Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하면 사용자가 할당된 업무를 완료하는 데 필요한 조직의 멤버에게 특정 작업만을 할당할 수 있습니다.
Azure Network Watcher 기능을 사용하려면 Azure에 로그인하는 데 사용하는 계정을 소유자, 기여자 또는 네트워크 기여자 기본 제공 역할에 할당하거나 사용하려는 Network Watcher 기능에 대해 나열된 작업을 포함하는 사용자 지정 역할에 할당해야 합니다.
중요한
네트워크 참가자 에는 다음 작업이 포함되지 않습니다.
구독을 위해 사용자에게 할당된 역할을 확인하는 방법을 알아보려면 Azure Portal을 사용하여 Azure 역할 할당 나열을 참조하세요. 역할 할당을 볼 수 없으면 해당 구독 관리자에게 문의하세요.
다음 섹션에서는 Network Watcher 및 해당 기능을 사용하는 데 필요한 최소 권한을 나열합니다. 관련 Azure 권한의 전체 목록은 Microsoft.Network 권한, Microsoft.Compute 권한, Microsoft.Storage 권한, Microsoft.Insights 권한 및 Microsoft.OperationalInsights 권한을 참조하세요.
네트워크 감시자
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/read | Network Watcher 가져오기 |
| Microsoft.Network/networkWatchers/write | Network Watcher 만들기 또는 업데이트하기 |
| Microsoft.Network/networkWatchers/delete | 네트워크 감시자 삭제 |
연결 모니터
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | 연결 모니터 시작 |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | 연결 모니터 중지 |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | 연결 모니터 쿼리 |
| Microsoft.Network/networkWatchers/connectionMonitors/read | 연결 모니터 가져오기 |
| Microsoft.Network/networkWatchers/connectionMonitors/write | 연결 모니터 만들기 |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | 연결 모니터 삭제 |
흐름 로그
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | 흐름 로그 세부 정보 가져오기 |
| Microsoft.Network/networkWatchers/flowLogs/write | 플로우 로그를 생성합니다. |
| Microsoft.Network/networkWatchers/flowLogs/delete (네트워크 감시자 흐름 로그 삭제) | 플로우 로그를 삭제합니다. |
| Microsoft.Network/networkWatchers/configureFlowLog/action | 흐름 로그 구성 |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | 흐름 로그에 대한 쿼리 상태 |
| Microsoft.Network/networkSecurityGroups/write 1 | 네트워크 보안 그룹을 만들거나 기존 네트워크 보안 그룹을 업데이트합니다. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
스토리지 계정에 안전하게 액세스하고 스토리지 계정에 쓸 수 있도록 SAS(공유 액세스 서명)를 가져옵니다. |
1 NSG 흐름 로그에만 필요합니다.
트래픽 분석
트래픽 분석은 흐름 로그 리소스의 일부로 사용하도록 설정되므로 흐름 로그에 필요한 모든 권한 외에도 다음 권한이 필요합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Network/applicationGateways/read | 애플리케이션 게이트웨이를 가져옵니다. |
| Microsoft.Network/connections/read | VirtualNetworkGatewayConnection을 가져옵니다. |
| Microsoft.Network/expressRouteCircuits/read | ExpressRouteCircuit을 가져옵니다. |
| Microsoft.Network/loadBalancers/read | 부하 분산 장치 정의를 가져옵니다. |
| Microsoft.Network/localNetworkGateways/read | LocalNetworkGateway를 가져옵니다. |
| Microsoft.Network/networkInterfaces/read | 네트워크 인터페이스 정의를 가져옵니다. |
| 네트워크 보안 그룹 읽기 (Microsoft.Network/networkSecurityGroups/read) | 네트워크 보안 그룹 정의를 가져옵니다. |
| Microsoft.Network/publicIPAddresses/read (퍼블릭 IP 주소 읽기) | 공용 IP 주소 정의를 가져옵니다. |
| Microsoft.Network/routeTables/read | 경로 테이블 정의를 가져옵니다. |
| Microsoft.Network/virtualNetworkGateways/read | VirtualNetworkGateway를 가져옵니다. |
| Microsoft.Network/가상네트워크/읽기 | 가상 네트워크 정의를 가져옵니다. |
| Microsoft.Compute/virtualMachines/read | 가상 머신의 속성을 가져옵니다. |
| Microsoft.Compute/virtualMachineScaleSets/Read | 가상 머신 확장 집합의 속성을 가져옵니다. |
| Microsoft.OperationalInsights/workspaces/read | 기존 작업 영역을 가져옵니다. |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | 작업 영역에 대한 공유 키를 검색합니다. |
| Microsoft.Insights/dataCollectionRules/read 1 | 데이터 수집 규칙을 읽습니다. |
| Microsoft.Insights/dataCollectionRules/write 1 | 데이터 수집 규칙을 만들거나 업데이트합니다. |
| Microsoft.Insights/dataCollectionRules/삭제 1 | 데이터 수집 규칙을 삭제합니다. |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | 데이터 컬렉션 엔드포인트를 읽습니다. |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | 데이터 컬렉션 엔드포인트를 만들거나 업데이트합니다. |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | 데이터 컬렉션 엔드포인트를 삭제합니다. |
1 가상 네트워크 흐름 로그와 함께 트래픽 분석을 사용하는 경우 Log Analytics 작업 영역 구독에 필요합니다.
