通过 Azure 基于角色的访问控制 (Azure RBAC),你可以将具体操作仅分配给需要完成其分配的职责的组织成员。
若要使用 Azure 网络观察程序功能,您登录 Azure 的帐户必须分配给 所有者、贡献者或网络贡献者等内置角色,或分配给包含您要使用的网络观察程序功能所需操作的自定义角色。
Important
网络参与者不包括以下操作:
若要了解如何检查分配给用户用于订阅的角色,请参阅使用 Azure 门户列出 Azure 角色分配。 如果看不到角色分配,请联系相应的订阅管理员。
以下部分列出了使用网络观察程序及其功能所需的最低权限。 有关相关 Azure 权限的完整列表,请参阅 Microsoft.Network 权限、 Microsoft.Compute 权限、 Microsoft.Storage 权限、 Microsoft.Insights 权限和 Microsoft.OperationalInsights 权限。
网络观察程序
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/read | 获取网络观察程序 |
| Microsoft.Network/networkWatchers/write | 创建或更新网络观察程序 |
| Microsoft.Network/networkWatchers/delete | 删除网络观察程序 |
Connection monitor
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | 启动连接监视器 |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | 停止连接监视器 |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | 查询连接监视器 |
| Microsoft.Network/networkWatchers/connectionMonitors/read | 获取连接监视器 |
| Microsoft.Network/networkWatchers/connectionMonitors/write | 创建连接监视器 |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | 删除连接监视器 |
Flow logs
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | 获取流日志详细信息 |
| Microsoft.Network/networkWatchers/flowLogs/write | 创建流日志 |
| Microsoft.Network/networkWatchers/flowLogs/delete | 删除流日志 |
| Microsoft.Network/networkWatchers/configureFlowLog/action | 配置流日志 |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | 流日志的查询状态 |
| Microsoft.Network/networkSecurityGroups/write 1 | 创建网络安全组,或更新现有的网络安全组 |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
提取共享访问签名 (SAS),实现对存储帐户的安全访问并写入存储帐户 |
1 仅 NSG 流日志需要。
Traffic analytics
由于流量分析是作为流日志资源的一部分启用的,因此,全部必需的流日志权限之外,还需要具有以下权限:
| Action | Description |
|---|---|
| Microsoft.Network/applicationGateways/read | 获取应用程序网关 |
| Microsoft.Network/connections/read | Get VirtualNetworkGatewayConnection |
| Microsoft.Network/expressRouteCircuits/read | 获取 ExpressRouteCircuit |
| Microsoft.Network/loadBalancers/read | 读取负载均衡器定义 |
| Microsoft.Network/localNetworkGateways/read | Get LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | 获取网络接口定义 |
| Microsoft.Network/networkSecurityGroups/read | 获取网络安全组定义 |
| Microsoft.Network/publicIPAddresses/read | 获取公共 IP 地址定义 |
| Microsoft.Network/routeTables/read | 获取路由表定义 |
| Microsoft.Network/virtualNetworkGateways/read | 获取 VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | 获取虚拟网络定义 |
| Microsoft.Compute/virtualMachines/read | 获取虚拟机的属性 |
| Microsoft.Compute/virtualMachineScaleSets/read | 获取虚拟机规模集的属性 |
| Microsoft.OperationalInsights/workspaces/read | 获取现有工作区 |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | 检索工作区的共享密钥 |
| Microsoft.Insights/dataCollectionRules/read 1 | 读取数据收集规则 |
| Microsoft.Insights/dataCollectionRules/write 1 | 创建或更新数据收集规则 |
| Microsoft.Insights/dataCollectionRules/delete 1 | 删除数据收集规则 |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | 读取数据收集终结点 |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | 创建或更新数据收集终结点 |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | 删除数据收集终结点 |
1 在使用流量分析与虚拟网络流日志时,需要在 Log Analytics 工作区的订阅上启用。
Caution
流量分析在与 Log Analytics 工作区相同的资源组中创建和管理 数据收集规则(DCR) 和 数据收集终结点(DCE) 资源,其前缀为 NWTA前缀。 如果对这些资源执行任何操作,流量分析可能无法按预期运行。
Important
管理组继承的权限目前不支持启用流量分析。
Connection troubleshoot
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action, Microsoft.Network/networkWatchers/connectivityCheck/read |
验证建立从虚拟机到给定终结点的直接 TCP 连接的可能性 |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | 连接故障排除测试的查询结果 |
| Microsoft.Network/networkWatchers/troubleshoot/action | 运行连接故障排除测试 |
Packet capture
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | 查询数据包捕获的状态 |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | 停止正在运行的数据包捕获会话 |
| Microsoft.Network/networkWatchers/packetCaptures/read | 获取数据包捕获定义 |
| Microsoft.Network/networkWatchers/packetCaptures/write | 创建数据包捕获 |
| Microsoft.Network/networkWatchers/packetCaptures/delete | 删除数据包捕获 |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | 查看数据包捕获的状态 |
IP 流验证
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read |
返回该数据包是否被允许或拒绝发送到或接收自特定目的地。 |
Next hop
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
对于指定的目标和目标 IP 地址,返回下一跃点类型和下一跃点 IP 地址 |
| Microsoft.Compute/virtualMachines/read | 获取虚拟机的属性 |
| Microsoft.Network/networkInterfaces/read | 获取网络接口定义 |
网络安全组视图
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | 查看在虚拟机上应用的已配置和有效的网络安全组规则 |
Topology
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/topology/action, Microsoft.Network/networkWatchers/topology/read |
获取资源组中资源的网络级别视图及其关系 |
Reachability report
| Action | Description |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | 从指定位置到 Azure 区域获取 Internet 服务提供商的相对延迟分数 |
Additional actions
某些网络观察者功能需要执行以下任务:
| Action | Description |
|---|---|
| Microsoft.Authorization/*/Read | 提取 Azure 角色分配和策略定义 |
| Microsoft.Resources/subscriptions/resourceGroups/Read | 枚举订阅中的所有资源组 |
| Microsoft.Storage/storageAccounts/Read | 获取指定存储帐户的属性 |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
提取共享访问签名 (SAS),实现对存储帐户的安全访问并写入存储帐户 |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
登录到 VM、执行数据包捕获,并将其上传到存储帐户 |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
检查网络观察程序扩展是否存在,并在必要时安装 |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
访问虚拟机规模集、执行数据包捕获并将其上传到存储帐户 |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
检查网络观察程序扩展是否存在,并在必要时安装 |
| Microsoft.Insights/alertRules/* | 设置指标警报 |
| Microsoft.Support/* | 从网络观察程序创建和更新支持票证 |