Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление доступом на основе ролей в Azure (Azure RBAC) позволяет назначать членам вашей организации права на выполнение только конкретных действий, которые необходимы им для выполнения рабочих обязанностей.
Чтобы использовать возможности наблюдателя за сетями Azure, учетная запись, с которой вы входите в Azure, должна быть назначена встроенным ролям владельца, участника или участника сети или назначена настраиваемой роли, включающей действия, перечисленные для возможности наблюдателя за сетями, которую вы хотите использовать.
Внимание
Участник сети не включает следующие действия:
- Действия Microsoft.Storage/*, перечисленные в разделе "Дополнительные действия " или "Журналы потоков".
- Действия Microsoft.Compute/*, перечисленные в разделе "Дополнительные действия ".
- Действия Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* или Microsoft.Insights/dataCollectionEndpoints/*, перечисленные в разделе Аналитика трафика.
Сведения о том, как проверить роли, назначенные пользователю для подписки, см. в разделе Список назначений ролей Azure с использованием портала Azure. Если вы не видите назначения ролей, обратитесь к соответствующему администратору подписки.
В следующих разделах перечислены минимальные необходимые разрешения для использования наблюдателя за сетями и его возможностей. Для полного списка связанных разрешений Azure см. разрешения Microsoft.Network, разрешения Microsoft.Compute, разрешения Microsoft.Storage, разрешения Microsoft.Insights, и разрешения Microsoft.OperationalInsights.
Наблюдатель за сетями
| Действие | Описание |
|---|---|
| Microsoft.Network/наблюдатели сети/чтение | Получить наблюдателя сети |
| Microsoft.Network/networkWatchers/запись | Создание или обновление Наблюдателя за сетями |
| Microsoft.Network/наблюдателиСети/удалить | Удалите наблюдателя за сетями |
Монитор подключения
| Действие | Описание |
|---|---|
| Microsoft.Сеть/наблюдателиСети/мониторыСоединений/старт/действие | Запуск монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/действие | Остановить монитор подключения |
| Microsoft.Network/наблюдателиСети/мониторыСоединений/запрос/действие | Запрос состояния монитора соединения |
| Microsoft.Network/наблюдателиСети/мониторыСоединений/чтение | Установите монитор подключения |
| Мониторинг соединений в Microsoft.Network/networkWatchers/connectionMonitors/write | Создание монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/delete (удалить наблюдателей сети/мониторов соединений) | Удаление монитора подключения |
Журналы потоков
| Действие | Описание |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | Получение сведений о журнале потоков |
| Microsoft.Network/networkWatchers/flowLogs/write | Создание журнала потока |
| Microsoft.Network/networkWatchers/flowLogs/delete | Удаляет журнал потоков |
| Microsoft.Network/networkWatchers/configureFlowLog/action | Настройка журнала потока |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Запросить статус для лога потока |
| Microsoft.Network/networkSecurityGroups/write 1 | Создает новую группу безопасности сети или обновляет существующую. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/просмотретьКлючи/Действие |
Получение подписей общего доступа (SAS) обеспечивает безопасный доступ к учетной записи хранения и запись в нее. |
1 Только требуется для журналов потоков NSG.
Аналитика трафика
Так как аналитика трафика включена как часть ресурса журнала потоков, в дополнение ко всем необходимым разрешениям для журналов потоков требуются следующие разрешения:
| Действие | Описание |
|---|---|
| Microsoft.Network/applicationGateways/read | Получите шлюз приложений |
| Microsoft.Network/connections/read | Получение подключения к шлюзу виртуальной сети. |
| Microsoft.Network/expressRouteCircuits/read | Получите канал ExpressRoute. |
| Microsoft.Network/loadBalancers/read | Получение определения балансировщика нагрузки |
| Microsoft.Network/localNetworkGateways/read | Получение локального сетевого шлюза (LocalNetworkGateway) |
| Microsoft.Network/networkInterfaces/read (чтение сетевых интерфейсов) | Получение определения сетевого интерфейса |
| Microsoft.Network/networkSecurityGroups/read (разрешение) | Получение определения группы безопасности сети |
| Microsoft.Network/publicIPAddresses/read | Получение определения общедоступного IP-адреса |
| Microsoft.Network/routeTables/read | Получение определения таблицы маршрутов |
| Microsoft.Network/virtualNetworkGateways/читать | Получение шлюза виртуальной сети |
| Microsoft.Network/виртуальные_сети/читать | Получение определения виртуальной сети |
| Microsoft.Compute/виртуальныеМашины/чтение | Получение свойств виртуальной машины |
| Microsoft.Compute/virtualMachineScaleSets/read | Получение свойств масштабируемого набора виртуальных машин. |
| Microsoft.OperationalInsights/workspaces/read | Получить существующее рабочее пространство |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Получение общих ключей для рабочей области |
| Microsoft.Insights/dataCollectionRules/read 1 | Прочитать правило сбора данных |
| Microsoft.Insights/dataCollectionRules/write 1 | Создание или изменение правила сбора данных |
| Microsoft.Insights/dataCollectionRules/удалить 1 | Удаление правила сбора данных |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Прочитать конечную точку сбора данных |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Создание или обновление конечной точки сбора данных |
| Microsoft.Insights/dataCollectionEndpoints/удалить 1 | Удаление конечной точки сбора данных |
1 Обязательный для подписки рабочей области Log Analytics при использовании аналитики трафика с журналами потоков виртуальной сети.
