Permisos del control de acceso basado en roles de Azure necesarios para usar las funcionalidades de Network Watcher

Artículo
04/24/2024

El control de acceso basado en roles (Azure RBAC) de Azure le permite asignar únicamente acciones específicas a los miembros de su organización que las necesiten para completar sus responsabilidades asignadas. Para usar las funcionalidades de Azure Network Watcher, debe asignar a la cuenta con la que inicia sesión en Azure a los roles integrados de propietario, colaborador, o colaborador de red, o se le debe asignar un rol personalizado al que se asignan las acciones que se enumeran para cada funcionalidad de Network Watcher en las secciones siguientes. Para aprender a comprobar los roles asignados a un usuario en una suscripción, consulte Enumeración de asignaciones de roles de Azure mediante Azure Portal. Si no puede ver las asignaciones de roles, póngase en contacto con el administrador de la suscripción correspondiente. Para más información sobre las funcionalidades de Network Watcher, consulte ¿Qué es Network Watcher?

Importante

El rol colaborador de red no incluye las siguientes acciones:

Acciones de Microsoft.Storage/* enumeradas en la sección Acciones adicionales o Registros de flujo.
Acciones de Microsoft.Storage/* enumeradas en la sección Acciones adicionales.
Acciones Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* o Microsoft.Insights/dataCollectionEndpoints/* enumeradas en Análisis de tráfico.

Network Watcher

Acción	Descripción
Microsoft.Network/networkWatchers/read	Obtener Network Watcher
Microsoft.Network/networkWatchers/write	Crear o actualizar Network Watcher
Microsoft.Network/networkWatchers/delete	Eliminar Network Watcher

Monitor de conexión

Acción	Descripción
Microsoft.Network/networkWatchers/connectionMonitors/start/action	Iniciar un monitor de conexión
Microsoft.Network/networkWatchers/connectionMonitors/stop/action	Detener un monitor de conexión
Microsoft.Network/networkWatchers/connectionMonitors/query/action	Consultar un monitor de conexión
Microsoft.Network/networkWatchers/connectionMonitors/read	Obtener un monitor de conexión
Microsoft.Network/networkWatchers/connectionMonitors/write	Creación de un monitor de conexión
Microsoft.Network/networkWatchers/connectionMonitors/delete	Eliminar un monitor de conexión

Registros de flujos

Acción	Descripción
Microsoft.Network/networkWatchers/configureFlowLog/action	Configurar un registro de flujo
Microsoft.Network/networkWatchers/queryFlowLogStatus/action	Consultar el estado de un registro de flujo
Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action	Obtenga firmas de acceso compartido (SAS) que permitan el acceso seguro a la cuenta de almacenamiento y escriba en la cuenta de almacenamiento.

Análisis de tráfico

Dado que el análisis de tráfico está habilitado como parte del recurso de registro de flujo, se requieren los siguientes permisos además de todos los permisos necesarios para registros de flujo:

Acción	Descripción
Microsoft.Network/applicationGateways/read	Obtener una puerta de enlace de aplicación
Microsoft.Network/connections/read	Obtiene un elemento VirtualNetworkGatewayConnection.
Microsoft.Network/loadBalancers/read	Obtener una definición de equilibrador de carga
Microsoft.Network/localNetworkGateways/read	Obtener una puerta de enlace de red local
Microsoft.Network/networkInterfaces/read	Obtener una definición de interfaz de red
Microsoft.Network/networkSecurityGroups/read	Obtener una definición de grupo de seguridad de red
Microsoft.Network/publicIPAddresses/read	Obtener una definición de la dirección IP pública
Microsoft.Network/routeTables/read	Obtener una definición de tabla de rutas
Microsoft.Network/virtualNetworkGateways/read	Obtener una puerta de enlace de red virtual
Microsoft.Network/virtualNetworks/read	Obtener una definición de red virtual
Microsoft.Network/expressRouteCircuits/read	Obtiene un ExpressRouteCircuit
Microsoft.OperationalInsights/workspaces/read	Obtener un área de trabajo existente
Microsoft.OperationalInsights/workspaces/sharedkeys/action	Recuperar las claves compartidas del área de trabajo
Microsoft.Insights/dataCollectionRules/read ¹	Lee una regla de recopilación de datos.
Microsoft.Insights/dataCollectionRules/write ¹	Crea o actualiza una regla de recopilación de datos.
Microsoft.Insights/dataCollectionRules/delete ¹	Elimina una regla de recopilación de datos.
Microsoft.Insights/dataCollectionEndpoints/read ¹	Lee un punto de conexión de recopilación de datos
Microsoft.Insights/dataCollectionEndpoints/write ¹	Crea o actualiza un punto de conexión de recopilación de datos
Microsoft.Insights/dataCollectionEndpoints/delete ¹	Elimina un punto de conexión de recopilación de datos

