Começar com as funções, permissões e segurança com o Azure MonitorGet started with roles, permissions, and security with Azure Monitor

Nota

Este artigo foi atualizado para utilizar o módulo Azure PowerShell Az novo.This article has been updated to use the new Azure PowerShell Az module. Pode continuar a utilizar o módulo de AzureRM, que vai continuar a receber correções de erros até que, pelo menos, Dezembro de 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para saber mais sobre o novo módulo Az e AzureRM compatibilidade, veja apresentando o novo módulo Azure PowerShell Az.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para instruções de instalação do módulo de Az, consulte instalar o Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Muitas equipes precisam estritamente regular o acesso aos dados e definições de monitorização.Many teams need to strictly regulate access to monitoring data and settings. Por exemplo, se tiver os membros da Equipe que trabalham exclusivamente em monitorização (engenheiros de suporte, engenheiros de DevOps) ou se usar um provedor de serviço gerida, pode querer lhes conceder acesso a dados de monitorização apenas ao restringir a capacidade de criar, modificar, ou Elimine recursos.For example, if you have team members who work exclusively on monitoring (support engineers, DevOps engineers) or if you use a managed service provider, you may want to grant them access to only monitoring data while restricting their ability to create, modify, or delete resources. Este artigo mostra como aplicar uma função de monitorização incorporada RBAC a um utilizador no Azure ou criar sua própria função personalizada para um utilizador que tem permissões de monitorização limitadas rapidamente.This article shows how to quickly apply a built-in monitoring RBAC role to a user in Azure or build your own custom role for a user who needs limited monitoring permissions. Em seguida, ele aborda considerações de segurança dos seus recursos relacionados com o Azure Monitor e a forma como pode limitar o acesso aos dados que contêm.It then discusses security considerations for your Azure Monitor-related resources and how you can limit access to the data they contain.

Funções de monitorização incorporadasBuilt-in monitoring roles

Funções incorporadas do Monitor do Azure foram concebidas para ajudar a limitar o acesso aos recursos numa subscrição, enquanto ainda permite que os responsáveis pela monitorização de infraestrutura para obter e configurar os dados que precisam.Azure Monitor’s built-in roles are designed to help limit access to resources in a subscription while still enabling those responsible for monitoring infrastructure to obtain and configure the data they need. Monitor do Azure fornece duas funções de out-of-the-box: Um leitor de monitorização e um Contribuidor de monitorização.Azure Monitor provides two out-of-the-box roles: A Monitoring Reader and a Monitoring Contributor.

Leitor de monitorizaçãoMonitoring Reader

As pessoas atribuídas a função de leitor de monitorização podem ver todos os dados de monitorização numa subscrição, mas não é possível modificar qualquer recurso ou editar as definições relacionadas com a monitorização de recursos.People assigned the Monitoring Reader role can view all monitoring data in a subscription but cannot modify any resource or edit any settings related to monitoring resources. Esta função é adequada para os utilizadores numa organização, tais como engenheiros de suporte ou operações que precisam de ser capaz de:This role is appropriate for users in an organization, such as support or operations engineers, who need to be able to:

  • Ver dashboards de monitorização no portal e crie seus próprios dashboards de monitorização privados.View monitoring dashboards in the portal and create their own private monitoring dashboards.
  • Ver as regras de alerta definidas no alertas do AzureView alert rules defined in Azure Alerts
  • Consultas de métricas de utilização a API de REST do Azure Monitor, cmdlets do PowerShell, ou CLI de várias plataformas.Query for metrics using the Azure Monitor REST API, PowerShell cmdlets, or cross-platform CLI.
  • Consulte o registo de atividades com o portal, API de REST do Azure Monitor, cmdlets do PowerShell ou CLI de várias plataformas.Query the Activity Log using the portal, Azure Monitor REST API, PowerShell cmdlets, or cross-platform CLI.
  • Ver os das definições de diagnóstico para um recurso.View the diagnostic settings for a resource.
  • Ver os perfil de registo para uma subscrição.View the log profile for a subscription.
  • Ver definições de dimensionamento automático.View autoscale settings.
  • Ver atividade de alerta e definições.View alert activity and settings.
  • Acessar dados do Application Insights e visualizar dados no Analytics de IA.Access Application Insights data and view data in AI Analytics.
  • Procure dados de área de trabalho do Log Analytics incluindo dados de utilização para a área de trabalho.Search Log Analytics workspace data including usage data for the workspace.
  • Ver grupos de gestão do Log Analytics.View Log Analytics management groups.
  • Obter o esquema de pesquisa na área de trabalho do Log Analytics.Retrieve the search schema in Log Analytics workspace.
  • Lista de pacotes de monitorização na área de trabalho do Log Analytics.List monitoring packs in Log Analytics workspace.
  • Obter e executar pesquisas guardadas na área de trabalho do Log Analytics.Retrieve and execute saved searches in Log Analytics workspace.
  • Obter a configuração de armazenamento de área de trabalho do Log Analytics.Retrieve the Log Analytics workspace storage configuration.

