Uprawnienia kontroli dostępu opartej na rolach platformy Azure wymagane do korzystania z funkcji usługi Network Watcher
Artykuł
04/24/2024
Współautorzy: 14
Opinia
W tym artykule
Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure umożliwia przypisywanie tylko określonych akcji do członków organizacji, których potrzebują do wykonania przypisanych obowiązków. Aby korzystać z funkcji usługi Azure Network Watcher, konto, za pomocą którego logujesz się do platformy Azure, musi być przypisane do wbudowanych ról właściciela , współautora lub współautora sieci albo przypisane do roli niestandardowej przypisanej do akcji wymienionych dla każdej funkcji usługi Network Watcher w poniższych sekcjach. Aby dowiedzieć się, jak sprawdzić role przypisane do użytkownika dla subskrypcji, zobacz Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal . Jeśli nie widzisz przypisań ról, skontaktuj się z odpowiednim administratorem subskrypcji. Aby dowiedzieć się więcej o możliwościach usługi Network Watcher, zobacz Co to jest usługa Network Watcher?
Ważne
Współautor sieci nie obejmuje następujących akcji:
Akcje Microsoft.Storage/* wymienione w sekcji Dodatkowe akcje lub Dzienniki przepływu.
Akcje Microsoft.Compute/* wymienione w sekcji Dodatkowe akcje .
Microsoft.Operational Szczegółowe informacje/workspaces/*, Microsoft.Szczegółowe informacje/dataCollectionRules/* lub Microsoft. akcje Szczegółowe informacje/dataCollectionEndpoints/* wymienione w Sekcja analiza ruchu.
Network Watcher
Akcja
opis
Microsoft.Network/networkWatchers/read
Pobieranie usługi Network Watcher
Microsoft.Network/networkWatchers/write
Tworzenie lub aktualizowanie usługi Network Watcher
Microsoft.Network/networkWatchers/delete
Usuwanie obserwatora sieciowego
Monitor połączeń
Akcja
opis
Microsoft.Network/networkWatchers/connectionMonitors/start/action
Uruchamianie monitora połączeń
Microsoft.Network/networkWatchers/connectionMonitors/stop/action
Zatrzymywanie monitora połączeń
Microsoft.Network/networkWatchers/connectionMonitors/query/action
Wykonywanie zapytań względem monitora połączeń
Microsoft.Network/networkWatchers/connectionMonitors/read
Pobieranie monitora połączeń
Microsoft.Network/networkWatchers/connectionMonitors/write
Tworzenie monitora połączeń
Microsoft.Network/networkWatchers/connectionMonitors/delete
Usuwanie monitora połączeń
Dzienniki przepływu
Akcja
opis
Microsoft.Network/networkWatchers/configureFlowLog/action
Konfigurowanie dziennika przepływu
Microsoft.Network/networkWatchers/queryFlowLogStatus/action
Stan zapytania dla dziennika przepływu
Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action
Pobieranie sygnatur dostępu współdzielonego (SAS) umożliwiające bezpieczny dostęp do konta magazynu i zapisywanie na koncie magazynu
Analiza ruchu
Ponieważ analiza ruchu jest włączona w ramach zasobu dziennika usługi Flow, oprócz wszystkich wymaganych uprawnień dzienników usługi Flow wymagane są następujące uprawnienia:
Akcja
opis
Microsoft.Network/applicationGateways/read
Uzyskiwanie bramy aplikacji
Microsoft.Network/connections/read
Uzyskiwanie bramy VirtualNetworkGateway Połączenie ion
Microsoft.Network/loadBalancers/read
Pobieranie definicji modułu równoważenia obciążenia
Microsoft.Network/localNetworkGateways/read
Uzyskiwanie bramy LocalNetworkGateway
Microsoft.Network/networkInterfaces/read
Pobieranie definicji interfejsu sieciowego
Microsoft.Network/networkSecurityGroups/read
Pobieranie definicji sieciowej grupy zabezpieczeń
Microsoft.Network/publicIPAddresses/read
Pobieranie definicji publicznego adresu IP
Microsoft.Network/routeTables/read
Pobieranie definicji tabeli tras
Microsoft.Network/virtualNetworkGateways/read
Uzyskiwanie bramy VirtualNetworkGateway
Microsoft.Network/virtualNetworks/read
Pobieranie definicji sieci wirtualnej
Microsoft.Network/expressRouteCircuits/read
Uzyskiwanie elementu ExpressRouteCircuit
Microsoft.Operational Szczegółowe informacje/workspaces/read
Pobieranie istniejącego obszaru roboczego
Microsoft.Operational Szczegółowe informacje/workspaces/sharedkeys/action
Pobieranie kluczy udostępnionych dla obszaru roboczego
Microsoft. Szczegółowe informacje/dataCollectionRules/read 1
Odczytywanie reguły zbierania danych
Microsoft. Szczegółowe informacje/dataCollectionRules/write 1
Tworzenie lub aktualizowanie reguły zbierania danych
Microsoft. Szczegółowe informacje/dataCollectionRules/delete 1
Usuwanie reguły zbierania danych
Microsoft. Szczegółowe informacje/dataCollectionEndpoints/read 1
Odczytywanie punktu końcowego zbierania danych
Microsoft. Szczegółowe informacje/dataCollectionEndpoints/write 1
Tworzenie lub aktualizowanie punktu końcowego zbierania danych
Microsoft. Szczegółowe informacje/dataCollectionEndpoints/delete 1
Usuwanie punktu końcowego zbierania danych
1 Wymagane tylko w przypadku używania analizy ruchu do analizowania dzienników przepływu sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Reguły zbierania danych w usłudze Azure Monitor i punktach końcowych zbierania danych w usłudze Azure Monitor .
