使用網路監看員功能時所需的 Azure 角色型存取控制權限
Azure 角色型存取控制 (Azure RBAC) 可將指派給組織成員的動作,限縮在該成員完成分配到的責任所需的範圍內。 若要使用 Azure 網路監看員的功能,登入 Azure 的帳戶必須受指派為擁有者、參與者、網路參與者等內建角色,或者是受指派以下段落中各項網路監看員功能所屬動作的自訂角色。 若要了解如何檢查指派給訂用帳戶中使用者的角色,請參閱使用 Azure 入口網站列出 Azure 角色指派。 如果您無法看見角色指派,請連絡個別的訂用帳戶管理員。若要深入了解網路監看員的功能,請參閱什麼是網路監看員?
重要
網路參與者未涵蓋下列動作:
網路監看員
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/read | 取得網路監看員 |
| Microsoft.Network/networkWatchers/write | 建立或更新網路監看員 |
| Microsoft.Network/networkWatchers/delete | 刪除網路監看員 |
連線監視器
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | 啟動連線監視 |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | 停止連線監視 |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | 查詢連線監視 |
| Microsoft.Network/networkWatchers/connectionMonitors/read | 取得連線監視 |
| Microsoft.Network/networkWatchers/connectionMonitors/write | 建立連線監視器 |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | 刪除連線監視 |
流程記錄
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | 設定流量記錄 |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | 流量記錄的查詢狀態 |
| Microsoft.Storage/storageAccounts/listServiceSas/Action、 Microsoft.Storage/storageAccounts/listAccountSas/Action、 Microsoft.Storage/storageAccounts/listKeys/Action |
擷取共用存取簽章 (SAS) 以啟用儲存體帳戶的安全存取,以及寫入儲存體帳戶 |
流量分析
由於流量分析會作為流量記錄資源的一部分啟用,因此除了流量記錄的所有必要權限之外,還需要下列權限:
| 動作 | 描述 |
|---|---|
| Microsoft.Network/applicationGateways/read | 取得應用程式閘道 |
| Microsoft.Network/connections/read | 取得 VirtualNetworkGatewayConnection |
| Microsoft.Network/loadBalancers/read | 取得負載平衡器定義 |
| Microsoft.Network/localNetworkGateways/read | 取得 LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | 取得網路介面定義 |
| Microsoft.Network/networkSecurityGroups/read | 取得網路安全性群組定義 |
| Microsoft.Network/publicIPAddresses/read | 取得公用 IP 位址定義 |
| Microsoft.Network/routeTables/read | 取得路由表定義 |
| Microsoft.Network/virtualNetworkGateways/read | 取得 VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | 取得虛擬網路定義 |
| Microsoft.Network/expressRouteCircuits/read | 取得 ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | 取得現有工作區 |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | 擷取工作區的共用金鑰 |
| Microsoft.Insights/dataCollectionRules/read 1 | 讀取資料收集規則 |
| Microsoft.Insights/dataCollectionRules/write 1 | 建立或更新資料收集規則 |
| Microsoft.Insights/dataCollectionRules/delete 1 | 刪除資料收集規則 |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | 讀取資料收集端點 |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | 建立或更新資料收集端點 |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | 刪除資料收集端點 |
1 只有在使用使用分析來分析虛擬網路流量記錄時才需要。 如需詳細資訊,請參閱 Azure 監視器中的資料收集規則和 Azure 監視器中的資料收集端點。
警告
資料收集規則和資料收集端點資源由流量分析建立和管理。 如果您對這些資源執行任何作業,流量分析可能無法如預期般運作。
連線疑難排解
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | 起始連線疑難排解測試 |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | 連線疑難排解測試的查詢結果 |
| Microsoft.Network/networkWatchers/troubleshoot/action | 執行連線疑難排解測試 |
封包擷取
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | 查詢封包擷取的狀態 |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | 停止封包擷取 |
| Microsoft.Network/networkWatchers/packetCaptures/read | 取得封包擷取 |
| Microsoft.Network/networkWatchers/packetCaptures/write | 建立封包擷取 |
| Microsoft.Network/networkWatchers/packetCaptures/delete | 刪除封包擷取 |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | 檢視封包擷取的狀態 |
IP 流量驗證
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | 驗證 IP 流量 |
下一個躍點
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
針對指定的目標和目的地IP位址,傳回下一個躍點類型和下一個希望IP位址 |
| Microsoft.Compute/virtualMachines/read | 取得虛擬機器的屬性 |
| Microsoft.Network/networkInterfaces/read | 取得網路介面定義 |
網路安全性群組檢視
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | 檢視安全性群組 |
拓撲
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | 取得拓撲 |
| Microsoft.Network/networkWatchers/topology/read | 同上 |
連線性報告
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | 取得 Azure 連線性報告 |
其他動作
網路監看員功能也需要下列動作:
| 動作 | 描述 |
|---|---|
| Microsoft.Authorization/*/Read | 擷取 Azure 角色指派和原則定義 |
| Microsoft.Resources/subscriptions/resourceGroups/Read | 列舉訂用帳戶中的所有資源群組 |
| Microsoft.Storage/storageAccounts/Read | 取得指定儲存體帳戶的屬性 |
| Microsoft.Storage/storageAccounts/listServiceSas/Action、 Microsoft.Storage/storageAccounts/listAccountSas/Action、 Microsoft.Storage/storageAccounts/listKeys/Action |
擷取共用存取簽章 (SAS) 以啟用儲存體帳戶的安全存取,以及寫入儲存體帳戶 |
| Microsoft.Compute/virtualMachines/Read、 Microsoft.Compute/virtualMachines/Write |
登入 VM、執行封包擷取並上傳至儲存體帳戶 |
| Microsoft.Compute/virtualMachines/extensions/Read、 Microsoft.Compute/virtualMachines/extensions/Write |
檢查網路監看員延伸模組是否存在,並視需要安裝 |
| Microsoft.Compute/virtualMachineScaleSets/Read、 Microsoft.Compute/virtualMachineScaleSets/Write |
存取虛擬機器擴展集、執行封包擷取並上傳至儲存體帳戶 |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read、 Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
檢查網路監看員延伸模組是否存在,並視需要安裝 |
| Microsoft.Insights/alertRules/* | 設定計量警示 |
| Microsoft.Support/* | 從網路監看員建立和更新支援票證 |
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: