Gerenciar planos de proteção contra DDoS: permissões e restrições
Um plano de proteção contra DDoS funciona em todas as regiões e assinaturas. O mesmo plano pode ser associado a redes virtuais a partir de outras subscrições em regiões diferentes, em todo o seu inquilino. A subscrição associada incorre na fatura mensal do plano e nos encargos adicionais se os endereços IP públicos protegidos excederem 100. Para obter mais informações sobre preços DDoS, consulte detalhes de preços.
Pré-requisitos
- Antes de concluir as etapas neste tutorial, você deve primeiro criar um plano de Proteção contra DDoS do Azure.
Permissões
Para trabalhar com planos de proteção contra DDoS, sua conta deve ser atribuída à função de colaborador de rede ou a uma função personalizada à qual sejam atribuídas as ações apropriadas listadas na tabela a seguir:
| Ação | Nome |
|---|---|
| Microsoft.Network/ddosProtectionPlans/ler | Leia um plano de proteção contra DDoS |
| Microsoft.Network/ddosProtectionPlans/gravação | Criar ou atualizar um plano de proteção contra DDoS |
| Microsoft.Network/ddosProtectionPlans/excluir | Excluir um plano de proteção contra DDoS |
| Microsoft.Network/ddosProtectionPlans/join/action | Junte-se a um plano de proteção contra DDoS |
Para habilitar a proteção contra DDoS para uma rede virtual, sua conta também deve receber as ações apropriadas para redes virtuais.
Importante
Depois que um Plano de Proteção contra DDoS tiver sido habilitado em uma Rede Virtual, as operações subsequentes nessa Rede Virtual ainda exigirão a permissão de Microsoft.Network/ddosProtectionPlans/join/action ação.
Azure Policy
A criação de mais de um plano não é necessária para a maioria das organizações. Um plano não pode ser movido entre assinaturas. Se quiser alterar a subscrição em que se encontra um plano, tem de eliminar o plano existente e criar um novo.
Para clientes que têm várias assinaturas e que desejam garantir que um único plano seja implantado em seu locatário para controle de custos, você pode usar a Política do Azure para restringir a criação de planos de Proteção contra DDoS do Azure. Esta política bloqueia a criação de quaisquer planos DDoS, a menos que a subscrição tenha sido previamente marcada como uma exceção. Essa política também mostrará uma lista de todas as assinaturas que têm um plano DDoS implantado, mas não deveriam, marcando-as como fora de conformidade.