Uprawnienia kontroli dostępu opartej na rolach platformy Azure wymagane do korzystania z funkcji usługi Network Watcher
Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure umożliwia przypisywanie tylko określonych akcji do członków organizacji, których potrzebują do wykonania przypisanych obowiązków. Aby korzystać z funkcji usługi Azure Network Watcher, konto, za pomocą którego logujesz się do platformy Azure, musi być przypisane do wbudowanych ról właściciela, współautora lub współautora sieci albo przypisane do roli niestandardowej przypisanej do akcji wymienionych dla każdej funkcji usługi Network Watcher w poniższych sekcjach. Aby dowiedzieć się, jak sprawdzić role przypisane do użytkownika dla subskrypcji, zobacz Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal. Jeśli nie widzisz przypisań ról, skontaktuj się z odpowiednim administratorem subskrypcji. Aby dowiedzieć się więcej o możliwościach usługi Network Watcher, zobacz Co to jest usługa Network Watcher?
Ważne
Współautor sieci nie obejmuje następujących akcji:
- Akcje Microsoft.Storage/* wymienione w sekcji Dodatkowe akcje lub Dzienniki przepływu.
- Akcje Microsoft.Compute/* wymienione w sekcji Dodatkowe akcje .
- Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* lub Microsoft.Insights/dataCollectionEndpoints/* akcje wymienione w sekcji Analiza ruchu.
Network Watcher
| Akcja | opis |
|---|---|
| Microsoft.Network/networkWatchers/read | Pobieranie usługi Network Watcher |
| Microsoft.Network/networkWatchers/write | Tworzenie lub aktualizowanie usługi Network Watcher |
| Microsoft.Network/networkWatchers/delete | Usuwanie obserwatora sieciowego |
Monitor połączeń
| Akcja | opis |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Uruchamianie monitora połączeń |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Zatrzymywanie monitora połączeń |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Wykonywanie zapytań względem monitora połączeń |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Pobieranie monitora połączeń |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Tworzenie monitora połączeń |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Usuwanie monitora połączeń |
Dzienniki przepływu
| Akcja | opis |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Konfigurowanie dziennika przepływu |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Stan zapytania dla dziennika przepływu |
| Microsoft.Network/networkSecurityGroups/write 1 | Tworzy sieciową grupę zabezpieczeń lub aktualizuje istniejącą sieciową grupę zabezpieczeń |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Pobieranie sygnatur dostępu współdzielonego (SAS) umożliwiające bezpieczny dostęp do konta magazynu i zapisywanie na koncie magazynu |
1 Wymagane tylko w przypadku dzienników przepływu sieciowej grupy zabezpieczeń.
Analiza ruchu
Ponieważ analiza ruchu jest włączona w ramach zasobu dziennika przepływu, oprócz wszystkich wymaganych uprawnień dzienników usługi Flow wymagane są następujące uprawnienia:
| Akcja | opis |
|---|---|
| Microsoft.Network/applicationGateways/read | Uzyskiwanie bramy aplikacji |
| Microsoft.Network/connections/read | Uzyskiwanie połączenia VirtualNetworkGatewayConnection |
| Microsoft.Network/loadBalancers/read | Pobieranie definicji modułu równoważenia obciążenia |
| Microsoft.Network/localNetworkGateways/read | Uzyskiwanie bramy LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Pobieranie definicji interfejsu sieciowego |
| Microsoft.Network/networkSecurityGroups/read | Pobieranie definicji sieciowej grupy zabezpieczeń |
| Microsoft.Network/publicIPAddresses/read | Pobieranie definicji publicznego adresu IP |
| Microsoft.Network/routeTables/read | Pobieranie definicji tabeli tras |
| Microsoft.Network/virtualNetworkGateways/read | Uzyskiwanie bramy VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Pobieranie definicji sieci wirtualnej |
| Microsoft.Network/expressRouteCircuits/read | Uzyskiwanie elementu ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | Pobieranie istniejącego obszaru roboczego |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Pobieranie kluczy udostępnionych dla obszaru roboczego |
| Microsoft.Insights/dataCollectionRules/read 1 | Odczytywanie reguły zbierania danych |
| Microsoft.Insights/dataCollectionRules/write 1 | Tworzenie lub aktualizowanie reguły zbierania danych |
| Microsoft.Insights/dataCollectionRules/delete 1 | Usuwanie reguły zbierania danych |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Odczytywanie punktu końcowego zbierania danych |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Tworzenie lub aktualizowanie punktu końcowego zbierania danych |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Usuwanie punktu końcowego zbierania danych |
1 Wymagane tylko w przypadku używania analizy ruchu do analizowania dzienników przepływu sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Reguły zbierania danych w usłudze Azure Monitor i punktach końcowych zbierania danych w usłudze Azure Monitor.
