Erforderliche Berechtigungen der rollenbasierten Zugriffssteuerung von Azure zum Verwenden von Network Watcher-Funktionen
Durch Azure RBAC-Berechtigungen (rollenbasierte Zugriffssteuerung) können Sie Mitgliedern Ihrer Organisation nur bestimmte Aktionen zuweisen, die sie benötigen, um die ihnen übertragenen Aufgaben durchzuführen. Um Azure Network Watcher-Funktionen verwenden zu können, muss das Konto, mit dem Sie sich bei Azure anmelden, den internen Rollen Besitzer, Mitwirkender oder Netzwerkmitwirkender oder einer benutzerdefinierten Rolle zugewiesen werden, die den Aktionen für die einzelnen Network Watcher-Funktionen in den folgenden Abschnitten zugeordnet sind. Informationen zum Überprüfen von Rollen, die einem Benutzer für ein Abonnement zugewiesen sind, finden Sie unter Auflisten von Azure-Rollenzuweisungen mithilfe des Azure-Portals. Wenn die Rollenzuweisungen nicht angezeigt werden, wenden Sie sich an den jeweiligen Abonnementadministrator. Weitere Informationen zu Network Watcher-Funktionen finden Sie unter Was ist Azure Network Watcher?
Wichtig
Netzwerkmitwirkender Deckt keine der folgenden Aktionen ab:
- Microsoft.Storage/*-Aktionen, die in Zusätzliche Aktionen oder Datenflussprotokollen aufgeführt sind.
- Microsoft.Storage/*-Aktionen, die in Zusätzliche Aktionen aufgeführt sind.
- Microsoft.OperationalInsights/workspaces/*-, Microsoft.Insights/dataCollectionRules/*- oder Microsoft.Insights/dataCollectionEndpoints/*-Aktionen, die unter Datenverkehrsanalyse aufgelistet sind.
Network Watcher
| Action | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/read | Network Watcher abrufen |
| Microsoft.Network/networkWatchers/write | Network Watcher erstellen oder aktualisieren |
| Microsoft.Network/networkWatchers/delete | Network Watcher löschen |
Verbindungsmonitor
| Action | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Verbindungsmonitor starten |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Verbindungsmonitor anhalten |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Verbindungsmonitor abfragen |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Verbindungsmonitor abrufen |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Erstellen eines Verbindungsmonitors |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Verbindungsmonitor löschen |
Flowprotokolle
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Ein Datenflussprotokoll konfigurieren |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Status für ein Datenflussprotokoll abfragen |
| Microsoft.Network/networkSecurityGroups/write 1 | Erstellt eine Netzwerksicherheitsgruppe oder aktualisiert eine vorhandene Netzwerksicherheitsgruppe. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Rufen Sie gemeinsame Zugriffssignaturen (SAS) ab, die einen sicheren Zugriff auf das Speicherkonto ermöglichen, und schreiben Sie in das Speicherkonto |
1 Nur für NSG-Datenflussprotokolle erforderlich.
Traffic Analytics
Da die Datenverkehrsanalyse als Teil der Datenflussprotokoll-Ressource aktiviert ist, sind zusätzlich zu allen erforderlichen Berechtigungen für Datenflussprotokolle die folgenden Berechtigungen erforderlich:
| Aktion | Beschreibung |
|---|---|
| Microsoft.Network/applicationGateways/read | Abrufen eines Anwendungsgateways |
| Microsoft.Network/connections/read | Ruft VirtualNetworkGatewayConnection ab. |
| Microsoft.Network/loadBalancers/read | Abrufen einer Lastenausgleichsdefinition |
| Microsoft.Network/localNetworkGateways/read | LocalNetworkGateway abrufen |
| Microsoft.Network/networkInterfaces/read | Abrufen einer Netzwerkschnittstellendefinition |
| Microsoft.Network/networkSecurityGroups/read | Abrufen einer Netzwerksicherheitsgruppen-Definition |
| Microsoft.Network/publicIPAddresses/read | Abrufen einer Definition für eine öffentliche IP-Adresse |
| Microsoft.Network/routeTables/read | Abrufen einer Routingtabellendefinition |
| Microsoft.Network/virtualNetworkGateways/read | VirtualNetworkGateway abrufen |
| Microsoft.Network/virtualNetworks/read | Abrufen der Definition des virtuellen Netzwerks |
| Microsoft.Network/expressRouteCircuits/read | Dient zum Abrufen eines ExpressRouteCircuit-Elements. |
| Microsoft.OperationalInsights/workspaces/read | Ruft einen vorhandenen Arbeitsbereich ab. |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Ruft die gemeinsam verwendeten Schlüssel für den Arbeitsbereich ab. |
| Microsoft.Insights/dataCollectionRules/read 1 | Liest eine Datensammlungsregel. |
| Microsoft.Insights/dataCollectionRules/write 1 | Erstellt oder aktualisiert eine Datensammlungsregel. |
| Microsoft.Insights/dataCollectionRules/delete 1 | Löscht eine Datensammlungsregel. |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Liest einen Datensammlungsendpunkt. |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Erstellt oder aktualisiert einen Datensammlungsendpunkt. |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Löscht einen Datensammlungsendpunkt. |
1 Nur erforderlich, wenn die Datenverkehrsanalyse zum Analysieren von VNet-Datenflussprotokollen verwendet wird. Weitere Informationen finden Sie unter Datensammlungsregeln in Azure Monitor –und Datensammlungsendpunkte in Azure Monitor.
