Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O controle de acesso baseado em papéis do Azure (Azure RBAC) permite que você atribua apenas as ações específicas aos membros da sua organização que eles necessitam para completar as suas responsabilidades atribuídas.
Para usar os recursos do Observador de Rede do Azure, a conta com a qual você faz logon no Azure deve ser atribuída às funções internas de Proprietário, Colaborador ou Colaborador de Rede ou atribuída a uma função personalizada que inclua as ações listadas para o recurso Inspetor de Rede que você deseja usar.
Importante
O contribuidor de rede não inclui as seguintes ações:
- Microsoft.Storage/* ações listadas na secção de Ações Adicionais ou Registo de Fluxo.
- ações do Microsoft.Compute/* listadas na secção Ações adicionais.
- Ações Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* ou Microsoft.Insights/dataCollectionEndpoints/* listadas na seção Análise de tráfego .
Para saber como verificar as funções atribuídas a um usuário para uma assinatura, consulte Listar atribuições de função do Azure usando o portal do Azure. Se não conseguir ver as atribuições de funções, contacte o administrador da subscrição respetiva.
As seções a seguir listam as permissões mínimas necessárias para usar o Inspetor de Rede e seus recursos. Para obter uma lista completa das permissões do Azure relacionadas, consulte Permissões Microsoft.Network, Permissões Microsoft.Compute, Permissões Microsoft.Storage, Permissões Microsoft.Insights e Permissões Microsoft.OperationalInsights.
Observador de Rede
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/ler | Obter um observador de rede |
| Microsoft.Network/networkWatchers/gravação | Criar ou atualizar um observador de rede |
| Microsoft.Network/networkWatchers/excluir | Eliminar um observador de rede |
Monitorização da conexão
| Ação | Descrição |
|---|---|
| Iniciador de ação dos monitores de conexão dos inspetores de rede da Microsoft | Iniciar um monitor de ligação |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Parar um monitor de ligação |
| Microsoft.Network/vigilantesDeRede/monitoresDeConexão/consulta/ação | Consultar um monitor de ligação |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Obter um monitor de ligação |
| Microsoft.Network/networkWatchers/connectionMonitors/escrever | Criar um monitor de conexão |
| Microsoft.Network/networkWatchers/connectionMonitors/excluir | Eliminar um monitor de ligação |
Registos de fluxo
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | Obter detalhes do log de fluxo |
| Microsoft.Network/networkWatchers/flowLogs/gravação | Cria um log de fluxo |
| Microsoft.Network/networkWatchers/flowLogs/delete | Exclui um log de fluxo |
| Microsoft.Network/networkWatchers/configureFlowLog/action | Configurar um log de fluxos |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Consultar o estado de um registo de fluxo |
| Microsoft.Network/networkSecurityGroups/escrita 1 | Cria um grupo de segurança de rede ou atualiza um grupo de segurança de rede existente. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Obtenha assinaturas de acesso compartilhado (SAS) que permitam acesso seguro à conta de armazenamento e escreva na conta de armazenamento |
1 Só é necessário com logs de fluxo NSG.
Análise de tráfego
Dado que a análise de tráfego é ativada como parte do recurso de registo de fluxo, são necessárias as seguintes permissões além de todas as permissões necessárias para Flow logs:
| Ação | Descrição |
|---|---|
| Microsoft.Network/applicationGateways/read | Obter um gateway de aplicação |
| Microsoft.Network/connections/read | Obter Ligação do Gateway de Rede Virtual |
| Microsoft.Network/expressRouteCircuits/leitura | Obter um ExpressRouteCircuit |
| Microsoft.Network/loadBalancers/leitura | Obter uma definição de equilibrador de carga |
| Microsoft.Network/localNetworkGateways/leitura | Obter LocalNetworkGateway |
| Microsoft.Network/networkInterfaces (leitura) | Obter uma definição de interface de rede |
| Microsoft.Network/networkSecurityGroups/ler | Obtenha uma definição de grupo de segurança de rede |
| Microsoft.Network/publicIPAddresses/read (leitura de endereço IP público) | Obter uma definição de endereço IP público |
| Microsoft.Network/routeTables/ler | Obtenha uma definição da tabela de rotas |
| Microsoft.Network/virtualNetworkGateways/ler | Obter uma VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/ler | Obtenha uma definição de rede virtual |
| Microsoft.Compute/virtualMachines/leitura | Obtenha as propriedades de uma máquina virtual |
| Microsoft.Compute/virtualMachineScaleSets/read | Obter as propriedades de um Conjunto de Dimensionamento de Máquina Virtual |
| Microsoft.OperationalInsights/workspaces/read | Obter um espaço de trabalho existente |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Recuperar as chaves partilhadas para o espaço de trabalho |
| Microsoft.Insights/dataCollectionRules/ler 1 | Leia uma regra de recolha de dados |
| Microsoft.Insights/dataCollectionRules/write 1 | Criar ou atualizar uma regra de recolha de dados |
| Microsoft.Insights/dataCollectionRules/excluir 1 | Eliminar uma regra de recolha de dados |
| Microsoft.Insights/dataCollectionEndpoints/ler 1 | Ler um ponto de recolha de dados |
| Microsoft.Insights/dataCollectionEndpoints/escrever 1 | Criar ou atualizar um ponto de extremidade de coleta de dados |
| Microsoft.Insights/dataCollectionEndpoints/eliminar 1 | Eliminar um ponto de recolha de dados |
1 Necessário na assinatura do espaço de trabalho do Log Analytics ao usar a análise de tráfego com logs de fluxo de rede virtual.
