Ağ İzleyicisi özelliklerini kullanmak için gereken Azure rol tabanlı erişim denetimi izinleri
Azure rol tabanlı erişim denetimi (Azure RBAC), yalnızca kuruluşunuzun üyelerine atanan sorumluluklarını tamamlamak için gereken belirli eylemleri atamanızı sağlar. Azure Ağ İzleyicisi özelliklerini kullanmak için Azure'da oturum açtığınız hesabın Sahip, Katkıda Bulunan veya Ağ katkıda bulunanı yerleşik rollerine veya izleyen bölümlerde yer alan her Ağ İzleyicisi özelliği için listelenen eylemlere atanan özel bir role atanması gerekir. Aboneliğe yönelik bir kullanıcıya atanan rolleri denetlemeyi öğrenmek için bkz . Azure portalını kullanarak Azure rol atamalarını listeleme. Rol atamalarını göremiyorsanız ilgili abonelik yöneticisine başvurun. Ağ İzleyicisi özellikleri hakkında daha fazla bilgi edinmek için bkz. Ağ İzleyicisi nedir?
Önemli
Ağ katkıda bulunanı aşağıdaki eylemleri kapsamaz:
- Ek eylemler veya Akış günlükleri bölümünde listelenen Microsoft.Storage/* eylemleri.
- Ek eylemler bölümünde listelenen Microsoft.Compute/* eylemleri .
- Trafik analizi bölümünde listelenen Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* veya Microsoft.Insights/dataCollectionEndpoints/* eylemleri.
Ağ İzleyicisi
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/networkWatchers/read | Ağ izleyicisi alma |
| Microsoft.Network/networkWatchers/write | Ağ izleyicisi oluşturma veya güncelleştirme |
| Microsoft.Network/networkWatchers/delete | Ağ izleyicisi silme |
Bağlantı izleyicisi
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Bağlantı izleyicisi başlatma |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Bağlantı izleyiciyi durdurma |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Bağlantı izleyicisi sorgulama |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Bağlantı izleyicisi alma |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Bağlantı izleyicisi oluşturma |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Bağlantı izleyicisi silme |
Akış günlükleri
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/networkWatchers/configureFlowLog/action | Akış Günlüğü yapılandırma |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Akış günlüğü için sorgu durumu |
| Microsoft.Network/networkSecurityGroups/write 1 | Bir ağ güvenlik grubu oluşturur veya mevcut bir ağ güvenlik grubunu güncelleştirir |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Depolama hesabına güvenli erişim ve depolama hesabına yazma olanağı sağlayan paylaşılan erişim imzalarını (SAS) getirme |
1 Yalnızca NSG akış günlüklerinde gereklidir.
Trafik analizi
Trafik analizi akış günlüğü kaynağının bir parçası olarak etkinleştirildiğinden, Akış günlükleri için gerekli tüm izinlere ek olarak aşağıdaki izinler de gereklidir:
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/applicationGateways/read | Uygulama ağ geçidi alma |
| Microsoft.Network/connections/read | VirtualNetworkGatewayConnection'ı edinin |
| Microsoft.Network/loadBalancers/read | Yük dengeleyici tanımı alma |
| Microsoft.Network/localNetworkGateways/read | LocalNetworkGateway'i edinin |
| Microsoft.Network/networkInterfaces/read | Ağ arabirimi tanımı alma |
| Microsoft.Network/networkSecurityGroups/read | Ağ güvenlik grubu tanımı alma |
| Microsoft.Network/publicIPAddresses/read | Genel IP adresi tanımı alma |
| Microsoft.Network/routeTables/read | Yol tablosu tanımı alma |
| Microsoft.Network/virtualNetworkGateways/read | VirtualNetworkGateway alma |
| Microsoft.Network/virtualNetworks/read | Sanal ağ tanımı alma |
| Microsoft.Network/expressRouteCircuits/read | ExpressRouteCircuit alma |
| Microsoft.OperationalInsights/workspaces/read | Var olan bir çalışma alanını alma |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Çalışma alanı için paylaşılan anahtarları alma |
| Microsoft.Insights/dataCollectionRules/read 1 | Veri toplama kuralını okuma |
| Microsoft.Insights/dataCollectionRules/write 1 | Veri toplama kuralı oluşturma veya güncelleştirme |
| Microsoft.Insights/dataCollectionRules/delete 1 | Veri toplama kuralını silme |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Veri toplama uç noktasını okuma |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Veri toplama uç noktası oluşturma veya güncelleştirme |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Veri toplama uç noktasını silme |
1 Yalnızca sanal ağ akış günlüklerini analiz etmek için trafik analizi kullanılırken gereklidir. Daha fazla bilgi için bkz. Azure İzleyici'de veri toplama kuralları ve Azure İzleyici'de veri toplama uç noktaları.
