Gerenciar planos de proteção contra DDoS: permissões e restrições
Um plano de proteção contra DDoS funciona em regiões e assinaturas. O mesmo plano pode ser vinculado a redes virtuais de outras assinaturas em regiões diferentes, em seu locatário. A assinatura associada incorrerá na fatura mensal do plano e nos encargos excedentes se os endereços IP públicos protegidos excederem 100. Para obter mais informações sobre os preços de DDoS, consulte Detalhes do preço.
Pré-requisitos
- Antes de poder concluir as etapas neste tutorial, é necessário criar primeiro um Plano de Proteção contra DDoS do Azure.
Permissões
Para trabalhar com os planos de proteção DDoS, sua conta deve ser atribuída à função de colaborador da rede ou a uma função personalizada à qual são atribuídas as ações apropriadas listadas na tabela a seguir:
| Ação | Nome |
|---|---|
| Microsoft.Network/ddosProtectionPlans/read | Ler um plano de proteção DDoS |
| Microsoft.Network/ddosProtectionPlans/write | Criar ou atualizar um plano de proteção DDoS |
| Microsoft.Network/ddosProtectionPlans/delete | Excluir um plano de proteção contra DDoS |
| Microsoft.Network/ddosProtectionPlans/join/action | Participar de um plano de proteção DDoS |
Para habilitar a proteção DDoS a uma rede virtual, sua conta deve também ser atribuída a ações apropriadas para redes virtuais.
Importante
Após habilitar um plano de proteção contra DDoS em uma rede virtual, as operações subsequentes nessa rede virtual ainda exigirão a permissão de ação Microsoft.Network/ddosProtectionPlans/join/action.
Azure Policy
A criação de mais de um plano não é necessária para a maioria das organizações. O plano não pode ser movido entre as assinaturas. Se você quiser alterar a assinatura de um plano, você precisa excluir o plano existente e criar um novo.
Para clientes que tenham várias assinaturas e que desejem garantir que um único plano seja implantado em seu locatário para controle de custos, você pode usar o Azure Policy para restringir a criação de Planos de Proteção contra DDoS do Azure. Essa política bloqueia a criação de qualquer plano de DDoS, a menos que a assinatura tenha sido marcada anteriormente como uma exceção. Essa política também mostrará uma lista de todas as assinaturas que tenham, mas não deveriam ter, um plano de DDoS implantado, e as marcará como fora de conformidade.