다음을 통해 공유


Network Watcher 기능을 사용하는 데 필요한 Azure 역할 기반 액세스 제어 권한

Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하면 사용자가 할당된 업무를 완료하는 데 필요한 조직의 멤버에게 특정 작업만을 할당할 수 있습니다. Azure Network Watcher 기능을 사용하려면 Azure에 로그인하는 계정은 소유자, 기여자 또는 네트워크 기여자 기본 제공 역할에 할당되거나 다음에 나오는 섹션에서 각 Network Watcher 기능에 대해 나열된 작업을 할당받은 사용자 지정 역할에 할당되어야 합니다. 구독을 위해 사용자에게 할당된 역할을 확인하는 방법을 알아보려면 Azure Portal을 사용하여 Azure 역할 할당 나열을 참조하세요. 역할 할당을 볼 수 없으면 해당 구독 관리자에게 문의하세요. Network Watcher의 기능에 대해 자세히 알아보려면 Network Watcher란?을 참조하세요.

Important

네트워크 기여자는 다음 작업을 다루지 않습니다.

  • 추가 작업 또는 흐름 로그 섹션에 나열된 Microsoft.Storage/* 작업
  • 추가 작업 섹션에 나열된 Microsoft.Compute/* 작업
  • 트래픽 분석 섹션에 나열된 Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* 또는 Microsoft.Insights/dataCollectionEndpoints/* 작업

Network Watcher

작업 설명
Microsoft.Network/networkWatchers/read Network Watcher 가져오기
Microsoft.Network/networkWatchers/write Network Watcher 만들기 또는 업데이트
Microsoft.Network/networkWatchers/delete Network Watcher 삭제

연결 모니터

작업 설명
Microsoft.Network/networkWatchers/connectionMonitors/start/action 연결 모니터 시작
Microsoft.Network/networkWatchers/connectionMonitors/stop/action 연결 모니터 중지
Microsoft.Network/networkWatchers/connectionMonitors/query/action 연결 모니터 쿼리
Microsoft.Network/networkWatchers/connectionMonitors/read 연결 모니터 가져오기
Microsoft.Network/networkWatchers/connectionMonitors/write 연결 모니터 만들기
Microsoft.Network/networkWatchers/connectionMonitors/delete 연결 모니터 삭제

흐름 로그

작업 설명
Microsoft.Network/networkWatchers/configureFlowLog/action 흐름 로그 구성
Microsoft.Network/networkWatchers/queryFlowLogStatus/action 흐름 로그에 대한 쿼리 상태
Microsoft.Network/networkSecurityGroups/write 1 네트워크 보안 그룹을 만들거나 기존 네트워크 보안 그룹을 업데이트합니다.
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action
스토리지 계정에 안전하게 액세스하고 스토리지 계정에 쓸 수 있도록 SAS(공유 액세스 서명)를 가져옵니다.

1 NSG 흐름 로그에만 필요합니다.

트래픽 분석

트래픽 분석은 흐름 로그 리소스의 일부로 사용하도록 설정되므로 흐름 로그에 필요한 모든 권한 외에도 다음 권한이 필요합니다.

작업 설명
Microsoft.Network/applicationGateways/read 애플리케이션 게이트웨이를 가져옵니다.
Microsoft.Network/connections/read VirtualNetworkGatewayConnection을 가져옵니다.
Microsoft.Network/loadBalancers/read 부하 분산 장치 정의를 가져옵니다.
Microsoft.Network/localNetworkGateways/read LocalNetworkGateway를 가져옵니다.
Microsoft.Network/networkInterfaces/read 네트워크 인터페이스 정의를 가져옵니다.
Microsoft.Network/networkSecurityGroups/read 네트워크 보안 그룹 정의를 가져옵니다.
Microsoft.Network/publicIPAddresses/read 공용 IP 주소 정의를 가져옵니다.
Microsoft.Network/routeTables/read 경로 테이블 정의를 가져옵니다.
Microsoft.Network/virtualNetworkGateways/read VirtualNetworkGateway를 가져옵니다.
Microsoft.Network/virtualNetworks/read 가상 네트워크 정의를 가져옵니다.
Microsoft.Network/expressRouteCircuits/read ExpressRouteCircuit을 가져옵니다.
Microsoft.OperationalInsights/workspaces/read 기존 작업 영역을 가져옵니다.
Microsoft.OperationalInsights/workspaces/sharedkeys/action 작업 영역에 대한 공유 키를 검색합니다.
Microsoft.Insights/dataCollectionRules/read 1 데이터 수집 규칙을 읽습니다.
Microsoft.Insights/dataCollectionRules/write 1 데이터 수집 규칙을 만들거나 업데이트합니다.
Microsoft.Insights/dataCollectionRules/delete 1 데이터 수집 규칙을 삭제합니다.
Microsoft.Insights/dataCollectionEndpoints/read 1 데이터 컬렉션 엔드포인트를 읽습니다.
Microsoft.Insights/dataCollectionEndpoints/write 1 데이터 컬렉션 엔드포인트를 만들거나 업데이트합니다.
Microsoft.Insights/dataCollectionEndpoints/delete 1 데이터 컬렉션 엔드포인트를 삭제합니다.