Nota

Esta função não dá acesso de leitura para dados de registo que foi transmitidos para um hub de eventos ou armazenados numa conta de armazenamento.This role does not give read access to log data that has been streamed to an event hub or stored in a storage account. Veja a seguir para obter informações sobre como configurar o acesso a esses recursos.See below for information on configuring access to these resources.

Contribuidor de monitorizaçãoMonitoring Contributor

As pessoas atribuídas a função de Contribuidor de monitorização podem ver todos os dados de monitorização numa subscrição e criar ou modificar definições de monitorização, mas não é possível modificar quaisquer outros recursos.People assigned the Monitoring Contributor role can view all monitoring data in a subscription and create or modify monitoring settings, but cannot modify any other resources. Esta função é um superconjunto da função do leitor de monitorização e é adequada para os membros da equipe de monitorização ou fornecedores de serviços geridos que, além das permissões acima, também tem de ser capaz de uma organização:This role is a superset of the Monitoring Reader role, and is appropriate for members of an organization’s monitoring team or managed service providers who, in addition to the permissions above, also need to be able to:

  • Publica dashboards de monitorização como um dashboard partilhado.Publish monitoring dashboards as a shared dashboard.
  • Definir das definições de diagnóstico para um recurso.*Set diagnostic settings for a resource.*
  • Definir o perfil de registo para uma subscrição.*Set the log profile for a subscription.*
  • Defina a atividade de regras de alerta e definições através de alertas do Azure.Set alert rules activity and settings via Azure Alerts.
  • Crie testes web do Application Insights e componentes.Create Application Insights web tests and components.
  • Listar chaves partilhada da área de trabalho de Log Analytics.List Log Analytics workspace shared keys.
  • Ativar ou desativar os pacotes de monitorização na área de trabalho do Log Analytics.Enable or disable monitoring packs in Log Analytics workspace.
  • Crie e elimine e executar pesquisas guardadas na área de trabalho do Log Analytics.Create and delete and execute saved searches in Log Analytics workspace.
  • Criar e eliminar a configuração de armazenamento de área de trabalho do Log Analytics.Create and delete the Log Analytics workspace storage configuration.

*tem também separadamente ser concedido ao utilizador permissão de ListKeys no recurso de destino (armazenamento conta ou event hub namespace) para definir um perfil de registo ou a definição de diagnóstico.*user must also separately be granted ListKeys permission on the target resource (storage account or event hub namespace) to set a log profile or diagnostic setting.

Nota

Esta função não dá acesso de leitura para dados de registo que foi transmitidos para um hub de eventos ou armazenados numa conta de armazenamento.This role does not give read access to log data that has been streamed to an event hub or stored in a storage account. Veja a seguir para obter informações sobre como configurar o acesso a esses recursos.See below for information on configuring access to these resources.

Permissões e funções RBAC personalizadas de monitorizaçãoMonitoring permissions and custom RBAC roles

Se as funções incorporadas acima não atenderem às necessidades exatas de sua equipe, pode criar uma função RBAC personalizada com permissões mais granulares.If the above built-in roles don’t meet the exact needs of your team, you can create a custom RBAC role with more granular permissions. Seguem-se as operações comuns do RBAC do Azure Monitor e suas descrições.Below are the common Azure Monitor RBAC operations with their descriptions.

