Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El control de acceso basado en roles (Azure RBAC) de Azure le permite asignar únicamente acciones específicas a los miembros de su organización que las necesiten para completar sus responsabilidades asignadas.
Para usar las funcionalidades de Azure Network Watcher, la cuenta con la que inicie sesión en Azure debe estar asignada a los roles integrados Propietario, Colaborador o Colaborador de red , o asignada a un rol personalizado que incluya las acciones enumeradas para la funcionalidad Network Watcher que desee usar.
Importante
Colaborador de red no incluye las siguientes acciones:
- Acciones de Microsoft.Storage/* enumeradas en la sección Acciones adicionales o Registros de flujo.
- Acciones de Microsoft.Compute/* enumeradas en la sección Acciones adicionales.
- Acciones Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* o Microsoft.Insights/dataCollectionEndpoints/* enumeradas en Análisis de tráfico.
Para aprender a comprobar los roles asignados a un usuario en una suscripción, consulte Enumeración de asignaciones de roles de Azure mediante Azure Portal. Si no puede ver las asignaciones de roles, póngase en contacto con el administrador de la suscripción correspondiente.
En las secciones siguientes se enumeran los permisos mínimos necesarios para utilizar Network Watcher y sus capacidades. Para obtener una lista completa de los permisos de Azure relacionados, consulte Permisos de Microsoft.Network, Permisos de Microsoft.Compute, Permisos de Microsoft.Storage, Permisos de Microsoft.Insights y Permisos de Microsoft.OperationalInsights.
Vigilante de Red
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/read | Obtención de un monitor de red |
| Microsoft.Network/networkWatchers/write | Creación o actualización de un monitor de red |
| Microsoft.Network/networkWatchers/delete | Eliminación de un monitor de red |
Monitor de conexión
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Iniciar un monitor de conexión |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Detener un monitor de conexión |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Consultar un monitor de conexión |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Obtener un monitor de conexión |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Creación de un monitor de conexión |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Eliminar un monitor de conexión |
Registros de flujos
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | Obtener detalles del registro de flujo |
| Microsoft.Network/networkWatchers/flowLogs/write | Crea un registro de flujo |
| Microsoft.Network/networkWatchers/flowLogs/eliminar | Elimina un registro de flujo |
| Microsoft.Network/networkWatchers/configureFlowLog/action | Configurar un registro de flujo |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Consultar el estado de un registro de flujo |
| Microsoft.Network/networkSecurityGroups/write 1 | Crea un grupo de seguridad de red o actualiza uno que ya existe |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Obtenga firmas de acceso compartido (SAS) que permitan el acceso seguro a la cuenta de almacenamiento y escriba en la cuenta de almacenamiento. |
1 solo es necesario con los registros de flujo de NSG.
Análisis de tráfico
Dado que el análisis de tráfico está habilitado como parte del recurso de registro de flujo, se requieren los siguientes permisos además de todos los permisos necesarios para registros de flujo:
| Acción | Descripción |
|---|---|
| Microsoft.Network/applicationGateways/read | Obtener una pasarela de aplicación |
| Microsoft.Network/connections/read | Obtención de VirtualNetworkGatewayConnection |
| Microsoft.Network/expressRouteCircuits/read | Obtención de un ExpressRouteCircuit |
| Microsoft.Network/loadBalancers/read | Obtener una definición de equilibrador de carga |
| Microsoft.Network/localNetworkGateways/read | Obtener LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Obtener una definición de interfaz de red |
| Microsoft.Network/networkSecurityGroups/read | Obtener una definición de grupo de seguridad de red |
| Microsoft.Network/publicIPAddresses/read | Obtener una definición de la dirección IP pública |
| Microsoft.Network/routeTables/read | Obtener una definición de tabla de rutas |
| Microsoft.Network/virtualNetworkGateways/read | Obtención de una instancia de VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Obtener una definición de red virtual |
| Microsoft.Compute/virtualMachines/read | Obtención de las propiedades de una máquina virtual |
| Microsoft.Compute/virtualMachineScaleSets/read | Obtiene las propiedades de un conjunto de escalado de máquinas virtuales. |
| Microsoft.OperationalInsights/workspaces/read | Obtener un área de trabajo existente |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Recuperar las claves compartidas del área de trabajo |
| Microsoft.Insights/dataCollectionRules/read 1 | Lee una regla de recopilación de datos. |
| Microsoft.Insights/dataCollectionRules/write 1 | Crea o actualiza una regla de recopilación de datos. |
| Microsoft.Insights/dataCollectionRules/eliminar 1 | Elimina una regla de recopilación de datos. |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Leer un punto de conexión de recopilación de datos |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Crea o actualiza un punto de conexión de recopilación de datos |
| Microsoft.Insights/dataCollectionEndpoints/eliminar 1 | Elimina un punto de conexión de recopilación de datos |
1 Se requiere en la suscripción del área de trabajo de Log Analytics al usar análisis de tráfico con registros de flujo de red virtual.
