Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O controle de acesso baseado em função do Azure (Azure RBAC) permite que você atribua apenas as ações específicas que os membros de sua organização precisam para concluir suas responsabilidades atribuídas.
Para usar os recursos do Observador de Rede do Azure, a conta com a qual você faz logon no Azure deve ser atribuída às funções internas Proprietário, Colaborador ou Colaborador de Rede ou atribuída a uma função personalizada que inclua as ações listadas para o recurso observador de rede que você deseja usar.
Importante
O Colaborador de rede não inclui as seguintes ações:
- Ações do Microsoft.Storage/* listadas na seção Ações adicionais ou Logs de fluxo.
- Ações do Microsoft.Compute/* listadas na seção Ações adicionais.
- Ações do Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* ou Microsoft.Insights/dataCollectionEndpoints/* listadas na seção Análise de tráfego.
Para saber como verificar as funções atribuídas a um usuário para uma assinatura, consulte Listar as atribuições de função do Azure usando o portal do Azure. Se você não conseguir ver as atribuições de função, entre em contato com o respectivo administrador de assinatura.
As seções a seguir listam as permissões mínimas necessárias para usar o Observador de Rede e seus recursos. Para obter uma lista completa das permissões relacionadas do Azure, consulte permissões Microsoft.Network, permissões Microsoft.Compute, permissões Microsoft.Storage, permissões do Microsoft.Insights e permissões Microsoft.OperationalInsights.
Observador de Rede
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/read | Obter um observador de rede |
| Microsoft.Network/networkWatchers/write | Criar ou atualizar um observador de rede |
| Microsoft.Network/networkWatchers/delete | Excluir um observador de rede |
Monitor de conexão
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Iniciar um monitor de conexão |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Parar um monitor de conexão |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Consultar um monitor de conexão |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Obter um monitor de conexão |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Criar um monitor de conexão |
| Microsoft.Network/monitoradoresDeRede/monitoresDeConexão/excluir | Excluir um monitor de conexão |
Registros de fluxo
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | Obter detalhes do log de fluxo |
| Microsoft.Network/networkWatchers/flowLogs/write | Cria um log de fluxo |
| Microsoft.Network/networkWatchers/flowLogs/delete | Exclui um log de fluxo |
| Microsoft.Network/networkWatchers/configureFlowLog/action | Configurar um log de fluxo |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Consultar o status de um registro de fluxo |
| Microsoft.Network/networkSecurityGroups/write 1 | Criar um grupo de segurança de rede ou atualizar um grupo de segurança de rede existente |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Buscar assinaturas de acesso compartilhado (SAS) permitindo acesso seguro à conta de armazenamento e gravar na conta de armazenamento |
1 Necessário somente com logs de fluxo de NSG.
Análise de tráfego
Como a análise de tráfego está habilitada como parte do recurso de log de fluxo, as seguintes permissões são necessárias além de todas as permissões necessárias para Logs de fluxo:
| Ação | Descrição |
|---|---|
| Microsoft.Network/applicationGateways/read | Obter um gateway de aplicativo |
| Microsoft.Network/connections/read | Obter um VirtualNetworkGatewayConnection |
| Microsoft.Network/expressRouteCircuits/read | Obter um ExpressRouteCircuit |
| Microsoft.Network/loadBalancers/read | Obter uma definição do balanceador de carga |
| Microsoft.Network/localNetworkGateways/read | Obter LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Obter uma definição de interface de rede |
| Microsoft.Network/networkSecurityGroups/read | Obter uma definição de um grupo de segurança de rede |
| Microsoft.Network/publicIPAddresses/read | Obter uma definição de endereço IP público |
| Microsoft.Network/routeTables/read | Obter uma definição de tabela de rota |
| Microsoft.Network/virtualNetworkGateways/read | Obter um VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Obter uma definição de rede virtual |
| Microsoft.Compute/virtualMachines/read | Obter as propriedades de uma máquina virtual |
| Microsoft.Compute/virtualMachineScaleSets/read | Obtém as propriedades de um conjunto de dimensionamento de máquinas virtuais |
| Microsoft.OperationalInsights/workspaces/read | Obter uma área de trabalho existente |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Recuperar as chaves compartilhadas para o espaço de trabalho |
| Microsoft.Insights/dataCollectionRules/read 1 | Ler uma regra de coleta de dados |
| Microsoft.Insights/dataCollectionRules/write 1 | Criar ou atualizar uma regra de coleta de dados |
| Microsoft.Insights/dataCollectionRules/excluir 1 | Excluir uma regra de coleta de dados |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Ler um ponto de extremidade da coleta de dados |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Criar ou atualizar um ponto de extremidade da coleta de dados |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Excluir um terminal de coleta de dados |
1 Obrigatório na assinatura do workspace do Log Analytics ao usar a análise de tráfego com logs de fluxo de rede virtual.