OperaçãoOperation DescriçãoDescription
Microsoft.Insights/ActionGroups/[Read, Write, Delete]Microsoft.Insights/ActionGroups/[Read, Write, Delete] Grupos de ação de leitura/escrita/eliminar.Read/write/delete action groups.
Microsoft.Insights/ActivityLogAlerts/[Read, Write, Delete]Microsoft.Insights/ActivityLogAlerts/[Read, Write, Delete] Alertas de registo de atividade de leitura/escrita/eliminar.Read/write/delete activity log alerts.
Microsoft.Insights/AlertRules/[Read, Write, Delete]Microsoft.Insights/AlertRules/[Read, Write, Delete] Regras de alerta de leitura/escrita/eliminar (a partir de alertas clássicas).Read/write/delete alert rules (from alerts classic).
Microsoft.Insights/AlertRules/Incidents/ReadMicrosoft.Insights/AlertRules/Incidents/Read Lista de incidentes (histórico de regra de alerta a ser disparado) para regras de alerta.List incidents (history of the alert rule being triggered) for alert rules. Isto aplica-se apenas ao portal.This only applies to the portal.
Microsoft.Insights/AutoscaleSettings/[Read, Write, Delete]Microsoft.Insights/AutoscaleSettings/[Read, Write, Delete] Definições de dimensionamento automático de leitura/escrita/eliminar.Read/write/delete autoscale settings.
Microsoft.Insights/DiagnosticSettings/[Read, Write, Delete]Microsoft.Insights/DiagnosticSettings/[Read, Write, Delete] Definições de diagnóstico de leitura/escrita/eliminar.Read/write/delete diagnostic settings.
Microsoft.Insights/EventCategories/ReadMicrosoft.Insights/EventCategories/Read Enumere todas as categorias de possíveis no registo de atividades.Enumerate all categories possible in the Activity Log. Utilizado pelo portal do Azure.Used by the Azure portal.
Microsoft.Insights/eventtypes/digestevents/ReadMicrosoft.Insights/eventtypes/digestevents/Read Esta permissão é necessária para os utilizadores que necessitam de aceder a registos de Atividades através do portal.This permission is necessary for users who need access to Activity Logs via the portal.
Microsoft.Insights/eventtypes/values/ReadMicrosoft.Insights/eventtypes/values/Read Lista de eventos de registo de Atividades (eventos de gestão) numa subscrição.List Activity Log events (management events) in a subscription. Esta permissão é aplicável ao portal e programático acesso ao registo de atividades.This permission is applicable to both programmatic and portal access to the Activity Log.
Microsoft.Insights/ExtendedDiagnosticSettings/[Read, Write, Delete]Microsoft.Insights/ExtendedDiagnosticSettings/[Read, Write, Delete] Leitura/escrita/eliminar definições de diagnóstico para os registos de fluxo de rede.Read/write/delete diagnostic settings for network flow logs.
Microsoft.Insights/LogDefinitions/ReadMicrosoft.Insights/LogDefinitions/Read Esta permissão é necessária para os utilizadores que necessitam de aceder a registos de Atividades através do portal.This permission is necessary for users who need access to Activity Logs via the portal.
Microsoft.Insights/LogProfiles/[Read, Write, Delete]Microsoft.Insights/LogProfiles/[Read, Write, Delete] Perfis de registo de leitura/escrita/eliminar (transmissão em fluxo o registo de atividades para a conta de armazenamento ou de hub de eventos).Read/write/delete log profiles (streaming Activity Log to event hub or storage account).
Microsoft.Insights/MetricAlerts/[Read, Write, Delete]Microsoft.Insights/MetricAlerts/[Read, Write, Delete] Leitura/escrita/eliminar perto de alertas de métricas em tempo realRead/write/delete near real-time metric alerts
Microsoft.Insights/MetricDefinitions/ReadMicrosoft.Insights/MetricDefinitions/Read Ler definições de métrica (lista de tipos de métricas disponíveis para um recurso).Read metric definitions (list of available metric types for a resource).
Microsoft.Insights/Metrics/ReadMicrosoft.Insights/Metrics/Read Ler métricas para um recurso.Read metrics for a resource.
Microsoft.Insights/Register/ActionMicrosoft.Insights/Register/Action Registe o fornecedor de recursos do Azure Monitor.Register the Azure Monitor resource provider.
Microsoft.Insights/ScheduledQueryRules/[Read, Write, Delete]Microsoft.Insights/ScheduledQueryRules/[Read, Write, Delete] Alertas de registo de leitura/escrita/eliminar no Azure Monitor.Read/write/delete log alerts in Azure Monitor.

