管理 DDoS 保护计划:权限和限制

DDoS 防护计划可跨区域和订阅生效。 同一计划可跨租户从不同区域中的其他订阅链接到虚拟机。 如果受保护的公共 IP 地址超过 100 个,则关联的订阅会产生计划的每月账单和超额费用。 有关 DDoS 定价的详细信息,请参阅定价详细信息

先决条件

权限

若要使用 DDoS 保护计划,必须将你的帐户分配到网络参与者角色或分配有下表所列适当操作的自定义角色:

操作 名称
Microsoft.Network/ddosProtectionPlans/read 读取 DDoS 保护计划
Microsoft.Network/ddosProtectionPlans/write 创建或更新 DDoS 保护计划
Microsoft.Network/ddosProtectionPlans/delete 删除 DDoS 保护计划
Microsoft.Network/ddosProtectionPlans/join/action 加入 DDoS 保护计划

若要为虚拟网络启用 DDoS 保护,还必须为你的帐户分配适用于虚拟网络的适当操作

重要

在虚拟网络上启用 DDoS 保护计划后,在该虚拟网络上的后续操作仍需要 Microsoft.Network/ddosProtectionPlans/join/action 操作权限。

Azure Policy

大多数组织都不需要创建多个计划。 无法直接在订阅之间移动计划。 如果要更改计划所位于的订阅,需要删除现有计划并创建新的计划。

对于具有各种订阅的客户,以及希望确保在其租户中部署一个计划以便控制成本的客户,可以使用 Azure Policy 来限制创建 Azure DDoS 防护计划。 此策略将会阻止创建任何 DDoS 计划,除非以前已将订阅标记为例外。 此策略还将显示已经部署了(但不应该部署)DDoS 计划的所有订阅的列表,将它们标记为“不符合”。

后续步骤