Autorizzazioni di controllo degli accessi in base al ruolo di Azure necessarie per usare le funzionalità di Network Watcher
Il controllo degli accessi in base al ruolo di Azure consente di assegnare solo le azioni specifiche ai membri dell'organizzazione che devono completare le proprie responsabilità assegnate. Per usare le funzionalità di Azure Network Watcher, l'account con cui si accede ad Azure deve essere assegnato ai ruoli predefiniti Proprietario, Collaboratore o Collaboratore rete oppure assegnati a un ruolo personalizzato a cui sono assegnate le azioni elencate per ogni funzionalità di Network Watcher nelle sezioni seguenti. Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente. Per altre informazioni sulle funzionalità di Network Watcher, vedere Che cos'è Network Watcher?
Importante
Il collaboratore alla rete non copre le azioni seguenti:
- Microsoft. Archiviazione/* azioni elencate in Azioni aggiuntive o sezione Log di flusso.
- Azioni Microsoft.Compute/* elencate nella sezione Azioni aggiuntive .
- Azioni Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* o Microsoft.Insights/dataCollectionEndpoints/* elencate nella sezione Analisi del traffico.
Network Watcher
Azione | Descrizione |
---|---|
Microsoft.Network/networkWatchers/read | Ottenere un'istanza di Network Watcher |
Microsoft.Network/networkWatchers/write | Creare o aggiornare un'istanza di Network Watcher |
Microsoft.Network/networkWatchers/delete | Eliminare un'istanza di Network Watcher |
Monitoraggio connessione
Azione | Descrizione |
---|---|
Microsoft.Network/networkWatchers/connectionMonitors/start/action | Avviare il monitoraggio di una connessione |
Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Interrompere il monitoraggio di una connessione |
Microsoft.Network/networkWatchers/connectionMonitors/query/action | Effettuare una query del monitoraggio di una connessione |
Microsoft.Network/networkWatchers/connectionMonitors/read | Ottenere il monitoraggio di una connessione |
Microsoft.Network/networkWatchers/connectionMonitors/write | Creare un monitoraggio della connessione |
Microsoft.Network/networkWatchers/connectionMonitors/delete | Eliminare il monitoraggio di una connessione |
Log dei flussi
Azione | Descrizione |
---|---|
Microsoft.Network/networkWatchers/configureFlowLog/action | Configurare un log del flusso |
Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Effettuare una query dello stato per un log del flusso |
Microsoft. Archiviazione/storageAccounts/listServiceSas/Action, Microsoft. Archiviazione/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Recuperare le firme di accesso condiviso (SAS) abilitando l'accesso sicuro all'account di archiviazione e scrivere nell'account di archiviazione |
Analisi del traffico
Poiché l'analisi del traffico è abilitata come parte della risorsa di log del flusso, sono necessarie le autorizzazioni seguenti oltre a tutte le autorizzazioni necessarie per i log di Flow:
Azione | Descrizione |
---|---|
Microsoft.Network/applicationGateways/read | Ottenere un gateway applicazione |
Microsoft.Network/connections/read | Ottiene una connessione di gateway di rete virtuale |
Microsoft.Network/loadBalancers/read | Ottenere una definizione del servizio di bilanciamento del carico |
Microsoft.Network/localNetworkGateways/read | Ottenere LocalNetworkGateway |
Microsoft.Network/networkInterfaces/read | Ottenere una definizione di interfaccia di rete |
Microsoft.Network/networkSecurityGroups/read | Ottenere una definizione di gruppo di sicurezza di rete |
Microsoft.Network/publicIPAddresses/read | Ottenere una definizione di indirizzo IP pubblico |
Microsoft.Network/routeTables/read | Ottenere una definizione di tabella di route |
Microsoft.Network/virtualNetworkGateways/read | Ottenere un virtualNetworkGateway |
Microsoft.Network/virtualNetworks/read | Ottenere una definizione di rete virtuale |
Microsoft.Network/expressRouteCircuits/read | Ottiene un ExpressRouteCircuit |
Microsoft.OperationalInsights/workspaces/read | Ottenere un'area di lavoro esistente |
Microsoft.OperationalInsights/workspaces/sharedkeys/action | Recuperare le chiavi condivise per l'area di lavoro |
Microsoft.Insights/dataCollectionRules/read 1 | Leggere una regola di raccolta dati |
Microsoft.Insights/dataCollectionRules/write 1 | Creare o aggiornare una regola di raccolta dati |
Microsoft.Insights/dataCollectionRules/delete 1 | Eliminare una regola di raccolta dati |
Microsoft.Insights/dataCollectionEndpoints/read 1 | Leggere un endpoint di raccolta dati |
Microsoft.Insights/dataCollectionEndpoints/write 1 | Creare o aggiornare un endpoint di raccolta dati |
Microsoft.Insights/dataCollectionEndpoints/delete 1 | Eliminare un endpoint di raccolta dati |
1 È necessario solo quando si usa l'analisi del traffico per analizzare i log dei flussi di rete virtuale. Per altre informazioni, vedere Regole di raccolta dati in Monitoraggio di Azure ed endpoint di raccolta dati in Monitoraggio di Azure.
