Oprávnění řízení přístupu na základě role Azure požadovaná k používání funkcí služby Network Watcher
Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje přiřadit pouze konkrétní akce členům vaší organizace, které vyžadují k dokončení přiřazených zodpovědností. Pokud chcete používat funkce služby Azure Network Watcher, musí být účet, pomocí kterého se přihlašujete k Azure, přiřazený předdefinovaným rolím vlastníka, přispěvatele nebo přispěvateli sítě nebo přiřazené k vlastní roli , která má přiřazené akce uvedené pro jednotlivé funkce služby Network Watcher v následujících částech. Informace o tom, jak zkontrolovat role přiřazené uživateli pro předplatné, najdete v tématu Výpis přiřazení rolí Azure pomocí webu Azure Portal. Pokud přiřazení rolí nevidíte, obraťte se na příslušného správce předplatného. Další informace o možnostech služby Network Watcher najdete v tématu Co je Network Watcher?
Důležité
Přispěvatel sítě nepokrývá následující akce:
- Akce Microsoft.Storage/* uvedené v části Další akce nebo protokoly toku
- Akce Microsoft.Compute/* uvedené v části Další akce .
- Akce Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* nebo Microsoft.Insights/dataCollectionEndpoints/* uvedené v části Analýza provozu.
Network Watcher
| Akce | Popis |
|---|---|
| Microsoft.Network/networkWatchers/read | Získání sledovacího procesu sítě |
| Microsoft.Network/networkWatchers/write | Vytvoření nebo aktualizace sledovacího procesu sítě |
| Microsoft.Network/networkWatchers/delete | Odstranění sledovacího procesu sítě |
Monitorování připojení
| Akce | Popis |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Spuštění monitorování připojení |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Zastavení monitorování připojení |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Dotazování monitorování připojení |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Získání monitorování připojení |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Vytvoření monitorování připojení |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Odstranění monitorování připojení |
Protokoly toku
| Akce | Popis |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Konfigurace protokolu toku |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Stav dotazu pro protokol toku |
| Microsoft.Network/networkSecurityGroups/write 1 | Vytvoří skupinu zabezpečení sítě nebo aktualizuje existující skupinu zabezpečení sítě. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Načtení sdílených přístupových podpisů (SAS) umožňující zabezpečený přístup k účtu úložiště a zápis do účtu úložiště |
1 Vyžaduje se pouze s protokoly toku NSG.
Analýza provozu
Vzhledem k tomu, že analýza provozu je povolená jako součást prostředku protokolu toku, jsou k protokolům toku vyžadována následující oprávnění:
| Akce | Popis |
|---|---|
| Microsoft.Network/applicationGateways/read | Získání aplikační brány |
| Microsoft.Network/connections/read | Získání VirtualNetworkGatewayConnection |
| Microsoft.Network/loadBalancers/read | Získání definice nástroje pro vyrovnávání zatížení |
| Microsoft.Network/localNetworkGateways/read | Získání LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Získání definice síťového rozhraní |
| Microsoft.Network/networkSecurityGroups/read | Získání definice skupiny zabezpečení sítě |
| Microsoft.Network/publicIPAddresses/read | Získání definice veřejné IP adresy |
| Microsoft.Network/routeTables/read | Získání definice směrovací tabulky |
| Microsoft.Network/virtualNetworkGateways/read | Získání brány VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Získání definice virtuální sítě |
| Microsoft.Network/expressRouteCircuits/read | Získání ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | Získání existujícího pracovního prostoru |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Načtení sdílených klíčů pro pracovní prostor |
| Microsoft.Insights/dataCollectionRules/read 1 | Čtení pravidla shromažďování dat |
| Microsoft.Insights/dataCollectionRules/write 1 | Vytvoření nebo aktualizace pravidla shromažďování dat |
| Microsoft.Insights/dataCollectionRules/delete 1 | Odstranění pravidla shromažďování dat |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Čtení koncového bodu shromažďování dat |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Vytvoření nebo aktualizace koncového bodu shromažďování dat |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Odstranění koncového bodu shromažďování dat |
1 Vyžaduje se pouze při použití analýzy provozu k analýze protokolů toku virtuální sítě. Další informace najdete v tématu Pravidla shromažďování dat ve službě Azure Monitor a koncové body shromažďování dat ve službě Azure Monitor.
Upozornění
Pravidla shromažďování dat a prostředky koncového bodu shromažďování dat se vytvářejí a spravují pomocí analýz provozu. Pokud u těchto prostředků provedete nějakou operaci, analýza provozu nemusí fungovat podle očekávání.
Řešení potíží s připojením
| Akce | Popis |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Zahájení testu řešení potíží s připojením |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Výsledky dotazu testu řešení potíží s připojením |
| Microsoft.Network/networkWatchers/troubleshoot/action | Spuštění testu řešení potíží s připojením |
Zachycení paketů
| Akce | Popis |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Dotaz na stav zachytávání paketů |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Zastavení zachytávání paketů |
| Microsoft.Network/networkWatchers/packetCaptures/read | Získání zachytávání paketů |
| Microsoft.Network/networkWatchers/packetCaptures/write | Vytvoření zachytávání paketů |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Odstranění zachytávání paketů |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Zobrazení stavu zachytávání paketů |
Ověření toku protokolu IP
| Akce | Popis |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Ověření toku PROTOKOLU IP |
Další směrování
| Akce | Popis |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Pro zadanou cílovou a cílovou IP adresu vraťte typ dalšího segmentu směrování a další IP adresu naděje. |
| Microsoft.Compute/virtualMachines/read | Získání vlastností virtuálního počítače |
| Microsoft.Network/networkInterfaces/read | Získání definice síťového rozhraní |
Zobrazení skupin zabezpečení sítě
| Akce | Popis |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Zobrazení skupin zabezpečení |
Topologie
| Akce | Popis |
|---|---|
| Microsoft.Network/networkWatchers/topologie/action | Získání topologie |
| Microsoft.Network/networkWatchers/topologie/read | Stejný jako výše uvedený |
Sestava dostupnosti
| Akce | Popis |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Získání sestavy dostupnosti Azure |
Další akce
Funkce Network Watcheru také vyžadují následující akce:
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/Read | Načtení přiřazení rolí Azure a definic zásad |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Zobrazení výčtu všech skupin prostředků v předplatném |
| Microsoft.Storage/storageAccounts/Read | Získání vlastností zadaného účtu úložiště |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Načtení sdílených přístupových podpisů (SAS) umožňující zabezpečený přístup k účtu úložiště a zápis do účtu úložiště |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Přihlaste se k virtuálnímu počítači, zachyťte pakety a nahrajte ho do účtu úložiště. |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Zkontrolujte, jestli je k dispozici rozšíření Network Watcher, a v případě potřeby nainstalujte. |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Přístup ke škálovacím sadám virtuálních počítačů, zachytávání paketů a jejich nahrání do účtu úložiště |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Zkontrolujte, jestli je k dispozici rozšíření Network Watcher, a v případě potřeby nainstalujte. |
| Microsoft.Insights/alertRules/* | Nastavení upozornění na metriky |
| Microsoft.Support/* | Vytvoření a aktualizace lístků podpory ze služby Network Watcher |