Autorizzazioni di controllo degli accessi in base al ruolo necessarie per utilizzare le funzionalità di Network Watcher
Il controllo degli accessi in base al ruolo (RBAC) di Azure consente di assegnare solo le azioni specifiche ai membri dell'organizzazione necessarie per completare le responsabilità a loro assegnate. Per usare le funzionalità di Network Watcher di Azure è necessario assegnare l'account a cui si effettua l'accesso in Azure ai ruoli incorporati di Proprietario, Collaboratore, o Collaboratore rete oppure a un ruolo personalizzato a cui sono assegnate le azioni elencate per ciascuna funzionalità Network Watcher nelle sezioni che seguono. Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente. Per altre informazioni sulle funzionalità di Network Watcher, vedere Informazioni su Network Watcher.
Importante
Il collaboratore rete non copre le azioni seguenti:
- Azioni Microsoft.Storage/* elencate nella sezione Azioni aggiuntive o Log di flusso.
- Azioni Microsoft.Compute/* elencate nella sezioni Azioni aggiuntive.
- Azioni Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* o Microsoft.Insights/dataCollectionEndpoints/* elencate nella sezione Analisi del traffico.
Network Watcher
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/read | Ottenere un'istanza di Network Watcher |
| Microsoft.Network/networkWatchers/write | Creare o aggiornare un'istanza di Network Watcher |
| Microsoft.Network/networkWatchers/delete | Eliminare un'istanza di Network Watcher |
Monitoraggio connessione
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Avviare il monitoraggio di una connessione |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Interrompere il monitoraggio di una connessione |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Effettuare una query del monitoraggio di una connessione |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Ottenere il monitoraggio di una connessione |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Creare un monitoraggio della connessione |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Eliminare il monitoraggio di una connessione |
Log dei flussi
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Configurare un log del flusso |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Effettuare una query dello stato per un log del flusso |
| Microsoft.Network/networkSecurityGroups/write 1 | Crea un gruppo di sicurezza di rete o ne aggiorna uno esistente |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Recuperare le firme di accesso condiviso (SAS) abilitando l'accesso sicuro all'account di archiviazione e scrivere nell'account di archiviazione |
1 Necessario solo con i log di flusso NSG.
Analisi del traffico
Poiché l'analisi del traffico è abilitata come parte della risorsa log di flusso, sono necessarie le autorizzazioni seguenti oltre a tutte le autorizzazioni necessarie per Log di flusso:
| Azione | Descrizione |
|---|---|
| Microsoft.Network/applicationGateways/read | Ottenere un gateway applicazione |
| Microsoft.Network/connections/read | Ottiene una connessione di gateway di rete virtuale |
| Microsoft.Network/loadBalancers/read | Ottenere una definizione del bilanciamento del carico |
| Microsoft.Network/localNetworkGateways/read | Ottenere LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Ottenere una definizione di interfaccia di rete |
| Microsoft.Network/networkSecurityGroups/read | Ottenere una definizione di gruppo di sicurezza di rete |
| Microsoft.Network/publicIPAddresses/read | Ottenere una definizione di indirizzo IP pubblico |
| Microsoft.Network/routeTables/read | Ottenere una definizione di tabella di route |
| Microsoft.Network/virtualNetworkGateways/read | Ottenere un virtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Ottenere una definizione di rete virtuale |
| Microsoft.Network/expressRouteCircuits/read | Ottiene un ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | Ottenere un'area di lavoro esistente |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Recupera le chiavi condivise per l'area di lavoro |
| Microsoft.Insights/dataCollectionRules/read 1 | Leggere una regola di raccolta dati |
| Microsoft.Insights/dataCollectionRules/write 1 | Creare o aggiornare una regola di raccolta dati |
| Microsoft.Insights/dataCollectionRules/delete 1 | Eliminare una regola di raccolta dati |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Legge un endpoint di raccolta dati |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Creare o aggiornare un endpoint di raccolta dati |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Eliminare un endpoint di raccolta dati |
1 Necessario solo quando si usa l'analisi del traffico per analizzare i log dei flussi di rete virtuale. Per altre informazioni, vedere Regole di raccolta dati in Monitoraggio di Azure ed Endpoint di raccolta dati in Monitoraggio di Azure.
Attenzione
Le regole e le risorse dell'endpoint di raccolta dati vengono create e gestite dall'analisi del traffico. Se si esegue un'operazione su queste risorse, l'analisi del traffico potrebbe non funzionare come previsto.
Risoluzione dei problemi di connessione
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Avviare un test per la risoluzione dei problemi di connessione |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Effettuare una query dei risultati di un test per la risoluzione dei problemi di connessione |
| Microsoft.Network/networkWatchers/troubleshoot/action | Eseguire un test per la risoluzione dei problemi di connessione |
Acquisizione pacchetti
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Effettuare una query dello stato di un'acquisizione di pacchetti |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Interrompere un'acquisizione di pacchetti |
| Microsoft.Network/networkWatchers/packetCaptures/read | Ottenere un'acquisizione di pacchetti |
| Microsoft.Network/networkWatchers/packetCaptures/write | Creare un'acquisizione di pacchetti |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Eliminare un'acquisizione di pacchetti |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Visualizzare lo stato di un'acquisizione pacchetti |
Verifica flusso IP
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Verificare un flusso dell'IP |
Hop successivo
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Per un indirizzo IP destinazione specificato, restituisce il tipo di hop successivo e l’indirizzo IP dell’hop successivo |
| Microsoft.Compute/virtualMachines/read | Ottiene le proprietà di una macchina virtuale |
| Microsoft.Network/networkInterfaces/read | Ottenere una definizione di interfaccia di rete |
Visualizzazione dei gruppi di sicurezza di rete
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Visualizzare i gruppi di sicurezza |
Topologia
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Ottenere la topologia |
| Microsoft.Network/networkWatchers/topology/read | Vedere sopra. |
Report di raggiungibilità
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Ottenere un report di raggiungibilità di Azure |
Azioni aggiuntive
Le funzionalità di Network Watcher richiedono anche le azioni seguenti:
| Azioni | Descrizione |
|---|---|
| Microsoft.Authorization/*/Read | Recuperare le assegnazioni di ruolo e le definizioni dei criteri di Azure |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Enumerare tutti i gruppi di risorse in una sottoscrizione |
| Microsoft.Storage/storageAccounts/Read | Ottenere le proprietà per l'account di archiviazione specificato |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Recuperare le firme di accesso condiviso (SAS) abilitando l'accesso sicuro all'account di archiviazione e scrivere nell'account di archiviazione |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Accedere alla macchina virtuale, eseguire un'acquisizione di pacchetti e caricarla nell'account di archiviazione |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Controllare se l'estensione Network Watcher è presente e provvedere all’installazione se necessario |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Accedere ai set di scalabilità di macchine virtuali, eseguire acquisizioni di pacchetti e caricarle nell'account di archiviazione |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Controllare se l'estensione Network Watcher è presente e provvedere all’installazione se necessario |
| Microsoft.Insights/alertRules/* | Configurare gli avvisi delle metriche |
| Microsoft.Support/* | Creare e aggiornare i ticket di supporto da Network Watcher |