Dikkat
Veri toplama kuralı ve veri toplama uç noktası kaynakları, trafik analizi tarafından oluşturulur ve yönetilir. Bu kaynaklar üzerinde herhangi bir işlem gerçekleştirirseniz trafik analizi beklendiği gibi çalışmayabilir.
Bağlantı sorunlarını giderme
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action | Bağlantı sorun giderme testi başlatma |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Bağlantı sorunlarını giderme testinin sorgu sonuçları |
| Microsoft.Network/networkWatchers/troubleshoot/action | Bağlantı sorun giderme testi çalıştırma |
Paket yakalama
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Paket yakalamanın durumunu sorgulama |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Paket yakalamayı durdurma |
| Microsoft.Network/networkWatchers/packetCaptures/read | Paket yakalama alma |
| Microsoft.Network/networkWatchers/packetCaptures/write | Paket yakalama oluşturma |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Paket yakalamayı silme |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Paket yakalamanın durumunu görüntüleme |
IP akışı doğrulama
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action | IP akışını doğrulama |
Sonraki atlama
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Belirtilen hedef ve hedef IP adresi için sonraki atlama türünü ve sonraki umut IP adresini döndür |
| Microsoft.Compute/virtualMachines/read | Sanal makinenin özelliklerini alma |
| Microsoft.Network/networkInterfaces/read | Ağ arabirimi tanımı alma |
Ağ güvenlik grubu görünümü
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Güvenlik gruplarını görüntüleme |
Topoloji
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/networkWatchers/topology/action | Topolojiyi alma |
| Microsoft.Network/networkWatchers/topology/read | Yukarıdakiyle aynı |
Ulaşılabilirlik raporu
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Azure ulaşılabilirlik raporu alma |
Ek eylemler
Ağ İzleyicisi özellikleri aşağıdaki eylemleri de gerektirir:
| Eylem(ler) | Açıklama |
|---|---|
| Microsoft.Authorization/*/Read | Azure rol atamalarını ve ilke tanımlarını getirme |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Abonelikteki tüm kaynak gruplarını listeleme |
| Microsoft.Storage/storageAccounts/Read | Belirtilen depolama hesabının özelliklerini alma |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Depolama hesabına güvenli erişim ve depolama hesabına yazma olanağı sağlayan paylaşılan erişim imzalarını (SAS) getirme |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
VM'de oturum açın, bir paket yakalama işlemi yapın ve depolama hesabına yükleyin |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Ağ İzleyicisi uzantısının mevcut olup olmadığını denetleyin ve gerekirse yükleyin |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Sanal makine ölçek kümelerine erişin, paket yakalamaları yapın ve bunları depolama hesabına yükleyin |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Ağ İzleyicisi uzantısının mevcut olup olmadığını denetleyin ve gerekirse yükleyin |
| Microsoft.Insights/alertRules/* | Ölçüm uyarılarını ayarlama |
| Microsoft.Support/* | Ağ İzleyicisi'dan destek biletleri oluşturma ve güncelleştirme |