Hantera DDoS-skyddsplaner: behörigheter och begränsningar
En DDoS-skyddsplan fungerar mellan regioner och prenumerationer. Samma plan kan länkas till virtuella nätverk från andra prenumerationer i olika regioner i klientorganisationen. Den associerade prenumerationen debiteras planens månadsfaktura och överförbrukningsavgifter om de skyddade offentliga IP-adresserna överstiger 100. Mer information om DDoS-priser finns i prisinformation.
Förutsättningar
- Innan du kan slutföra stegen i den här självstudien måste du först skapa en Azure DDoS Protection-plan.
Behörigheter
Om du vill arbeta med DDoS-skyddsplaner måste ditt konto tilldelas till rollen nätverksdeltagare eller till en anpassad roll som tilldelas lämpliga åtgärder som anges i följande tabell:
| Åtgärd | Name |
|---|---|
| Microsoft.Network/ddosProtectionPlans/read | Läsa en DDoS-skyddsplan |
| Microsoft.Network/ddosProtectionPlans/write | Skapa eller uppdatera en DDoS-skyddsplan |
| Microsoft.Network/ddosProtectionPlans/delete | Ta bort en DDoS-skyddsplan |
| Microsoft.Network/ddosProtectionPlans/join/action | Ansluta till en DDoS-skyddsplan |
Om du vill aktivera DDoS-skydd för ett virtuellt nätverk måste ditt konto också tilldelas lämpliga åtgärder för virtuella nätverk.
Viktigt!
När en DDoS-skyddsplan har aktiverats i ett virtuellt nätverk kräver efterföljande åtgärder i det virtuella nätverket fortfarande åtgärdsbehörigheten Microsoft.Network/ddosProtectionPlans/join/action .
Azure Policy
Det krävs inte att fler än en plan skapas för de flesta organisationer. Det går inte att flytta en plan mellan prenumerationer. Om du vill ändra prenumerationen som en plan finns i måste du ta bort den befintliga planen och skapa en ny.
För kunder som har olika prenumerationer och som vill se till att en enda plan distribueras i klientorganisationen för kostnadskontroll kan du använda Azure Policy för att begränsa skapandet av Azure DDoS Protection-planer. Den här principen blockerar skapandet av DDoS-planer, såvida inte prenumerationen tidigare har markerats som ett undantag. Den här principen visar också en lista över alla prenumerationer som har en DDoS-plan distribuerad men inte bör göra det, vilket markerar dem som inaktuella.