DDoS Protection プランの管理: アクセス許可と制限
DDoS Protection プランは、複数のリージョンおよびサブスクリプション間で動作します。 同じプランを、自分のテナントを越えて、異なるリージョンの他のサブスクリプションの仮想ネットワークにリンクできます。 関連付けられているサブスクリプションでは、保護されたパブリック IP アドレスが 100 件を超えると、プランの月額料金と超過料金が発生します。 DDoS 価格について詳しくは、価格の詳細に関するページをご覧ください。
前提条件
- このチュートリアルの手順を実行する前に、まず Azure DDoS Protection プランを作成する必要があります。
アクセス許可
DDoS 保護プランに関する作業を行うには、使用するアカウントがネットワークの共同作業者ロール、または次の表の適切なアクションが割り当てられたカスタム ロールに、割り当てられている必要があります。
| アクション | 名前 |
|---|---|
| Microsoft.Network/ddosProtectionPlans/read | DDoS 保護プランを読み取る |
| Microsoft.Network/ddosProtectionPlans/write | DDoS 保護プランを作成または更新する |
| Microsoft.Network/ddosProtectionPlans/delete | DDoS 保護プランを削除する |
| Microsoft.Network/ddosProtectionPlans/join/action | DDoS 保護プランを結合する |
仮想ネットワークに対する DDoS 保護を有効にするには、使うアカウントに仮想ネットワークの適切なアクションも割り当てられている必要があります。
重要
仮想ネットワークで DDoS 防御プランを有効にした後も、その仮想ネットワークで今後操作を行うには Microsoft.Network/ddosProtectionPlans/join/action アクション許可が必要です。
Azure Policy
ほとんどの組織では、複数のプランを作成する必要はありません。 サブスクリプション間でプランを移動することはできません。 プランが関連付けられているサブスクリプションを変更する必要がある場合は、既存のプランを削除し、新しいプランを作成する必要があります。
さまざまなサブスクリプションをお持ちで、コスト管理のために単一プランがテナント全体にデプロイされるようにしたいお客様は、Azure Policy を使用して Azure DDoS Protection プランの作成を制限することができます。 このポリシーでは、これまでにサブスクリプションが例外としてマークされていない限り、DDoS プランを作成することができません。 また、このポリシーでは、デプロイする必要がない DDoS プランがデプロイされているすべてのサブスクリプションが、コンプライアンス違反としてマークされ、一覧で表示されています。