Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、割り当てられた職務を遂行するために必要な特定のアクションのみを組織内のメンバーに割り当てることができます。
Azure Network Watcher 機能を使用するには、Azure にログインするアカウントを 所有者、 共同作成者、または ネットワーク共同作成者 の組み込みロールに割り当てるか、使用する Network Watcher 機能の一覧に表示されるアクションを含む カスタム ロール に割り当てる必要があります。
重要
ネットワーク共同作成者 には、次のアクションは含まれません。
- 「その他のアクション」または「フロー ログ」セクションに記載されている Microsoft.Storage/* アクション。
- Microsoft.Storage/* リストされたアクション 追加のアクション セクション。
- Microsoft.OperationalInsights/workspaces/*、Microsoft.Insights/dataCollectionRules/* または Microsoft.Insights/dataCollectionEndpoints/* リストされたアクション Traffic Analytics セクション。
サブスクリプションのユーザーに割り当てられているロールを確認する方法については、「Azure portal を使用して Azure でのロールの割り当てを一覧表示する」を参照してください。 ロールの割り当てが表示されない場合は、それぞれのサブスクリプション管理者にお問い合わせください。
次のセクションでは、Network Watcher とその機能を使用するために最低限必要なアクセス許可の一覧を示します。 関連する Azure アクセス許可の完全な一覧については、 Microsoft.Network のアクセス許可、 Microsoft.Compute のアクセス許可、 Microsoft.Storage のアクセス許可、 Microsoft.Insights のアクセス許可、 および Microsoft.OperationalInsights のアクセス許可に関するページを参照してください。
Network Watcher(ネットワーク監視ツール)
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/read | Network Watcher を取得する |
| Microsoft.Network/networkWatchers/write | Network Watcher を作成する |
| Microsoft.Network/networkWatchers/delete | Network Watcher を削除する |
接続モニター
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | 接続モニターを起動する |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | 接続モニターを停止する |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | 接続モニターのクエリを実行する |
| Microsoft.Network/networkWatchers/connectionMonitors/read | 接続モニターを取得する |
| Microsoft.Network/networkWatchers/connectionMonitors/write | 接続モニターを作成する |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | 接続モニターを削除する |
フロー ログ
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | フロー ログの詳細を取得する |
| Microsoft.Network/networkWatchers/flowLogs/write | フロー ログを作成します |
| Microsoft.Network/networkWatchers/flowLogs/delete | フロー ログを削除します |
| Microsoft.Network/networkWatchers/configureFlowLog/action | フロー ログを構成する |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | フロー ログのクエリ状態 |
| Microsoft.Network/networkSecurityGroups/write 1 | ネットワーク セキュリティ グループを作成するか、既存のネットワーク セキュリティ グループを更新します |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
ストレージ アカウントへのセキュリティで保護されたアクセスおよびストレージ アカウントへの書き込みを有効にした、Shared Access Signature (SAS) をフェッチします |
1 NSG フロー ログでのみ必要。
トラフィック分析
トラフィック分析はフロー ログ リソースの一部として有効にされるため、フロー ログに必要なすべてのアクセス許可に加えて、次のアクセス許可が必要です。
| アクション | 説明 |
|---|---|
| Microsoft.Network/applicationGateways/read | アプリケーション ゲートウェイを取得する |
| Microsoft.Network/connections/read | VirtualNetworkGatewayConnection を取得します |
| Microsoft.Network/expressRouteCircuits/read | ExpressRouteCircuit を取得します |
| Microsoft.Network/loadBalancers/read | ロード バランサーの定義を取得する |
| Microsoft.Network/localNetworkGateways/read | LocalNetworkGateway を取得する |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイス定義を取得する |
| Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの定義を取得する |
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得する |
| Microsoft.Network/routeTables/read | ルート テーブル定義を取得する |
| Microsoft.Network/virtualNetworkGateways/read | VirtualNetworkGateway を取得する |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワーク定義を取得する |
| Microsoft.Compute/virtualMachines/read | 仮想マシンのプロパティを取得します |
| Microsoft.Compute/virtualMachineScaleSets/read | 仮想マシン スケール セットのプロパティを取得します |
| Microsoft.OperationalInsights/workspaces/read | 既存のワークスペースを取得します |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | ワークスペースの共有キーを取得します |