Precaución
Análisis de tráfico crea y administra recursos de regla de recopilación de datos (DCR) y punto de conexión de recopilación de datos (DCE) en el mismo grupo de recursos que el área de trabajo de Log Analytics, con el prefijo NWTA. Si realiza alguna operación en estos recursos, es posible que el análisis de tráfico no funcione según lo previsto.
Importante
Actualmente no se admiten permisos heredados del grupo de administración para habilitar el análisis de tráfico.
Solución de problemas de conexión
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action, Microsoft.Network/networkWatchers/connectivityCheck/read |
Verifique la posibilidad de establecer una conexión TCP directa desde una máquina virtual a un punto de conexión determinado |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Consultar resultados de una prueba de solución de problemas de conexión |
| Microsoft.Network/networkWatchers/troubleshoot/action | Ejecutar una prueba de solución de problemas de conexión |
Captura de paquetes
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Consultar el estado de una captura de paquetes |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Detener la sesión de captura de paquetes en ejecución |
| Microsoft.Network/networkWatchers/packetCaptures/read | Obtención de una definición de captura de paquetes |
| Microsoft.Network/networkWatchers/packetCaptures/write | Crear una captura de paquetes |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Eliminación de una captura de paquetes |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Ver el estado de una captura de paquetes |
Verificación de flujo de IP
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read |
Devuelve si el paquete está permitido o denegado hacia o desde un destino determinado |
Próximo salto
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Para una dirección IP de destino y destino especificada, devuelva el tipo de próximo salto y la siguiente dirección IP de esperanza |
| Microsoft.Compute/virtualMachines/read | Obtención de las propiedades de una máquina virtual |
| Microsoft.Network/networkInterfaces/read | Obtener una definición de interfaz de red |
Vista de grupo de seguridad de red
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Ver las reglas de grupo de seguridad de red configuradas y efectivas aplicadas en una máquina virtual |
Topología
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/topology/action, Microsoft.Network/networkWatchers/topology/read |
Obtener una vista de nivel de red de los recursos y sus relaciones en un grupo de recursos |
Informe de disponibilidad
| Acción | Descripción |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Obtención de la puntuación de latencia relativa de los proveedores de servicios de Internet desde una ubicación especificada hasta regiones de Azure |
Acciones adicionales
Algunas capacidades de Network Watcher requieren las siguientes acciones:
| Acción | Descripción |
|---|---|
| Microsoft.Authorization/*/Read | Obtenga asignaciones de roles y definiciones de directivas de Azure |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Enumerar todos los grupos de recursos de una suscripción |
| Microsoft.Storage/storageAccounts/Read | Obtiene las propiedades de una cuenta de almacenamiento especificada. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Obtenga firmas de acceso compartido (SAS) que permitan el acceso seguro a la cuenta de almacenamiento y escriba en la cuenta de almacenamiento. |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Inicie sesión en la máquina virtual, realice una captura de paquetes y cárguela en la cuenta de almacenamiento. |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Compruebe si la extensión Network Watcher está presente e instálela si es necesario. |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Acceda a conjuntos de escalado de máquinas virtuales, realice capturas de paquetes y cárguelos en la cuenta de almacenamiento |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Compruebe si la extensión Network Watcher está presente e instálela si es necesario. |
| Microsoft.Insights/alertRules/* | Configuración de alertas de métricas |
| Microsoft.Support/* | Crear y actualizar tickets de soporte desde Network Watcher. |