주의
트래픽 분석은 접두사로 지정된 Log Analytics 작업 영역과 동일한 리소스 그룹에 DCR(데이터 수집 규칙) 및 DCE(데이터 수집 엔드포인트) 리소스를 NWTA만들고 관리합니다. 이러한 리소스에 대해 작업을 수행하는 경우 트래픽 분석이 예상대로 작동하지 않을 수 있습니다.
중요한
관리 그룹 상속 권한은 현재 트래픽 분석을 사용하도록 설정하기 위해 지원되지 않습니다.
연결 문제 해결
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action, Microsoft.Network/networkWatchers/connectivityCheck/read |
가상 머신에서 지정된 엔드포인트로 직접 TCP 연결을 설정할 수 있는지 확인합니다. |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | 연결 문제 해결 테스트의 쿼리 결과 |
| Microsoft.Network/networkWatchers/troubleshoot/action | 연결 문제 해결 테스트 실행 |
패킷 캡처
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | 패킷 캡처의 상태 쿼리 |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | 실행 중인 패킷 캡처 세션을 중지합니다. |
| Microsoft.Network/networkWatchers/packetCaptures/read | 패킷 캡처 정의 가져오기 |
| Microsoft.Network/networkWatchers/packetCaptures/write | 패킷 캡처 만들기 |
| Microsoft.Network/networkWatchers/packetCaptures/delete | 패킷 캡처 삭제 |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read (패킷 캡처 상태 조회) | 패킷 캡처 상태 보기 |
IP 흐름 확인
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read |
패킷이 특정 목적지로의 송신 또는 수신이 허용되는지 아니면 거부되는지를 반환합니다. |
다음 홉
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
지정된 목표 및 대상 IP 주소에 대해 다음 홉 형식 및 다음 홉 IP 주소를 반환합니다. |
| Microsoft.Compute/virtualMachines/read | 가상 머신의 속성을 가져옵니다. |
| Microsoft.Network/networkInterfaces/read | 네트워크 인터페이스 정의를 가져옵니다. |
네트워크 보안 그룹 보기
| 작업 | 설명 |
|---|---|
| Microsoft.Network/네트워크 감시자/보안 그룹 보기/작업 | 가상 머신에 적용된 구성되고 효과적인 네트워크 보안 그룹 규칙 보기View the configured and effective network security group rules applied on a virtual machine |
토폴로지
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/topology/action, Microsoft.Network/networkWatchers/topology/read |
리소스 그룹의 리소스 및 해당 관계에 대한 네트워크 수준 보기를 가져옵니다. |
연결 가능성 보고서
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | 지정된 위치에서 Azure 지역으로의 인터넷 서비스 공급자에 대한 상대적 대기 시간 점수 가져오기 |
추가 작업
일부 Network Watcher 기능에는 다음 작업이 필요합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/Read | Azure 역할 할당과 정책 정의를 가져옵니다. |
| Microsoft.Resources/subscriptions/resourceGroups/Read | 구독의 모든 리소스 그룹을 열거합니다. |
| Microsoft.Storage/storageAccounts/Read | 지정된 스토리지 계정의 속성을 가져옵니다. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
스토리지 계정에 안전하게 액세스하고 스토리지 계정에 쓸 수 있도록 SAS(공유 액세스 서명)를 가져옵니다. |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
VM에 로그인하고, 패킷 캡처를 수행하고, 스토리지 계정에 업로드합니다. |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Network Watcher 확장이 있는지 확인하고 필요한 경우 설치합니다. |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
가상 머신 확장 집합에 액세스하고, 패킷 캡처를 수행하고, 스토리지 계정에 업로드합니다. |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Network Watcher 확장이 있는지 확인하고 필요한 경우 설치합니다. |
| Microsoft.Insights/alertRules/* | 메트릭 경고 설정 |
| Microsoft.Support/* | Network Watcher에서 지원 티켓을 만들고 업데이트합니다. |