Permissões de controle de acesso baseadas em função do Azure necessárias para usar os recursos do Inspetor de Rede

Artigo
06/02/2025

O controle de acesso baseado em função do Azure (Azure RBAC) permite que você atribua apenas as ações específicas aos membros da sua organização que eles precisam para concluir suas responsabilidades atribuídas.

Para usar os recursos do Observador de Rede do Azure, a conta com a qual você faz logon no Azure deve ser atribuída às funções internas de Proprietário , Colaborador ou Colaborador de Rede ou atribuída a uma função personalizada à qual são atribuídas as ações listadas para cada recurso do Inspetor de Rede nas seções a seguir.

Para saber como verificar as funções atribuídas a um usuário para uma assinatura, consulte Listar atribuições de função do Azure usando o portal do Azure. Se não conseguir ver as atribuições de função, contacte o respetivo administrador de subscrição.

Importante

O contribuidor de rede não cobre as seguintes ações:

Ações Microsoft.Storage/* listadas na seção Ações adicionais ou Logs de fluxo.
Ações Microsoft.Compute/* listadas na seção Ações adicionais.
Ações Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* ou Microsoft.Insights/dataCollectionEndpoints/* listadas na seção Análise de tráfego.

Observador de Rede

Ação	Descrição
Microsoft.Network/networkWatchers/ler	Obter um observador de rede
Microsoft.Network/networkWatchers/gravação	Criar ou atualizar um observador de rede
Microsoft.Network/networkWatchers/excluir	Excluir um observador de rede

Monitor de ligação

Ação	Descrição
Microsoft.Network/networkWatchers/connectionMonitors/start/action	Iniciar um monitor de ligação
Microsoft.Network/networkWatchers/connectionMonitors/stop/action	Parar um monitor de ligação
Microsoft.Network/networkWatchers/connectionMonitors/query/action	Consultar um monitor de ligação
Microsoft.Network/networkWatchers/connectionMonitors/read	Obter um monitor de ligação
Microsoft.Network/networkWatchers/connectionMonitors/write	Criar um monitor de ligação
Microsoft.Network/networkWatchers/connectionMonitors/delete	Excluir um monitor de conexão

Registos de fluxo

Ação	Descrição
Microsoft.Network/networkWatchers/configureFlowLog/action	Configurar um log de fluxo
Microsoft.Network/networkWatchers/queryFlowLogStatus/action	Status da consulta para um log de fluxo
Microsoft.Network/networkSecurityGroups/gravação ¹	Cria um grupo de segurança de rede ou atualiza um grupo de segurança de rede existente
Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action	Buscar assinaturas de acesso compartilhado (SAS) permitindo acesso seguro à conta de armazenamento e gravar na conta de armazenamento

1 Necessário apenas com logs de fluxo NSG.

Análise de tráfego

Como a análise de tráfego está habilitada como parte do recurso de log de fluxo, as seguintes permissões são necessárias, além de todas as permissões necessárias para logs de fluxo:

