Разрешения в рамках управления доступом на основе ролей в Azure, необходимые для использования возможностей Наблюдателя за сетями
Управление доступом на основе ролей в Azure (Azure RBAC) позволяет назначать членам вашей организации права на выполнение только конкретных действий, которые необходимы им для выполнения рабочих обязанностей. Чтобы использовать возможности Azure Наблюдатель за сетями, учетная запись, с помощью которую вы входите в Azure, должна быть назначена владельцу, участнику или сети участник встроенным ролям или назначена настраиваемой роли, назначенной действиям, перечисленным для каждой возможности Наблюдатель за сетями в следующих разделах. Сведения о том, как проверка роли, назначенные пользователю для подписки, см. в разделе "Список назначений ролей Azure" с помощью портал Azure. Если вы не видите назначения ролей, обратитесь к соответствующему администратору подписки. Дополнительные сведения о возможностях Наблюдатель за сетями см. в статье "Что такое Наблюдатель за сетями?"
Внимание
Сетевые участник не охватывают следующие действия:
- Microsoft. служба хранилища/* действия, перечисленные в Дополнительные действия или разделы журналов потоков.
- Действия Microsoft.Compute/*, перечисленные в разделе "Дополнительные действия ".
- Microsoft.Operational Аналитика/workspaces/*, Microsoft.Аналитика/dataCollectionRules/* или Майкрософт. Аналитика/dataCollectionEndpoints/* действия, перечисленные в Раздел аналитики трафика.
Наблюдатель за сетями
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/read | Получение Наблюдателя за сетями |
| Microsoft.Network/networkWatchers/write | Создание или обновление Наблюдателя за сетями |
| Microsoft.Network/networkWatchers/delete | Удаление Наблюдателя за сетями |
Монитор подключения
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Запуск монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Остановка монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Запрос монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Получение монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Создание монитора подключения |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Удаление монитора подключения |
Журналы потоков
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Настройка журнала потока |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Запрос состояния для журнала потока |
| Microsoft. служба хранилища/storageAccounts/listServiceSas/Action, Microsoft. служба хранилища/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action; |
Получение подписанных URL-адресов (SAS) обеспечивает безопасный доступ к учетной записи хранения и запись в учетную запись хранения. |
Аналитика трафика
Так как аналитика трафика включена как часть ресурса журнала потока, в дополнение ко всем необходимым разрешениям для журналов потоков требуются следующие разрешения:
| Действие | Description |
|---|---|
| Microsoft.Network/applicationGateways/read | Получение шлюза приложений |
| Microsoft.Network/connections/read | Получение подключения к шлюзу виртуальной сети. |
| Microsoft.Network/loadBalancers/read | Получение определения подсистемы балансировки нагрузки |
| Microsoft.Network/localNetworkGateways/read | Получение LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Получение определения сетевого интерфейса |
| Microsoft.Network/networkSecurityGroups/read | Получение определения группы безопасности сети |
| Microsoft.Network/publicIPAddresses/read | Получение определения общедоступного IP-адреса |
| Microsoft.Network/routeTables/read | Получение определения таблицы маршрутов |
| Microsoft.Network/virtualNetworkGateways/read | Получение VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Получение определения виртуальной сети |
| Microsoft.Network/expressRouteCircuits/read | Возвращает канал ExpressRoute. |
| Microsoft.OperationalInsights/workspaces/read | Получение существующей рабочей области |
| Microsoft.Operational Аналитика/workspaces/sharedkeys/action | Получение общих ключей для рабочей области |
| Microsoft. Аналитика/dataCollectionRules/read 1 | Чтение правила сбора данных |
| Microsoft. Аналитика/dataCollectionRules/write 1 | Создание или изменение правила сбора данных |
| Microsoft. Аналитика/dataCollectionRules/delete 1 | Удаление правила сбора данных |
| Microsoft. Аналитика/dataCollectionEndpoints/read 1 | Чтение конечной точки сбора данных |
| Microsoft. Аналитика/dataCollectionEndpoints/write 1 | Создание или обновление конечной точки сбора данных |
| Microsoft. Аналитика/dataCollectionEndpoints/delete 1 | Удаление конечной точки сбора данных |
1 , необходимо только при использовании аналитики трафика для анализа журналов потоков виртуальной сети. Дополнительные сведения см. в разделе "Правила сбора данных" в конечных точках сбора данных Azure Monitor и в Azure Monitor.
Внимание
Правила сбора данных и ресурсы конечной точки сбора данных создаются и управляются аналитикой трафика. При выполнении любой операции с этими ресурсами аналитика трафика может не работать должным образом.
Устранение неполадок подключения
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Инициирование теста на устранение неполадок подключения |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Запрос результатов теста устранения неполадок подключения |
| Microsoft.Network/networkWatchers/troubleshoot/action | Выполнение теста на устранение неполадок подключения |
Запись пакетов
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Запрос состояния записи пакетов. |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Остановите запись пакетов. |
| Microsoft.Network/networkWatchers/packetCaptures/read | Получение записи пакетов. |
| Microsoft.Network/networkWatchers/packetCaptures/write | Создайте запись пакетов. |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Удаление записи пакетов. |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Просмотр состояния записи пакетов. |
Проверка IP-потока
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Проверка IP-потока |
Следующий прыжок
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action | Получение следующего прыжка с виртуальной машины |
Представление группы безопасности сети
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Просмотр групп безопасности |
Топология
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Получение топологии |
| Microsoft.Network/networkWatchers/topology/read | То же, что и выше |
Отчет о возможности доступа
| Действие | Description |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Получение отчета о возможности доступа Azure |
Дополнительные действия
Возможностям Наблюдателя за сетью также требуются следующие действия:
| Действия | Description |
|---|---|
| Microsoft.Authorization/*/Read | Получение назначений ролей Azure и определений политик |
| Microsoft.Resources/subscriptions/resourceGroups/Read; | Перечисление всех групп ресурсов в подписке |
| Microsoft.Storage/storageAccounts/Read | Получение свойств для указанной учетной записи хранения |
| Microsoft. служба хранилища/storageAccounts/listServiceSas/Action, Microsoft. служба хранилища/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action; |
Получение подписанных URL-адресов (SAS) обеспечивает безопасный доступ к учетной записи хранения и запись в учетную запись хранения. |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Войдите на виртуальную машину, выполните запись пакетов и отправьте его в учетную запись хранения. |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Проверьте, присутствует ли расширение Наблюдатель за сетями и установите при необходимости |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Доступ к масштабируемым наборам виртуальных машин, запись пакетов и их передача в учетную запись хранения |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Проверьте, присутствует ли расширение Наблюдатель за сетями и установите при необходимости |
| Microsoft.Insights/alertRules/* | Настройка оповещений о метриках |
| Microsoft.Support/* | Создание и обновление запросов в службу поддержки из Наблюдатель за сетями |