Управление планами Защиты от атак DDoS: разрешения и ограничения
План защиты от атак DDoS работает в разных регионах и подписках. Один план можно связать с виртуальными сетями из других подписок в разных регионах в масштабах всего арендатора. Связанная подписка несет ежемесячный счет плана и расходы за превышение расходов, если защищенные общедоступные IP-адреса превышают 100. Дополнительные сведения о ценах на защиту от атак DDoS приведены здесь.
Необходимые компоненты
- Прежде чем выполнить действия, описанные в этом руководстве, необходимо сначала создать план защиты от атак DDoS Azure.
Разрешения
Для работы с планами защиты от атак DDoS учетной записи должна быть назначена роль Участник сетей или пользовательская роль, которой назначены соответствующие разрешения, перечисленные в таблице ниже.
| Действие | Имя |
|---|---|
| Microsoft.Network/ddosProtectionPlans/read | Чтение плана защиты от атак DDoS. |
| Microsoft.Network/ddosProtectionPlans/write | Создание или обновление плана защиты от атак DDoS. |
| Microsoft.Network/ddosProtectionPlans/delete | Удаление плана защиты от атак DDoS. |
| Microsoft.Network/ddosProtectionPlans/join/action | Присоединение плана защиты от атак DDoS. |
Чтобы включить защиту от атак DDoS для виртуальной сети, учетной записи также должны быть назначены соответствующие действия для виртуальных сетей.
Важно!
После включения плана Защиты от атак DDoS в виртуальной сети для последующих операций в этой виртуальной сети по-прежнему требуется разрешение на выполнение действия Microsoft.Network/ddosProtectionPlans/join/action.
Политика Azure
Создание нескольких планов не требуется для большинства организаций. Не удается переместить план между подписками. Если вы хотите изменить подписку, в которой находится план, необходимо удалить существующий план и создать новый.
Для клиентов, имеющих различные подписки, и которые хотят обеспечить развертывание одного плана в клиенте для управления затратами, можно использовать Политика Azure, чтобы ограничить создание планов защиты от атак DDoS Azure. Эта политика блокирует создание любых планов DDoS, если подписка ранее не помечена как исключение. Эта политика также будет отображать список всех подписок, которые имеют план DDoS, развернутый, но не должен, помечая их как не соответствует требованиям.