Attenzione
Le risorse dell'endpoint di raccolta dati e raccolta dati vengono create e gestite dall'analisi del traffico. Se si esegue un'operazione su queste risorse, l'analisi del traffico potrebbe non funzionare come previsto.
Risoluzione dei problemi di connessione
Azione | Descrizione |
---|---|
Microsoft.Network/networkWatchers/connectivityCheck/action | Avviare un test per la risoluzione dei problemi di connessione |
Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Effettuare una query dei risultati di un test per la risoluzione dei problemi di connessione |
Microsoft.Network/networkWatchers/troubleshoot/action | Eseguire un test per la risoluzione dei problemi di connessione |
Acquisizione pacchetti
Azione | Descrizione |
---|---|
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Eseguire una query sullo stato di un'acquisizione di pacchetti. |
Microsoft.Network/networkWatchers/packetCaptures/stop/action | Arrestare un'acquisizione di pacchetti. |
Microsoft.Network/networkWatchers/packetCaptures/read | Ottenere un'acquisizione di pacchetti. |
Microsoft.Network/networkWatchers/packetCaptures/write | Creare un'acquisizione di pacchetti. |
Microsoft.Network/networkWatchers/packetCaptures/delete | Eliminare un'acquisizione di pacchetti. |
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Visualizzare lo stato di un'acquisizione di pacchetti. |
Verifica flusso IP
Azione | Descrizione |
---|---|
Microsoft.Network/networkWatchers/ipFlowVerify/action | Verificare un flusso dell'IP |
Hop successivo
Azione | Descrizione |
---|---|
Microsoft.Network/networkWatchers/nextHop/action | Ottenere l'hop successivo da una macchina virtuale |
Visualizzazione dei gruppi di sicurezza di rete
Azione | Descrizione |
---|---|
Microsoft.Network/networkWatchers/securityGroupView/action | Visualizzare i gruppi di sicurezza |
Topologia
Azione | Descrizione |
---|---|
Microsoft.Network/networkWatchers/topology/action | Ottenere la topologia |
Microsoft.Network/networkWatchers/topology/read | Vedere sopra. |
Report di raggiungibilità
Azione | Descrizione |
---|---|
Microsoft.Network/networkWatchers/azureReachabilityReport/action | Ottenere un report di raggiungibilità di Azure |
Azioni aggiuntive
Le funzionalità di Network Watcher richiedono anche le azioni seguenti:
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/Read | Recuperare le assegnazioni di ruolo e le definizioni dei criteri di Azure |
Microsoft.Resources/subscriptions/resourceGroups/Read | Enumerare tutti i gruppi di risorse in una sottoscrizione |
Microsoft.Storage/storageAccounts/Read | Ottenere le proprietà per l'account di archiviazione specificato |
Microsoft. Archiviazione/storageAccounts/listServiceSas/Action, Microsoft. Archiviazione/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Recuperare le firme di accesso condiviso (SAS) abilitando l'accesso sicuro all'account di archiviazione e scrivere nell'account di archiviazione |
Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Accedere alla macchina virtuale, eseguire un'acquisizione di pacchetti e caricarla nell'account di archiviazione |
Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Controllare se l'estensione Network Watcher è presente e installare se necessario |
Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Accedere ai set di scalabilità di macchine virtuali, eseguire acquisizioni di pacchetti e caricarle nell'account di archiviazione |
Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Controllare se l'estensione Network Watcher è presente e installare se necessario |
Microsoft.Insights/alertRules/* | Configurare gli avvisi delle metriche |
Microsoft.Support/* | Creare e aggiornare i ticket di supporto da Network Watcher |