DDoS-beveiligingsplannen beheren: machtigingen en beperkingen
Een DDoS-beveiligingsplan werkt tussen regio's en abonnementen. Hetzelfde plan kan worden gekoppeld aan virtuele netwerken vanuit andere abonnementen in verschillende regio's, in uw tenant. Voor het gekoppelde abonnement worden de maandelijkse kosten en overschrijdingskosten van het abonnement in rekening gebracht als de beveiligde openbare IP-adressen groter zijn dan 100. Zie prijsinformatie voor meer informatie over DDoS-prijzen.
Vereisten
- Voordat u de stappen in deze zelfstudie kunt uitvoeren, moet u eerst een Azure DDoS Protection-plan maken.
Bevoegdheden
Als u wilt werken met DDoS-beveiligingsplannen, moet uw account worden toegewezen aan de rol netwerkbijdrager of aan een aangepaste rol waaraan de juiste acties zijn toegewezen die worden vermeld in de volgende tabel:
Actie | Naam |
---|---|
Microsoft.Network/ddosProtectionPlans/read | Een DDoS-beveiligingsplan lezen |
Microsoft.Network/ddosProtectionPlans/write | Een DDoS-beveiligingsplan maken of bijwerken |
Microsoft.Network/ddosProtectionPlans/delete | Een DDoS-beveiligingsplan verwijderen |
Microsoft.Network/ddosProtectionPlans/join/action | Lid worden van een DDoS-beveiligingsplan |
Als u DDoS-beveiliging voor een virtueel netwerk wilt inschakelen, moet aan uw account ook de juiste acties voor virtuele netwerken worden toegewezen.
Belangrijk
Zodra een DDoS-beveiligingsplan is ingeschakeld in een virtueel netwerk, zijn volgende bewerkingen op dat virtuele netwerk nog steeds de Microsoft.Network/ddosProtectionPlans/join/action
actiemachtiging vereist.
Azure Policy
Het maken van meer dan één plan is niet vereist voor de meeste organisaties. Een abonnement kan niet worden verplaatst tussen abonnementen. Als u het abonnement wilt wijzigen waarin een abonnement zich bevindt, moet u het bestaande abonnement verwijderen en een nieuw abonnement maken.
Voor klanten die verschillende abonnementen hebben en ervoor willen zorgen dat één abonnement in hun tenant wordt geïmplementeerd voor kostenbeheer, kunt u Azure Policy gebruiken om het maken van Azure DDoS Protection-abonnementen te beperken. Met dit beleid wordt het maken van DDoS-abonnementen geblokkeerd, tenzij het abonnement eerder is gemarkeerd als een uitzondering. Met dit beleid wordt ook een lijst weergegeven met alle abonnementen waarvoor een DDoS-plan is geïmplementeerd, maar niet, waarbij deze als onvoldoende naleving worden gemarkeerd.