| Microsoft.Insights/dataCollectionRules/read 1 | データ収集ルールを読み取ります |
| Microsoft.Insights/dataCollectionRules/write 1 | データ収集ルールを作成または更新します |
| Microsoft.Insights/dataCollectionRules/delete 1 | データ収集ルールを削除します |
| Microsoft.Insights/データコレクションエンドポイント/読み取り 1 | データ収集エンドポイントを読み取ります |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | データ収集エンドポイントを作成または更新します |
| Microsoft.Insights/dataCollectionEndpoints/削除1 | データ収集エンドポイントを削除します |
1 仮想ネットワーク フロー ログでトラフィック分析を使用する場合は、Log Analytics ワークスペース サブスクリプションで必要です。
注意
トラフィック分析では、Log Analytics ワークスペースと同じリソース グループ内に データ収集規則 (DCR) リソースと データ収集エンドポイント (DCE) リソースが作成および管理され、先頭に NWTA が付いています。 これらのリソースに対して何らかの操作を実行すると、トラフィック分析が期待どおりに機能しない可能性があります。
重要
管理グループから継承されたアクセス許可では、現在、Traffic Analytics を有効にすることはサポートされていません。
接続のトラブルシューティング
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action、 Microsoft.Network/networkWatchers/接続性確認/読み取り |
仮想マシンから特定のエンドポイントへの直接 TCP 接続を確立する可能性を確認する |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | 接続のトラブルシューティング テストのクエリ結果 |
| Microsoft.Network/networkWatchers/troubleshoot/action | 接続のトラブルシューティング テストの実行 |
パケット キャプチャ
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | パケット キャプチャの状態のクエリを実行する |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | 実行中のパケット キャプチャ セッションを停止する |
| Microsoft.Network/networkWatchers/packetCaptures/read | パケット キャプチャ定義を取得する |
| Microsoft.Network/networkWatchers/packetCaptures/write | パケット キャプチャを作成する |
| Microsoft.Network/ネットワークウォッチャー/パケットキャプチャ/delete | パケット キャプチャを削除する |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | パケット キャプチャの状態の表示する |
IP フロー検証
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read |
パケットが特定の宛先に対して許可されるか拒否されるか、または特定の宛先から拒否されるかを返します。 |
ネクスト ホップ
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
指定されたターゲットと宛先 IP アドレスについて、次ホップの種類とネクスト ホップの IP アドレスを返します |
| Microsoft.Compute/virtualMachines/read | 仮想マシンのプロパティを取得します |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイス定義を取得する |
ネットワーク セキュリティ グループ ビュー
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | 仮想マシンに適用されている構成済みの有効なネットワーク セキュリティ グループ規則を表示する |
トポロジ
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/topology/action、 Microsoft.Network/networkWatchers/topology/read |
リソース グループ内のリソースとそのリレーションシップのネットワーク レベル ビューを取得する |
到達可能性レポート
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | 指定した場所から Azure リージョンへのインターネット サービス プロバイダーの相対的な待機時間スコアを取得する |
その他のアクション
一部の Network Watcher 機能には、次の操作が必要です。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/Read | Azure ロールの割り当てとポリシー定義をフェッチします |
| Microsoft.Resources/subscriptions/resourceGroups/Read | サブスクリプションのすべてのリソース グループを列挙します |
| Microsoft.Storage/storageAccounts/Read | 指定したストレージ アカウントのプロパティを取得します |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
ストレージ アカウントへのセキュリティで保護されたアクセスおよびストレージ アカウントへの書き込みを有効にした、Shared Access Signature (SAS) をフェッチします |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
VM へのログイン、パケット キャプチャ、そのストレージ アカウントへのアップロードを行います |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Network Watcher 拡張機能が存在するかどうかの確認と必要に応じたインストールを行います |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
仮想マシン スケール セットへのアクセス、パケット キャプチャ、およびそのストレージ アカウントへのアップロードを行います |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Network Watcher 拡張機能が存在するかどうかの確認と必要に応じたインストールを行います |
| Microsoft.Insights/alertRules/* | メトリック アラートを設定する |
| Microsoft.Support/* | Network Watcher からサポート チケットを作成および更新します |