Udostępnij za pośrednictwem


Zarządzanie planami ochrony przed atakami DDoS: uprawnienia i ograniczenia

Plan ochrony przed atakami DDoS działa w różnych regionach i subskrypcjach. Ten sam plan może być połączony z sieciami wirtualnymi z innych subskrypcji w różnych regionach w dzierżawie. Skojarzona subskrypcja powoduje naliczanie miesięcznych opłat za plan i opłat nadwyżkowych, jeśli chronione publiczne adresy IP przekraczają 100. Aby uzyskać więcej informacji na temat cen usługi DDoS, zobacz szczegóły cennika.

Wymagania wstępne

  • Przed wykonaniem kroków opisanych w tym samouczku należy najpierw utworzyć plan usługi Azure DDoS Protection.

Uprawnienia

Aby pracować z planami ochrony przed atakami DDoS, twoje konto musi być przypisane do roli współautora sieci lub do roli niestandardowej przypisanej do odpowiednich akcji wymienionych w poniższej tabeli:

Akcja Nazwisko
Microsoft.Network/ddosProtectionPlans/read Odczytywanie planu ochrony przed atakami DDoS
Microsoft.Network/ddosProtectionPlans/write Tworzenie lub aktualizowanie planu ochrony przed atakami DDoS
Microsoft.Network/ddosProtectionPlans/delete Usuwanie planu ochrony przed atakami DDoS
Microsoft.Network/ddosProtectionPlans/join/action Dołączanie do planu ochrony przed atakami DDoS

Aby włączyć ochronę przed atakami DDoS dla sieci wirtualnej, konto musi być również przypisane do odpowiednich akcji dla sieci wirtualnych.

Ważne

Po włączeniu planu ochrony przed atakami DDoS w sieci wirtualnej kolejne operacje w tej sieci wirtualnej nadal wymagają Microsoft.Network/ddosProtectionPlans/join/action uprawnienia akcji.

Azure Policy

Tworzenie więcej niż jednego planu nie jest wymagane dla większości organizacji. Nie można przenieść planu między subskrypcjami. Jeśli chcesz zmienić subskrypcję, w której znajduje się plan, musisz usunąć istniejący plan i utworzyć nowy.

W przypadku klientów, którzy mają różne subskrypcje i którzy chcą zapewnić wdrożenie pojedynczego planu w całej dzierżawie na potrzeby kontroli kosztów, możesz użyć usługi Azure Policy, aby ograniczyć tworzenie planów usługi Azure DDoS Protection. Te zasady blokują tworzenie planów DDoS, chyba że subskrypcja została wcześniej oznaczona jako wyjątek. Te zasady będą również zawierać listę wszystkich subskrypcji, które mają wdrożony plan DDoS, ale nie powinny oznaczać ich jako niezgodne.

Następne kroki