Nota

Aceder a alertas, as definições de diagnóstico e métricas para um recurso exige que o utilizador tem acesso de leitura para o tipo de recurso e o escopo desse recurso.Access to alerts, diagnostic settings, and metrics for a resource requires that the user has Read access to the resource type and scope of that resource. ("Escrita") a criar um perfil de configuração ou registo de diagnóstico que arquiva para uma conta de armazenamento ou fluxos para os hubs de eventos exige que o utilizador também ter permissão de ListKeys no recurso de destino.Creating (“write”) a diagnostic setting or log profile that archives to a storage account or streams to event hubs requires the user to also have ListKeys permission on the target resource.

Por exemplo, utilizando a tabela acima, pode criar uma função RBAC personalizada para um "leitor do registo de atividade" como este:For example, using the above table you could create a custom RBAC role for an “Activity Log Reader” like this:

$role = Get-AzRoleDefinition "Reader"
$role.Id = $null
$role.Name = "Activity Log Reader"
$role.Description = "Can view activity logs."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Insights/eventtypes/*")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/mySubscription")
New-AzRoleDefinition -Role $role 

Considerações de segurança para dados de monitorizaçãoSecurity considerations for monitoring data

Dados de monitorização — especialmente os ficheiros de registo, pode conter informações confidenciais, como endereços IP ou nomes de utilizador.Monitoring data—particularly log files—can contain sensitive information, such as IP addresses or user names. Dados de monitorização do Azure é fornecido em três formas básicas:Monitoring data from Azure comes in three basic forms:

  1. O registo de atividades, que descreve todas as ações de plano de controlo na sua subscrição do Azure.The Activity Log, which describes all control-plane actions on your Azure subscription.
  2. Registos de diagnóstico, que são emitidos por um recurso de registos.Diagnostic Logs, which are logs emitted by a resource.
  3. Métricas, que são emitidas pelos recursos.Metrics, which are emitted by resources.

Três desses tipos de dados podem ser armazenados numa conta de armazenamento ou transmitidos para o Hub de eventos, sendo que ambas são recursos do Azure para fins gerais.All three of these data types can be stored in a storage account or streamed to Event Hub, both of which are general-purpose Azure resources. Uma vez que estes são os recursos para fins gerais, criação, exclusão e acesso aos mesmos são uma operação privilegiada reservada para um administrador.Because these are general-purpose resources, creating, deleting, and accessing them is a privileged operation reserved for an administrator. Sugerimos que utilize as seguintes práticas para os recursos relacionados com a monitorização para impedir a utilização indevida:We suggest that you use the following practices for monitoring-related resources to prevent misuse:

  • Utilize uma conta de armazenamento exclusiva e dedicada para dados de monitorização.Use a single, dedicated storage account for monitoring data. Se precisar de separar os dados de monitorização em várias contas de armazenamento, nunca utilização de uma conta de armazenamento entre a monitorização de partilha e não monitoramento de dados, como isso poderão, inadvertidamente, dê aqueles que apenas necessitam de acesso para a monitorização dos dados (por exemplo, um SIEM de terceiros) acesso a monitorização não dados.If you need to separate monitoring data into multiple storage accounts, never share usage of a storage account between monitoring and non-monitoring data, as this may inadvertently give those who only need access to monitoring data (for example, a third-party SIEM) access to non-monitoring data.
  • Use um namespace do Service Bus ou Hub de eventos, exclusiva e dedicado em todas as definições de diagnóstico pela mesma razão, como mostrado acima.Use a single, dedicated Service Bus or Event Hub namespace across all diagnostic settings for the same reason as above.
  • Limitar o acesso a contas de armazenamento relacionada com a monitorização ou hubs de eventos por mantê-los num grupo de recursos separados, e utilizar âmbito em suas funções de monitorização para limitar o acesso a esse grupo de recursos.Limit access to monitoring-related storage accounts or event hubs by keeping them in a separate resource group, and use scope on your monitoring roles to limit access to only that resource group.
  • Nunca conceda a permissão de ListKeys para contas de armazenamento ou hubs de eventos no âmbito da subscrição quando o utilizador necessita apenas de acesso a dados de monitorização.Never grant the ListKeys permission for either storage accounts or event hubs at subscription scope when a user only needs access to monitoring data. Em vez disso, dar estas permissões para o usuário com um recurso ou grupo de recursos (se tiver um grupo de recursos de monitoramento dedicado) escopo.Instead, give these permissions to the user at a resource or resource group (if you have a dedicated monitoring resource group) scope.