Uwaga
Reguły zbierania danych i zasoby punktu końcowego zbierania danych są tworzone i zarządzane przez analizę ruchu. Jeśli wykonasz jakąkolwiek operację na tych zasobach, analiza ruchu może nie działać zgodnie z oczekiwaniami.
Rozwiązywanie problemów z połączeniami
Akcja
opis
Microsoft.Network/networkWatchers/connectivityCheck/action
Inicjowanie testu rozwiązywania problemów z połączeniem
Microsoft.Network/networkWatchers/queryTroubleshootResult/action
Wyniki zapytania dotyczące testu rozwiązywania problemów z połączeniem
Microsoft.Network/networkWatchers/troubleshoot/action
Uruchamianie testu rozwiązywania problemów z połączeniem
Przechwytywanie pakietów
Akcja
opis
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action
Wykonaj zapytanie dotyczące stanu przechwytywania pakietów.
Microsoft.Network/networkWatchers/packetCaptures/stop/action
Zatrzymaj przechwytywanie pakietów.
Microsoft.Network/networkWatchers/packetCaptures/read
Pobieranie przechwytywania pakietów.
Microsoft.Network/networkWatchers/packetCaptures/write
Utwórz przechwytywanie pakietów.
Microsoft.Network/networkWatchers/packetCaptures/delete
Usuwanie przechwytywania pakietów.
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read
Wyświetlanie stanu przechwytywania pakietów.
Weryfikacja przepływu adresów IP
Akcja
opis
Microsoft.Network/networkWatchers/ipFlowVerify/action
Weryfikowanie przepływu adresów IP
Narzędzie Następny przeskok
Akcja
opis
Microsoft.Network/networkWatchers/nextHop/action
Pobieranie następnego przeskoku z maszyny wirtualnej
Widok sieciowych grup zabezpieczeń
Akcja
opis
Microsoft.Network/networkWatchers/securityGroupView/action
Wyświetlanie grup zabezpieczeń
Topologia
Akcja
opis
Microsoft.Network/networkWatchers/topology/action
Pobieranie topologii
Microsoft.Network/networkWatchers/topologia/read
Jak wyżej
Raport dotyczący dostępności
Akcja
opis
Microsoft.Network/networkWatchers/azureReachabilityReport/action
Uzyskiwanie raportu o dostępności platformy Azure
Dodatkowe akcje
Funkcje usługi Network Watcher wymagają również następujących akcji:
Akcje
opis
Microsoft.Authorization/*/Read
Pobieranie przypisań ról i definicji zasad platformy Azure
Microsoft.Resources/subscriptions/resourceGroups/Read
Wyliczanie wszystkich grup zasobów w subskrypcji
Microsoft.Storage/storageAccounts/Read
Pobieranie właściwości określonego konta magazynu
Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action
Pobieranie sygnatur dostępu współdzielonego (SAS) umożliwiające bezpieczny dostęp do konta magazynu i zapisywanie na koncie magazynu
Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write
Zaloguj się do maszyny wirtualnej, przechwyć pakiet i przekazać go na konto magazynu
Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write
Sprawdź, czy rozszerzenie usługi Network Watcher jest obecne, i zainstaluj je w razie potrzeby
Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write
Uzyskiwanie dostępu do zestawów skalowania maszyn wirtualnych, przechwytywanie pakietów i przekazywanie ich do konta magazynu
Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write
Sprawdź, czy rozszerzenie usługi Network Watcher jest obecne, i zainstaluj je w razie potrzeby
Microsoft.Insights/alertRules/*
Konfigurowanie alertów dotyczących metryk
Microsoft.Support/*
Tworzenie i aktualizowanie biletów pomocy technicznej z usługi Network Watcher