閱讀英文

共用方式為

使用网络监视器所需的 Azure 角色访问权限

通过 Azure 基于角色的访问控制 (Azure RBAC),你可以将具体操作仅分配给需要完成其分配的职责的组织成员。

若要使用 Azure 网络观察程序功能,您登录 Azure 的帐户必须分配给 所有者贡献者网络贡献者等内置角色,或分配给包含您要使用的网络观察程序功能所需操作的自定义角色

重要

网络参与者不包括以下操作:

  • 其他操作流日志部分中列出的 Microsoft.Storage/* 操作。
  • 其他操作部分中列出的 Microsoft.Compute/* 操作。
  • 流量分析部分中列出的 Microsoft.OperationalInsights/workspaces/*、Microsoft.Insights/dataCollectionRules/* 或 Microsoft.Insights/dataCollectionEndpoints/* 操作。

若要了解如何检查分配给用户用于订阅的角色,请参阅使用 Azure 门户列出 Azure 角色分配。 如果看不到角色分配,请联系相应的订阅管理员。

以下部分列出了使用网络观察程序及其功能所需的最低权限。 有关相关 Azure 权限的完整列表,请参阅 Microsoft.Network 权限Microsoft.Insights 权限Microsoft.OperationalInsights 权限

网络观察程序

操作 说明
Microsoft.Network/networkWatchers/read 获取网络观察程序
Microsoft 网络/网络观察者/写入 创建或更新网络观察程序
Microsoft.Network/networkWatchers/delete 删除网络观察程序

连接监视器

操作 说明
Microsoft.Network/networkWatchers/connectionMonitors/start/action 启动连接监视器
Microsoft.Network/networkWatchers/connectionMonitors/stop/action 停止连接监视器
Microsoft.Network/networkWatchers/connectionMonitors/query/action 查询连接监视器
Microsoft.Network/networkWatchers/connectionMonitors/read 获取连接监视器
微软.网络/网络监视器/连接监视器/写入 创建连接监视器
Microsoft.Network/networkWatchers/connectionMonitors/delete 删除连接监视器

流日志

操作 说明
Microsoft.Network/网络监视器/流日志/读取 获取流日志详细信息
Microsoft.Network/networkWatchers/flowLogs/write 创建流日志
Microsoft.Network/网络观察员/流日志/删除 删除流日志
Microsoft.Network/networkWatchers/configureFlowLog/action 配置流日志
Microsoft.Network/networkWatchers/queryFlowLogStatus/action 流日志的查询状态
Microsoft.Network/networkSecurityGroups/write 1 创建网络安全组,或更新现有的网络安全组
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/操作
提取共享访问签名 (SAS),实现对存储帐户的安全访问并写入存储帐户

1 仅 NSG 流日志需要。

流量分析

由于流量分析是作为流日志资源的一部分启用的,因此,全部必需的流日志权限之外,还需要具有以下权限:

操作 说明
Microsoft.Network/applicationGateways/read 获取应用程序网关
微软网络/连接/读取 获取 VirtualNetworkGatewayConnection
Microsoft.Network/loadBalancers/read 读取负载均衡器定义
Microsoft.Network/localNetworkGateways/读取 获取 LocalNetworkGateway
Microsoft 网络/网络接口/读取 获取网络接口定义
Microsoft.Network/networkSecurityGroups/read 获取网络安全组定义
Microsoft.Network/publicIPAddresses/read(微软网络/公共IP地址/读取) 获取公共 IP 地址定义
Microsoft.Network/routeTables/read 获取路由表定义
Microsoft.Network/virtualNetworkGateways/read 获取 VirtualNetworkGateway
Microsoft.Network/virtualNetworks/read 获取虚拟网络定义
Microsoft.Network/expressRouteCircuits/read 获取 ExpressRouteCircuit
Microsoft.OperationalInsights/workspaces/read 获取现有工作区
Microsoft.OperationalInsights/workspaces/sharedkeys/action 检索工作区的共享密钥
Microsoft.Insights/dataCollectionRules/read 1 读取数据收集规则
Microsoft.Insights/dataCollectionRules/write 1 创建或更新数据收集规则
Microsoft.Insights/dataCollectionRules/delete 1 删除数据收集规则
Microsoft.Insights/dataCollectionEndpoints/read 1 读取数据收集终结点
Microsoft.Insights/dataCollectionEndpoints/write 1 创建或更新数据收集终结点
Microsoft.Insights/dataCollectionEndpoints/delete 1 删除数据收集终结点