Quando um utilizador ou aplicação precisa de aceder a dados numa conta de armazenamento de monitorização, deve gerar uma SAS de conta na conta de armazenamento que contém dados de monitorização com o nível de serviço acesso só de leitura para o armazenamento de Blobs.When a user or application needs access to monitoring data in a storage account, you should generate an Account SAS on the storage account that contains monitoring data with service-level read-only access to blob storage. No PowerShell, como seria o resultado:In PowerShell, this might look like:

$context = New-AzStorageContext -ConnectionString "[connection string for your monitoring Storage Account]"
$token = New-AzStorageAccountSASToken -ResourceType Service -Service Blob -Permission "rl" -Context $context

Pode fornecer o token para a entidade que precisam para ler a partir do que o armazenamento conta e ele pode listar e ler a partir de todos os blobs nessa conta de armazenamento.You can then give the token to the entity that needs to read from that storage account, and it can list and read from all blobs in that storage account.

Em alternativa, se precisar de controlar esta permissão com o RBAC, pode conceder essa entidade a permissão de Microsoft.Storage/storageAccounts/listkeys/action nessa conta de armazenamento específico.Alternatively, if you need to control this permission with RBAC, you can grant that entity the Microsoft.Storage/storageAccounts/listkeys/action permission on that particular storage account. Isso é necessário para os utilizadores que têm de ser capaz de configurar uma definição de diagnóstico ou iniciar perfil para arquivar numa conta de armazenamento.This is necessary for users who need to be able to set a diagnostic setting or log profile to archive to a storage account. Por exemplo, pode criar a seguinte função RBAC personalizada para um usuário ou aplicativo que precisa apenas ler a partir de uma conta de armazenamento:For example, you could create the following custom RBAC role for a user or application that only needs to read from one storage account:

$role = Get-AzRoleDefinition "Reader"
$role.Id = $null
$role.Name = "Monitoring Storage Account Reader"
$role.Description = "Can get the storage account keys for a monitoring storage account."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Storage/storageAccounts/listkeys/action")
$role.Actions.Add("Microsoft.Storage/storageAccounts/Read")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/mySubscription/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/myMonitoringStorageAccount")
New-AzRoleDefinition -Role $role 

Aviso

A permissão de ListKeys permite ao utilizador listar as chaves de conta de armazenamento primário e secundário.The ListKeys permission enables the user to list the primary and secondary storage account keys. Essas chaves concedem ao utilizador todas assinadas permissões (leitura, escrita, blobs de criar e eliminar blobs, etc.) em todos os assinado serviços (blob, fila, tabela e ficheiro) nessa conta de armazenamento.These keys grant the user all signed permissions (read, write, create blobs, delete blobs, etc.) across all signed services (blob, queue, table, file) in that storage account. Recomendamos que utilize uma SAS de conta descrito acima, sempre que possível.We recommend using an Account SAS described above when possible.

