Izin kontrol akses berbasis peran Azure diperlukan untuk menggunakan kemampuan Network Watcher
Kontrol akses berbasis peran Azure (Azure RBAC) memungkinkan Anda menetapkan hanya tindakan tertentu kepada anggota organisasi Anda yang mereka perlukan untuk menyelesaikan tanggung jawab yang ditetapkan.
Untuk menggunakan kemampuan Azure Network Watcher, akun yang Anda gunakan untuk masuk ke Azure, harus ditetapkan ke peran bawaan Pemilik, Kontributor, atau Kontributor jaringan, atau ditetapkan ke peran kustom yang diberi tindakan yang tercantum untuk setiap kemampuan Network Watcher di bagian berikut.
Untuk mempelajari cara memeriksa peran yang ditetapkan kepada pengguna untuk langganan, lihat Mencantumkan penetapan peran Azure menggunakan portal Azure. Jika Anda tidak dapat melihat penetapan peran, hubungi admin langganan masing-masing.
Penting
Kontributor jaringan tidak mencakup tindakan berikut:
- Tindakan Microsoft.Storage/* tercantum di bagian Tindakan tambahan atau Log alur.
- Tindakan Microsoft.Compute/* tercantum di bagian Tindakan tambahan.
- Tindakan Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* atau Microsoft.Insights/dataCollectionEndpoints/* yang tercantum di bagian Analitik lalu lintas.
Network Watcher
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/networkWatchers/read | Mendapatkan network watcher |
| Microsoft.Network/networkWatchers/write | Membuat atau memperbarui network watcher |
| Microsoft.Network/networkWatchers/delete | Menghapus network watcher |
Pemantau koneksi
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Memulai pemantau koneksi |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Menghentikan pemantau koneksi |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Mengkueri pemantau koneksi |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Mendapatkan pemantau koneksi |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Membuat pemantau koneksi |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Menghapus pemantau koneksi |
Log alur
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Mengonfigurasi Log alur |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Status kueri untuk log alur |
| Microsoft.Network/networkSecurityGroups/write 1 | Membuat kelompok keamanan jaringan atau memperbarui kelompok keamanan jaringan yang ada |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Mengambil tanda tangan akses bersama (SAS) yang memungkinkan akses aman ke akun penyimpanan dan menulis ke akun penyimpanan |
1 Hanya diperlukan dengan log alur NSG.
Analitik lalu lintas
Karena analitik lalu lintas diaktifkan sebagai bagian dari sumber daya log alur, izin berikut diperlukan selain semua izin yang diperlukan untuk log Alur:
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/applicationGateways/read | Mendapatkan gateway aplikasi |
| Microsoft.Network/connections/read | Mendapatkan VirtualNetworkGatewayConnection |
| Microsoft.Network/loadBalancers/read | Mendapatkan definisi load balancer |
| Microsoft.Network/localNetworkGateways/read | Dapatkan LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/baca | Mendapatkan definisi antarmuka jaringan |
| Microsoft.Network/networkSecurityGroups/read | Mendapatkan definisi grup keamanan jaringan |
| Microsoft.Network/publicIPAddresses/read | Mendapatkan definisi alamat IP publik |
| Microsoft.Network/routeTables/read | Mendapatkan definisi tabel rute |
| Microsoft.Network/virtualNetworkGateways/read | Mendapatkan VirtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Mendapatkan definisi jaringan virtual |
| Microsoft.Network/expressRouteCircuits/read | Mendapatkan ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | Mendapatkan ruang kerja yang sudah ada |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Mengambil kunci bersama untuk ruang kerja |
| Microsoft.Insights/dataCollectionRules/read 1 | Membaca aturan pengumpulan data |
| Microsoft.Insights/dataCollectionRules/write 1 | Membuat atau memperbarui aturan pengumpulan data |
| Microsoft.Insights/dataCollectionRules/delete 1 | Menghapus aturan pengumpulan data |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Membaca titik akhir pengumpulan data |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Membuat atau memperbarui titik akhir pengumpulan data |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Menghapus titik akhir pengumpulan data |
1 Hanya diperlukan saat menggunakan analitik lalu lintas untuk menganalisis log alur jaringan virtual. Untuk informasi selengkapnya, lihat Aturan pengumpulan data di Azure Monitor dan Titik akhir pengumpulan data di Azure Monitor.
Perhatian
Aturan pengumpulan data dan sumber daya titik akhir pengumpulan data dibuat dan dikelola oleh analitik lalu lintas. Jika Anda melakukan operasi apa pun pada sumber daya ini, analitik lalu lintas mungkin tidak berfungsi seperti yang diharapkan.
Penting
Izin yang diwariskan grup manajemen saat ini tidak didukung untuk mengaktifkan analitik lalu lintas.
Pemecahan masalah koneksi
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Memulai uji pemecahan masalah koneksi |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Hasil kueri dari uji pemecahan masalah koneksi |
| Microsoft.Network/networkWatchers/troubleshoot/action | Menjalankan uji pemecahan masalah koneksi |
Tangkapan paket
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Mengkueri status pengambilan paket |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Hentikan pengambilan paket |
| Microsoft.Network/networkWatchers/packetCaptures/read | Mendapatkan pengambilan paket |
| Microsoft.Network/networkWatchers/packetCaptures/write | Membuat pengambilan paket |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Hapus pengambilan paket |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Melihat status pengambilan paket |
Verifikasi alur IP
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | Memverifikasi alur IP |
Lompatan berikutnya
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Untuk target dan alamat IP tujuan yang ditentukan, kembalikan jenis hop berikutnya dan alamat IP harapan berikutnya |
| Microsoft.Compute/virtualMachines/read | Mendapatkan properti mesin virtual |
| Microsoft.Network/networkInterfaces/baca | Mendapatkan definisi antarmuka jaringan |
Tampilan kelompok keamanan jaringan
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Melihat kelompok keamanan |
Topologi
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Mendapatkan topologi |
| Microsoft.Network/networkWatchers/topology/read | Mendapatkan topologi |
Laporan keterjangkauan
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Mendapatkan laporan keterjangkauan Azure |
Tindakan tambahan
Kemampuan Network Watcher juga memerlukan tindakan berikut:
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Authorization/*/Read | Mengambil penetapan peran Azure dan definisi kebijakan |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Menghitung semua grup sumber daya dalam langganan |
| Microsoft.Storage/storageAccounts/Read | Mendapatkan properti untuk akun penyimpanan yang ditentukan |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Mengambil tanda tangan akses bersama (SAS) yang memungkinkan akses aman ke akun penyimpanan dan menulis ke akun penyimpanan |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Masuk ke VM, lakukan pengambilan paket dan unggah ke akun penyimpanan |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Periksa apakah ekstensi Network Watcher ada, dan instal jika perlu |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Mengakses set skala komputer virtual, melakukan pengambilan paket, dan mengunggahnya ke akun penyimpanan |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Periksa apakah ekstensi Network Watcher ada, dan instal jika perlu |
| Microsoft.Insights/alertRules/* | Siapkan pemberitahuan metrik |
| Microsoft.Support/* | Membuat dan memperbarui tiket dukungan dari Network Watcher |