¹ Solo es necesario cuando se usa análisis de tráfico para analizar los registros de flujo de red virtual. Para más información, consulte Reglas de recopilación de datos en Azure Monitor y Puntos de conexión de recopilación de datos en Azure Monitor.

Precaución

Los recursos de punto de conexión de recopilación de datos y regla de recopilación de datos se crean y administran mediante análisis de tráfico. Si realiza alguna operación en estos recursos, es posible que el análisis de tráfico no funcione según lo previsto.

Solución de problemas de conexión

Acción	Descripción
Microsoft.Network/networkWatchers/connectivityCheck/action	Iniciar una prueba de solución de problemas de conexión
Microsoft.Network/networkWatchers/queryTroubleshootResult/action	Consultar resultados de una prueba de solución de problemas de conexión
Microsoft.Network/networkWatchers/troubleshoot/action	Ejecutar una prueba de solución de problemas de conexión

Captura de paquetes

Acción	Descripción
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action	Consultar el estado de una captura de paquetes.
Microsoft.Network/networkWatchers/packetCaptures/stop/action	Detención de una captura de paquetes.
Microsoft.Network/networkWatchers/packetCaptures/read	Obtención de una captura de paquetes.
Microsoft.Network/networkWatchers/packetCaptures/write	Crear una captura de paquetes.
Microsoft.Network/networkWatchers/packetCaptures/delete	Eliminación de una captura de paquetes.
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read	Ver el estado de una captura de paquetes.

Comprobación de flujo de IP

Acción	Descripción
Microsoft.Network/networkWatchers/ipFlowVerify/action	Verificar un flujo de IP

Próximo salto

Acción	Descripción
Microsoft.Network/networkWatchers/nextHop/action	Obtener el próximo salto de una VM

Vista de grupo de seguridad de red

Acción	Descripción
Microsoft.Network/networkWatchers/securityGroupView/action	Ver grupos de seguridad

Topología

Acción	Descripción
Microsoft.Network/networkWatchers/topology/action	Obtener topología
Microsoft.Network/networkWatchers/topology/read	Lo mismo que antes.

Informe de disponibilidad

Acción	Descripción
Microsoft.Network/networkWatchers/azureReachabilityReport/action	Obtener un informe de disponibilidad de Azure

Acciones adicionales

Las funcionalidades de Network Watcher también requieren las siguientes acciones:

Acciones	Descripción
Microsoft.Authorization/*/Read	Obtenga asignaciones de roles y definiciones de directivas de Azure
Microsoft.Resources/subscriptions/resourceGroups/Read	Enumerar todos los grupos de recursos de una suscripción
Microsoft.Storage/storageAccounts/Read	Obtiene las propiedades de una cuenta de almacenamiento especificada.
Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action	Obtenga firmas de acceso compartido (SAS) que permitan el acceso seguro a la cuenta de almacenamiento y escriba en la cuenta de almacenamiento.
Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write	Inicie sesión en la máquina virtual, realice una captura de paquetes y cárguela en la cuenta de almacenamiento.
Microsoft.Compute/virtualMachines/extensions/Read Microsoft.Compute/virtualMachines/extensions/Write	Compruebe si la extensión Network Watcher está presente e instálela si es necesario.
Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write	Acceda a conjuntos de escalado de máquinas virtuales, realice capturas de paquetes y cárguelos en la cuenta de almacenamiento
Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write	Compruebe si la extensión Network Watcher está presente e instálela si es necesario.
Microsoft.Insights/alertRules/*	Configuración de alertas de métricas
Microsoft.Support/*	Crear y actualizar incidencias de soporte técnico desde Network Watcher.