1 仅当使用流量分析来分析虚拟网络流日志时是必需的。 有关详细信息,请参阅 Azure Monitor 中的数据收集规则,以及 Azure Monitor 中的数据收集终结点

警告

流量分析在与工作区相同的资源组中创建和管理数据收集规则和数据收集终结点资源,其前缀为 NWTA。 如果对这些资源执行任何操作,流量分析可能无法按预期运行。

重要

管理组继承的权限目前不支持启用流量分析。

排查连接问题

操作 说明
Microsoft.Network/networkWatchers/connectivityCheck/action,
Microsoft.Network/networkWatchers/connectivityCheck/读取
验证建立从虚拟机到给定终结点的直接 TCP 连接的可能性
Microsoft.Network/networkWatchers/queryTroubleshootResult/action 连接故障排除测试的查询结果
Microsoft.Network/networkWatchers/troubleshoot/action 运行连接故障排除测试

数据包捕获

操作 说明
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action 查询数据包捕获的状态
Microsoft.Network/networkWatchers/packetCaptures/stop/action 停止正在运行的数据包捕获会话
Microsoft.Network/networkWatchers/packetCaptures/read 获取数据包捕获定义
Microsoft.Network/networkWatchers/packetCaptures/write 创建数据包捕获
Microsoft.Network/networkWatchers/packetCaptures/delete 删除数据包捕获
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read 查看数据包捕获的状态

IP 流验证

操作 说明
Microsoft.Network/networkWatchers/ipFlowVerify/action,
Microsoft.Network/networkWatchers/ipFlowVerify/read
返回该数据包是否被允许或拒绝发送到或接收自特定目的地。

下一跃点

操作 说明
Microsoft.Network/networkWatchers/nextHop/action,
Microsoft.Network/networkWatchers/nextHop/read
对于指定的目标和目标 IP 地址,返回下一跃点类型和下一跃点 IP 地址
Microsoft.Compute/virtualMachines/read 获取虚拟机的属性
Microsoft.Network/networkInterfaces/read 获取网络接口定义

网络安全组视图

操作 说明
Microsoft.Network/networkWatchers/securityGroupView/action 查看在虚拟机上应用的已配置和有效的网络安全组规则

拓扑

操作 说明
Microsoft.Network/networkWatchers/topology/action,
Microsoft.Network/networkWatchers/topology/read
获取资源组中资源的网络级别视图及其关系

可访问性报表

操作 说明
Microsoft.Network/networkWatchers/azureReachabilityReport/action 从指定位置到 Azure 区域获取 Internet 服务提供商的相对延迟分数

其他操作

某些网络观察者功能需要执行以下任务:

操作 说明
Microsoft.Authorization/*/Read (读取权限) 提取 Azure 角色分配和策略定义
Microsoft.Resources/subscriptions/resourceGroups/Read 枚举订阅中的所有资源组
Microsoft.Storage/storageAccounts/Read 获取指定存储帐户的属性
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/操作
提取共享访问签名 (SAS),实现对存储帐户的安全访问并写入存储帐户
Microsoft.Compute/virtualMachines/Read、
Microsoft.Compute/virtualMachines/Write
登录到 VM、执行数据包捕获,并将其上传到存储帐户
Microsoft.Compute/virtualMachines/extensions/Read,
Microsoft.Compute/virtualMachines/extensions/Write
检查网络观察程序扩展是否存在,并在必要时安装
Microsoft.Compute/virtualMachineScaleSets/Read,
Microsoft.Compute/virtualMachineScaleSets/Write
访问虚拟机规模集、执行数据包捕获并将其上传到存储帐户
Microsoft.Compute/virtualMachineScaleSets/extensions/Read。
Microsoft.Compute/virtualMachineScaleSets/extensions/Write
检查网络观察程序扩展是否存在,并在必要时安装
Microsoft.Insights/alertRules/* 设置指标警报
Microsoft.Support/* 从网络观察程序创建和更新支持票证