Ação	Descrição
Microsoft.Network/applicationGateways/read	Obter um gateway de aplicativo
Microsoft.Network/connections/read	Obter VirtualNetworkGatewayConnection
Microsoft.Network/loadBalancers/leitura	Obter uma definição de balanceador de carga
Microsoft.Network/localNetworkGateways/leitura	Obter LocalNetworkGateway
Microsoft.Network/networkInterfaces/leitura	Obter uma definição de interface de rede
Microsoft.Network/networkSecurityGroups/leitura	Obter uma definição de grupo de segurança de rede
Microsoft.Network/publicIPAddresses/read	Obter uma definição de endereço IP público
Microsoft.Network/routeTables/ler	Obter uma definição de tabela de rotas
Microsoft.Network/virtualNetworkGateways/leitura	Obtenha um VirtualNetworkGateway
Microsoft.Network/virtualNetworks/ler	Obter uma definição de rede virtual
Microsoft.Network/expressRouteCircuits/leitura	Obtenha um ExpressRouteCircuit
Microsoft.OperationalInsights/workspaces/read	Obter um espaço de trabalho existente
Microsoft.OperationalInsights/workspaces/sharedkeys/action	Recuperar as chaves compartilhadas para o espaço de trabalho
Microsoft.Insights/dataCollectionRules/leitura ¹	Ler uma regra de recolha de dados
Microsoft.Insights/dataCollectionRules/write ¹	Criar ou atualizar uma regra de coleta de dados
Microsoft.Insights/dataCollectionRules/excluir ¹	Excluir uma regra de coleta de dados
Microsoft.Insights/dataCollectionEndpoints/leitura ¹	Ler um ponto de extremidade de coleta de dados
Microsoft.Insights/dataCollectionEndpoints/gravação ¹	Criar ou atualizar um ponto de extremidade de coleta de dados
Microsoft.Insights/dataCollectionEndpoints/excluir ¹	Excluir um ponto de extremidade de coleta de dados

1 Necessário apenas ao usar a análise de tráfego para analisar logs de fluxo de rede virtual. Para obter mais informações, consulte Regras de coleta de dados no Azure Monitor e Pontos de extremidade de coleta de dados no Azure Monitor.

Atenção

A regra de coleta de dados e os recursos de ponto de extremidade de coleta de dados são criados e gerenciados pela análise de tráfego. Se você executar qualquer operação nesses recursos, a análise de tráfego pode não funcionar conforme o esperado.

Importante

Atualmente, não há suporte para permissões herdadas do grupo de gerenciamento para habilitar a análise de tráfego.

Resolução de problemas de ligação

Ação	Descrição
Microsoft.Network/networkWatchers/connectivityCheck/action	Iniciar um teste de solução de problemas de conexão
Microsoft.Network/networkWatchers/queryTroubleshootResult/action	Resultados da consulta de um teste de solução de problemas de conexão
Microsoft.Network/networkWatchers/solução de problemas/ação	Executar um teste de solução de problemas de conexão

Captura de pacotes

Ação	Descrição
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action	Consultar o status de uma captura de pacote
Microsoft.Network/networkWatchers/packetCaptures/stop/action	Parar uma captura de pacotes
Microsoft.Network/networkWatchers/packetCaptures/read	Obter uma captura de pacotes
Microsoft.Network/networkWatchers/packetCaptures/write	Criar uma captura de pacote
Microsoft.Network/networkWatchers/packetCaptures/delete	Excluir uma captura de pacote
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read	Exibir o status de uma captura de pacote

Verificação do fluxo de IP

Ação	Descrição
Microsoft.Network/networkWatchers/ipFlowVerify/action	Verificar um fluxo de IP

Próximo salto

Ação	Descrição
Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read	Para um endereço IP de destino e destino especificado, retorne o próximo tipo de salto e o próximo endereço IP de esperança
Microsoft.Compute/virtualMachines/read	Obter as propriedades de uma máquina virtual
Microsoft.Network/networkInterfaces/leitura	Obter uma definição de interface de rede

Vista de grupo de segurança de rede

Ação	Descrição
Microsoft.Network/networkWatchers/securityGroupView/action	Ver grupos de segurança

Topologia

Ação	Descrição
Microsoft.Network/networkWatchers/topologia/ação	Obter topologia
Microsoft.Network/networkWatchers/topology/read	Obter topologia

Relatório de acessibilidade

Ação	Descrição
Microsoft.Network/networkWatchers/azureReachabilityReport/action	Obter um relatório de acessibilidade do Azure

Ações adicionais

Os recursos do Inspetor de Rede também exigem as seguintes ações:

