Разрешения в рамках управления доступом на основе ролей в Azure, необходимые для использования возможностей Наблюдателя за сетями
Управление доступом на основе ролей в Azure (Azure RBAC) позволяет назначать членам вашей организации права на выполнение только конкретных действий, которые необходимы им для выполнения рабочих обязанностей. Чтобы использовать возможности Azure Наблюдатель за сетями, учетная запись, в которую вы входите в Azure, должна быть назначена встроенным ролям владельца, участника или участника сети или назначена настраиваемой роли, назначенной действиям, перечисленным для каждой Наблюдатель за сетями возможности в следующих разделах. Сведения о том, как проверить роли, назначенные пользователю для подписки, см. в разделе "Список назначений ролей Azure" с помощью портал Azure. Если вы не видите назначения ролей, обратитесь к соответствующему администратору подписки. Дополнительные сведения о возможностях Наблюдатель за сетями см. в статье "Что такое Наблюдатель за сетями?"
Внимание
Участник сети не охватывает следующие действия:
- Действия Microsoft.Storage/*, перечисленные в разделе "Дополнительные действия " или "Журналы потоков".
- Действия Microsoft.Compute/*, перечисленные в разделе "Дополнительные действия ".
- Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* или Microsoft.Insights/dataCollectionEndpoints/* действия, перечисленные в разделе аналитики трафика.
Наблюдатель за сетями
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/read | Получение Наблюдателя за сетями |
| Microsoft.Network/networkWatchers/write | Создание или обновление Наблюдателя за сетями |
| Microsoft.Network/networkWatchers/delete | Удаление Наблюдателя за сетями |
Монитор подключения
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Запуск монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Остановка монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Запрос монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Получение монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Создание монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Удаление монитора подключения |
Журналы потоков
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Настройка журнала потока |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Запрос состояния для журнала потока |
| Microsoft.Network/networkSecurityGroups/write 1 | Создает новую группу безопасности сети или обновляет существующую. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action; |
Получение подписанных URL-адресов (SAS) обеспечивает безопасный доступ к учетной записи хранения и запись в учетную запись хранения. |
1 Только для журналов потоков NSG.
Аналитика трафика
Так как аналитика трафика включена как часть ресурса журнала потоков, в дополнение ко всем необходимым разрешениям для журналов потоков требуются следующие разрешения:
| Действие | Description |
|---|---|
| Microsoft.Network/applicationGateways/read | Получение шлюза приложений |
| Microsoft.Network/connections/read | Получение подключения к шлюзу виртуальной сети. |
| Microsoft.Network/loadBalancers/read | Получение определения подсистемы балансировки нагрузки |
| Microsoft.Network/localNetworkGateways/read | Получение LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Получение определения сетевого интерфейса |
| Microsoft.Network/networkSecurityGroups/read | Получение определения группы безопасности сети |
| Microsoft.Network/publicIPAddresses/read | Получение определения общедоступного IP-адреса |
| Microsoft.Network/routeTables/read | Получение определения таблицы маршрутов |
| Microsoft.Network/virtualNetworkGateways/read | Получение VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Получение определения виртуальной сети |
| Microsoft.Network/expressRouteCircuits/read | Возвращает канал ExpressRoute. |
| Microsoft.OperationalInsights/workspaces/read | Получение существующей рабочей области |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Получение общих ключей для рабочей области |
| Microsoft.Insights/dataCollectionRules/read 1 | Чтение правила сбора данных |
| Microsoft.Insights/dataCollectionRules/write 1 | Создание или изменение правила сбора данных |
| Microsoft.Insights/dataCollectionRules/delete 1 | Удаление правила сбора данных |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Чтение конечной точки сбора данных |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Создание или обновление конечной точки сбора данных |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Удаление конечной точки сбора данных |
1 , необходимо только при использовании аналитики трафика для анализа журналов потоков виртуальной сети. Дополнительные сведения см. в разделе "Правила сбора данных" в конечных точках сбора данных Azure Monitor и в Azure Monitor.
Внимание
Правила сбора данных и ресурсы конечной точки сбора данных создаются и управляются аналитикой трафика. При выполнении любой операции с этими ресурсами аналитика трафика может не работать должным образом.
Устранение неполадок подключения
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Инициирование теста на устранение неполадок подключения |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Запрос результатов теста устранения неполадок подключения |
| Microsoft.Network/networkWatchers/troubleshoot/action | Выполнение теста на устранение неполадок подключения |
Запись пакетов
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Запрос состояния записи пакета |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Прекращение записи пакета |
| Microsoft.Network/networkWatchers/packetCaptures/read | Получение записи пакета |
| Microsoft.Network/networkWatchers/packetCaptures/write | Создание записи пакетов |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Удаление записи пакета |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Просмотр состояния записи пакетов |
Проверка IP-потока
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Проверка IP-потока |
Следующий прыжок
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Для указанного целевого и целевого IP-адреса верните тип следующего прыжка и ip-адрес следующей надежды |
| Microsoft.Compute/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft.Network/networkInterfaces/read | Получение определения сетевого интерфейса |
Представление группы безопасности сети
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Просмотр групп безопасности |
Топология
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Получение топологии |
| Microsoft.Network/networkWatchers/topology/read | То же, что и выше |
Отчет о возможности доступа
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Получение отчета о возможности доступа Azure |
Дополнительные действия
Возможностям Наблюдателя за сетью также требуются следующие действия:
| Действия | Description |
|---|---|
| Microsoft.Authorization/*/Read | Получение назначений ролей Azure и определений политик |
| Microsoft.Resources/subscriptions/resourceGroups/Read; | Перечисление всех групп ресурсов в подписке |
| Microsoft.Storage/storageAccounts/Read | Получение свойств для указанной учетной записи хранения |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action; |
Получение подписанных URL-адресов (SAS) обеспечивает безопасный доступ к учетной записи хранения и запись в учетную запись хранения. |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Войдите на виртуальную машину, выполните запись пакетов и отправьте его в учетную запись хранения. |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Проверьте, присутствует ли расширение Наблюдатель за сетями и установите при необходимости |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Доступ к масштабируемым наборам виртуальных машин, запись пакетов и их передача в учетную запись хранения |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Проверьте, присутствует ли расширение Наблюдатель за сетями и установите при необходимости |
| Microsoft.Insights/alertRules/* | Настройка оповещений о метриках |
| Microsoft.Support/* | Создание и обновление запросов в службу поддержки из Наблюдатель за сетями |