使用 網路監看員 功能所需的 Azure 角色型訪問控制許可權
Azure 角色型訪問控制 (Azure RBAC) 可讓您只將特定動作指派給組織成員,因為他們需要完成其指派的責任。 若要使用 Azure 網路監看員 功能,您必須將您登入 Azure 的帳戶指派給擁有者、參與者或網路參與者內建角色,或指派給自定義角色,該角色已獲指派下列各節中每個 網路監看員 功能的動作。 若要瞭解如何檢查指派給訂用帳戶使用者的角色,請參閱使用 Azure 入口網站 列出 Azure 角色指派。 如果您看不到角色指派,請連絡個別的訂用帳戶管理員。若要深入瞭解 網路監看員 的功能,請參閱什麼是 網路監看員?
重要
網路參與者 未涵蓋下列動作:
網路監看員
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/read | 取得網路監看員 |
| Microsoft.Network/networkWatchers/write | 建立或更新網路監看員 |
| Microsoft.Network/networkWatchers/delete | 刪除網路監看員 |
連線監視器
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | 啟動線上監視器 |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | 停止線上監視器 |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | 查詢線上監視器 |
| Microsoft.Network/networkWatchers/connectionMonitors/read | 取得線上監視器 |
| Microsoft.Network/networkWatchers/connectionMonitors/write | 建立連線監視器 |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | 刪除線上監視器 |
流程記錄
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | 設定流程記錄檔 |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | 流量記錄的查詢狀態 |
| 微軟。儲存體/storageAccounts/listServiceSas/Action、 微軟。儲存體/storageAccounts/listAccountSas/Action、 微軟。儲存體/storageAccounts/listKeys/Action |
擷取共用存取簽章 (SAS) 可安全地 存取記憶體帳戶 並寫入記憶體帳戶 |
流量分析
由於流量分析會啟用為 Flow 記錄資源的一部分,因此除了流量記錄的所有必要許可權之外,還需要下列許可權:
| 動作 | 描述 |
|---|---|
| Microsoft.Network/applicationGateways/read | 取得應用程式閘道 |
| Microsoft.Network/connections/read | 取得 VirtualNetworkGateway 連線 ion |
| Microsoft.Network/loadBalancers/read | 取得負載平衡器定義 |
| Microsoft.Network/localNetworkGateways/read | 取得 LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | 取得網路介面定義 |
| Microsoft.Network/networkSecurityGroups/read | 取得網路安全組定義 |
| Microsoft.Network/publicIPAddresses/read | 取得公用IP位址定義 |
| Microsoft.Network/routeTables/read | 取得路由表定義 |
| Microsoft.Network/virtualNetworkGateways/read | 取得 VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | 取得虛擬網路定義 |
| Microsoft.Network/expressRouteCircuits/read | 取得 ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | 取得現有的工作區 |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | 擷取工作區的共用金鑰 |
| Microsoft.Insights/dataCollectionRules/read 1 | 讀取數據收集規則 |
| Microsoft.Insights/dataCollectionRules/write 1 | 建立或更新數據收集規則 |
| Microsoft.Insights/dataCollectionRules/delete 1 | 刪除資料收集規則 |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | 讀取數據收集端點 |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | 建立或更新數據收集端點 |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | 刪除資料收集端點 |
1 只有在使用使用分析來分析虛擬網路流量記錄時才需要。 如需詳細資訊,請參閱 Azure 監視器 中的數據收集規則和 Azure 監視器中的數據收集端點。
警告
數據收集規則和數據收集端點資源是由使用分析所建立和管理。 如果您對這些資源執行任何作業,使用分析可能無法如預期般運作。
連線疑難排解
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | 起始連線疑難解答測試 |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | 線上疑難解答測試的查詢結果 |
| Microsoft.Network/networkWatchers/troubleshoot/action | 執行連線疑難解答測試 |
封包擷取
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | 查詢封包擷取的狀態。 |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | 停止封包擷取。 |
| Microsoft.Network/networkWatchers/packetCaptures/read | 取得封包擷取。 |
| Microsoft.Network/networkWatchers/packetCaptures/write | 建立封包擷取。 |
| Microsoft.Network/networkWatchers/packetCaptures/delete | 刪除封包擷取。 |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | 檢視封包擷取的狀態。 |
IP 流量驗證
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | 確認IP流程 |
下一個躍點
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action | 從 VM 取得下一個躍點 |
網路安全組檢視
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | 檢視安全組 |
拓撲
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | 取得拓撲 |
| Microsoft.Network/networkWatchers/topology/read | 同上 |
可觸達性報告
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | 取得 Azure 觸達性報告 |
其他動作
網路監看員 功能也需要下列動作:
| 動作 | 描述 |
|---|---|
| Microsoft.Authorization/*/Read | 擷取 Azure 角色指派和原則定義 |
| Microsoft.Resources/subscriptions/resourceGroups/Read | 列舉訂用帳戶中的所有資源群組 |
| 微軟。儲存體/storageAccounts/Read | 取得指定記憶體帳戶的屬性 |
| 微軟。儲存體/storageAccounts/listServiceSas/Action、 微軟。儲存體/storageAccounts/listAccountSas/Action、 微軟。儲存體/storageAccounts/listKeys/Action |
擷取共用存取簽章 (SAS) 可安全地 存取記憶體帳戶 並寫入記憶體帳戶 |
| Microsoft.Compute/virtualMachines/Read、 Microsoft.Compute/virtualMachines/Write |
登入 VM、執行封包擷取,並將其上傳至記憶體帳戶 |
| Microsoft.Compute/virtualMachines/extensions/Read、 Microsoft.Compute/virtualMachines/extensions/Write |
檢查 網路監看員 延伸模組是否存在,並視需要安裝 |
| Microsoft.Compute/virtualMachineScaleSets/Read、 Microsoft.Compute/virtualMachineScaleSets/Write |
存取虛擬機擴展集、進行封包擷取,並將其上傳至記憶體帳戶 |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read,Microsoft.Compute /virtualMachineScaleSets/extensions/Write |
檢查 網路監看員 延伸模組是否存在,並視需要安裝 |
| Microsoft.Insights/alertRules/* | 設定計量警示 |
| Microsoft.Support/* | 從 網路監看員 建立和更新支援票證 |