Azure 角色型存取控制 (Azure RBAC) 可將指派給組織成員的動作,限縮在該成員完成分配到的責任所需的範圍內。
要使用 Azure 網路觀察程式功能,必須將用於登錄 Azure 的帳戶分配給 擁有者、 參與者或 網路參與者 內置角色,或分配給 自定義角色 ,該角色包括為要使用的網路觀察程式功能列出的作。
重要
網路參與者不包含下列動作:
若要了解如何檢查指派給訂用帳戶中使用者的角色,請參閱使用 Azure 入口網站列出 Azure 角色指派。 如果您無法看見角色指派,請連絡個別的訂用帳戶管理員。
以下部分列出了使用網路觀察程式及其功能所需的最低許可權。 如需相關 Azure 許可權的完整清單,請參閱 Microsoft.Network 許可權、 Microsoft.Compute 許可權、 Microsoft.Storage 許可權、 Microsoft.Insights 許可權,以及 Microsoft.OperationalInsights 許可權。
網路監看員
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/read | 取得網路監看員 |
| Microsoft.Network/networkWatchers/write | 建立或更新網路監看員 |
| Microsoft.Network/networkWatchers/delete | 刪除網路監看員 |
連線監視
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | 啟動連線監視 |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | 停止連線監視 |
| Microsoft.Network/網路監視器/連線監控器/查詢/操作 | 查詢連線監視 |
| Microsoft.Network/networkWatchers/connectionMonitors/read | 取得連線監視 |
| Microsoft.Network/networkWatchers/connectionMonitors/write | 建立連線監視器 |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | 刪除連線監視 |
流程記錄
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | 獲取流日誌詳細資訊 |
| Microsoft.Network/networkWatchers/flowLogs/write | 創建流紀錄 |
| Microsoft.Network/networkWatchers/flowLogs/delete | 刪除流日誌 |
| Microsoft.Network/networkWatchers/configureFlowLog/action | 設定流量記錄 |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | 流量記錄的查詢狀態 |
| Microsoft.Network/networkSecurityGroups/寫入 1 | 建立網路安全性群組,或更新現有的網路安全性群組 |
| Microsoft.Storage/storageAccounts/listServiceSas/Action、 Microsoft.Storage/storageAccounts/listAccountSas/Action、 Microsoft.Storage/storageAccounts/listKeys/Action |
擷取共用存取簽章 (SAS) 以啟用儲存體帳戶的安全存取,以及寫入儲存體帳戶 |
1 僅在 NSG 流量記錄時才需要。
流量分析
由於流量分析會做為流量記錄資源的一部分啟用,因此除了流量記錄的所有必要權限之外,還需要下列權限:
| 動作 | 描述 |
|---|---|
| Microsoft.Network/applicationGateways/read | 取得應用程式閘道 |
| Microsoft.Network/connections/read | 取得 VirtualNetworkGatewayConnection |
| Microsoft.Network/expressRouteCircuits/read | 取得 ExpressRouteCircuit |
| Microsoft.Network/loadBalancers/read | 取得負載平衡器定義 |
| Microsoft.Network/localNetworkGateways/read | 取得 LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | 取得網路介面定義 |
| Microsoft.Network/networkSecurityGroups/read | 取得網路安全性群組定義 |
| Microsoft.Network/publicIPAddresses/read | 取得公用 IP 位址定義 |
| Microsoft.Network/routeTables/read | 取得路由表定義 |
| Microsoft.Network/virtualNetworkGateways/read | 取得 VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | 取得虛擬網路定義 |
| Microsoft.Compute/virtualMachines/read | 取得虛擬機器的屬性 |
| Microsoft.Compute/virtualMachineScaleSets/read | 取得虛擬機器擴展集的屬性 |
| Microsoft.OperationalInsights/workspaces/read | 取得現有工作區 |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | 擷取工作區的共用金鑰 |
| Microsoft.Insights/dataCollectionRules/讀取 1 | 讀取資料收集規則 |
| Microsoft.Insights/dataCollectionRules/write 1 | 建立或更新資料收集規則 |