Внимание
Аналитика трафика создает и управляет ресурсами правил сбора данных (DCR) и конечными точками сбора данных (DCE) в той же группе ресурсов, что и рабочая область Log Analytics, с префиксом NWTA. Если вы выполняете любую операцию с этими ресурсами, аналитика трафика может не функционировать должным образом.
Внимание
Группы управления с наследуемыми разрешениями в настоящее время не поддерживаются для включения аналитики трафика.
Устранение неполадок подключения
| Действие | Описание |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action, Microsoft.Network/networkWatchers/проверкаПодключения/чтение |
Проверка возможности установления прямого TCP-подключения из виртуальной машины к заданной конечной точке |
| Microsoft.Network/networkWatchers/запросДиагностикаРезультат/действие | Запрос результатов теста устранения неполадок подключения |
| Microsoft.Network/networkWatchers/устранение_неполадок/действие | Выполнение теста на устранение неполадок подключения |
Запись пакетов
| Действие | Описание |
|---|---|
| Microsoft.Network/наблюдатели сети/захваты пакетов/запрос статуса/действие | Запрос состояния записи пакета |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Остановка сеанса записи пакетов |
| Microsoft.Network/networkWatchers/packetCaptures/read | Получение определения записи пакетов |
| Microsoft.Network/networkWatchers/packetCaptures/запись | Создайте снимок пакетов |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Удалить перехват пакетов |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read (запрос статуса захвата пакетов) | Просмотр состояния записи пакетов |
Проверка IP-потока
| Действие | Описание |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read (Проверка потока IP) |
Возвращает, разрешено ли пакету пройти до или от определенного назначения. |
Следующий прыжок
| Действие | Описание |
|---|---|
| Microsoft.Network/сетевыеНаблюдатели/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Для указанного целевого и назначенного IP-адреса верните тип следующего перехода и IP-адрес следующего перехода. |
| Microsoft.Compute/виртуальныеМашины/чтение | Получение свойств виртуальной машины |
| Microsoft.Network/networkInterfaces/read (чтение сетевых интерфейсов) | Получение определения сетевого интерфейса |
Просмотр группы безопасности сети
| Действие | Описание |
|---|---|
| Microsoft.Network/networkWatchers/ОбзорГруппыБезопасности/действие | Просмотр настроенных и эффективных правил группы безопасности сети, применяемых на виртуальной машине |
Топология
| Действие | Описание |
|---|---|
| Microsoft.Network/networkWatchers/topology/action, Microsoft.Network/networkWatchers/топология/чтение |
Получение представления на уровне сети ресурсов и их связей в группе ресурсов |
Отчет о возможности доступа
| Действие | Описание |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Получите относительный показатель задержки для интернет-провайдеров из указанного места в регионы Azure. |
Дополнительные действия
Для некоторых возможностей наблюдателя за сетями требуются следующие действия:
| Действие | Описание |
|---|---|
| Microsoft.Authorization/*/Чтение | Получение назначений ролей Azure и определений политик |
| Microsoft.Resources/subscriptions/resourceGroups/Read; | Перечисление всех групп ресурсов в подписке |
| Microsoft.Storage/storageAccounts/Чтение | Получение свойств для указанной учетной записи хранения |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/просмотретьКлючи/Действие |
Получение подписей общего доступа (SAS) обеспечивает безопасный доступ к учетной записи хранения и запись в нее. |
| Операции чтения и записи виртуальных машин: Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Войдите на виртуальную машину, выполните запись пакетов и отправьте его в учетную запись хранения. |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Проверьте, присутствует ли расширение Наблюдатель за сетями и установите при необходимости |
| Microsoft.Compute/virtualMachineScaleSets/Чтение, Microsoft.Compute/virtualMachineScaleSets/Запись |
Доступ к масштабируемым наборам виртуальных машин, запись пакетов и их передача в учетную запись хранения |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Проверьте, присутствует ли расширение Наблюдатель за сетями и установите при необходимости |
| Microsoft.Insights/alertRules/* | Настройка оповещений о метриках |
| Microsoft.Support/* | Создание и обновление запросов в службу поддержки из Network Watcher. |