Uprawnienia kontroli dostępu opartej na rolach platformy Azure wymagane do korzystania z funkcji usługi Network Watcher
Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure umożliwia przypisywanie tylko określonych akcji do członków organizacji, których potrzebują do wykonania przypisanych obowiązków. Aby korzystać z funkcji usługi Azure Network Watcher, konto, za pomocą którego logujesz się do platformy Azure, musi być przypisane do wbudowanych ról właściciela, współautora lub współautora sieci albo przypisane do roli niestandardowej przypisanej do akcji wymienionych dla każdej funkcji usługi Network Watcher w poniższych sekcjach. Aby dowiedzieć się, jak sprawdzić role przypisane do użytkownika dla subskrypcji, zobacz Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal. Jeśli nie widzisz przypisań ról, skontaktuj się z odpowiednim administratorem subskrypcji. Aby dowiedzieć się więcej o możliwościach usługi Network Watcher, zobacz Co to jest usługa Network Watcher?
Ważne
Współautor sieci nie obejmuje następujących akcji:
- Akcje Microsoft.Storage/* wymienione w sekcji Dodatkowe akcje lub Dzienniki przepływu.
- Akcje Microsoft.Compute/* wymienione w sekcji Dodatkowe akcje .
- Microsoft.Operational Szczegółowe informacje/workspaces/*, Microsoft.Szczegółowe informacje/dataCollectionRules/* lub Microsoft. akcje Szczegółowe informacje/dataCollectionEndpoints/* wymienione w Sekcja analiza ruchu.
Network Watcher
Akcja | opis |
---|---|
Microsoft.Network/networkWatchers/read | Pobieranie usługi Network Watcher |
Microsoft.Network/networkWatchers/write | Tworzenie lub aktualizowanie usługi Network Watcher |
Microsoft.Network/networkWatchers/delete | Usuwanie obserwatora sieciowego |
Monitor połączeń
Akcja | opis |
---|---|
Microsoft.Network/networkWatchers/connectionMonitors/start/action | Uruchamianie monitora połączeń |
Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Zatrzymywanie monitora połączeń |
Microsoft.Network/networkWatchers/connectionMonitors/query/action | Wykonywanie zapytań względem monitora połączeń |
Microsoft.Network/networkWatchers/connectionMonitors/read | Pobieranie monitora połączeń |
Microsoft.Network/networkWatchers/connectionMonitors/write | Tworzenie monitora połączeń |
Microsoft.Network/networkWatchers/connectionMonitors/delete | Usuwanie monitora połączeń |
Dzienniki przepływu
Akcja | opis |
---|---|
Microsoft.Network/networkWatchers/configureFlowLog/action | Konfigurowanie dziennika przepływu |
Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Stan zapytania dla dziennika przepływu |
Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Pobieranie sygnatur dostępu współdzielonego (SAS) umożliwiające bezpieczny dostęp do konta magazynu i zapisywanie na koncie magazynu |
Analiza ruchu
Ponieważ analiza ruchu jest włączona w ramach zasobu dziennika usługi Flow, oprócz wszystkich wymaganych uprawnień dzienników usługi Flow wymagane są następujące uprawnienia:
Akcja | opis |
---|---|
Microsoft.Network/applicationGateways/read | Uzyskiwanie bramy aplikacji |
Microsoft.Network/connections/read | Uzyskiwanie bramy VirtualNetworkGateway Połączenie ion |
Microsoft.Network/loadBalancers/read | Pobieranie definicji modułu równoważenia obciążenia |
Microsoft.Network/localNetworkGateways/read | Uzyskiwanie bramy LocalNetworkGateway |
Microsoft.Network/networkInterfaces/read | Pobieranie definicji interfejsu sieciowego |
Microsoft.Network/networkSecurityGroups/read | Pobieranie definicji sieciowej grupy zabezpieczeń |
Microsoft.Network/publicIPAddresses/read | Pobieranie definicji publicznego adresu IP |
Microsoft.Network/routeTables/read | Pobieranie definicji tabeli tras |
Microsoft.Network/virtualNetworkGateways/read | Uzyskiwanie bramy VirtualNetworkGateway |
Microsoft.Network/virtualNetworks/read | Pobieranie definicji sieci wirtualnej |
Microsoft.Network/expressRouteCircuits/read | Uzyskiwanie elementu ExpressRouteCircuit |
Microsoft.Operational Szczegółowe informacje/workspaces/read | Pobieranie istniejącego obszaru roboczego |
Microsoft.Operational Szczegółowe informacje/workspaces/sharedkeys/action | Pobieranie kluczy udostępnionych dla obszaru roboczego |
Microsoft. Szczegółowe informacje/dataCollectionRules/read 1 | Odczytywanie reguły zbierania danych |
Microsoft. Szczegółowe informacje/dataCollectionRules/write 1 | Tworzenie lub aktualizowanie reguły zbierania danych |
Microsoft. Szczegółowe informacje/dataCollectionRules/delete 1 | Usuwanie reguły zbierania danych |
Microsoft. Szczegółowe informacje/dataCollectionEndpoints/read 1 | Odczytywanie punktu końcowego zbierania danych |
Microsoft. Szczegółowe informacje/dataCollectionEndpoints/write 1 | Tworzenie lub aktualizowanie punktu końcowego zbierania danych |
Microsoft. Szczegółowe informacje/dataCollectionEndpoints/delete 1 | Usuwanie punktu końcowego zbierania danych |
1 Wymagane tylko w przypadku używania analizy ruchu do analizowania dzienników przepływu sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Reguły zbierania danych w usłudze Azure Monitor i punktach końcowych zbierania danych w usłudze Azure Monitor.