| Microsoft.Insights/dataCollectionRules/delete 1 | 刪除資料收集規則 |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | 讀取資料收集端點 |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | 建立或更新資料收集端點 |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | 刪除資料收集端點 |
1 搭配虛擬網路流量記錄使用流量分析時,Log Analytics 工作區訂用帳戶上的必要項目。
警告
流量分析會在與 Log Analytics 工作區相同的資源群組中建立和管理 資料收集規則(DCR) 和 資料收集端點(DCE) 資源,並在前面加上 NWTA。 如果您對這些資源執行任何作業,流量分析可能無法如預期般運作。
重要
管理群組 目前不支援繼承的權限來啟用流量分析。
連線疑難排解
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action, Microsoft.Network/networkWatchers/connectivityCheck/read |
驗證建立從虛擬機到給定端點的直接 TCP 連接的可能性 |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | 連線疑難排解測試的查詢結果 |
| Microsoft.Network/networkWatchers/troubleshoot/action | 執行連線疑難排解測試 |
封包擷取
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | 查詢封包擷取的狀態 |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | 停止正在運行的數據包捕獲會話 |
| Microsoft.Network/networkWatchers/packetCaptures/read | 獲取數據包捕獲定義 |
| Microsoft.Network/networkWatchers/packetCaptures/write | 建立封包擷取 |
| Microsoft.Network/networkWatchers/packetCaptures/delete | 刪除封包擷取 |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | 檢視封包擷取的狀態 |
IP 流量驗證
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read |
傳回是否允許或拒絕往返特定目的地的封包 |
下一個躍點
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action Microsoft.Network/networkWatchers/nextHop/read |
針對指定的目標和目的地 IP 位址,傳回下一個躍點的類型和 IP 位址 |
| Microsoft.Compute/virtualMachines/read | 取得虛擬機器的屬性 |
| Microsoft.Network/networkInterfaces/read | 取得網路介面定義 |
網路安全性群組檢視
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | 查看應用於虛擬機的已配置和有效的網路安全組規則 |
拓撲
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/topology/action, Microsoft.Network/networkWatchers/topology/read |
獲取資源組中資源及其關係的網路級別檢視 |
可達性報告
| 動作 | 描述 |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | 獲取從指定位置到 Azure 區域的 Internet 服務提供者的相對延遲分數 |
其他動作
某些網路監控功能需要執行以下動作:
| 動作 | 描述 |
|---|---|
| Microsoft.Authorization/*/Read | 取得 Azure 角色指派和原則定義 |
| Microsoft.Resources/subscriptions/resourceGroups/Read | 列舉訂用帳戶中的所有資源群組 |
| Microsoft.Storage/storageAccounts/Read | 取得指定儲存體帳戶的屬性 |
| Microsoft.Storage/storageAccounts/listServiceSas/Action、 Microsoft.Storage/storageAccounts/listAccountSas/Action、 Microsoft.Storage/storageAccounts/listKeys/Action |
擷取共用存取簽章 (SAS) 以啟用儲存體帳戶的安全存取,以及寫入儲存體帳戶 |
| Microsoft.Compute/virtualMachines/Read、 Microsoft.Compute/virtualMachines/Write |
登入 VM、執行封包擷取並上傳至儲存體帳戶 |
| Microsoft.Compute/virtualMachines/extensions/Read、 Microsoft.Compute/virtualMachines/extensions/Write |
檢查網路監看員延伸模組是否存在,並視需要安裝 |
| Microsoft.Compute/virtualMachineScaleSets/Read、 Microsoft.Compute/virtualMachineScaleSets/Write |
存取虛擬機器擴展集、執行封包擷取並上傳至儲存體帳戶 |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read、 Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
檢查網路監看員延伸模組是否存在,並視需要安裝 |
| Microsoft.Insights/alertRules/* | 設定計量警示 |
| Microsoft.Support/* | 從網路監看員建立和更新支援票證 |