次の方法で共有


Network Watcher を使用するために必要な Azure のロールベースのアクセス許可

Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、割り当てられた職務を遂行するために必要な特定のアクションのみを組織内のメンバーに割り当てることができます。

Azure Network Watcher 機能を使用するには、Azure にログインするアカウントを 所有者共同作成者、または ネットワーク共同作成者 の組み込みロールに割り当てるか、使用する Network Watcher 機能の一覧に表示されるアクションを含む カスタム ロール に割り当てる必要があります。

重要

ネットワーク共同作成者 には、次のアクションは含まれません。

  • その他のアクション」または「フロー ログ」セクションに記載されている Microsoft.Storage/* アクション。
  • Microsoft.Storage/* リストされたアクション 追加のアクション セクション。
  • Microsoft.OperationalInsights/workspaces/*、Microsoft.Insights/dataCollectionRules/* または Microsoft.Insights/dataCollectionEndpoints/* リストされたアクション Traffic Analytics セクション。

サブスクリプションのユーザーに割り当てられているロールを確認する方法については、「Azure portal を使用して Azure でのロールの割り当てを一覧表示する」を参照してください。 ロールの割り当てが表示されない場合は、それぞれのサブスクリプション管理者にお問い合わせください。

次のセクションでは、Network Watcher とその機能を使用するために最低限必要なアクセス許可の一覧を示します。 関連する Azure アクセス許可の完全な一覧については、 Microsoft.Network のアクセス許可Microsoft.Compute のアクセス許可Microsoft.Storage のアクセス許可Microsoft.Insights のアクセス許可および Microsoft.OperationalInsights のアクセス許可に関するページを参照してください。

Network Watcher(ネットワーク監視ツール)

アクション 説明
Microsoft.Network/networkWatchers/read Network Watcher を取得する
Microsoft.Network/networkWatchers/write Network Watcher を作成する
Microsoft.Network/networkWatchers/delete Network Watcher を削除する

接続モニター

アクション 説明
Microsoft.Network/networkWatchers/connectionMonitors/start/action 接続モニターを起動する
Microsoft.Network/networkWatchers/connectionMonitors/stop/action 接続モニターを停止する
Microsoft.Network/networkWatchers/connectionMonitors/query/action 接続モニターのクエリを実行する
Microsoft.Network/networkWatchers/connectionMonitors/read 接続モニターを取得する
Microsoft.Network/networkWatchers/connectionMonitors/write 接続モニターを作成する
Microsoft.Network/networkWatchers/connectionMonitors/delete 接続モニターを削除する

フロー ログ

アクション 説明
Microsoft.Network/networkWatchers/flowLogs/read フロー ログの詳細を取得する
Microsoft.Network/networkWatchers/flowLogs/write フロー ログを作成します
Microsoft.Network/networkWatchers/flowLogs/delete フロー ログを削除します
Microsoft.Network/networkWatchers/configureFlowLog/action フロー ログを構成する
Microsoft.Network/networkWatchers/queryFlowLogStatus/action フロー ログのクエリ状態
Microsoft.Network/networkSecurityGroups/write 1 ネットワーク セキュリティ グループを作成するか、既存のネットワーク セキュリティ グループを更新します
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action
ストレージ アカウントへのセキュリティで保護されたアクセスおよびストレージ アカウントへの書き込みを有効にした、Shared Access Signature (SAS) をフェッチします

1 NSG フロー ログでのみ必要。

トラフィック分析

トラフィック分析はフロー ログ リソースの一部として有効にされるため、フロー ログに必要なすべてのアクセス許可に加えて、次のアクセス許可が必要です。

アクション 説明
Microsoft.Network/applicationGateways/read アプリケーション ゲートウェイを取得する
Microsoft.Network/connections/read VirtualNetworkGatewayConnection を取得します
Microsoft.Network/expressRouteCircuits/read ExpressRouteCircuit を取得します
Microsoft.Network/loadBalancers/read ロード バランサーの定義を取得する
Microsoft.Network/localNetworkGateways/read LocalNetworkGateway を取得する
Microsoft.Network/networkInterfaces/read ネットワーク インターフェイス定義を取得する
Microsoft.Network/networkSecurityGroups/read ネットワーク セキュリティ グループの定義を取得する
Microsoft.Network/publicIPAddresses/read パブリック IP アドレス定義を取得する
Microsoft.Network/routeTables/read ルート テーブル定義を取得する
Microsoft.Network/virtualNetworkGateways/read VirtualNetworkGateway を取得する
Microsoft.Network/virtualNetworks/read 仮想ネットワーク定義を取得する
Microsoft.Compute/virtualMachines/read 仮想マシンのプロパティを取得します
Microsoft.Compute/virtualMachineScaleSets/read 仮想マシン スケール セットのプロパティを取得します
Microsoft.OperationalInsights/workspaces/read 既存のワークスペースを取得します
Microsoft.OperationalInsights/workspaces/sharedkeys/action ワークスペースの共有キーを取得します
Microsoft.Insights/dataCollectionRules/read 1 データ収集ルールを読み取ります
Microsoft.Insights/dataCollectionRules/write 1 データ収集ルールを作成または更新します
Microsoft.Insights/dataCollectionRules/delete 1 データ収集ルールを削除します
Microsoft.Insights/データコレクションエンドポイント/読み取り 1 データ収集エンドポイントを読み取ります
Microsoft.Insights/dataCollectionEndpoints/write 1 データ収集エンドポイントを作成または更新します
Microsoft.Insights/dataCollectionEndpoints/削除1 データ収集エンドポイントを削除します

