Rollbaserade åtkomstkontrollbehörigheter i Azure som krävs för att använda Network Watcher-funktioner
Med rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du endast tilldela specifika åtgärder till medlemmar i din organisation som de behöver för att slutföra sina tilldelade ansvarsområden. Om du vill använda Azure Network Watcher-funktioner måste kontot du loggar in på Azure med tilldelas de inbyggda rollerna Ägare, Deltagare eller Nätverksdeltagare eller tilldelas till en anpassad roll som tilldelas de åtgärder som anges för varje Network Watcher-funktion i de avsnitt som följer. Information om hur du kontrollerar roller som tilldelats en användare för en prenumeration finns i Lista Azure-rolltilldelningar med hjälp av Azure Portal. Om du inte kan se rolltilldelningarna kontaktar du respektive prenumerationsadministratör. Mer information om Network Watcher-funktioner finns i Vad är Network Watcher?
Viktigt!
Nätverksdeltagaren omfattar inte följande åtgärder:
- Microsoft.Storage/*-åtgärder som anges i avsnittet Ytterligare åtgärder eller Flödesloggar .
- Microsoft.Compute/*-åtgärder som anges i avsnittet Ytterligare åtgärder .
- Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* eller Microsoft.Insights/dataCollectionEndpoints/* åtgärder som anges i avsnittet Trafikanalys .
Network Watcher
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/networkWatchers/read | Hämta en nätverksbevakare |
| Microsoft.Network/networkWatchers/write | Skapa eller uppdatera en nätverksbevakare |
| Microsoft.Network/networkWatchers/delete | Ta bort en nätverksbevakare |
Anslutningsövervakaren
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Starta en anslutningsövervakare |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Stoppa en anslutningsövervakare |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Fråga en anslutningsövervakare |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Hämta en anslutningsövervakare |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Skapa en anslutningsövervakare |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Ta bort en anslutningsövervakare |
Flödesloggar
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Konfigurera en flödeslogg |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Frågestatus för en flödeslogg |
| Microsoft.Network/networkSecurityGroups/write 1 | Skapar en nätverkssäkerhetsgrupp eller uppdaterar en befintlig nätverkssäkerhetsgrupp |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Hämta signaturer för delad åtkomst (SAS) som ger säker åtkomst till lagringskontot och skriver till lagringskontot |
1 Krävs endast med NSG-flödesloggar.
Trafikanalys
Eftersom trafikanalys är aktiverat som en del av flödesloggresursen krävs följande behörigheter utöver alla nödvändiga behörigheter för Flödesloggar:
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/applicationGateways/read | Hämta en programgateway |
| Microsoft.Network/connections/read | Hämta VirtualNetworkGatewayConnection |
| Microsoft.Network/loadBalancers/read | Hämta en definition för lastbalanserare |
| Microsoft.Network/localNetworkGateways/read | Hämta LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Hämta en nätverksgränssnittsdefinition |
| Microsoft.Network/networkSecurityGroups/read | Hämta en definition för nätverkssäkerhetsgrupp |
| Microsoft.Network/publicIPAddresses/read | Hämta en offentlig IP-adressdefinition |
| Microsoft.Network/routeTables/read | Hämta en routningstabelldefinition |
| Microsoft.Network/virtualNetworkGateways/read | Hämta en VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Hämta en definition för virtuellt nätverk |
| Microsoft.Network/expressRouteCircuits/read | Hämta en ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | Hämta en befintlig arbetsyta |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Hämta de delade nycklarna för arbetsytan |
| Microsoft.Insights/dataCollectionRules/read 1 | Läsa en datainsamlingsregel |
| Microsoft.Insights/dataCollectionRules/write 1 | Skapa eller uppdatera en datainsamlingsregel |
| Microsoft.Insights/dataCollectionRules/delete 1 | Ta bort en datainsamlingsregel |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Läsa en slutpunkt för datainsamling |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Skapa eller uppdatera en datainsamlingsslutpunkt |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Ta bort en datainsamlingsslutpunkt |
1 Krävs endast när du använder trafikanalys för att analysera virtuella nätverksflödesloggar. Mer information finns i Datainsamlingsregler i Azure Monitor - och Datainsamlingsslutpunkter i Azure Monitor.
Varning
Datainsamlingsregel och slutpunktsresurser för datainsamling skapas och hanteras av trafikanalys. Om du utför någon åtgärd på dessa resurser kanske trafikanalysen inte fungerar som förväntat.
Felsökning av anslutning
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Initiera ett felsökningstest för anslutning |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Frågeresultat för ett felsökningstest för anslutning |
| Microsoft.Network/networkWatchers/troubleshoot/action | Köra ett felsökningstest för anslutning |
Paketfångst
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Fråga efter status för en paketinsamling |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Stoppa en paketinsamling |
| Microsoft.Network/networkWatchers/packetCaptures/read | Hämta en paketinsamling |
| Microsoft.Network/networkWatchers/packetCaptures/write | Skapa en paketinsamling |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Ta bort en paketinsamling |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Visa status för en paketinsamling |
Kontrollera IP-flöde
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Verifiera ett IP-flöde |
Nästa hopp
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
För en angiven mål- och mål-IP-adress returnerar du nästa hopptyp och nästa hopp-IP-adress |
| microsoft.compute/virtualmachines/read | Hämta egenskaperna för en virtuell dator |
| Microsoft.Network/networkInterfaces/read | Hämta en nätverksgränssnittsdefinition |
Vy för nätverkssäkerhetsgrupp
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Visa säkerhetsgrupper |
Topologi
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/networkWatchers/topologi/action | Hämta topologi |
| Microsoft.Network/networkWatchers/topologi/read | Samma som ovan |
Nåbarhetsrapport
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Hämta en Azure-tillgänglighetsrapport |
Ytterligare åtgärder
Network Watcher-funktioner kräver också följande åtgärder:
| Åtgärd(er) | beskrivning |
|---|---|
| Microsoft.Authorization/*/Read | Hämta Azure-rolltilldelningar och principdefinitioner |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Räkna upp alla resursgrupper i en prenumeration |
| Microsoft.Storage/storageAccounts/Read | Hämta egenskaperna för det angivna lagringskontot |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Hämta signaturer för delad åtkomst (SAS) som ger säker åtkomst till lagringskontot och skriver till lagringskontot |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Logga in på den virtuella datorn, gör en paketinsamling och ladda upp den till lagringskontot |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Kontrollera om Network Watcher-tillägget finns och installera om det behövs |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Få åtkomst till vm-skalningsuppsättningar, gör paketinsamlingar och ladda upp dem till lagringskontot |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Kontrollera om Network Watcher-tillägget finns och installera om det behövs |
| Microsoft.Insights/alertRules/* | Konfigurera måttaviseringar |
| Microsoft.Support/* | Skapa och uppdatera supportärenden från Network Watcher |