Permisos del control de acceso basado en roles de Azure necesarios para usar las funcionalidades de Network Watcher
El control de acceso basado en roles (Azure RBAC) de Azure le permite asignar únicamente acciones específicas a los miembros de su organización que las necesiten para completar sus responsabilidades asignadas. Para usar las funcionalidades de Azure Network Watcher, debe asignar a la cuenta con la que inicia sesión en Azure a los roles integrados de propietario, colaborador, o colaborador de red, o se le debe asignar un rol personalizado al que se asignan las acciones que se enumeran para cada funcionalidad de Network Watcher en las secciones siguientes. Para aprender a comprobar los roles asignados a un usuario en una suscripción, consulte Enumeración de asignaciones de roles de Azure mediante Azure Portal. Si no puede ver las asignaciones de roles, póngase en contacto con el administrador de la suscripción correspondiente. Para más información sobre las funcionalidades de Network Watcher, consulte ¿Qué es Network Watcher?
Importante
El rol colaborador de red no incluye las siguientes acciones:
- Acciones de Microsoft.Storage/* enumeradas en la sección Acciones adicionales o Registros de flujo.
- Acciones de Microsoft.Storage/* enumeradas en la sección Acciones adicionales.
- Acciones Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* o Microsoft.Insights/dataCollectionEndpoints/* enumeradas en Análisis de tráfico.
Network Watcher
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/read | Obtener Network Watcher |
| Microsoft.Network/networkWatchers/write | Crear o actualizar Network Watcher |
| Microsoft.Network/networkWatchers/delete | Eliminar Network Watcher |
Monitor de conexión
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Iniciar un monitor de conexión |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Detener un monitor de conexión |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Consultar un monitor de conexión |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Obtener un monitor de conexión |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Creación de un monitor de conexión |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Eliminar un monitor de conexión |
Registros de flujos
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Configurar un registro de flujo |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Consultar el estado de un registro de flujo |
| Microsoft.Network/networkSecurityGroups/write 1 | Crea un grupo de seguridad de red o actualiza uno que ya existe |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Obtenga firmas de acceso compartido (SAS) que permitan el acceso seguro a la cuenta de almacenamiento y escriba en la cuenta de almacenamiento. |
1 solo es necesario con los registros de flujo de NSG.
Análisis de tráfico
Dado que el análisis de tráfico está habilitado como parte del recurso de registro de flujo, se requieren los siguientes permisos además de todos los permisos necesarios para registros de flujo:
| Acción | Descripción |
|---|---|
| Microsoft.Network/applicationGateways/read | Obtener una puerta de enlace de aplicación |
| Microsoft.Network/connections/read | Obtiene un elemento VirtualNetworkGatewayConnection. |
| Microsoft.Network/loadBalancers/read | Obtener una definición de equilibrador de carga |
| Microsoft.Network/localNetworkGateways/read | Obtener una puerta de enlace de red local |
| Microsoft.Network/networkInterfaces/read | Obtener una definición de interfaz de red |
| Microsoft.Network/networkSecurityGroups/read | Obtener una definición de grupo de seguridad de red |
| Microsoft.Network/publicIPAddresses/read | Obtener una definición de la dirección IP pública |
| Microsoft.Network/routeTables/read | Obtener una definición de tabla de rutas |
| Microsoft.Network/virtualNetworkGateways/read | Obtener una puerta de enlace de red virtual |
| Microsoft.Network/virtualNetworks/read | Obtener una definición de red virtual |
| Microsoft.Network/expressRouteCircuits/read | Obtiene un ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | Obtener un área de trabajo existente |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Recuperar las claves compartidas del área de trabajo |
| Microsoft.Insights/dataCollectionRules/read 1 | Lee una regla de recopilación de datos. |
| Microsoft.Insights/dataCollectionRules/write 1 | Crea o actualiza una regla de recopilación de datos. |
| Microsoft.Insights/dataCollectionRules/delete 1 | Elimina una regla de recopilación de datos. |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Lee un punto de conexión de recopilación de datos |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Crea o actualiza un punto de conexión de recopilación de datos |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Elimina un punto de conexión de recopilación de datos |
1 Solo es necesario cuando se usa análisis de tráfico para analizar los registros de flujo de red virtual. Para más información, consulte Reglas de recopilación de datos en Azure Monitor y Puntos de conexión de recopilación de datos en Azure Monitor.
Precaución
Los recursos de punto de conexión de recopilación de datos y regla de recopilación de datos se crean y administran mediante análisis de tráfico. Si realiza alguna operación en estos recursos, es posible que el análisis de tráfico no funcione según lo previsto.
Solución de problemas de conexión
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Iniciar una prueba de solución de problemas de conexión |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Consultar resultados de una prueba de solución de problemas de conexión |
| Microsoft.Network/networkWatchers/troubleshoot/action | Ejecutar una prueba de solución de problemas de conexión |
Captura de paquetes
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Consultar el estado de una captura de paquetes |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Detención de una captura de paquetes |
| Microsoft.Network/networkWatchers/packetCaptures/read | Obtención de una captura de paquetes |
| Microsoft.Network/networkWatchers/packetCaptures/write | Crear una captura de paquetes |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Eliminación de una captura de paquetes |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Ver el estado de una captura de paquetes |
Comprobación de flujo de IP
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Verificar un flujo de IP |
Próximo salto
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Para un destino y una dirección IP de destino especificados, devuelve el tipo y la dirección IP del próximo salto |
| Microsoft.Compute/virtualMachines/read | Obtención de las propiedades de una máquina virtual |
| Microsoft.Network/networkInterfaces/read | Obtener una definición de interfaz de red |
Vista de grupo de seguridad de red
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Ver grupos de seguridad |
Topología
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Obtener topología |
| Microsoft.Network/networkWatchers/topology/read | Lo mismo que antes. |
Informe de disponibilidad
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Obtener un informe de disponibilidad de Azure |
Acciones adicionales
Las funcionalidades de Network Watcher también requieren las siguientes acciones:
| Acciones | Descripción |
|---|---|
| Microsoft.Authorization/*/Read | Obtenga asignaciones de roles y definiciones de directivas de Azure |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Enumerar todos los grupos de recursos de una suscripción |
| Microsoft.Storage/storageAccounts/Read | Obtiene las propiedades de una cuenta de almacenamiento especificada. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Obtenga firmas de acceso compartido (SAS) que permitan el acceso seguro a la cuenta de almacenamiento y escriba en la cuenta de almacenamiento. |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Inicie sesión en la máquina virtual, realice una captura de paquetes y cárguela en la cuenta de almacenamiento. |
| Microsoft.Compute/virtualMachines/extensions/Read Microsoft.Compute/virtualMachines/extensions/Write |
Compruebe si la extensión Network Watcher está presente e instálela si es necesario. |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Acceda a conjuntos de escalado de máquinas virtuales, realice capturas de paquetes y cárguelos en la cuenta de almacenamiento |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Compruebe si la extensión Network Watcher está presente e instálela si es necesario. |
| Microsoft.Insights/alertRules/* | Configuración de alertas de métricas |
| Microsoft.Support/* | Crear y actualizar incidencias de soporte técnico desde Network Watcher. |