azure - 通过 Azure Rest API 查询流日志状态时授权失败

Question

我正在尝试根据此处的文档查询NSG 的流日志状态： https ://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-nsg-flow-logging-rest

但我得到了这个例外：

{
    "error": {
        "code": "AuthorizationFailed",
        "message": "The client '4eabxxxx-xxxx-4713-8c17-695fd78e7747' with object id '4eabxxxx-xxxx-4713-8c17-695fd78e7747' does not have authorization to perform action 'Microsoft.Network/networkWatchers/queryFlowLogStatus/action' over scope '/subscriptions/fe57c71a-xxxx-xxxx-b007-65ae3645bda1/ResourceGroups/networkwatcherrg/providers/Microsoft.Network/networkWatchers/NetworkWatcher_westcentralus'."
    }
}

我的应用程序具有“READER”角色（也尝试使用“MONITORING READER”角色）

我也试过打

POST https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Insights/register?api-version=2016-09-01

注册 Insights.Provider （在上面的文档中提到），但仍然是同样的错误。

获取流日志状态所需的权限是什么？

Answer 1

获取流日志状态所需的权限是什么？

您需要 Network Watcher 中的Query Flow Log Status权限。

此权限在贡献者权限操作中。

解决方案：

1. 您可以为您的应用程序分配网络参与者角色。

2. 您可以创建包含权限和其他足够权限的自定义角色。然后，您可以将此角色分配给您的应用程序。

Answer 2

这是一个较旧的 API，很快就会被弃用。请移至新 API：https ://docs.microsoft.com/en-us/rest/api/network-watcher/flowlogs/get

新 API 仅适用于在订阅/RG/资源范围添加的“Microsoft.Network/networkWatchers/flowLogs/read”权限。SG