Role i uprawnienia w usłudze Azure Update Manager
Aby zarządzać maszyną wirtualną platformy Azure lub serwerem z obsługą usługi Azure Arc przy użyciu usługi Azure Update Manager, musisz mieć przypisane odpowiednie role. Możesz użyć wstępnie zdefiniowanych ról lub utworzyć role niestandardowe z określonymi potrzebnymi uprawnieniami. Aby uzyskać więcej informacji, zobacz uprawnienia.
Role
Wbudowane role zapewniają ogólne uprawnienia na maszynie wirtualnej, która obejmuje również wszystkie uprawnienia usługi Azure Update Manager.
| Zasób | Rola |
|---|---|
| Maszyna wirtualna platformy Azure | Współautor maszyny wirtualnej platformy Azure lub właściciel platformy Azure. |
| Serwer z obsługą usługi Azure Arc | Administrator zasobów połączonej maszyny platformy Azure |
Uprawnienia
Do zarządzania operacjami aktualizacji potrzebne są następujące uprawnienia. W poniższej tabeli przedstawiono uprawnienia wymagane podczas korzystania z programu Update Manager. Możesz utworzyć rolę niestandardową i przypisać tylko odpowiednie uprawnienia do tej roli, aby tylko uprawnienia dla określonych akcji zostały podane zgodnie z potrzebami.
Uprawnienia do odczytu programu Update Manager do wyświetlania danych programu Update Manager
| Akcje | Uprawnienie | Scope |
|---|---|---|
| Odczytywanie właściwości maszyny wirtualnej platformy Azure | Microsoft.Compute/virtualMachines/read | |
| Odczytywanie danych oceny dla maszyn wirtualnych platformy Azure | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Odczytywanie danych instalacji poprawek dla maszyn wirtualnych platformy Azure | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Odczytywanie właściwości serwera z obsługą usługi Azure Arc | Microsoft.HybridCompute/machines/read | |
| Odczytywanie danych oceny dla serwera z obsługą usługi Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Odczytywanie danych instalacji poprawek dla serwera z obsługą usługi Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Uzyskiwanie stanu operacjiasynchronicznej dla maszyny wirtualnej platformy Azure | Microsoft.Compute/locations/operations/read | Subskrypcja maszyny |
| Odczytywanie stanu operacji centrum aktualizacji na maszynach arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Subskrypcja maszyny |
Uprawnienia do wykonywania akcji na żądanie w usłudze Azure Update Manager
Należy pamiętać, że następujące uprawnienia będą wymagane oprócz uprawnień do odczytu opisanych powyżej na poszczególnych maszynach, na których są wykonywane operacje na żądanie.
| Akcje | Uprawnienie | Scope |
|---|---|---|
| Ocena wyzwalaczana maszynach wirtualnych platformy Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Instalowanie aktualizacji na maszynach wirtualnych platformy Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Uzyskiwanie stanu operacji asynchronicznej dla maszyny wirtualnej platformy Azure | Microsoft.Compute/locations/operations/read | Subskrypcja maszyny |
| Ocena wyzwalacza na serwerze z obsługą usługi Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Instalowanie aktualizacji na serwerze z obsługą usługi Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Odczytywanie stanu operacji centrum aktualizacji namaszynach arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Subskrypcja maszyny |
| Aktualizowanie trybu poprawek/trybuoceny dlausługi Azure Virtual Machines | Microsoft.Compute/virtualMachines/write | Maszyna |
| Aktualizowanie trybu oceny dlamaszyn arc | Microsoft.HybridCompute/machines/write | Maszyna |
Uprawnienia związane z zaplanowanym stosowaniem poprawek (konfiguracja konserwacji)
Należy pamiętać, że poniższe uprawnienia będą wymagane oprócz uprawnień na poszczególnych maszynach, które są zarządzane przez harmonogramy.
| Akcje | Uprawnienie | Scope |
|---|---|---|
| Rejestrowanie subskrypcji dostawcyzasobów Microsoft.Maintenance | Microsoft.Maintenance/register/action | Subskrypcja |
| Tworzenie/modyfikowanie konfiguracji konserwacji | Microsoft.Maintenance/maintenanceConfigurations/write | Subskrypcja/grupa zasobów |
| Konfiguracja konserwacji odczytu | Microsoft.Maintenance/maintenanceConfigurations/read | Subskrypcja/grupa zasobów |
| Usuwanie konfiguracji konserwacji | Microsoft.Maintenance/maintenanceConfigurations/delete | Subskrypcja/grupa zasobów |
| Tworzenie/modyfikowanie przypisań konfiguracji | Microsoft.Maintenance/configurationAssignments/write | Subskrypcja/grupa zasobów/maszyna |
| Odczytywanie przypisań konfiguracji | Microsoft.Maintenance/configurationAssignments/read | Subskrypcja/grupa zasobów/maszyna |
| Usuwanie przypisań konfiguracji | Microsoft.Maintenance/configurationAssignments/delete | Subskrypcja/grupa zasobów/maszyna |
| Odczyt zasobu aktualizacji konserwacji | Microsoft.Maintenance/updates/read | Maszyna |
| Odczyt konserwacji zastosuj zasób aktualizacji | Microsoft.Maintenance/applyUpdates/read | Maszyna |
| Pobieranie listy wdrożeń aktualizacji | Microsoft.Resources/deployments/read | Konfiguracja konserwacji i subskrypcja maszyny wirtualnej |
| Tworzenie lub aktualizowanie wdrożenia aktualizacji | Microsoft.Resources/deployments/write | Konfiguracja konserwacji i subskrypcja maszyny wirtualnej |
| Pobieranie listy stanów operacji wdrażania aktualizacji | Microsoft.Resources/deployments/operation statuses | Konfiguracja konserwacji i subskrypcja maszyny wirtualnej |
| Odczytywanie przypisania konfiguracji konserwacji dla zakresu konserwacji InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/read | Subskrypcja/grupa zasobów/maszyna |
| Tworzenie/modyfikowanie przypisania konfiguracji konserwacji dla zakresu konserwacji InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/write | Subskrypcja/grupa zasobów/maszyna |
| Usuwanie przypisania konfiguracji konserwacji dla zakresu konserwacji InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/delete | Subskrypcja/grupa zasobów/maszyna |
| Konfiguracja konserwacji odczytu dla zakresu konserwacji inGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read | Subskrypcja/grupa zasobów |
| Tworzenie/modyfikowanie konfiguracji konserwacji dla zakresu konserwacji InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write | Subskrypcja/grupa zasobów |
| Usuwanie konfiguracji konserwacji dla zakresu konserwacji InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete | Subskrypcja/grupa zasobów |
Następne kroki
- Wymagania wstępne programu Update Manager.
- Jak działa program Update Manager.