Ações	Description
Microsoft.Authorization/*/Read	Buscar atribuições de função do Azure e definições de política
Microsoft.Resources/subscriptions/resourceGroups/Read	Enumerar todos os grupos de recursos em uma assinatura
Microsoft.Storage/storageAccounts/Ler	Obter as propriedades da conta de armazenamento especificada
Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action	Buscar assinaturas de acesso compartilhado (SAS) permitindo acesso seguro à conta de armazenamento e gravar na conta de armazenamento
Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write	Faça login na VM, faça uma captura de pacotes e carregue-a para a conta de armazenamento
Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write	Verifique se a extensão Network Watcher está presente e instale, se necessário
Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write	Acesse conjuntos de dimensionamento de máquinas virtuais, faça capturas de pacotes e carregue-os para a conta de armazenamento
Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write	Verifique se a extensão Network Watcher está presente e instale, se necessário
Microsoft.Insights/alertRules/*	Configurar alertas de métricas
Microsoft.Support/*	Criar e atualizar tíquetes de suporte do Network Watcher

Recursos adicionais

Documentação

Visão geral da análise de tráfego - Azure Network Watcher

Saiba o que é a análise de tráfego do Observador de Rede do Azure e como usá-la para exibir a atividade da rede, proteger redes e otimizar o desempenho.
Visão geral dos logs de fluxo do NSG - Azure Network Watcher

Saiba mais sobre o recurso de logs de fluxo NSG do Azure Network Watcher, que permite registrar informações sobre o tráfego IP fluindo através de um grupo de segurança de rede.
Gerenciar logs de fluxo do NSG - Portal do Azure - Azure Network Watcher

Saiba como criar, alterar, desativar ou excluir logs de fluxo NSG do Azure Network Watcher usando o portal do Azure.
Logs de fluxo de rede virtual - Azure Network Watcher

Saiba mais sobre os logs de fluxo de rede virtual do Observador de Rede do Azure e como usá-los para registrar o tráfego da sua rede virtual.
Habilitar ou desabilitar o Azure Network Watcher

Saiba como habilitar ou desabilitar o Observador de Rede do Azure em sua região criando uma instância do Inspetor de Rede usando o portal do Azure, o PowerShell, a CLI do Azure, a API REST ou o modelo ARM.
Esquema de análise de tráfego e agregação de dados - Azure Network Watcher

Saiba mais sobre esquema e agregação de dados na análise de tráfego do Azure Network Watcher para analisar logs de fluxo.

Formação

Módulo

Configurar o monitoramento para redes virtuais - Training

Neste módulo, você aprenderá a usar a seguinte funcionalidade do Observador de Rede do Azure para monitorar e diagnosticar redes do Azure: topologia do Observador de Rede do Azure. Monitor de conexão. Verificação de fluxo IP e diagnóstico NSG. Captura de pacotes.

Certificação

Certificado pela Microsoft: Azure Network Engineer Associate - Certifications

Demonstre o design, a implementação e a manutenção da infraestrutura de rede do Azure, o tráfego de balanceamento de carga, o roteamento de rede e muito mais.

Festival de Habilidades de IA

Partilhar via

Permissões de controle de acesso baseadas em função do Azure necessárias para usar os recursos do Inspetor de Rede

Observador de Rede

Monitor de ligação

Registos de fluxo

Análise de tráfego

Resolução de problemas de ligação

Captura de pacotes

Verificação do fluxo de IP

Próximo salto

Vista de grupo de segurança de rede

Topologia

Relatório de acessibilidade

Ações adicionais

Comentários

Recursos adicionais

Festival de Habilidades de IA

Partilhar via

Permissões de controle de acesso baseadas em função do Azure necessárias para usar os recursos do Inspetor de Rede

Observador de Rede

Monitor de ligação

Registos de fluxo

Análise de tráfego

Resolução de problemas de ligação

Captura de pacotes

Verificação do fluxo de IP

Próximo salto

Vista de grupo de segurança de rede

Topologia

Relatório de acessibilidade

Ações adicionais

Conteúdos relacionados

Comentários

Recursos adicionais