Permisos del control de acceso basado en roles de Azure necesarios para usar las funcionalidades de Network Watcher

  • Artículo
  • Tiempo de lectura: 2 minutos

El control de acceso basado en roles (Azure RBAC) de Azure le permite asignar únicamente acciones específicas a los miembros de su organización que las necesiten para completar sus responsabilidades asignadas. Para usar las funcionalidades de Network Watcher, debe asignar a la cuenta con la que inicia sesión en Azure a los roles integrados de propietario, colaborador, o colaborador de red, o se le debe asignar un rol personalizado al que se asignan las acciones que se enumeran para cada funcionalidad de Network Watcher en las secciones siguientes. Para obtener más información sobre las funcionalidades de Network Watcher, consulte ¿Qué es Network Watcher?

Network Watcher

Acción Descripción
Microsoft.Network/networkWatchers/read Obtener Network Watcher
Microsoft.Network/networkWatchers/write Crear o actualizar Network Watcher
Microsoft.Network/networkWatchers/delete Eliminar Network Watcher

Registros de flujo de NSG

Acción Descripción
Microsoft.Network/networkWatchers/configureFlowLog/action Configurar un registro de flujo
Microsoft.Network/networkWatchers/queryFlowLogStatus/action Consultar el estado de un registro de flujo

Solución de problemas de conexión

Acción Descripción
Microsoft.Network/networkWatchers/connectivityCheck/action Iniciar una prueba de solución de problemas de conexión
Microsoft.Network/networkWatchers/queryTroubleshootResult/action Consultar resultados de una prueba de solución de problemas de conexión
Microsoft.Network/networkWatchers/troubleshoot/action Ejecutar una prueba de solución de problemas de conexión

Monitor de conexión

Acción Descripción
Microsoft.Network/networkWatchers/connectionMonitors/start/action Iniciar un monitor de conexión
Microsoft.Network/networkWatchers/connectionMonitors/stop/action Detener un monitor de conexión
Microsoft.Network/networkWatchers/connectionMonitors/query/action Consultar un monitor de conexión
Microsoft.Network/networkWatchers/connectionMonitors/read Obtener un monitor de conexión
Microsoft.Network/networkWatchers/connectionMonitors/write Creación de un monitor de conexión
Microsoft.Network/networkWatchers/connectionMonitors/delete Eliminar un monitor de conexión

Captura de paquetes

Acción Descripción
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action Consultar el estado de una captura de paquetes
Microsoft.Network/networkWatchers/packetCaptures/stop/action Detención de una captura de paquetes
Microsoft.Network/networkWatchers/packetCaptures/read Obtención de una captura de paquetes
Microsoft.Network/networkWatchers/packetCaptures/write Crear una captura de paquetes
Microsoft.Network/networkWatchers/packetCaptures/delete Eliminación de una captura de paquetes

Comprobación de flujo de IP

Acción Descripción
Microsoft.Network/networkWatchers/ipFlowVerify/action Verificar un flujo de IP

Próximo salto

Acción Descripción
Microsoft.Network/networkWatchers/nextHop/action Obtener el próximo salto de una VM

Vista de grupo de seguridad de red

Acción Descripción
Microsoft.Network/networkWatchers/securityGroupView/action Ver grupos de seguridad

Topología

Acción Descripción
Microsoft.Network/networkWatchers/topology/action Obtener topología
Microsoft.Network/networkWatchers/topology/read Lo mismo que antes.

Informe de disponibilidad

Acción Descripción
Microsoft.Network/networkWatchers/azureReachabilityReport/action Obtener un informe de disponibilidad de Azure

Acciones adicionales

Las funcionalidades de Network Watcher también requieren las siguientes acciones:

Acciones Descripción
Microsoft.Authorization/*/Read Se usa para capturar asignaciones de roles de Azure y definiciones de directivas.
Microsoft.Resources/subscriptions/resourceGroups/Read Se usa para enumerar todos los grupos de recursos de una suscripción.
Microsoft.Storage/storageAccounts/Read Se usa para obtener las propiedades de la cuenta de almacenamiento especificada.
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action		 Se usa para capturar firmas de acceso compartido (SAS) que permiten el acceso seguro a la cuenta de almacenamiento y escriben en la cuenta de almacenamiento.
Microsoft.Compute/virtualMachines/Read,
Microsoft.Compute/virtualMachines/Write		 Se usa para iniciar sesión en la máquina virtual, realizar una captura de paquetes y cargarlos en la cuenta de almacenamiento.
Microsoft.Compute/virtualMachines/extensions/Read
Microsoft.Compute/virtualMachines/extensions/Write		 Se usa para comprobar si la extensión Network Watcher está presente e instalar si es necesario.
Microsoft.Compute/virtualMachineScaleSets/Read,
Microsoft.Compute/virtualMachineScaleSets/Write		 Se usa para acceder a conjuntos de escalado de máquinas virtuales, realizar capturas de paquetes y cargarlos en una cuenta de almacenamiento.
Microsoft.Compute/virtualMachineScaleSets/extensions/Read,
Microsoft.Compute/virtualMachineScaleSets/extensions/Write		 Se usa para comprobar si la extensión Network Watcher está presente e instalar si es necesario.
Microsoft.Insights/alertRules/* Se usa para configurar alertas de métricas.
Microsoft.Support/* Se usa para crear y actualizar incidencias de soporte técnico desde Network Watcher.