Pode ser seguido de um padrão semelhante com os hubs de eventos, mas primeiro tem de criar uma regra de autorização de escutar dedicada.A similar pattern can be followed with event hubs, but first you need to create a dedicated Listen authorization rule. Se quiser conceder, acesso a um aplicativo que precisa apenas de ouvir os hubs de eventos relacionados com a monitorização, efetue o seguinte:If you want to grant, access to an application that only needs to listen to monitoring-related event hubs, do the following:

  1. Crie uma política de acesso partilhado no no hub de ou de event hubs que foram criadas para dados de monitorização com apenas afirmações de escuta de transmissão em fluxo.Create a shared access policy on the event hub(s) that were created for streaming monitoring data with only Listen claims. Isso pode ser feito no portal.This can be done in the portal. Por exemplo, poderá chamar "monitoringReadOnly."For example, you might call it “monitoringReadOnly.” Se possível, desejará dar essa chave diretamente para o consumidor e ignore o passo seguinte.If possible, you will want to give that key directly to the consumer and skip the next step.

  2. Se o consumidor tem de ser capaz de obter a chave de ad hoc, conceda ao utilizador a ação de ListKeys para esse hub de eventos.If the consumer needs to be able to get the key ad hoc, grant the user the ListKeys action for that event hub. Isso também é necessário para os utilizadores que têm de ser capaz de configurar uma definição de diagnóstico ou perfil de registo para o stream para os hubs de eventos.This is also necessary for users who need to be able to set a diagnostic setting or log profile to stream to event hubs. Por exemplo, pode criar uma regra RBAC:For example, you might create an RBAC rule:

    $role = Get-AzRoleDefinition "Reader"
    $role.Id = $null
    $role.Name = "Monitoring Event Hub Listener"
    $role.Description = "Can get the key to listen to an event hub streaming monitoring data."
    $role.Actions.Clear()
    $role.Actions.Add("Microsoft.ServiceBus/namespaces/authorizationrules/listkeys/action")
    $role.Actions.Add("Microsoft.ServiceBus/namespaces/Read")
    $role.AssignableScopes.Clear()
    $role.AssignableScopes.Add("/subscriptions/mySubscription/resourceGroups/myResourceGroup/providers/Microsoft.ServiceBus/namespaces/mySBNameSpace")
    New-AzRoleDefinition -Role $role 
    

Monitorização dentro de uma rede Virtual protegidaMonitoring within a secured Virtual Network

O Azure Monitor precisa de aceder aos recursos do Azure para fornecer os serviços que ativa.Azure Monitor needs access to your Azure resources to provide the services you enable. Se quiser monitorizar os recursos do Azure enquanto ainda protegendo-los contra o acesso à Internet pública, pode ativar as seguintes definições.If you would like to monitor your Azure resources while still securing them from access to the Public Internet, you can enable the following settings.

Contas de armazenamento seguroSecured Storage Accounts

Dados de monitorização, muitas vezes, é escrito para uma conta de armazenamento.Monitoring data is often written to a storage account. Pode querer Certifique-se de que os dados copiados para uma conta de armazenamento não podem ser acedidos por utilizadores não autorizados.You may want to make sure that the data copied to a Storage Account cannot be accessed by unauthorized users. Para segurança adicional, pode bloquear acesso à rede para permitir apenas os recursos autorizados e acesso de serviços Microsoft fidedigno para uma conta de armazenamento ao restringir uma conta de armazenamento para utilizar "redes selecionadas".For additional security, you can lock down network access to only allow your authorized resources and trusted Microsoft services access to a storage account by restricting a storage account to use "selected networks". Caixa de diálogo de definições do armazenamento do Azure Azure Monitor é considerado um dos seguintes "trusted serviços da Microsoft" se permitir que os serviços Microsoft fidedignos para aceder ao seu armazenamento protegido, o Azure monitor terão acesso à sua conta de armazenamento seguro; ativar escrever os registos de diagnóstico do Azure Monitor, registo de atividades e métricas para a sua conta de armazenamento sob essas condições protegidas.Azure Storage Settings Dialog Azure Monitor is considered one of these "trusted Microsoft services" If you allow trusted Microsoft services to access your Secured Storage, Azure monitor will have access to your secured Storage Account; enabling writing Azure Monitor diagnostic logs, activity log, and metrics to your Storage Account under these protected conditions. Irá também permitir Log Analytics para ler registos a partir do armazenamento seguro.This will also enable Log Analytics to read logs from secured storage.

Para obter mais informações, consulte de rede de segurança e armazenamento do AzureFor more information, see Network security and Azure Storage

Passos SeguintesNext steps