Uprawnienia kontroli dostępu opartej na rolach platformy Azure wymagane do korzystania z funkcji usługi Network Watcher

  • Artykuł

Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure umożliwia przypisywanie tylko określonych akcji do członków organizacji, których potrzebują do wykonania przypisanych obowiązków. Aby korzystać z funkcji usługi Azure Network Watcher, konto, za pomocą którego logujesz się do platformy Azure, musi być przypisane do wbudowanych ról właściciela, współautora lub współautora sieci albo przypisane do roli niestandardowej przypisanej do akcji wymienionych dla każdej funkcji usługi Network Watcher w poniższych sekcjach. Aby dowiedzieć się, jak sprawdzić role przypisane do użytkownika dla subskrypcji, zobacz Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal. Jeśli nie widzisz przypisań ról, skontaktuj się z odpowiednim administratorem subskrypcji. Aby dowiedzieć się więcej o możliwościach usługi Network Watcher, zobacz Co to jest usługa Network Watcher?

Ważne

Współautor sieci nie obejmuje następujących akcji:

  • Akcje Microsoft.Storage/* wymienione w sekcji Dodatkowe akcje lub Dzienniki przepływu.
  • Akcje Microsoft.Compute/* wymienione w sekcji Dodatkowe akcje .
  • Microsoft.Operational Szczegółowe informacje/workspaces/*, Microsoft.Szczegółowe informacje/dataCollectionRules/* lub Microsoft. akcje Szczegółowe informacje/dataCollectionEndpoints/* wymienione w Sekcja analiza ruchu.

Network Watcher

Akcja opis
Microsoft.Network/networkWatchers/read Pobieranie usługi Network Watcher
Microsoft.Network/networkWatchers/write Tworzenie lub aktualizowanie usługi Network Watcher
Microsoft.Network/networkWatchers/delete Usuwanie obserwatora sieciowego

Monitor połączeń

Akcja opis
Microsoft.Network/networkWatchers/connectionMonitors/start/action Uruchamianie monitora połączeń
Microsoft.Network/networkWatchers/connectionMonitors/stop/action Zatrzymywanie monitora połączeń
Microsoft.Network/networkWatchers/connectionMonitors/query/action Wykonywanie zapytań względem monitora połączeń
Microsoft.Network/networkWatchers/connectionMonitors/read Pobieranie monitora połączeń
Microsoft.Network/networkWatchers/connectionMonitors/write Tworzenie monitora połączeń
Microsoft.Network/networkWatchers/connectionMonitors/delete Usuwanie monitora połączeń

Dzienniki przepływu

Akcja opis
Microsoft.Network/networkWatchers/configureFlowLog/action Konfigurowanie dziennika przepływu
Microsoft.Network/networkWatchers/queryFlowLogStatus/action Stan zapytania dla dziennika przepływu
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action		 Pobieranie sygnatur dostępu współdzielonego (SAS) umożliwiające bezpieczny dostęp do konta magazynu i zapisywanie na koncie magazynu

Analiza ruchu

Ponieważ analiza ruchu jest włączona w ramach zasobu dziennika usługi Flow, oprócz wszystkich wymaganych uprawnień dzienników usługi Flow wymagane są następujące uprawnienia:

Akcja opis
Microsoft.Network/applicationGateways/read Uzyskiwanie bramy aplikacji
Microsoft.Network/connections/read Uzyskiwanie bramy VirtualNetworkGateway Połączenie ion
Microsoft.Network/loadBalancers/read Pobieranie definicji modułu równoważenia obciążenia
Microsoft.Network/localNetworkGateways/read Uzyskiwanie bramy LocalNetworkGateway
Microsoft.Network/networkInterfaces/read Pobieranie definicji interfejsu sieciowego
Microsoft.Network/networkSecurityGroups/read Pobieranie definicji sieciowej grupy zabezpieczeń
Microsoft.Network/publicIPAddresses/read Pobieranie definicji publicznego adresu IP
Microsoft.Network/routeTables/read Pobieranie definicji tabeli tras
Microsoft.Network/virtualNetworkGateways/read Uzyskiwanie bramy VirtualNetworkGateway
Microsoft.Network/virtualNetworks/read Pobieranie definicji sieci wirtualnej
Microsoft.Network/expressRouteCircuits/read Uzyskiwanie elementu ExpressRouteCircuit
Microsoft.Operational Szczegółowe informacje/workspaces/read Pobieranie istniejącego obszaru roboczego
Microsoft.Operational Szczegółowe informacje/workspaces/sharedkeys/action Pobieranie kluczy udostępnionych dla obszaru roboczego
Microsoft. Szczegółowe informacje/dataCollectionRules/read 1 Odczytywanie reguły zbierania danych
Microsoft. Szczegółowe informacje/dataCollectionRules/write 1 Tworzenie lub aktualizowanie reguły zbierania danych
Microsoft. Szczegółowe informacje/dataCollectionRules/delete 1 Usuwanie reguły zbierania danych
Microsoft. Szczegółowe informacje/dataCollectionEndpoints/read 1 Odczytywanie punktu końcowego zbierania danych
Microsoft. Szczegółowe informacje/dataCollectionEndpoints/write 1 Tworzenie lub aktualizowanie punktu końcowego zbierania danych
Microsoft. Szczegółowe informacje/dataCollectionEndpoints/delete 1 Usuwanie punktu końcowego zbierania danych

