أذونات التحكم في الوصول المستند إلى دور Azure المطلوبة لاستخدام إمكانات Network Watcher
يُمكنك التحكم في الوصول المستند إلى دور Azure (Azure RBAC) من تعيين الإجراءات المحددة لأعضاء المؤسسة التي تتطلب استكمال مسؤولياتهم المعينة فقط. لاستخدام قدرات Azure Network Watcher، يجب تعيين الحساب الذي تقوم بتسجيل الدخول إلى Azure باستخدامه إلى الأدوار المضمنة للمالك أو المساهم أو مساهم الشبكة، أو تعيينه إلى دور مخصص تم تعيينه للإجراءات المدرجة لكل قدرة Network Watcher في الأقسام التالية. لمعرفة كيفية التحقق من الأدوار المعينة لمستخدم للاشتراك، راجع سرد تعيينات دور Azure باستخدام مدخل Microsoft Azure. إذا لم تتمكن من رؤية تعيينات الدور، فاتصل بمسؤول الاشتراك المعني. لمعرفة المزيد حول قدرات Network Watcher، راجع ما هو Network Watcher؟
هام
لا يغطي مساهم الشبكة الإجراءات التالية:
- إجراءات Microsoft.Storage/* المدرجة في قسم الإجراءات الإضافية أو سجلات التدفق.
- إجراءات Microsoft.Compute/* المدرجة في قسم الإجراءات الإضافية.
- Microsoft.OperationalInsights/workspaces/*، Microsoft.Insights/dataCollectionRules/* أو Microsoft.Insights/dataCollectionEndpoints/* الإجراءات المدرجة في قسم تحليلات نسبة استخدام الشبكة.
مراقب الشبكة
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/networkWatchers/read | الحصول على Network Watcher |
| Microsoft.Network/networkWatchers/write | إنشاء أو تحديث Network Watcher |
| Microsoft.Network/networkWatchers/delete | حذف Network Watcher |
مراقب الاتصال
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | «Start» مراقبة الاتصال |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | «Stop» مراقب اتصال |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | «Query» مراقب اتصال |
| Microsoft.Network/networkWatchers/connectionMonitors/read | «Get» مراقب اتصال |
| Microsoft.Network/networkWatchers/connectionMonitors/write | إنشاء connection monitor |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | «Delete» مراقب اتصال |
سجلات التدفق
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | تكوين سجل التدفق |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | حالة الاستعلام عن سجل التدفق |
| Microsoft.Storage/storageAccounts/listServiceSas/Action، Microsoft.Storage/storageAccounts/listAccountSas/Action، Microsoft.Storage/storageAccounts/listKeys/Action |
إحضار توقيعات الوصول المشترك (SAS) التي تمكن الوصول الآمن إلى حساب التخزين والكتابة إلى حساب التخزين |
Traffic analytics
نظرا لأن تحليلات نسبة استخدام الشبكة ممكنة كجزء من مورد سجل التدفق، فإن الأذونات التالية مطلوبة بالإضافة إلى جميع الأذونات المطلوبة لسجلات التدفق:
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/applicationGateways/read | الحصول على بوابة تطبيق |
| Microsoft.Network/connections/read | الحصول على VirtualNetworkGateway الاتصال ion |
| Microsoft.Network/loadBalancers/read | الحصول على تعريف موازن التحميل |
| Microsoft.Network/localNetworkGateways/read | الحصول على LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | الحصول على تعريف واجهة الشبكة |
| Microsoft.Network/networkSecurityGroups/read | الحصول على تعريف مجموعة أمان الشبكة |
| Microsoft.Network/publicIPAddresses/read | الحصول على تعريف عنوان IP عام |
| Microsoft.Network/routeTables/read | الحصول على تعريف جدول التوجيه |
| Microsoft.Network/virtualNetworkGateways/read | الحصول على VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | الحصول على تعريف شبكة ظاهرية |
| Microsoft.Network/expressRouteCircuits/read | الحصول على ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | الحصول على مساحة عمل موجودة |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | استرداد المفاتيح المشتركة لمساحة العمل |
| Microsoft.Insights/dataCollectionRules/read 1 | قراءة قاعدة تجميع البيانات |
| Microsoft.Insights/dataCollectionRules/write 1 | إنشاء قاعدة تجميع بيانات أو تحديثها |
| Microsoft.Insights/dataCollectionRules/delete 1 | حذف قاعدة تجميع البيانات |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | قراءة نقطة نهاية تجميع البيانات |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | إنشاء نقطة نهاية تجميع بيانات أو تحديثها |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | حذف نقطة نهاية مجموعة بيانات |
1 مطلوب فقط عند استخدام تحليلات نسبة استخدام الشبكة لتحليل سجلات تدفق الشبكة الظاهرية. لمزيد من المعلومات، راجع قواعد جمع البيانات في Azure Monitor ونقاط نهاية تجميع البيانات في Azure Monitor.
