Administración de planes de DDoS Protection: permisos y restricciones
El plan de protección contra DDoS funciona en todas las regiones y suscripciones. El mismo plan se puede vincular a las redes virtuales de otras suscripciones en diferentes regiones, a través de su inquilino. La suscripción asociada incurre en la factura mensual del plan y cargos por encima del límite si las direcciones IP públicas protegidas superan 100. Para más información sobre los precios de DDoS, consulte los detalles de precios.
Prerrequisitos
- Para poder completar los pasos de este tutorial, primero debe crear un plan de Azure DDoS Protection.
Permisos
Para trabajar con planes de protección contra DDoS, su cuenta debe estar asignada al rol de colaborador de red o a un rol personalizado que tenga asignadas las acciones adecuadas que se muestran en la tabla siguiente:
Acción | Nombre |
---|---|
Microsoft.Network/ddosProtectionPlans/read | Obtención de un plan de protección contra DDoS |
Microsoft.Network/ddosProtectionPlans/write | Creación o actualización de un plan de protección contra DDoS |
Microsoft.Network/ddosProtectionPlans/delete | Eliminación de un plan de protección contra DDoS |
Microsoft.Network/ddosProtectionPlans/join/action | Unión a un plan de protección contra DDoS |
Para habilitar la protección contra DDoS para una red virtual, su cuenta también debe estar asignada a las acciones para redes virtuales adecuadas.
Importante
Una vez que se haya habilitado un plan de DDoS Protection en una red virtual, las operaciones posteriores en esa red virtual seguirán requiriendo el permiso de acción Microsoft.Network/ddosProtectionPlans/join/action
.
Azure Policy
En la mayoría de las organizaciones, no es necesario crear más de un plan. Un plan no puede moverse entre suscripciones. Si desea cambiar la suscripción en que se encuentra un plan, debe eliminar el plan existente y crear uno nuevo.
En el caso de los clientes que tienen varias suscripciones y que desean asegurarse de que se implementa un plan único para el control de costos, puede usar Azure Policy para restringir la creación de planes de Azure DDoS Protection. Esta directiva bloqueará la creación de los planes de DDoS, a menos que la suscripción se haya marcado previamente como una excepción. Esta directiva también muestra una lista de todas las suscripciones que tienen un plan de DDoS implementado pero no deberían y las marca como un incumplimiento.