1 仮想ネットワーク フロー ログでトラフィック分析を使用する場合は、Log Analytics ワークスペース サブスクリプションで必要です。

注意

トラフィック分析では、Log Analytics ワークスペースと同じリソース グループ内に データ収集規則 (DCR) リソースと データ収集エンドポイント (DCE) リソースが作成および管理され、先頭に NWTA が付いています。 これらのリソースに対して何らかの操作を実行すると、トラフィック分析が期待どおりに機能しない可能性があります。

重要

管理グループから継承されたアクセス許可では、現在、Traffic Analytics を有効にすることはサポートされていません。

接続のトラブルシューティング

アクション 説明
Microsoft.Network/networkWatchers/connectivityCheck/action、
Microsoft.Network/networkWatchers/接続性確認/読み取り
仮想マシンから特定のエンドポイントへの直接 TCP 接続を確立する可能性を確認する
Microsoft.Network/networkWatchers/queryTroubleshootResult/action 接続のトラブルシューティング テストのクエリ結果
Microsoft.Network/networkWatchers/troubleshoot/action 接続のトラブルシューティング テストの実行

パケット キャプチャ

アクション 説明
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action パケット キャプチャの状態のクエリを実行する
Microsoft.Network/networkWatchers/packetCaptures/stop/action 実行中のパケット キャプチャ セッションを停止する
Microsoft.Network/networkWatchers/packetCaptures/read パケット キャプチャ定義を取得する
Microsoft.Network/networkWatchers/packetCaptures/write パケット キャプチャを作成する
Microsoft.Network/ネットワークウォッチャー/パケットキャプチャ/delete パケット キャプチャを削除する
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read パケット キャプチャの状態の表示する

IP フロー検証

アクション 説明
Microsoft.Network/networkWatchers/ipFlowVerify/action,
Microsoft.Network/networkWatchers/ipFlowVerify/read
パケットが特定の宛先に対して許可されるか拒否されるか、または特定の宛先から拒否されるかを返します。

ネクスト ホップ

アクション 説明
Microsoft.Network/networkWatchers/nextHop/action,
Microsoft.Network/networkWatchers/nextHop/read
指定されたターゲットと宛先 IP アドレスについて、次ホップの種類とネクスト ホップの IP アドレスを返します
Microsoft.Compute/virtualMachines/read 仮想マシンのプロパティを取得します
Microsoft.Network/networkInterfaces/read ネットワーク インターフェイス定義を取得する

ネットワーク セキュリティ グループ ビュー

アクション 説明
Microsoft.Network/networkWatchers/securityGroupView/action 仮想マシンに適用されている構成済みの有効なネットワーク セキュリティ グループ規則を表示する

トポロジ

アクション 説明
Microsoft.Network/networkWatchers/topology/action、
Microsoft.Network/networkWatchers/topology/read
リソース グループ内のリソースとそのリレーションシップのネットワーク レベル ビューを取得する

到達可能性レポート

アクション 説明
Microsoft.Network/networkWatchers/azureReachabilityReport/action 指定した場所から Azure リージョンへのインターネット サービス プロバイダーの相対的な待機時間スコアを取得する

その他のアクション

一部の Network Watcher 機能には、次の操作が必要です。

アクション 説明
Microsoft.Authorization/*/Read Azure ロールの割り当てとポリシー定義をフェッチします
Microsoft.Resources/subscriptions/resourceGroups/Read サブスクリプションのすべてのリソース グループを列挙します
Microsoft.Storage/storageAccounts/Read 指定したストレージ アカウントのプロパティを取得します
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action
ストレージ アカウントへのセキュリティで保護されたアクセスおよびストレージ アカウントへの書き込みを有効にした、Shared Access Signature (SAS) をフェッチします
Microsoft.Compute/virtualMachines/Read,
Microsoft.Compute/virtualMachines/Write
VM へのログイン、パケット キャプチャ、そのストレージ アカウントへのアップロードを行います
Microsoft.Compute/virtualMachines/extensions/Read,
Microsoft.Compute/virtualMachines/extensions/Write
Network Watcher 拡張機能が存在するかどうかの確認と必要に応じたインストールを行います
Microsoft.Compute/virtualMachineScaleSets/Read,
Microsoft.Compute/virtualMachineScaleSets/Write
仮想マシン スケール セットへのアクセス、パケット キャプチャ、およびそのストレージ アカウントへのアップロードを行います
Microsoft.Compute/virtualMachineScaleSets/extensions/Read,
Microsoft.Compute/virtualMachineScaleSets/extensions/Write
Network Watcher 拡張機能が存在するかどうかの確認と必要に応じたインストールを行います
Microsoft.Insights/alertRules/* メトリック アラートを設定する
Microsoft.Support/* Network Watcher からサポート チケットを作成および更新します