Network Watcher 기능을 사용하는 데 필요한 Azure 역할 기반 액세스 제어 권한
Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하면 사용자가 할당된 업무를 완료하는 데 필요한 조직의 멤버에게 특정 작업만을 할당할 수 있습니다. Azure Network Watcher 기능을 사용하려면 Azure에 로그인하는 계정은 소유자, 기여자 또는 네트워크 기여자 기본 제공 역할에 할당되거나 다음에 나오는 섹션에서 각 Network Watcher 기능에 대해 나열된 작업을 할당받은 사용자 지정 역할에 할당되어야 합니다. 구독을 위해 사용자에게 할당된 역할을 확인하는 방법을 알아보려면 Azure Portal을 사용하여 Azure 역할 할당 나열을 참조하세요. 역할 할당을 볼 수 없으면 해당 구독 관리자에게 문의하세요. Network Watcher의 기능에 대해 자세히 알아보려면 Network Watcher란?을 참조하세요.
Important
네트워크 기여자는 다음 작업을 다루지 않습니다.
Network Watcher
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/read | Network Watcher 가져오기 |
| Microsoft.Network/networkWatchers/write | Network Watcher 만들기 또는 업데이트 |
| Microsoft.Network/networkWatchers/delete | Network Watcher 삭제 |
연결 모니터
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | 연결 모니터 시작 |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | 연결 모니터 중지 |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | 연결 모니터 쿼리 |
| Microsoft.Network/networkWatchers/connectionMonitors/read | 연결 모니터 가져오기 |
| Microsoft.Network/networkWatchers/connectionMonitors/write | 연결 모니터 만들기 |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | 연결 모니터 삭제 |
흐름 로그
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | 흐름 로그 구성 |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | 흐름 로그에 대한 쿼리 상태 |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
스토리지 계정에 안전하게 액세스하고 스토리지 계정에 쓸 수 있도록 SAS(공유 액세스 서명)를 가져옵니다. |
트래픽 분석
트래픽 분석은 흐름 로그 리소스의 일부로 사용하도록 설정되므로 흐름 로그에 필요한 모든 권한 외에도 다음 권한이 필요합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Network/applicationGateways/read | 애플리케이션 게이트웨이를 가져옵니다. |
| Microsoft.Network/connections/read | VirtualNetworkGatewayConnection을 가져옵니다. |
| Microsoft.Network/loadBalancers/read | 부하 분산 장치 정의를 가져옵니다. |
| Microsoft.Network/localNetworkGateways/read | LocalNetworkGateway를 가져옵니다. |
| Microsoft.Network/networkInterfaces/read | 네트워크 인터페이스 정의를 가져옵니다. |
| Microsoft.Network/networkSecurityGroups/read | 네트워크 보안 그룹 정의를 가져옵니다. |
| Microsoft.Network/publicIPAddresses/read | 공용 IP 주소 정의를 가져옵니다. |
| Microsoft.Network/routeTables/read | 경로 테이블 정의를 가져옵니다. |
| Microsoft.Network/virtualNetworkGateways/read | VirtualNetworkGateway를 가져옵니다. |
| Microsoft.Network/virtualNetworks/read | 가상 네트워크 정의를 가져옵니다. |
| Microsoft.Network/expressRouteCircuits/read | ExpressRouteCircuit을 가져옵니다. |
| Microsoft.OperationalInsights/workspaces/read | 기존 작업 영역을 가져옵니다. |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | 작업 영역에 대한 공유 키를 검색합니다. |
| Microsoft.Insights/dataCollectionRules/read 1 | 데이터 수집 규칙을 읽습니다. |
| Microsoft.Insights/dataCollectionRules/write 1 | 데이터 수집 규칙을 만들거나 업데이트합니다. |
| Microsoft.Insights/dataCollectionRules/delete 1 | 데이터 수집 규칙을 삭제합니다. |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | 데이터 컬렉션 엔드포인트를 읽습니다. |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | 데이터 컬렉션 엔드포인트를 만들거나 업데이트합니다. |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | 데이터 컬렉션 엔드포인트를 삭제합니다. |
1 트래픽 분석을 사용하여 가상 네트워크 흐름 로그를 분석하는 경우에만 필요합니다. 자세한 내용은 Azure Monitor의 데이터 수집 규칙 및 Azure Monitor의 데이터 수집 엔드포인트를 참조하세요.
주의
데이터 수집 규칙 및 데이터 수집 엔드포인트 리소스는 트래픽 분석을 통해 만들어지고 관리됩니다. 이러한 리소스에 대해 작업을 수행하면 트래픽 분석이 예상대로 작동하지 않을 수 있습니다.
연결 문제 해결
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | 연결 문제 해결 테스트 시작 |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | 연결 문제 해결 테스트의 쿼리 결과 |
| Microsoft.Network/networkWatchers/troubleshoot/action | 연결 문제 해결 테스트 실행 |
패킷 캡처
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | 패킷 캡처의 상태를 쿼리합니다. |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | 패킷 캡처를 중지합니다. |
| Microsoft.Network/networkWatchers/packetCaptures/read | 패킷 캡처를 가져옵니다. |
| Microsoft.Network/networkWatchers/packetCaptures/write | 패킷 캡처를 만듭니다. |
| Microsoft.Network/networkWatchers/packetCaptures/delete | 패킷 캡처를 삭제합니다. |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | 패킷 캡처 상태를 봅니다. |
IP 흐름 확인
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | IP 흐름 확인 |
다음 홉
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action | VM에서 다음 홉 가져오기 |
네트워크 보안 그룹 보기
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | 보안 그룹 보기 |
토폴로지
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | 토폴로지 가져오기 |
| Microsoft.Network/networkWatchers/topology/read | 위와 동일 |
연결 가능성 보고서
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Azure 연결 가능성 보고서 가져오기 |
추가 옵션
Network Watcher 기능에는 다음 작업도 필요합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/Read | Azure 역할 할당과 정책 정의를 가져옵니다. |
| Microsoft.Resources/subscriptions/resourceGroups/Read | 구독의 모든 리소스 그룹을 열거합니다. |
| Microsoft.Storage/storageAccounts/Read | 지정된 스토리지 계정의 속성을 가져옵니다. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
스토리지 계정에 안전하게 액세스하고 스토리지 계정에 쓸 수 있도록 SAS(공유 액세스 서명)를 가져옵니다. |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
VM에 로그인하고, 패킷 캡처를 수행하고, 스토리지 계정에 업로드합니다. |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Network Watcher 확장이 있는지 확인하고 필요한 경우 설치합니다. |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
가상 머신 확장 집합에 액세스하고, 패킷 캡처를 수행하고, 스토리지 계정에 업로드합니다. |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Network Watcher 확장이 있는지 확인하고 필요한 경우 설치합니다. |
| Microsoft.Insights/alertRules/* | 메트릭 경고 설정 |
| Microsoft.Support/* | Network Watcher에서 지원 티켓을 만들고 업데이트합니다. |