Partager via


Autorisations de contrôle d'accès en fonction du rôle Azure obligatoires pour utiliser les fonctionnalités de Network Watcher

Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) vous permet d’attribuer aux membres de votre organisation uniquement les actions dont ils ont besoin pour remplir leur fonction. Pour utiliser les fonctionnalités d’Azure Network Watcher, le compte avec lequel vous vous connectez à Azure doit être attribué aux rôles intégrés Propriétaire, Contributeur ou Contributeur de réseaux, ou à un rôle personnalisé auquel sont affectées les actions listées pour chaque fonctionnalité de Network Watcher dans les sections qui suivent. Pour apprendre à vérifier les rôles attribués à un utilisateur pour un abonnement, consultez Répertorier les attributions de rôles Azure à l’aide du Portail Azure. Si vous ne voyez pas les attributions de rôles, contactez l’administrateur des abonnements respectifs. Pour en savoir plus sur les fonctionnalités de Network Watcher, consultez Qu’est-ce que Network Watcher ?

Important

Le contributeur réseau ne couvre pas les actions suivantes :

Network Watcher

Action Description
Microsoft.Network/networkWatchers/read Obtenir un observateur réseau
Microsoft.Network/networkWatchers/write Créer ou mettre à jour un observateur réseau
Microsoft.Network/networkWatchers/delete Supprimer un observateur réseau

Moniteur de connexion

Action Description
Microsoft.Network/networkWatchers/connectionMonitors/start/action Démarrer un moniteur de connexion
Microsoft.Network/networkWatchers/connectionMonitors/stop/action Arrêter un moniteur de connexion
Microsoft.Network/networkWatchers/connectionMonitors/query/action Interroger un moniteur de connexion
Microsoft.Network/networkWatchers/connectionMonitors/read Obtenir un moniteur de connexion
Microsoft.Network/networkWatchers/connectionMonitors/write Créer un moniteur de connexion
Microsoft.Network/networkWatchers/connectionMonitors/delete Supprimer un moniteur de connexion

Journaux de flux

Action Description
Microsoft.Network/networkWatchers/configureFlowLog/action Configurer un journal de flux
Microsoft.Network/networkWatchers/queryFlowLogStatus/action Interroger l’état d’un journal de flux
Microsoft.Network/networkSecurityGroups/write 1 Crée un groupe de sécurité réseau ou met à jour un groupe de sécurité réseau existant.
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action
Récupérer les signatures d’accès partagé permettant l’accès sécurisé au compte de stockage et l’écriture dans le compte de stockage

1 uniquement requis avec les journaux de flux NSG.

Analyse du trafic

Étant donné que l’analyse du trafic est activée dans le cadre de la ressource de journal de flux, les autorisations suivantes sont requises en plus de toutes les autorisations requises pour les journaux de flux :

Action Description
Microsoft.Network/applicationGateways/read Obtenir une passerelle applicative
Microsoft.Network/connections/read Obtient une connexion de passerelle de réseau virtuel
Microsoft.Network/loadBalancers/read Obtenir une définition d’équilibreur de charge
Microsoft.Network/localNetworkGateways/read Obtient LocalNetworkGateway
Microsoft.Network/networkInterfaces/read Obtenir une définition d’interface réseau
Microsoft.Network/networkSecurityGroups/read Obtenir une définition de groupe de sécurité réseau
Microsoft.Network/publicIPAddresses/read Obtenir une définition d’adresse IP publique
Microsoft.Network/routeTables/read Obtenir une définition de table de routage
Microsoft.Network/virtualNetworkGateways/read Obtenir VirtualNetworkGateway
Microsoft.Network/virtualNetworks/read Obtenir une définition de réseau virtuel
Microsoft.Network/expressRouteCircuits/read Obtenir un ExpressRouteCircuit.
Microsoft.OperationalInsights/workspaces/read Obtenir un espace de travail existant
Microsoft.OperationalInsights/workspaces/sharedkeys/action Récupérer les clés partagées de l’espace de travail
Microsoft.Insights/dataCollectionRules/read 1 Lit une règle de collecte de données
Microsoft.Insights/dataCollectionRules/write 1 Crée ou met à jour une règle de collecte de données
Microsoft.Insights/dataCollectionRules/delete 1 Supprime une règle de collecte de données
Microsoft.Insights/dataCollectionEndpoints/read 1 Lit un point de terminaison de collecte de données
Microsoft.Insights/dataCollectionEndpoints/write 1 Crée ou met à jour un point de terminaison de collecte de données
Microsoft.Insights/dataCollectionEndpoints/delete 1 Supprime un point de terminaison de collecte de données

1 Requis uniquement lors de l’utilisation de l’analyse du trafic pour analyser les journaux de flux de réseau virtuel. Pour plus d’informations, consultez Règles de collecte de données dans azure Monitor et Points de terminaison de collecte de données dans Azure Monitor.