Uwaga
Reguły zbierania danych i zasoby punktu końcowego zbierania danych są tworzone i zarządzane przez analizę ruchu. Jeśli wykonasz jakąkolwiek operację na tych zasobach, analiza ruchu może nie działać zgodnie z oczekiwaniami.
Rozwiązywanie problemów z połączeniami
Akcja | opis |
---|---|
Microsoft.Network/networkWatchers/connectivityCheck/action | Inicjowanie testu rozwiązywania problemów z połączeniem |
Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Wyniki zapytania dotyczące testu rozwiązywania problemów z połączeniem |
Microsoft.Network/networkWatchers/troubleshoot/action | Uruchamianie testu rozwiązywania problemów z połączeniem |
Przechwytywanie pakietów
Akcja | opis |
---|---|
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Wykonaj zapytanie dotyczące stanu przechwytywania pakietów. |
Microsoft.Network/networkWatchers/packetCaptures/stop/action | Zatrzymaj przechwytywanie pakietów. |
Microsoft.Network/networkWatchers/packetCaptures/read | Pobieranie przechwytywania pakietów. |
Microsoft.Network/networkWatchers/packetCaptures/write | Utwórz przechwytywanie pakietów. |
Microsoft.Network/networkWatchers/packetCaptures/delete | Usuwanie przechwytywania pakietów. |
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Wyświetlanie stanu przechwytywania pakietów. |
Weryfikacja przepływu adresów IP
Akcja | opis |
---|---|
Microsoft.Network/networkWatchers/ipFlowVerify/action | Weryfikowanie przepływu adresów IP |
Narzędzie Następny przeskok
Akcja | opis |
---|---|
Microsoft.Network/networkWatchers/nextHop/action | Pobieranie następnego przeskoku z maszyny wirtualnej |
Widok sieciowych grup zabezpieczeń
Akcja | opis |
---|---|
Microsoft.Network/networkWatchers/securityGroupView/action | Wyświetlanie grup zabezpieczeń |
Topologia
Akcja | opis |
---|---|
Microsoft.Network/networkWatchers/topology/action | Pobieranie topologii |
Microsoft.Network/networkWatchers/topologia/read | Jak wyżej |
Raport dotyczący dostępności
Akcja | opis |
---|---|
Microsoft.Network/networkWatchers/azureReachabilityReport/action | Uzyskiwanie raportu o dostępności platformy Azure |
Dodatkowe akcje
Funkcje usługi Network Watcher wymagają również następujących akcji:
Akcje | opis |
---|---|
Microsoft.Authorization/*/Read | Pobieranie przypisań ról i definicji zasad platformy Azure |
Microsoft.Resources/subscriptions/resourceGroups/Read | Wyliczanie wszystkich grup zasobów w subskrypcji |
Microsoft.Storage/storageAccounts/Read | Pobieranie właściwości określonego konta magazynu |
Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Pobieranie sygnatur dostępu współdzielonego (SAS) umożliwiające bezpieczny dostęp do konta magazynu i zapisywanie na koncie magazynu |
Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Zaloguj się do maszyny wirtualnej, przechwyć pakiet i przekazać go na konto magazynu |
Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Sprawdź, czy rozszerzenie usługi Network Watcher jest obecne, i zainstaluj je w razie potrzeby |
Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Uzyskiwanie dostępu do zestawów skalowania maszyn wirtualnych, przechwytywanie pakietów i przekazywanie ich do konta magazynu |
Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Sprawdź, czy rozszerzenie usługi Network Watcher jest obecne, i zainstaluj je w razie potrzeby |
Microsoft.Insights/alertRules/* | Konfigurowanie alertów dotyczących metryk |
Microsoft.Support/* | Tworzenie i aktualizowanie biletów pomocy technicznej z usługi Network Watcher |