzona subskrypcja powoduje naliczanie miesięcznych opłat za plan i opłat nadwyżkowych, jeśli chronione publiczne adresy IP przekraczają 100. Aby uzyskać więcej informacji na temat cen usługi DDoS, zobacz szczegóły cennika.
Wymagania wstępne
- Przed wykonaniem kroków opisanych w tym samouczku należy najpierw utworzyć plan usługi Azure DDoS Protection.
Uprawnienia
Aby pracować z planami ochrony przed atakami DDoS, twoje konto musi być przypisane do roli współautora sieci lub do roli niestandardowej przypisanej do odpowiednich akcji wymienionych w poniższej tabeli:
| Akcja | Nazwisko |
|---|---|
| Microsoft.Network/ddosProtectionPlans/read | Odczytywanie planu ochrony przed atakami DDoS |
| Microsoft.Network/ddosProtectionPlans/write | Tworzenie lub aktualizowanie planu ochrony przed atakami DDoS |
| Microsoft.Network/ddosProtectionPlans/delete | Usuwanie planu ochrony przed atakami DDoS |
| Microsoft.Network/ddosProtectionPlans/join/action | Dołączanie do planu ochrony przed atakami DDoS |
Aby włączyć ochronę przed atakami DDoS dla sieci wirtualnej, konto musi być również przypisane do odpowiednich akcji dla sieci wirtualnych.
Ważne
Po włączeniu planu ochrony przed atakami DDoS w sieci wirtualnej kolejne operacje w tej sieci wirtualnej nadal wymagają Microsoft.Network/ddosProtectionPlans/join/action uprawnienia akcji.
Azure Policy
Tworzenie więcej niż jednego planu nie jest wymagane dla większości organizacji. Nie można przenieść planu między subskrypcjami. Jeśli chcesz zmienić subskrypcję, w której znajduje się plan, musisz usunąć istniejący plan i utworzyć nowy.
W przypadku klientów, którzy mają różne subskrypcje i którzy chcą zapewnić wdrożenie pojedynczego planu w całej dzierżawie na potrzeby kontroli kosztów, możesz użyć usługi Azure Policy, aby ograniczyć tworzenie planów usługi Azure DDoS Protection. Te zasady blokują tworzenie planów DDoS, chyba że subskrypcja została wcześniej oznaczona jako wyjątek. Te zasady będą również zawierać listę wszystkich subskrypcji, które mają wdrożony plan DDoS, ale nie powinny oznaczać ich jako niezgodne.