Atenção
A análise de tráfego cria e gere recursos de regra de recolha de dados (DCR) e ponto de extremidade de recolha de dados (DCE), no mesmo grupo de recursos que o espaço de trabalho do Log Analytics, com o prefixo NWTA. Se realizar qualquer operação nestes recursos, a análise de tráfego poderá não funcionar conforme esperado.
Importante
As permissões herdadas do grupo de gestão atualmente não são suportadas para habilitar a análise de tráfego.
Resolução de problemas de ligação
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/verificaçãoDeConectividade/ação Microsoft.Network/observadoresDeRede/verificaçãoDeConectividade/leitura |
Verificar a possibilidade de estabelecer uma conexão TCP direta de uma máquina virtual para um determinado ponto de extremidade |
| Microsoft.Network/observadoresDeRede/consultarResultadoDeDepuração/ação | Resultados da consulta de um teste de diagnóstico de conexão |
| Microsoft.Network/networkWatchers/solução de problemas/ação | Executar um teste de diagnóstico de conexão |
Captura de pacotes
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Consultar o estado de uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Parar a sessão de captura de pacotes em execução |
| Microsoft.Network/networkWatchers/packetCaptures/read | Obter uma definição de captura de pacote |
| Microsoft.Network/networkWatchers/packetCaptures/escrever | Crie uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/excluir | Eliminar uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Veja o estado de uma captura de pacotes |
verificação de fluxo de IP
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read |
Indica se o pacote é permitido ou negado para ou de um destino específico |
Próximo salto
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/próximoSalto/leitura |
Para um endereço IP alvo e um endereço IP de destino especificados, retorne o próximo tipo de salto e o próximo endereço IP de salto. |
| Microsoft.Compute/virtualMachines/leitura | Obtenha as propriedades de uma máquina virtual |
| Microsoft.Network/networkInterfaces (leitura) | Obter uma definição de interface de rede |
Vista do grupo de segurança de rede
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Exibir as regras de grupo de segurança de rede configuradas e eficazes aplicadas em uma máquina virtual |
Topologia
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/topologia/ação, Microsoft.Network/networkWatchers/topology/read |
Obter uma visão de nível de rede de recursos e seus relacionamentos em um grupo de recursos |
Relatório de Acessibilidade
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Obter a pontuação de latência relativa para provedores de serviços de Internet de um local especificado para regiões do Azure |
Ações adicionais
Alguns recursos do Inspetor de Rede exigem as seguintes ações:
| Ação | Descrição |
|---|---|
| Microsoft.Authorization/*/Read | Obter atribuições de funções do Azure e definições de políticas |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Enumere todos os grupos de recursos numa subscrição |
| Microsoft.Storage/storageAccounts/Ler | Obtenha as propriedades da conta de armazenamento especificada |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Obtenha assinaturas de acesso compartilhado (SAS) que permitam acesso seguro à conta de armazenamento e escreva na conta de armazenamento |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Faça login na VM, faça uma captura de pacotes e carregue-a para a conta de armazenamento |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Verifique se a extensão Network Watcher está presente e instale, se necessário |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Aceda aos conjuntos de escalonamento de máquinas virtuais, realize capturas de pacotes e carregue-as na conta de armazenamento. |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Verifique se a extensão Network Watcher está presente e instale, se necessário |
| Microsoft.Insights/alertRules/* | Configurar alertas de métricas |
| Microsoft.Support/* | ** Criar e atualizar pedidos de suporte a partir do Network Watcher |