Machtigingen voor op rollen gebaseerd toegangsbeheer van Azure die zijn vereist voor het gebruik van network Watcher-mogelijkheden
Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u alleen de specifieke acties toewijzen aan leden van uw organisatie die ze nodig hebben om hun toegewezen verantwoordelijkheden te voltooien. Als u de mogelijkheden van Azure Network Watcher wilt gebruiken, moet het account waarmee u zich aanmeldt bij Azure, worden toegewezen aan de ingebouwde rollen Eigenaar, Inzender of Netwerkbijdrager, of toegewezen aan een aangepaste rol waaraan de acties zijn toegewezen die worden vermeld voor elke Network Watcher-functie in de volgende secties. Zie Azure-roltoewijzingen weergeven met behulp van Azure Portal voor meer informatie over het controleren van rollen die zijn toegewezen aan een gebruiker voor een abonnement. Als u de roltoewijzingen niet kunt zien, neemt u contact op met de desbetreffende abonnementsbeheerder. Zie Wat is Network Watcher voor meer informatie over de mogelijkheden van Network Watcher?
Belangrijk
Netwerkbijdrager heeft geen betrekking op de volgende acties:
- Microsoft.Storage/*-acties die worden vermeld in de sectie Aanvullende acties of stroomlogboeken .
- Microsoft.Compute/* acties die worden vermeld in de sectie Aanvullende acties .
- Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* of Microsoft.Insights/dataCollectionEndpoints/* acties die worden vermeld in de sectie Traffic Analytics .
Network Watcher
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/networkWatchers/read | Een network watcher ophalen |
| Microsoft.Network/networkWatchers/write | Een network watcher maken of bijwerken |
| Microsoft.Network/networkWatchers/delete | Een network watcher verwijderen |
Verbindingsmonitor
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Een verbindingsmonitor starten |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Een verbindingsmonitor stoppen |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Een query uitvoeren op een verbindingsmonitor |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Een verbindingsmonitor ophalen |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Een verbindingsmonitor maken |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Een verbindingsmonitor verwijderen |
Stroomlogboeken
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Een stroomlogboek configureren |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Querystatus voor een stroomlogboek |
| Microsoft.Network/networkSecurityGroups/write 1 | Hiermee maakt u een netwerkbeveiligingsgroep of werkt u een bestaande netwerkbeveiligingsgroep bij |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Shared Access Signatures (SAS) ophalen die beveiligde toegang tot opslagaccounts mogelijk maken en schrijven naar het opslagaccount |
1 Alleen vereist met NSG-stroomlogboeken.
Verkeersanalyse
Omdat traffic analytics is ingeschakeld als onderdeel van de stroomlogboekresource, zijn de volgende machtigingen vereist naast alle vereiste machtigingen voor Stroomlogboeken:
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/applicationGateways/read | Een toepassingsgateway ophalen |
| Microsoft.Network/connections/read | VirtualNetworkGatewayConnection ophalen |
| Microsoft.Network/loadBalancers/read | Een load balancer-definitie ophalen |
| Microsoft.Network/localNetworkGateways/read | LocalNetworkGateway ophalen |
| Microsoft.Network/networkInterfaces/read | Een netwerkinterfacedefinitie ophalen |
| Microsoft.Network/networkSecurityGroups/read | Een definitie van een netwerkbeveiligingsgroep ophalen |
| Microsoft.Network/publicIPAddresses/read | Een definitie van een openbaar IP-adres ophalen |
| Microsoft.Network/routeTables/read | Een definitie van een routetabel ophalen |
| Microsoft.Network/virtualNetworkGateways/read | Een VirtualNetworkGateway ophalen |
| Microsoft.Network/virtualNetworks/read | Een definitie van een virtueel netwerk ophalen |
| Microsoft.Network/expressRouteCircuits/read | Een ExpressRouteCircuit ophalen |
| Microsoft.OperationalInsights/workspaces/read | Een bestaande werkruimte ophalen |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | De gedeelde sleutels voor de werkruimte ophalen |
| Microsoft.Insights/dataCollectionRules/read 1 | Een regel voor gegevensverzameling lezen |
| Microsoft.Insights/dataCollectionRules/write 1 | Een regel voor gegevensverzameling maken of bijwerken |
| Microsoft.Insights/dataCollectionRules/delete 1 | Een regel voor gegevensverzameling verwijderen |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Een eindpunt voor gegevensverzameling lezen |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Een eindpunt voor gegevensverzameling maken of bijwerken |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Een eindpunt voor gegevensverzameling verwijderen |
1 Alleen vereist bij het gebruik van verkeersanalyse voor het analyseren van stroomlogboeken voor virtuele netwerken. Zie Gegevensverzamelingsregels in Eindpunten voor gegevensverzameling in Azure Monitor en eindpunten voor gegevensverzameling in Azure Monitor voor meer informatie.
Let op
Gegevensverzamelingsregel en eindpuntbronnen voor gegevensverzameling worden gemaakt en beheerd door verkeersanalyses. Als u een bewerking op deze resources uitvoert, werkt traffic analytics mogelijk niet zoals verwacht.
Problemen met de verbinding oplossen
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Test voor het oplossen van problemen met een verbinding starten |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Queryresultaten van een test voor het oplossen van problemen met verbindingen |
| Microsoft.Network/networkWatchers/troubleshoot/action | Een test voor het oplossen van verbindingsproblemen uitvoeren |
Pakketopname
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | De status van een pakketopname opvragen |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Een pakketopname stoppen |
| Microsoft.Network/networkWatchers/packetCaptures/read | Een pakketopname ophalen |
| Microsoft.Network/networkWatchers/packetCaptures/write | Een pakketopname maken |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Een pakketopname verwijderen |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | De status van een pakketopname weergeven |
IP-stroom controleren
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Een IP-stroom verifiëren |
Volgende hop
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Voor een opgegeven doel- en doel-IP-adres retourneert u het type volgende hop en het volgende hoop-IP-adres |
| Microsoft.Compute/virtualMachines/read | Get the properties of a virtual machine (De eigenschappen van een virtuele machine ophalen) |
| Microsoft.Network/networkInterfaces/read | Een netwerkinterfacedefinitie ophalen |
Netwerkbeveiligingsgroep weergeven
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Beveiligingsgroepen weergeven |
Topologie
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Topologie ophalen |
| Microsoft.Network/networkWatchers/topology/read | Hetzelfde als hierboven |
Rapport Bereikbaarheid
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Een Azure-bereikrapport ophalen |
Extra opties
Voor network Watcher-mogelijkheden zijn ook de volgende acties vereist:
| Actie(s) | Beschrijving |
|---|---|
| Microsoft.Authorization/*/Read | Azure-roltoewijzingen en beleidsdefinities ophalen |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Alle resourcegroepen in een abonnement opsommen |
| Microsoft.Storage/storageAccounts/Read | De eigenschappen voor het opgegeven opslagaccount ophalen |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Shared Access Signatures (SAS) ophalen die beveiligde toegang tot opslagaccounts mogelijk maken en schrijven naar het opslagaccount |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Meld u aan bij de virtuele machine, voer een pakketopname uit en upload deze naar het opslagaccount |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Controleer of de Network Watcher-extensie aanwezig is en installeer indien nodig |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Toegang tot virtuele-machineschaalsets, pakketopnamen uitvoeren en uploaden naar opslagaccount |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Controleer of de Network Watcher-extensie aanwezig is en installeer indien nodig |
| Microsoft.Insights/alertRules/* | Waarschuwingen voor metrische gegevens instellen |
| Microsoft.Support/* | Ondersteuningstickets maken en bijwerken vanuit Network Watcher |