Uwaga
Reguły zbierania danych i zasoby punktu końcowego zbierania danych są tworzone i zarządzane przez analizę ruchu. Jeśli wykonasz jakąkolwiek operację na tych zasobach, analiza ruchu może nie działać zgodnie z oczekiwaniami.
Rozwiązywanie problemów z połączeniami
| Akcja | opis |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Inicjowanie testu rozwiązywania problemów z połączeniem |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Wyniki zapytania dotyczące testu rozwiązywania problemów z połączeniem |
| Microsoft.Network/networkWatchers/troubleshoot/action | Uruchamianie testu rozwiązywania problemów z połączeniem |
Przechwytywanie pakietów
| Akcja | opis |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Wykonywanie zapytań dotyczących stanu przechwytywania pakietów |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Zatrzymywanie przechwytywania pakietów |
| Microsoft.Network/networkWatchers/packetCaptures/read | Pobieranie przechwytywania pakietów |
| Microsoft.Network/networkWatchers/packetCaptures/write | Tworzenie przechwytywania pakietów |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Usuwanie przechwytywania pakietów |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Wyświetlanie stanu przechwytywania pakietów |
Weryfikacja przepływu adresów IP
| Akcja | opis |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Weryfikowanie przepływu adresów IP |
Narzędzie Następny przeskok
| Akcja | opis |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
W przypadku określonego docelowego i docelowego adresu IP zwróć typ następnego przeskoku i następny adres IP nadziei |
| Microsoft.Compute/virtualMachines/read | Pobieranie właściwości maszyny wirtualnej |
| Microsoft.Network/networkInterfaces/read | Pobieranie definicji interfejsu sieciowego |
Widok sieciowych grup zabezpieczeń
| Akcja | opis |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Wyświetlanie grup zabezpieczeń |
Topologia
| Akcja | opis |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Pobieranie topologii |
| Microsoft.Network/networkWatchers/topologia/read | Jak wyżej |
Raport dotyczący dostępności
| Akcja | opis |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Uzyskiwanie raportu o dostępności platformy Azure |
Dodatkowe akcje
Funkcje usługi Network Watcher wymagają również następujących akcji:
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/Read | Pobieranie przypisań ról i definicji zasad platformy Azure |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Wyliczanie wszystkich grup zasobów w subskrypcji |
| Microsoft.Storage/storageAccounts/Read | Pobieranie właściwości określonego konta magazynu |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Pobieranie sygnatur dostępu współdzielonego (SAS) umożliwiające bezpieczny dostęp do konta magazynu i zapisywanie na koncie magazynu |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Zaloguj się do maszyny wirtualnej, przechwyć pakiet i przekazać go na konto magazynu |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Sprawdź, czy rozszerzenie usługi Network Watcher jest obecne, i zainstaluj je w razie potrzeby |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Uzyskiwanie dostępu do zestawów skalowania maszyn wirtualnych, przechwytywanie pakietów i przekazywanie ich do konta magazynu |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Sprawdź, czy rozszerzenie usługi Network Watcher jest obecne, i zainstaluj je w razie potrzeby |
| Microsoft.Insights/alertRules/* | Konfigurowanie alertów dotyczących metryk |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletów pomocy technicznej z usługi Network Watcher |