Attention

Les ressources de points de terminaison de collecte de données et de règles de collecte de données sont créées et gérées par l’analyse du trafic. Si vous effectuez une opération sur ces ressources, l’analyse du trafic peut ne pas fonctionner comme prévu.

Résoudre les problèmes de connexion

Action Description
Microsoft.Network/networkWatchers/connectivityCheck/action Lancer un test de résolution de problèmes de connexion
Microsoft.Network/networkWatchers/queryTroubleshootResult/action Interroger les résultats d’un test de résolution de problèmes de connexion
Microsoft.Network/networkWatchers/troubleshoot/action Exécuter un test de résolution de problèmes de connexion

Capture de paquet

Action Description
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action Interroger l’état d’une capture de paquets
Microsoft.Network/networkWatchers/packetCaptures/stop/action Arrêter une capture de paquets
Microsoft.Network/networkWatchers/packetCaptures/read Obtenir une capture de paquets
Microsoft.Network/networkWatchers/packetCaptures/write Créer une capture de paquets
Microsoft.Network/networkWatchers/packetCaptures/delete Supprimer une capture de paquets
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read Afficher l’état d’une capture de paquets

Vérification du flux IP

Action Description
Microsoft.Network/networkWatchers/ipFlowVerify/action Vérifier un flux IP

Tronçon suivant

Action Description
Microsoft.Network/networkWatchers/nextHop/action,
Microsoft.Network/networkWatchers/nextHop/read
Pour une adresse IP cible et de destination spécifiée, retourne le type de tronçon suivant et l’adresse IP de tronçon suivant
Microsoft.Compute/virtualMachines/read Obtenir les propriétés d’une machine virtuelle
Microsoft.Network/networkInterfaces/read Obtenir une définition d’interface réseau

Vue du groupe de sécurité réseau

Action Description
Microsoft.Network/networkWatchers/securityGroupView/action Afficher les groupes de sécurité

Topologie

Action Description
Microsoft.Network/networkWatchers/topology/action Obtenir la topologie
Microsoft.Network/networkWatchers/topology/read Identique à ce qui précède

Rapport d’accessibilité

Action Description
Microsoft.Network/networkWatchers/azureReachabilityReport/action Obtenir un rapport d’accessibilité Azure

Actions supplémentaires

Les fonctionnalités de Network Watcher nécessitent également les actions suivantes :

Action(s) Description
Microsoft.Authorization/*/Read Extraire les attributions de rôle et les définitions de stratégie Azure
Microsoft.Resources/subscriptions/resourceGroups/Read Énumérer tous les groupes de ressources dans un abonnement
Microsoft.Storage/storageAccounts/Read Obtenir les propriétés du compte de stockage spécifié
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action
Récupérer les signatures d’accès partagé permettant l’accès sécurisé au compte de stockage et l’écriture dans le compte de stockage
Microsoft.Compute/virtualMachines/Read,
Microsoft.Compute/virtualMachines/Write
Se connecter à la machine virtuelle, effectuer une capture de paquets et la charger dans le compte de stockage
Microsoft.Compute/virtualMachines/extensions/Read
Microsoft.Compute/virtualMachines/extensions/Write
Vérifier si l’extension Network Watcher est présente et l’installer si nécessaire
Microsoft.Compute/virtualMachineScaleSets/Read,
Microsoft.Compute/virtualMachineScaleSets/Write
Accéder aux groupes de machines virtuelles identiques, effectuer des captures de paquets et les charger dans le compte de stockage
Microsoft.Compute/virtualMachineScaleSets/extensions/Read,
Microsoft.Compute/virtualMachineScaleSets/extensions/Write
Vérifier si l’extension Network Watcher est présente et l’installer si nécessaire
Microsoft.Insights/alertRules/* Configurer des alertes de métriques
Microsoft.Support/* Créer et mettre à jour des tickets de support à partir de Network Watcher