Autorisations de contrôle d'accès en fonction du rôle Azure obligatoires pour utiliser les fonctionnalités de Network Watcher
Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) vous permet d’attribuer aux membres de votre organisation uniquement les actions dont ils ont besoin pour remplir leur fonction. Pour utiliser les fonctionnalités d’Azure Network Watcher, le compte avec lequel vous vous connectez à Azure doit être attribué aux rôles intégrés Propriétaire, Contributeur ou Contributeur de réseaux, ou à un rôle personnalisé auquel sont affectées les actions listées pour chaque fonctionnalité de Network Watcher dans les sections qui suivent. Pour apprendre à vérifier les rôles attribués à un utilisateur pour un abonnement, consultez Répertorier les attributions de rôles Azure à l’aide du Portail Azure. Si vous ne voyez pas les attributions de rôles, contactez l’administrateur des abonnements respectifs. Pour en savoir plus sur les fonctionnalités de Network Watcher, consultez Qu’est-ce que Network Watcher ?
Important
Le contributeur réseau ne couvre pas les actions suivantes :
- Actions Microsoft.Storage/* répertoriées dans la section Actions supplémentaires ou Journaux de flux.
- Actions Microsoft.Compute/* répertoriées dans la section Actions supplémentaires.
- Actions Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* ou Microsoft.Insights/dataCollectionEndpoints/* répertoriées dans la section Analyse du trafic.
Network Watcher
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/read | Obtenir un observateur réseau |
| Microsoft.Network/networkWatchers/write | Créer ou mettre à jour un observateur réseau |
| Microsoft.Network/networkWatchers/delete | Supprimer un observateur réseau |
Moniteur de connexion
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Démarrer un moniteur de connexion |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Arrêter un moniteur de connexion |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Interroger un moniteur de connexion |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Obtenir un moniteur de connexion |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Créer un moniteur de connexion |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Supprimer un moniteur de connexion |
Journaux de flux
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Configurer un journal de flux |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Interroger l’état d’un journal de flux |
| Microsoft.Network/networkSecurityGroups/write 1 | Crée un groupe de sécurité réseau ou met à jour un groupe de sécurité réseau existant. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Récupérer les signatures d’accès partagé permettant l’accès sécurisé au compte de stockage et l’écriture dans le compte de stockage |
1 uniquement requis avec les journaux de flux NSG.
Analyse du trafic
Étant donné que l’analyse du trafic est activée dans le cadre de la ressource de journal de flux, les autorisations suivantes sont requises en plus de toutes les autorisations requises pour les journaux de flux :
| Action | Description |
|---|---|
| Microsoft.Network/applicationGateways/read | Obtenir une passerelle applicative |
| Microsoft.Network/connections/read | Obtient une connexion de passerelle de réseau virtuel |
| Microsoft.Network/loadBalancers/read | Obtenir une définition d’équilibreur de charge |
| Microsoft.Network/localNetworkGateways/read | Obtient LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Obtenir une définition d’interface réseau |
| Microsoft.Network/networkSecurityGroups/read | Obtenir une définition de groupe de sécurité réseau |
| Microsoft.Network/publicIPAddresses/read | Obtenir une définition d’adresse IP publique |
| Microsoft.Network/routeTables/read | Obtenir une définition de table de routage |
| Microsoft.Network/virtualNetworkGateways/read | Obtenir VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Obtenir une définition de réseau virtuel |
| Microsoft.Network/expressRouteCircuits/read | Obtenir un ExpressRouteCircuit. |
| Microsoft.OperationalInsights/workspaces/read | Obtenir un espace de travail existant |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Récupérer les clés partagées de l’espace de travail |
| Microsoft.Insights/dataCollectionRules/read 1 | Lit une règle de collecte de données |
| Microsoft.Insights/dataCollectionRules/write 1 | Crée ou met à jour une règle de collecte de données |
| Microsoft.Insights/dataCollectionRules/delete 1 | Supprime une règle de collecte de données |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Lit un point de terminaison de collecte de données |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Crée ou met à jour un point de terminaison de collecte de données |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Supprime un point de terminaison de collecte de données |
1 Requis uniquement lors de l’utilisation de l’analyse du trafic pour analyser les journaux de flux de réseau virtuel. Pour plus d’informations, consultez Règles de collecte de données dans azure Monitor et Points de terminaison de collecte de données dans Azure Monitor.
Attention
Les ressources de points de terminaison de collecte de données et de règles de collecte de données sont créées et gérées par l’analyse du trafic. Si vous effectuez une opération sur ces ressources, l’analyse du trafic peut ne pas fonctionner comme prévu.
Résoudre les problèmes de connexion
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Lancer un test de résolution de problèmes de connexion |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Interroger les résultats d’un test de résolution de problèmes de connexion |
| Microsoft.Network/networkWatchers/troubleshoot/action | Exécuter un test de résolution de problèmes de connexion |
Capture de paquet
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Interroger l’état d’une capture de paquets |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Arrêter une capture de paquets |
| Microsoft.Network/networkWatchers/packetCaptures/read | Obtenir une capture de paquets |
| Microsoft.Network/networkWatchers/packetCaptures/write | Créer une capture de paquets |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Supprimer une capture de paquets |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Afficher l’état d’une capture de paquets |
Vérification du flux IP
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Vérifier un flux IP |
Tronçon suivant
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Pour une adresse IP cible et de destination spécifiée, retourne le type de tronçon suivant et l’adresse IP de tronçon suivant |
| Microsoft.Compute/virtualMachines/read | Obtenir les propriétés d’une machine virtuelle |
| Microsoft.Network/networkInterfaces/read | Obtenir une définition d’interface réseau |
Vue du groupe de sécurité réseau
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Afficher les groupes de sécurité |
Topologie
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Obtenir la topologie |
| Microsoft.Network/networkWatchers/topology/read | Identique à ce qui précède |
Rapport d’accessibilité
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Obtenir un rapport d’accessibilité Azure |
Actions supplémentaires
Les fonctionnalités de Network Watcher nécessitent également les actions suivantes :
| Action(s) | Description |
|---|---|
| Microsoft.Authorization/*/Read | Extraire les attributions de rôle et les définitions de stratégie Azure |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Énumérer tous les groupes de ressources dans un abonnement |
| Microsoft.Storage/storageAccounts/Read | Obtenir les propriétés du compte de stockage spécifié |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Récupérer les signatures d’accès partagé permettant l’accès sécurisé au compte de stockage et l’écriture dans le compte de stockage |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Se connecter à la machine virtuelle, effectuer une capture de paquets et la charger dans le compte de stockage |
| Microsoft.Compute/virtualMachines/extensions/Read Microsoft.Compute/virtualMachines/extensions/Write |
Vérifier si l’extension Network Watcher est présente et l’installer si nécessaire |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Accéder aux groupes de machines virtuelles identiques, effectuer des captures de paquets et les charger dans le compte de stockage |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Vérifier si l’extension Network Watcher est présente et l’installer si nécessaire |
| Microsoft.Insights/alertRules/* | Configurer des alertes de métriques |
| Microsoft.Support/* | Créer et mettre à jour des tickets de support à partir de Network Watcher |