1 트래픽 분석을 사용하여 가상 네트워크 흐름 로그를 분석하는 경우에만 필요합니다. 자세한 내용은 Azure Monitor의 데이터 수집 규칙Azure Monitor의 데이터 수집 엔드포인트를 참조하세요.

주의

데이터 수집 규칙 및 데이터 수집 엔드포인트 리소스는 트래픽 분석을 통해 만들어지고 관리됩니다. 이러한 리소스에 대해 작업을 수행하면 트래픽 분석이 예상대로 작동하지 않을 수 있습니다.

연결 문제 해결

작업 설명
Microsoft.Network/networkWatchers/connectivityCheck/action 연결 문제 해결 테스트 시작
Microsoft.Network/networkWatchers/queryTroubleshootResult/action 연결 문제 해결 테스트의 쿼리 결과
Microsoft.Network/networkWatchers/troubleshoot/action 연결 문제 해결 테스트 실행

패킷 캡처

작업 설명
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action 패킷 캡처의 상태 쿼리
Microsoft.Network/networkWatchers/packetCaptures/stop/action 패킷 캡처 중지
Microsoft.Network/networkWatchers/packetCaptures/read 패킷 캡처 가져오기
Microsoft.Network/networkWatchers/packetCaptures/write 패킷 캡처 만들기
Microsoft.Network/networkWatchers/packetCaptures/delete 패킷 캡처 삭제
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read 패킷 캡처 상태 보기

IP 흐름 확인

작업 설명
Microsoft.Network/networkWatchers/ipFlowVerify/action IP 흐름 확인

다음 홉

작업 설명
Microsoft.Network/networkWatchers/nextHop/action,
Microsoft.Network/networkWatchers/nextHop/read
지정된 목표 및 대상 IP 주소에 대해 다음 홉 형식 및 다음 홉 IP 주소를 반환합니다.
Microsoft.Compute/virtualMachines/read 가상 머신의 속성을 가져옵니다.
Microsoft.Network/networkInterfaces/read 네트워크 인터페이스 정의를 가져옵니다.

네트워크 보안 그룹 보기

작업 설명
Microsoft.Network/networkWatchers/securityGroupView/action 보안 그룹 보기

토폴로지

작업 설명
Microsoft.Network/networkWatchers/topology/action 토폴로지 가져오기
Microsoft.Network/networkWatchers/topology/read 위와 동일

연결 가능성 보고서

작업 설명
Microsoft.Network/networkWatchers/azureReachabilityReport/action Azure 연결 가능성 보고서 가져오기

추가 옵션

Network Watcher 기능에는 다음 작업도 필요합니다.

작업 설명
Microsoft.Authorization/*/Read Azure 역할 할당과 정책 정의를 가져옵니다.
Microsoft.Resources/subscriptions/resourceGroups/Read 구독의 모든 리소스 그룹을 열거합니다.
Microsoft.Storage/storageAccounts/Read 지정된 스토리지 계정의 속성을 가져옵니다.
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action
스토리지 계정에 안전하게 액세스하고 스토리지 계정에 쓸 수 있도록 SAS(공유 액세스 서명)를 가져옵니다.
Microsoft.Compute/virtualMachines/Read,
Microsoft.Compute/virtualMachines/Write
VM에 로그인하고, 패킷 캡처를 수행하고, 스토리지 계정에 업로드합니다.
Microsoft.Compute/virtualMachines/extensions/Read,
Microsoft.Compute/virtualMachines/extensions/Write
Network Watcher 확장이 있는지 확인하고 필요한 경우 설치합니다.
Microsoft.Compute/virtualMachineScaleSets/Read,
Microsoft.Compute/virtualMachineScaleSets/Write
가상 머신 확장 집합에 액세스하고, 패킷 캡처를 수행하고, 스토리지 계정에 업로드합니다.
Microsoft.Compute/virtualMachineScaleSets/extensions/Read,
Microsoft.Compute/virtualMachineScaleSets/extensions/Write
Network Watcher 확장이 있는지 확인하고 필요한 경우 설치합니다.
Microsoft.Insights/alertRules/* 메트릭 경고 설정
Microsoft.Support/* Network Watcher에서 지원 티켓을 만들고 업데이트합니다.