1 Wymagane tylko w przypadku używania analizy ruchu do analizowania dzienników przepływu sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Reguły zbierania danych w usłudze Azure Monitor i punktach końcowych zbierania danych w usłudze Azure Monitor.

Uwaga

Reguły zbierania danych i zasoby punktu końcowego zbierania danych są tworzone i zarządzane przez analizę ruchu. Jeśli wykonasz jakąkolwiek operację na tych zasobach, analiza ruchu może nie działać zgodnie z oczekiwaniami.

Rozwiązywanie problemów z połączeniami

Akcja opis
Microsoft.Network/networkWatchers/connectivityCheck/action Inicjowanie testu rozwiązywania problemów z połączeniem
Microsoft.Network/networkWatchers/queryTroubleshootResult/action Wyniki zapytania dotyczące testu rozwiązywania problemów z połączeniem
Microsoft.Network/networkWatchers/troubleshoot/action Uruchamianie testu rozwiązywania problemów z połączeniem

Przechwytywanie pakietów

Akcja opis
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action Wykonaj zapytanie dotyczące stanu przechwytywania pakietów.
Microsoft.Network/networkWatchers/packetCaptures/stop/action Zatrzymaj przechwytywanie pakietów.
Microsoft.Network/networkWatchers/packetCaptures/read Pobieranie przechwytywania pakietów.
Microsoft.Network/networkWatchers/packetCaptures/write Utwórz przechwytywanie pakietów.
Microsoft.Network/networkWatchers/packetCaptures/delete Usuwanie przechwytywania pakietów.
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read Wyświetlanie stanu przechwytywania pakietów.

Weryfikacja przepływu adresów IP

Akcja opis
Microsoft.Network/networkWatchers/ipFlowVerify/action Weryfikowanie przepływu adresów IP

Narzędzie Następny przeskok

Akcja opis
Microsoft.Network/networkWatchers/nextHop/action Pobieranie następnego przeskoku z maszyny wirtualnej

Widok sieciowych grup zabezpieczeń

Akcja opis
Microsoft.Network/networkWatchers/securityGroupView/action Wyświetlanie grup zabezpieczeń

Topologia

Akcja opis
Microsoft.Network/networkWatchers/topology/action Pobieranie topologii
Microsoft.Network/networkWatchers/topologia/read Jak wyżej

Raport dotyczący dostępności

Akcja opis
Microsoft.Network/networkWatchers/azureReachabilityReport/action Uzyskiwanie raportu o dostępności platformy Azure

Dodatkowe akcje

Funkcje usługi Network Watcher wymagają również następujących akcji:

Akcje opis
Microsoft.Authorization/*/Read Pobieranie przypisań ról i definicji zasad platformy Azure
Microsoft.Resources/subscriptions/resourceGroups/Read Wyliczanie wszystkich grup zasobów w subskrypcji
Microsoft.Storage/storageAccounts/Read Pobieranie właściwości określonego konta magazynu
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action		 Pobieranie sygnatur dostępu współdzielonego (SAS) umożliwiające bezpieczny dostęp do konta magazynu i zapisywanie na koncie magazynu
Microsoft.Compute/virtualMachines/Read,
Microsoft.Compute/virtualMachines/Write		 Zaloguj się do maszyny wirtualnej, przechwyć pakiet i przekazać go na konto magazynu
Microsoft.Compute/virtualMachines/extensions/Read,
Microsoft.Compute/virtualMachines/extensions/Write		 Sprawdź, czy rozszerzenie usługi Network Watcher jest obecne, i zainstaluj je w razie potrzeby
Microsoft.Compute/virtualMachineScaleSets/Read,
Microsoft.Compute/virtualMachineScaleSets/Write		 Uzyskiwanie dostępu do zestawów skalowania maszyn wirtualnych, przechwytywanie pakietów i przekazywanie ich do konta magazynu
Microsoft.Compute/virtualMachineScaleSets/extensions/Read,
Microsoft.Compute/virtualMachineScaleSets/extensions/Write		 Sprawdź, czy rozszerzenie usługi Network Watcher jest obecne, i zainstaluj je w razie potrzeby
Microsoft.Insights/alertRules/* Konfigurowanie alertów dotyczących metryk
Microsoft.Support/* Tworzenie i aktualizowanie biletów pomocy technicznej z usługi Network Watcher