Roles y permisos en Azure Update Manager
Para administrar una máquina virtual de Azure o un servidor habilitado para Azure Arc mediante Azure Update Manager, debe tener asignados los roles adecuados. Puede usar roles predefinidos o crear roles personalizados con los permisos específicos que necesita. Para obtener más información, vea los permisos.
Roles
Los roles integrados proporcionan permisos generales en una máquina virtual, que incluye también todos los permisos de Azure Update Manager.
| Recurso | Rol |
|---|---|
| MV de Azure | Colaborador de máquina virtual de Azure o Propietario de Azure. |
| Servidor habilitado para Azure Arc | Administrador de recursos de Azure Connected Machine |
Permisos
Necesita los permisos siguientes para administrar las operaciones de actualización. En la tabla siguiente se muestran los permisos necesarios cuando se usa Update Manager. Puede crear un rol personalizado y asignar solo los permisos deseados a ese rol para que solo se proporcionen permisos para acciones específicas según sea necesario.
Permisos de lectura para Update Manager para ver los datos de Update Manager
| Acciones | Permiso | Ámbito |
|---|---|---|
| Leer las propiedades de máquina virtual de Azure | Microsoft.Compute/virtualMachines/read | |
| Leer datos de evaluación de máquinas virtuales de Azure | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Leer datos de instalación de revisiones para máquinas virtuales de Azure | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Leer las propiedades del servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/read | |
| Leer datos de evaluación para el servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Leer datos de instalación de revisiones para el servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Obtener el estado de una operación asincrónicapara la máquina virtual de Azure | Microsoft.Compute/locations/operations/read | Suscripción de máquina |
| Leer el estado de una operación del centro de actualizaciones en máquinas de Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Suscripción de máquina |
Permisos para realizar acciones a petición en Azure Update Manager
Tenga en cuenta que los permisos siguientes serían necesarios además de los permisos de lectura documentados anteriormente en máquinas individuales en las que se realizan operaciones a petición.
| Acciones | Permiso | Ámbito |
|---|---|---|
| Evaluación del Desencadenadoren máquinas virtuales de Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Instalación de la actualización en máquinas virtuales de Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Obtener el estado de una operación asincrónica para la máquina virtual de Azure | Microsoft.Compute/locations/operations/read | Suscripción de máquina |
| Evaluación del desencadenador en el servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Instalación de la actualización en el servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Leer el estado de una operación del centro de actualizaciones enArcmáquinas | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Suscripción de máquina |
| Actualizar el modode revisión o el modo de evaluaciónparaAzure VirtualMachines | Microsoft.Compute/virtualMachines/write | Machine |
| Modo de evaluación de actualizaciones paraMáquinas de Arc | Microsoft.HybridCompute/machines/write | Machine |
Permisos relacionados con la aplicación de revisiones programadas (configuración de mantenimiento)
Tenga en cuenta que los permisos siguientes serían necesarios además de los permisos en máquinas individuales, que se administran mediante las programaciones.
| Acciones | Permiso | Ámbito |
|---|---|---|
| Registrar la suscripción para el proveedor de recursos Microsoft.Maintenance | Microsoft.Maintenance/register/action | Subscription |
| Crear o modificar la configuración de mantenimiento | Microsoft.Maintenance/maintenanceConfigurations/write | Suscripción/ grupo de recursos |
| Leer configuración de mantenimiento | Microsoft.Maintenance/maintenanceConfigurations/read | Suscripción/ grupo de recursos |
| Eliminar configuración de mantenimiento | Microsoft.Maintenance/maintenanceConfigurations/delete | Suscripción/ grupo de recursos |
| Crear o modificar asignaciones de configuración | Microsoft.Maintenance/configurationAssignments/write | Suscripción/grupo de recursos/máquina |
| Leer asignaciones de configuración | Microsoft.Maintenance/configurationAssignments/read | Suscripción/grupo de recursos/máquina |
| Eliminar asignaciones de configuración | Microsoft.Maintenance/configurationAssignments/delete | Suscripción/grupo de recursos/máquina |
| Leer recurso de actualizaciones de mantenimiento | Microsoft.Maintenance/updates/read | Máquina |
| Leer recurso de mantenimiento de aplicación de actualizaciones | Microsoft.Maintenance/applyUpdates/read | Máquina |
| Obtener la lista de implementaciones de actualizaciones | Microsoft.Resources/deployments/read | Configuración de mantenimiento y suscripción a máquinas virtuales |
| Crear o actualizar una implementación de actualizaciones | Microsoft.Resources/deployments/write | Configuración de mantenimiento y suscripción a máquinas virtuales |
| Obtener una lista de los estados de la operación de implementación de actualizaciones | Microsoft.Resources/deployments/operation statuses | Configuración de mantenimiento y suscripción a máquinas virtuales |
| Leer asignación de configuración de mantenimiento para el ámbito de mantenimiento InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/read | Suscripción/grupo de recursos/máquina |
| Crear/modificar asignación de configuración de mantenimiento para el ámbito de mantenimiento InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/write | Suscripción/grupo de recursos/máquina |
| Eliminar asignación de configuración de mantenimiento para el ámbito de mantenimiento InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/delete | Suscripción/grupo de recursos/máquina |
| Leer la configuración de mantenimiento para el ámbito de mantenimiento InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read | Suscripción/ grupo de recursos |
| Crear o modificar la configuración de mantenimiento para el ámbito de mantenimiento de InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write | Suscripción/ grupo de recursos |
| Eliminar la configuración de mantenimiento para el ámbito de mantenimiento inGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete | Suscripción/ grupo de recursos |