Network Watcher 機能を使用するために必要な、Azure ロールベースのアクセス制御のアクセス許可
Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、割り当てられた職務を遂行するために必要な特定のアクションのみを組織内のメンバーに割り当てることができます。 Azure Network Watcher 機能を使用するには、Azure にログインするアカウントを、所有者、共同作成者、またはネットワーク共同作業者の組み込みのロールに割り当てるか、Network Watcher 機能の各セクションの下に一覧表示されているアクションが割り当てられているカスタム ロールに割り当てる必要があります。 サブスクリプションのユーザーに割り当てられているロールを確認する方法については、azure portalを使用して Azure ロールの割り当てを一覧表示する を参照してください。 ロールの割り当てが表示されない場合は、それぞれのサブスクリプション管理者にお問い合わせください。Network Watcher の機能の詳細については、「Network Watcher とは」を参照してください。
重要
ネットワーク共同作成者 では、次のアクションは扱いません:
- Microsoft.Storage/* リストされたアクション 追加のアクション または フロー ログ セクション。
- Microsoft.Storage/* リストされたアクション 追加のアクション セクション。
- Microsoft.OperationalInsights/workspaces/*、Microsoft.Insights/dataCollectionRules/* または Microsoft.Insights/dataCollectionEndpoints/* リストされたアクション Traffic Analytics セクション。
Network Watcher
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/read | Network Watcher を取得する |
| Microsoft.Network/networkWatchers/write | Network Watcher を作成する |
| Microsoft.Network/networkWatchers/delete | Network Watcher を削除する |
接続モニター
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | 接続モニターを起動する |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | 接続モニターを停止する |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | 接続モニターのクエリを実行する |
| Microsoft.Network/networkWatchers/connectionMonitors/read | 接続モニターを取得する |
| Microsoft.Network/networkWatchers/connectionMonitors/write | 接続モニターを作成する |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | 接続モニターを削除する |
フロー ログ
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | フロー ログを構成する |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | フロー ログのクエリ状態 |
| Microsoft.Storage/storageAccounts/listServiceSas/Action、 Microsoft.Storage/storageAccounts/listAccountSas/Action、 Microsoft.Storage/storageAccounts/listKeys/Action |
ストレージ アカウントへのセキュリティで保護されたアクセスおよびストレージ アカウントへの書き込みを有効にした、Shared Access Signature (SAS) をフェッチします |
トラフィック分析
トラフィック分析はフロー ログ リソースのパーツとして有効になっているため、 フロー ログに必要なすべてのアクセス許可に加えて、次のアクセス許可が必要です:
| アクション | 説明 |
|---|---|
| Microsoft.Network/applicationGateways/read | アプリケーション ゲートウェイを取得する |
| Microsoft.Network/connections/read | VirtualNetworkGatewayConnection を取得します。 |
| Microsoft.Network/loadBalancers/read | ロード バランサーの定義を取得する |
| Microsoft.Network/localNetworkGateways/read | LocalNetworkGateway を取得する |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイス定義を取得する |
| Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの定義を取得する |
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得する |
| Microsoft.Network/routeTables/read | ルート テーブル定義を取得する |
| Microsoft.Network/virtualNetworkGateways/read | VirtualNetworkGateway を取得する |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワーク定義を取得する |
| Microsoft.Network/expressRouteCircuits/read | ExpressRouteCircuit を取得します。 |
| Microsoft.OperationalInsights/workspaces/read | 既存のワークスペースを取得します |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | ワークスペースの共有キーを取得します |
| Microsoft.Insights/dataCollectionRules/read 1 | データ収集ルールを読み取ります |
| Microsoft.Insights/dataCollectionRules/write 1 | データ収集ルールを作成または更新します |
| Microsoft.Insights/dataCollectionRules/delete 1 | データ収集ルールを削除します |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | データ収集エンドポイントを読み取ります |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | データ収集エンドポイントを作成または更新します |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | データ収集エンドポイントを削除します |
1 トラフィック分析を使用して仮想ネットワーク フロー ログを分析する場合にのみ必要です。 詳細については、「Azure Monitorでのデータ収集規則 と Azure Monitorでのデータ収集エンドポイント 」を参照してください。
注意事項
データ収集規則とデータ収集エンドポイント リソースは、トラフィック分析によって作成および管理されます。 これらのリソースに対して何らかの操作を実行すると、トラフィック分析が期待どおりに機能しない可能性があります。
接続のトラブルシューティング
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | 接続のトラブルシューティング テストの開始 |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | 接続のトラブルシューティング テストのクエリ結果 |
| Microsoft.Network/networkWatchers/troubleshoot/action | 接続のトラブルシューティング テストの実行 |
パケット キャプチャ
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | パケット キャプチャの状態のクエリを実行します。 |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | パケット キャプチャを停止します。 |
| Microsoft.Network/networkWatchers/packetCaptures/read | パケット キャプチャを取得します。 |
| Microsoft.Network/networkWatchers/packetCaptures/write | パケット キャプチャを作成します。 |
| Microsoft.Network/networkWatchers/packetCaptures/delete | パケット キャプチャを削除します。 |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | パケット キャプチャの状態の表示します。 |
IP フロー検証
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | IP フローを確認する |
次のホップ
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action | VM から次ホップを取得する |
ネットワーク セキュリティ グループ ビュー
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | セキュリティ グループを表示する |
トポロジ
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | トポロジを取得する |
| Microsoft.Network/networkWatchers/topology/read | 同上 |
到達可能性レポート
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Azure 到達可能性レポートを取得する |
追加のアクション
Network Watcher 機能には、次のアクションも必要です。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/Read | Azure ロールの割り当てとポリシー定義をフェッチします |
| Microsoft.Resources/subscriptions/resourceGroups/Read | サブスクリプションのすべてのリソース グループを列挙します |
| Microsoft.Storage/storageAccounts/Read | 指定したストレージ アカウントのプロパティを取得します |
| Microsoft.Storage/storageAccounts/listServiceSas/Action、 Microsoft.Storage/storageAccounts/listAccountSas/Action、 Microsoft.Storage/storageAccounts/listKeys/Action |
ストレージ アカウントへのセキュリティで保護されたアクセスおよびストレージ アカウントへの書き込みを有効にした、Shared Access Signature (SAS) をフェッチします |
| Microsoft.Compute/virtualMachines/Read、 Microsoft.Compute/virtualMachines/Write |
VM へのログイン、パケットの取得、そのストレージ アカウントへのアップロードを行います |
| Microsoft.Compute/virtualMachines/extensions/Read、 Microsoft.Compute/virtualMachines/extensions/Write |
Network Watcher 拡張機能が存在するかどうかの確認と必要に応じたインストールを行います |
| Microsoft.Compute/virtualMachineScaleSets/Read、 Microsoft.Compute/virtualMachineScaleSets/Write |
仮想マシンのスケール セットへのアクセス、パケット キャプチャ、およびそのストレージ アカウントへのアップロードを行います |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read、 Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Network Watcher 拡張機能が存在するかどうかの確認と必要に応じたインストールを行います |
| Microsoft.Insights/alertRules/* | メトリック アラートを設定する |
| Microsoft.Support/* | Network Watcher からサポート チケットを作成および更新します |