你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用网络观察程序功能所需的 Azure 基于角色的访问控制权限

通过 Azure 基于角色的访问控制 (Azure RBAC),你可以将具体操作仅分配给需要完成其分配的职责的组织成员。 若要使用网络观察程序功能,登录 Azure 所使用的帐户必须分配给所有者参与者网络参与者内置角色,或分配给自定义角色(已向自定义角色分配了以下各节中为每个网络观察程序功能列出的操作)。 若要了解有关网络观察程序的功能的详细信息,请参阅什么是网络观察程序?

网络观察程序

操作 说明
Microsoft.Network/networkWatchers/read 获取网络观察程序
Microsoft.Network/networkWatchers/write 创建或更新网络观察程序
Microsoft.Network/networkWatchers/delete 删除网络观察程序

NSG 流日志

操作 说明
Microsoft.Network/networkWatchers/configureFlowLog/action 配置流日志
Microsoft.Network/networkWatchers/queryFlowLogStatus/action 流日志的查询状态

排查连接问题

操作 说明
Microsoft.Network/networkWatchers/connectivityCheck/action 启动连接故障排除测试
Microsoft.Network/networkWatchers/queryTroubleshootResult/action 连接故障排除测试的查询结果
Microsoft.Network/networkWatchers/troubleshoot/action 运行连接故障排除测试

连接监视器

操作 说明
Microsoft.Network/networkWatchers/connectionMonitors/start/action 启动连接监视器
Microsoft.Network/networkWatchers/connectionMonitors/stop/action 停止连接监视器
Microsoft.Network/networkWatchers/connectionMonitors/query/action 查询连接监视器
Microsoft.Network/networkWatchers/connectionMonitors/read 获取连接监视器
Microsoft.Network/networkWatchers/connectionMonitors/write 创建连接监视器
Microsoft.Network/networkWatchers/connectionMonitors/delete 删除连接监视器

数据包捕获

操作 说明
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action 查询数据包捕获的状态
Microsoft.Network/networkWatchers/packetCaptures/stop/action 停止数据包捕获
Microsoft.Network/networkWatchers/packetCaptures/read 获取数据包捕获
Microsoft.Network/networkWatchers/packetCaptures/write 创建数据包捕获
Microsoft.Network/networkWatchers/packetCaptures/delete 删除数据包捕获

IP 流验证

操作 说明
Microsoft.Network/networkWatchers/ipFlowVerify/action 验证 IP 流

下一跃点

操作 说明
Microsoft.Network/networkWatchers/nextHop/action 从 VM 获取下一跃点

网络安全组视图

操作 说明
Microsoft.Network/networkWatchers/securityGroupView/action 查看安全组

拓扑

操作 说明
Microsoft.Network/networkWatchers/topology/action 获取拓扑
Microsoft.Network/networkWatchers/topology/read 同上

可访问性报表

操作 说明
Microsoft.Network/networkWatchers/azureReachabilityReport/action 获取 Azure 可访问性报表

其他操作

网络观察程序功能还需要以下操作:

操作 说明
Microsoft.Authorization/*/Read 用于提取 Azure 角色分配和策略定义
Microsoft.Resources/subscriptions/resourceGroups/Read 用于枚举订阅中的所有资源组
Microsoft.Storage/storageAccounts/Read 用于获取指定存储帐户的属性
Microsoft.Storage/storageAccounts/listServiceSas/Action、
Microsoft.Storage/storageAccounts/listAccountSas/Action、
Microsoft.Storage/storageAccounts/listKeys/Action
用于获取共享访问签名 (SAS),启用对存储帐户的安全访问并写入存储帐户
Microsoft.Compute/virtualMachines/Read、
Microsoft.Compute/virtualMachines/Write
用于登录到 VM、执行数据包捕获,并将其上传到存储帐户
Microsoft.Compute/virtualMachines/extensions/Read
Microsoft.Compute/virtualMachines/extensions/Write
用于检查网络观察程序扩展是否存在,并在需要时进行安装
Microsoft.Compute/virtualMachineScaleSets/Read、
Microsoft.Compute/virtualMachineScaleSets/Write
用于访问虚拟机规模集、执行数据包捕获并将其上传到存储帐户
Microsoft.Compute/virtualMachineScaleSets/extensions/Read、
Microsoft.Compute/virtualMachineScaleSets/extensions/Write
用于检查网络观察程序扩展是否存在,并在需要时进行安装
Microsoft.Insights/alertRules/* 用于设置指标警报
Microsoft.Support/* 用于从网络观察程序创建和更新支持票证