管理 DDoS 保護計劃:權限和限制
DDoS 保護計劃可跨區域和訂用帳戶運作。 相同的計劃可以連結至租用戶的不同區域中其他訂用帳戶的虛擬網路。 如果受保護的公用 IP 位址超過 100,相關聯的訂用帳戶會產生方案的每月帳單和超額費用。 如需有關 DDoS 定價的詳細資訊,請參閱價格詳細資料。
必要條件
- 您必須先建立 Azure DDoS 保護計劃,才能完成此教學課程中的步驟。
權限
若要使用 DDoS 保護計劃,您的帳戶必須指派為網路參與者角色,或為已指派下表中所列適當動作的自訂角色:
| 動作 | 名稱 |
|---|---|
| Microsoft.Network/ddosProtectionPlans/read | 讀取 DDoS 保護計劃 |
| Microsoft.Network/ddosProtectionPlans/write | 建立或更新 DDoS 保護計劃 |
| Microsoft.Network/ddosProtectionPlans/delete | 刪除 DDoS 保護計劃 |
| Microsoft.Network/ddosProtectionPlans/join/action | 加入 DDoS 保護計劃 |
若要啟用虛擬網路的 DDoS 保護,您的帳戶也必須指派虛擬網路的適當動作。
重要
在虛擬網路上啟用 DDoS 保護計劃之後,該虛擬網路的後續作業仍需要 Microsoft.Network/ddosProtectionPlans/join/action 動作權限。
Azure 原則
對大多數組織來說,並沒有必要建立多個計劃。 計劃無法在訂用帳戶之間移動。 如果您想要變更計劃所在的訂用帳戶,就必須刪除現有的計劃,再建立一個新計劃。
針對具有各種訂用帳戶的客戶,以及想要確保會將單一計劃部署於其租用戶以進行成本控制的客戶,您可以使用 Azure 原則來限制建立 Azure DDoS 保護計劃 \(英文\)。 除非先前已將訂用帳戶標示為例外狀況,否則此原則會阻止建立任何 DDoS 計劃。 此原則也會顯示已部署 DDoS 計劃但不該部署的所有訂用帳戶清單,並將其標示為不符合規範。