Permissões de controle de acesso baseadas em função do Azure necessárias para usar os recursos do Inspetor de Rede
O controle de acesso baseado em função do Azure (Azure RBAC) permite que você atribua apenas as ações específicas aos membros da sua organização que eles precisam para concluir suas responsabilidades atribuídas. Para usar os recursos do Observador de Rede do Azure, a conta com a qual você faz logon no Azure deve ser atribuída às funções internas de Proprietário, Colaborador ou Colaborador de Rede ou atribuída a uma função personalizada à qual são atribuídas as ações listadas para cada recurso do Inspetor de Rede nas seções a seguir. Para saber como verificar as funções atribuídas a um usuário para uma assinatura, consulte Listar atribuições de função do Azure usando o portal do Azure. Se não conseguir ver as atribuições de função, contacte o respetivo administrador de subscrição. Para saber mais sobre os recursos do Network Watcher, consulte O que é o Network Watcher?
Importante
O contribuidor da rede não abrange as seguintes ações:
- Ações Microsoft.Storage/* listadas na seção Ações adicionais ou Logs de fluxo.
- Ações Microsoft.Compute/* listadas na seção Ações adicionais.
- Ações Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* ou Microsoft.Insights/dataCollectionEndpoints/* listadas na seção Análise de tráfego.
Observador de Rede
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/ler | Obter um observador de rede |
| Microsoft.Network/networkWatchers/gravação | Criar ou atualizar um observador de rede |
| Microsoft.Network/networkWatchers/excluir | Excluir um observador de rede |
Monitor de ligação
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Iniciar um monitor de ligação |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Parar um monitor de ligação |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Consultar um monitor de ligação |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Obter um monitor de ligação |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Criar um monitor de ligação |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Excluir um monitor de conexão |
Registos de fluxo
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Configurar um log de fluxo |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Status da consulta para um log de fluxo |
| Microsoft.Network/networkSecurityGroups/gravação 1 | Cria um grupo de segurança de rede ou atualiza um grupo de segurança de rede existente |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Buscar assinaturas de acesso compartilhado (SAS) permitindo acesso seguro à conta de armazenamento e gravar na conta de armazenamento |
1 Necessário apenas com logs de fluxo NSG.
Análise de tráfego
Como a análise de tráfego está habilitada como parte do recurso de log de fluxo, as seguintes permissões são necessárias, além de todas as permissões necessárias para logs de fluxo:
| Ação | Descrição |
|---|---|
| Microsoft.Network/applicationGateways/read | Obter um gateway de aplicativo |
| Microsoft.Network/connections/read | Obter VirtualNetworkGatewayConnection |
| Microsoft.Network/loadBalancers/leitura | Obter uma definição de balanceador de carga |
| Microsoft.Network/localNetworkGateways/leitura | Obter LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/leitura | Obter uma definição de interface de rede |
| Microsoft.Network/networkSecurityGroups/leitura | Obter uma definição de grupo de segurança de rede |
| Microsoft.Network/publicIPAddresses/read | Obter uma definição de endereço IP público |
| Microsoft.Network/routeTables/ler | Obter uma definição de tabela de rotas |
| Microsoft.Network/virtualNetworkGateways/leitura | Obtenha um VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/ler | Obter uma definição de rede virtual |
| Microsoft.Network/expressRouteCircuits/leitura | Obtenha um ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | Obter um espaço de trabalho existente |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Recuperar as chaves compartilhadas para o espaço de trabalho |
| Microsoft.Insights/dataCollectionRules/leitura 1 | Ler uma regra de recolha de dados |
| Microsoft.Insights/dataCollectionRules/write 1 | Criar ou atualizar uma regra de coleta de dados |
| Microsoft.Insights/dataCollectionRules/excluir 1 | Excluir uma regra de coleta de dados |
| Microsoft.Insights/dataCollectionEndpoints/leitura 1 | Ler um ponto de extremidade de coleta de dados |
| Microsoft.Insights/dataCollectionEndpoints/gravação 1 | Criar ou atualizar um ponto de extremidade de coleta de dados |
| Microsoft.Insights/dataCollectionEndpoints/excluir 1 | Excluir um ponto de extremidade de coleta de dados |
1 Necessário apenas ao usar a análise de tráfego para analisar logs de fluxo de rede virtual. Para obter mais informações, consulte Regras de coleta de dados no Azure Monitor e Pontos de extremidade de coleta de dados no Azure Monitor.
Atenção
A regra de coleta de dados e os recursos de ponto de extremidade de coleta de dados são criados e gerenciados pela análise de tráfego. Se você executar qualquer operação nesses recursos, a análise de tráfego pode não funcionar conforme o esperado.
Resolução de problemas de ligação
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Iniciar um teste de solução de problemas de conexão |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Resultados da consulta de um teste de solução de problemas de conexão |
| Microsoft.Network/networkWatchers/solução de problemas/ação | Executar um teste de solução de problemas de conexão |
Captura de pacotes
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Consultar o status de uma captura de pacote |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Parar uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/read | Obter uma captura de pacotes |
| Microsoft.Network/networkWatchers/packetCaptures/write | Criar uma captura de pacote |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Excluir uma captura de pacote |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Exibir o status de uma captura de pacote |
Verificação do fluxo de IP
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Verificar um fluxo de IP |
Próximo salto
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Para um endereço IP de destino e destino especificado, retorne o próximo tipo de salto e o próximo endereço IP de esperança |
| Microsoft.Compute/virtualMachines/read | Obter as propriedades de uma máquina virtual |
| Microsoft.Network/networkInterfaces/leitura | Obter uma definição de interface de rede |
Vista de grupo de segurança de rede
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Ver grupos de segurança |
Topologia
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/topologia/ação | Obter topologia |
| Microsoft.Network/networkWatchers/topology/read | Mesmo que acima |
Relatório de acessibilidade
| Ação | Descrição |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Obter um relatório de acessibilidade do Azure |
Ações adicionais
Os recursos do Inspetor de Rede também exigem as seguintes ações:
| Ações | Description |
|---|---|
| Microsoft.Authorization/*/Read | Buscar atribuições de função do Azure e definições de política |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Enumerar todos os grupos de recursos em uma assinatura |
| Microsoft.Storage/storageAccounts/Ler | Obter as propriedades da conta de armazenamento especificada |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Buscar assinaturas de acesso compartilhado (SAS) permitindo acesso seguro à conta de armazenamento e gravar na conta de armazenamento |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Faça login na VM, faça uma captura de pacotes e carregue-a para a conta de armazenamento |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Verifique se a extensão Network Watcher está presente e instale, se necessário |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Acesse conjuntos de dimensionamento de máquinas virtuais, faça capturas de pacotes e carregue-os para a conta de armazenamento |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Verifique se a extensão Network Watcher está presente e instale, se necessário |
| Microsoft.Insights/alertRules/* | Configurar alertas de métricas |
| Microsoft.Support/* | Criar e atualizar tíquetes de suporte do Network Watcher |