Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il controllo degli accessi in base al ruolo (RBAC) di Azure consente di assegnare solo le azioni specifiche ai membri dell'organizzazione necessarie per completare le responsabilità a loro assegnate.
Per usare le funzionalità di Azure Network Watcher, l'account con cui si accede ad Azure deve essere assegnato ai ruoli predefiniti Proprietario, Collaboratore o Collaboratore di rete oppure assegnato a un ruolo personalizzato che include le azioni elencate per la funzionalità Network Watcher che si vuole usare.
Importante
Collaboratore di rete non include le azioni seguenti:
- Azioni Microsoft.Storage/* elencate nella sezione Azioni aggiuntive o Log di flusso.
- Azioni Microsoft.Compute/* elencate nella sezioni Azioni aggiuntive.
- Azioni Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* o Microsoft.Insights/dataCollectionEndpoints/* elencate nella sezione Analisi del traffico.
Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente.
Nelle sezioni seguenti sono elencate le autorizzazioni minime necessarie per l'utilizzo di Network Watcher e delle relative funzionalità. Per un elenco completo delle autorizzazioni di Azure correlate, vedere Autorizzazioni Microsoft.Network, Autorizzazioni Microsoft.Insights e Autorizzazioni Microsoft.OperationalInsights.
Osservatore di Rete
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/read | Ottenere un'istanza di Network Watcher |
| Microsoft.Network/networkWatchers/write | Creare o aggiornare un'istanza di Network Watcher |
| Microsoft.Network/networkWatchers/delete | Eliminare un Network Watcher |
Monitoraggio connessione
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Avviare il monitoraggio di una connessione |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Interrompere il monitoraggio di una connessione |
| Microsoft.Network/osservatoriDiRete/monitorDiConnessione/query/action | Eseguire una query su un monitor di connessione |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Ottenere il monitoraggio di una connessione |
| Microsoft.Network/networkWatchers/connectionMonitors/scrivi | Creare un monitoraggio della connessione |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Eliminare il monitoraggio di una connessione |
Log dei flussi
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | Ottenere i dettagli del log di flusso |
| Microsoft.Network/networkWatchers/flowLogs/write | Crea un log di flusso |
| Microsoft.Network/networkWatchers/flowLogs/delete | Elimina un registro di flusso |
| Microsoft.Network/networkWatchers/configureFlowLog/action | Configurare un log del flusso |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Esegui una query sullo stato di un registro di flusso |
| Microsoft.Network/networkSecurityGroups/scrivere 1 | Crea un gruppo di sicurezza di rete o ne aggiorna uno esistente |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Recuperare le firme di accesso condiviso (SAS) abilitando l'accesso sicuro all'account di archiviazione e scrivere nell'account di archiviazione |
1 Necessario solo con i log di flusso NSG.
Analisi del traffico
Poiché l'analisi del traffico è abilitata come parte della risorsa log di flusso, sono necessarie le autorizzazioni seguenti oltre a tutte le autorizzazioni necessarie per Log di flusso:
| Azione | Descrizione |
|---|---|
| Microsoft.Network/applicationGateways/read | Ottenere un gateway per applicazioni |
| Microsoft.Network/connections/read | Ottenere VirtualNetworkGatewayConnection |
| Microsoft.Network/loadBalancers/read | Ottenere una definizione del bilanciamento del carico |
| Microsoft.Network/localNetworkGateways/read | Ottenere LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Ottenere una definizione di interfaccia di rete |
| Microsoft.Network/networkSecurityGroups/read | Ottenere una definizione di gruppo di sicurezza di rete |
| Microsoft.Network/publicIPAddresses/read | Ottenere una definizione di indirizzo IP pubblico |
| Microsoft.Network/routeTables/read | Ottenere una definizione di tabella di route |
| Microsoft.Network/virtualNetworkGateways/read | Ottenere un virtualNetworkGateway |
| Microsoft.Network/virtualNetworks/read | Ottenere una definizione di rete virtuale |
| Microsoft.Network/expressRouteCircuits/read | Ottiene un ExpressRouteCircuit |
| Microsoft.OperationalInsights/workspaces/read | Ottenere un'area di lavoro esistente |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Recupera le chiavi condivise per l'area di lavoro |
| Microsoft.Insights/dataCollectionRules/read 1 | Leggere una regola di raccolta dati |
| Microsoft.Insights/dataCollectionRules/write 1 | Creare o aggiornare una regola di raccolta dati |
| Microsoft.Insights/dataCollectionRules/delete 1 | Eliminare una regola di raccolta dati |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Legge un endpoint di raccolta dati |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Creare o aggiornare un endpoint di raccolta dati |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Eliminare un endpoint di raccolta dati |
1 Necessario solo quando si usa l'analisi del traffico per analizzare i log dei flussi di rete virtuale. Per altre informazioni, vedere Regole di raccolta dati in Monitoraggio di Azure ed Endpoint di raccolta dati in Monitoraggio di Azure.
