As permissões de controle de acesso baseadas em função do Azure são necessárias para usar os recursos do Observador de Rede
O controle de acesso baseado em função do Azure (RBAC do Azure) do Azure permite que você atribua apenas as ações específicas aos membros de sua organização que eles precisam para concluir suas responsabilidades atribuídas. Para usar recursos do Observador de Rede do Azure, a conta usada para entrar no Azure deve ter atribuição das funções internas de Proprietário, Colaborador ou Colaborador de rede ou de uma função personalizada encarregada das ações listadas para cada recurso do Observador de Rede nas seções a seguir. Para saber como verificar as funções atribuídas a um usuários para uma assinatura, consulte Listar as atribuições de função do Azure usando o portal do Azure. Se você não conseguir ver as atribuições de função, entre em contato com o respectivo administrador de assinatura. Para saber mais sobre os recursos do Observador de Rede, confira O que é o Observador de Rede?
Importante
O contribuidor de rede não abrange ações a seguir:
- Ações do Microsoft.Storage/* listadas na seção Ações adicionais ou Logs de fluxo.
- Ações do Microsoft.Compute/* listadas na seção Ações adicionais.
- Ações do Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* ou Microsoft.Insights/dataCollectionEndpoints/* listadas na seção Análise de tráfego.
Observador de Rede
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/read | Obter um observador de rede |
| Microsoft.Network/networkWatchers/write | Criar ou atualizar um observador de rede |
| Microsoft.Network/networkWatchers/delete | Excluir um observador de rede |
Monitor de conexão
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Iniciar um monitor de conexão |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Parar um monitor de conexão |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Consultar um monitor de conexão |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Obter um monitor de conexão |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Criar um monitor de conexão |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Excluir um monitor de conexão |
Logs de fluxo
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Configurar um log de fluxo |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Consultar o status de um log de fluxo |
| Microsoft.Network/networkSecurityGroups/write 1 | Criar um grupo de segurança de rede ou atualizar um grupo de segurança de rede existente |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Buscar assinaturas de acesso compartilhado (SAS) permitindo acesso seguro à conta de armazenamento e gravar na conta de armazenamento |
1 Necessário somente com logs de fluxo de NSG.
Análise de tráfego
Como a análise de tráfego está habilitada como parte do recurso de log de fluxo, as seguintes permissões são necessárias além de todas as permissões necessárias para Logs de fluxo:
| Ação | Descrição |
|---|---|
| Microsoft.Network/applicationGateways/read | Obter um gateway de aplicativo |
| Microsoft.Network/connections/read | Obter um VirtualNetworkGatewayConnection |
| Microsoft.Network/loadBalancers/read | Obter uma definição do balanceador de carga |
| Microsoft.Network/localNetworkGateways/read | Obter LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Obter uma definição de adaptador de rede |
| Microsoft.Network/networkSecurityGroups/read | Obter uma definição de um grupo de segurança de rede |
| Microsoft.Network/publicIPAddresses/read | Obter uma definição de endereço IP público |
| Microsoft.Network/routeTables/read | Obter uma definição de tabela de rota |
| Microsoft.Network/virtualNetworkGateways/read | Obter um VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Obter uma definição de rede virtual |
| Microsoft.Network/expressRouteCircuits/read | Obter um ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | Obter um workspace existente |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Recupera as chaves compartilhadas para o workspace |
| Microsoft.Insights/dataCollectionRules/read 1 | Ler uma regra de coleta de dados |
| Microsoft.Insights/dataCollectionRules/write 1 | Criar ou atualizar uma regra de coleta de dados |
| Microsoft.Insights/dataCollectionRules/delete 1 | Excluir uma regra de coleta de dados |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Ler um ponto de extremidade da coleta de dados |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Criar ou atualizar um ponto de extremidade da coleta de dados |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Excluir um ponto de extremidade da coleta de dados |
1 Necessário somente ao usar a análise de tráfego para analisar logs de fluxo de rede virtual. Para obter mais informações, consulte Regras de coleta de dados no Azure Monitor e Pontos de extremidade de coleta de dados no Azure Monitor.
Cuidado
A regra de coleta de dados e os recursos de ponto de extremidade de coleta de dados são criados e gerenciados pela análise de tráfego. Se você executar qualquer operação nesses recursos, a análise de tráfego poderá não funcionar conforme o esperado.
Solução de problemas na conexão
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Iniciar um teste de solução de problemas de conexão |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Consultar resultados de um teste de solução de problemas de conexão |
| Microsoft.Network/networkWatchers/troubleshoot/action | Executar um teste de solução de problemas de conexão |
Captura de pacotes
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Consultar o status de uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Parar uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/read | Obter uma captura de pacote |
| Microsoft.Network/networkWatchers/packetCaptures/write | Criar uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Excluir uma captura de pacote |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Exibir o status de uma captura de pacote |
Verificação de fluxo de IP
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Verificar um fluxo IP |
Próximo salto
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Para um endereço IP de destino e destino especificado, retorne o tipo de próximo salto e o endereço IP do próximo salto |
| Microsoft.Compute/virtualMachines/read | Obter as propriedades de uma máquina virtual |
| Microsoft.Network/networkInterfaces/read | Obter uma definição de adaptador de rede |
Exibição de grupo de segurança de rede
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Exibir grupos de segurança |
Topologia
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Obter topologia |
| Microsoft.Network/networkWatchers/topology/read | O mesmo que o descrito acima |
Relatório de acessibilidade
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Obter um relatório de acessibilidade do Azure |
Ações adicionais
Os recursos do Observador de Rede também requerem as seguintes ações:
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/Read | Buscar atribuições de função e definições de política do Azure |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Enumerar todos os grupos de recursos em uma assinatura |
| Microsoft.Storage/storageAccounts/Read | Obter as propriedades para a conta de armazenamento especificada |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Buscar assinaturas de acesso compartilhado (SAS) permitindo acesso seguro à conta de armazenamento e gravar na conta de armazenamento |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Entre na VM, faça uma captura de pacote e carregue-a na conta de armazenamento |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Verifique se a extensão Observador de Rede está presente e instale-a, se necessário |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Acessar conjuntos de dimensionamento de máquinas virtuais, fazer capturas de pacotes e carregá-los na conta de armazenamento |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Verifique se a extensão Observador de Rede está presente e instale-a, se necessário |
| Microsoft.Insights/alertRules/* | Configurar alertas de métricas |
| Microsoft.Support/* | Criar e atualizar tíquetes de suporte do Network Watcher |