Cuidado
A análise de tráfego cria e gerencia recursos regra de coleta de dados (DCR) e ponto de extremidade de coleta de dados (DCE) no mesmo grupo de recursos que a área de trabalho do Log Analytics, prefixados com NWTA. Se você executar qualquer operação nesses recursos, a análise de tráfego poderá não funcionar conforme o esperado.
Importante
Permissões herdadas de grupo de gerenciamento não são atualmente suportadas para habilitar a análise de tráfego.
Solução de problemas na conexão
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action, Microsoft.Network/networkWatchers/connectivityCheck/read |
Verifique a possibilidade de estabelecer uma conexão TCP direta de uma máquina virtual para um determinado ponto de extremidade |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Consultar resultados de um teste de solução de problemas de conexão |
| Microsoft.Network/networkWatchers/troubleshoot/action | Executar um teste de solução de problemas de conexão |
Captura de pacotes
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Consultar o status de uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Interromper a sessão de captura de pacote em execução |
| Microsoft.Network/networkWatchers/packetCaptures/read | Obter uma definição de captura de pacote |
| Microsoft.Network/networkWatchers/packetCaptures/write | Criar uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Excluir uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Exibir o status de uma captura de pacote |
verificação de fluxo de IP
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read |
Retornar se o pacote é permitido ou negado em relação a um destino específico |
Próximo salto
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Para um endereço IP de destino e destino especificado, retorne o tipo de próximo salto e o endereço IP do próximo salto |
| Microsoft.Compute/virtualMachines/read | Obter as propriedades de uma máquina virtual |
| Microsoft.Network/networkInterfaces/read | Obter uma definição de interface de rede |
Exibição de grupo de segurança de rede
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Exibir as regras de grupo de segurança de rede configuradas e eficazes aplicadas em uma máquina virtual |
Topologia
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/topology/action, Microsoft.Network/networkWatchers/topology/read |
Obter uma exibição de nível de rede dos recursos e suas relações em um grupo de recursos |
Relatório de acessibilidade
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Obter a pontuação de latência relativa para provedores de serviços de Internet de um local especificado para regiões do Azure |
Ações adicionais
Alguns recursos do Observador de Rede exigem as seguintes ações:
| Ação | Descrição |
|---|---|
| Microsoft.Authorization/*/Read | Buscar atribuições de função e definições de política do Azure |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Enumerar todos os grupos de recursos em uma assinatura |
| Microsoft.Storage/storageAccounts/Read | Obter as propriedades para a conta de armazenamento especificada |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Buscar assinaturas de acesso compartilhado (SAS) permitindo acesso seguro à conta de armazenamento e gravar na conta de armazenamento |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Entre na VM, faça uma captura de pacote e carregue-a na conta de armazenamento |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Verifique se a extensão Observador de Rede está presente e instale-a, se necessário |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Acessar conjuntos de dimensionamento de máquinas virtuais, fazer capturas de pacotes e carregá-los na conta de armazenamento |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Verifique se a extensão Observador de Rede está presente e instale-a, se necessário |
| Microsoft.Insights/alertRules/* | Configurar alertas de métricas |
| Microsoft.Support/* | Criar e atualizar tíquetes de suporte do Observador de Rede |