Attenzione
Analisi del traffico crea e gestisce le risorse dell'endpoint di raccolta dati e raccolta dati nello stesso gruppo di risorse dell'area di lavoro, preceduto da NWTA. Se si esegue un'operazione su queste risorse, l'analisi del traffico potrebbe non funzionare come previsto.
Importante
Le autorizzazioni ereditate del gruppo di gestione non sono attualmente supportate per l'abilitazione dell'analisi del traffico.
Risoluzione dei problemi di connessione
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action, Microsoft.Network/networkWatchers/connectivityCheck/read |
Verificare la possibilità di stabilire una connessione TCP diretta da una macchina virtuale a un determinato endpoint |
| Microsoft.Network/networkWatchers/queryRisultatoDiagnostica/azione | Effettuare una query dei risultati di un test per la risoluzione dei problemi di connessione |
| Microsoft.Network/networkWatchers/troubleshoot/action | Eseguire un test per la risoluzione dei problemi di connessione |
Acquisizione pacchetti
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Effettuare una query dello stato di un'acquisizione di pacchetti |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Arrestare la sessione di acquisizione dei pacchetti in esecuzione |
| Microsoft.Network/networkWatchers/packetCaptures/read | Ottenere una definizione di acquisizione dei pacchetti |
| Microsoft.Network/networkWatchers/packetCaptures/write | Creare un'acquisizione di pacchetti |
| Microsoft.Network/networkWatchers/packetCaptures/elimina | Eliminare un'acquisizione di pacchetti |
| Microsoft.Network/networkWatchers/intercettazioniPacchetti/verificaStato/lettura | Visualizzare lo stato di un'acquisizione pacchetti |
Verifica del flusso IP
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/azione, Microsoft.Network/networkWatchers/ipFlowVerify/read |
Indica se il pacchetto è consentito o negato verso o da una particolare destinazione |
Hop successivo
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/azione, Microsoft.Network/networkWatchers/nextHop/read |
Per un indirizzo IP destinazione specificato, restituisce il tipo di hop successivo e l’indirizzo IP dell’hop successivo |
| Microsoft.Compute/virtualMachines/read | Ottiene le proprietà di una macchina virtuale |
| Microsoft.Network/networkInterfaces/read | Ottenere una definizione di interfaccia di rete |
Visualizzazione dei gruppi di sicurezza di rete
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Visualizzare le regole del gruppo di sicurezza di rete configurate ed effettive applicate in una macchina virtuale |
Topologia
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/topology/action, Microsoft.Network/networkWatchers/topology/read |
Ottenere una visualizzazione a livello di rete delle risorse e delle relative relazioni in un gruppo di risorse |
Report di raggiungibilità
| Azione | Descrizione |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Ottenere il punteggio di latenza relativo per i provider di servizi Internet da una posizione specificata alle aree di Azure |
Azioni aggiuntive
Alcune funzionalità di Network Watcher richiedono le azioni seguenti:
| Azione | Descrizione |
|---|---|
| Microsoft.Authorization/*/Read | Recuperare le assegnazioni di ruolo e le definizioni dei criteri di Azure |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Enumerare tutti i gruppi di risorse in una sottoscrizione |
| Microsoft.Storage/storageAccounts/Read | Ottieni le proprietà dell'account di archiviazione specificato. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Recuperare le firme di accesso condiviso (SAS) abilitando l'accesso sicuro all'account di archiviazione e scrivere nell'account di archiviazione |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Accedere alla macchina virtuale, eseguire un'acquisizione di pacchetti e caricarla nell'account di archiviazione |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Controllare se l'estensione Network Watcher è presente e provvedere all’installazione se necessario |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Accedere ai set di scalabilità di macchine virtuali, eseguire acquisizioni di pacchetti e caricarle nell'account di archiviazione |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Controllare se l'estensione Network Watcher è presente e provvedere all’installazione se necessario |
| Microsoft.Insights/alertRules/* | Configurare gli avvisi delle metriche |
| Microsoft.Support/* | Creare e aggiornare i ticket di supporto da Network Watcher |