تنبيه
يتم إنشاء قاعدة جمع البيانات وموارد نقطة نهاية جمع البيانات وإدارتها بواسطة تحليلات نسبة استخدام الشبكة. إذا أجريت أي عملية على هذه الموارد، فقد لا تعمل تحليلات نسبة استخدام الشبكة كما هو متوقع.
استكشاف أخطاء الاتصال وإصلاحها
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | بدء اختبار استكشاف أخطاء الاتصال وإصلاحها |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | بدء اختبار استكشاف أخطاء الاتصال وإصلاحها |
| Microsoft.Network/networkWatchers/troubleshoot/action | تشغيل اختبار استكشاف أخطاء الاتصال وإصلاحها |
تسجيل حزمة بيانات
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | «Query» عن حالة التقاط الحزمة |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | «Stop» تسجيل حزمة البيانات |
| Microsoft.Network/networkWatchers/packetCaptures/read | «Get» تسجيل حزمة البيانات |
| Microsoft.Network/networkWatchers/packetCaptures/write | «Create» تسجيل حزمة البيانات |
| Microsoft.Network/networkWatchers/packetCaptures/delete | «Delete» تسجيل حزمة البيانات |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | عرض حالة التقاط حزمة البيانات |
التحقق من تدفق IP
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | التحقق من تدفق IP |
الوثبة التالية
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action، Microsoft.Network/networkWatchers/nextHop/read |
بالنسبة إلى هدف محدد وعنوان IP الوجهة، قم بإعادة نوع الوثبة التالية وعنوان IP للأمل التالي |
| Microsoft.Compute/virtualMachines/read | الحصول على خصائص جهاز ظاهري |
| Microsoft.Network/networkInterfaces/read | الحصول على تعريف واجهة الشبكة |
عرض مجموعة أمان الشبكة
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | عرض مجموعات الأمان |
المخطط
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | الحصول على الطوبولوجيا |
| Microsoft.Network/networkWatchers/topology/read | نفس ما سبق |
تقرير إمكانية الوصول
| الإجراء | الوصف |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | «Get» تقرير إمكانية الوصول إلى Azure |
إجراءات إضافية
تتطلب قدرات Network Watcher أيضًا الإجراءات التالية:
| إجراء/ إجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/Read | إحضار تعيينات دور Azure وتعريفات النهج |
| "Microsoft.Resources/subscriptions/resourceGroups/read" | تعداد جميع مجموعات الموارد في اشتراك |
| "Microsoft.Storage/storageAccounts/read" | الحصول على خصائص حساب التخزين المحدد |
| Microsoft.Storage/storageAccounts/listServiceSas/Action، Microsoft.Storage/storageAccounts/listAccountSas/Action، Microsoft.Storage/storageAccounts/listKeys/Action |
إحضار توقيعات الوصول المشترك (SAS) التي تمكن الوصول الآمن إلى حساب التخزين والكتابة إلى حساب التخزين |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
تسجيل الدخول إلى الجهاز الظاهري، والقيام بالتقاط حزمة وتحميلها إلى حساب التخزين |
| Microsoft.Compute/virtualMachines/extensions/Read، Microsoft.Compute/virtualMachines/extensions/Write |
تحقق مما إذا كان ملحق Network Watcher موجودا، وقم بتثبيته إذا لزم الأمر |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
الوصول إلى مجموعات مقياس الجهاز الظاهري، والقيام بالتقاط الحزم وتحميلها إلى حساب التخزين |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read، Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
تحقق مما إذا كان ملحق Network Watcher موجودا، وقم بتثبيته إذا لزم الأمر |
| Microsoft.Insights/alertRules/* | إدارة تنبيهات المقاييس |
| Microsoft.Support/* | إنشاء تذاكر الدعم وتحديثها من Network Watcher |