Achtung
Datensammlungsregel und Endpunktressourcen für die Datensammlung werden durch Traffic Analytics erstellt und verwaltet. Wenn Sie einen Vorgang für diese Ressourcen ausführen, funktioniert die Traffic Analytics möglicherweise nicht wie erwartet.
Problembehandlung für Verbindungen
| Action | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Initiieren eines Tests zur Problembehandlung für Verbindungen |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Ergebnisse von einem Test zur Problembehandlung für Verbindungen abfragen |
| Microsoft.Network/networkWatchers/troubleshoot/action | Einen Test zur Problembehandlung für Verbindungen ausführen |
Paketerfassung
| Action | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Status einer Paketerfassung abfragen |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Beenden einer Paketerfassung |
| Microsoft.Network/networkWatchers/packetCaptures/read | Abrufen einer Paketerfassung |
| Microsoft.Network/networkWatchers/packetCaptures/write | Eine Paketerfassung erstellen |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Löschen einer Paketerfassung |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Anzeigen des Status einer Paketerfassung |
IP-Datenflussüberprüfung
| Action | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Einen IP-Fluss überprüfen |
Nächster Hop
| Action | Beschreibung |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Gibt für ein angegebenes Ziel und eine Ziel-IP-Adresse die Art des nächsten Hops und die IP-Adresse des nächsten Hops zurück |
| Microsoft.Compute/virtualMachines/read | Dient zum Abrufen der Eigenschaften eines virtuellen Computers. |
| Microsoft.Network/networkInterfaces/read | Abrufen einer Netzwerkschnittstellendefinition |
Netzwerksicherheitsgruppen-Ansicht
| Action | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Sicherheitsgruppen anzeigen |
Topologie
| Action | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Topologie abrufen |
| Microsoft.Network/networkWatchers/topology/read | Wie oben |
Erreichbarkeitsbericht
| Action | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Einen Azure-Erreichbarkeitsbericht abrufen |
Zusätzliche Aktionen
Network Watcher-Funktionen erfordern folgende Aktionen:
| Aktion(en) | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/Read | Rufen Sie Azure-Rollenzuweisungen und Richtliniendefinitionen ab |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Zählen Sie alle Ressourcengruppen in einem Abonnement auf |
| Microsoft.Storage/storageAccounts/Read | Rufen Sie die Eigenschaften für das angegebene Speicherkonto ab |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Rufen Sie gemeinsame Zugriffssignaturen (SAS) ab, die einen sicheren Zugriff auf das Speicherkonto ermöglichen, und schreiben Sie in das Speicherkonto |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Melden Sie sich bei der VM an, führen Sie eine Paketerfassung durch und laden Sie sie in Ihr Speicherkonto hoch |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Prüfen Sie, ob die Network Watcher-Erweiterung vorhanden ist, und installieren Sie sie gegebenenfalls |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Greifen Sie auf die VM-Skalierungsgruppen zu, führen Sie Paketerfassung durch und laden Sie sie auf ein Speicherkonto hoch |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Prüfen Sie, ob die Network Watcher-Erweiterung vorhanden ist, und installieren Sie sie gegebenenfalls |
| Microsoft.Insights/alertRules/* | Einrichten von Metrikwarnungen |
| Microsoft.Support/* | Erstellen und aktualisieren Sie Support-Tickets von Network Watcher aus |