Funções e permissões no Gerenciador de Atualizações do Azure
Para gerir um Azure VM ou um servidor habilitado pelo Azure Arc utilizando o Gerenciador de Atualizações do Azure, deve ter as funções apropriadas atribuídas. Você pode usar funções predefinidas ou criar funções personalizadas com as permissões específicas necessárias. Para obter mais informações, veja as permissões.
Funções
As funções internas fornecem permissões gerais em uma máquina virtual, que também inclui todas as permissões do Gerenciador de Atualizações do Azure.
| Recurso | Função |
|---|---|
| VM do Azure | Colaborador da Máquina Virtual do Azure ouProprietário do Azure. |
| Servidor habilitado para Azure Arc | Administrador de recursos de Azure Connected Machine |
Permissões
Você precisa das seguintes permissões para gerenciar operações de atualização. A tabela a seguir mostra as permissões necessárias ao usar o Update Manager. Você pode criar uma função personalizada e atribuir apenas as permissões desejadas a essa função, de modo que apenas permissões para ações específicas sejam fornecidas conforme a necessidade.
Permissões de leitura do Update Manager para visualizar dados do Update Manager
| Ações | Permissão | Escopo |
|---|---|---|
| Leia as propriedades da VM do Azure | Microsoft.Compute/virtualMachines/read | |
| Ler dados de avaliação para VMs do Azure | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Ler dados de instalação de patch para VMs do Azure | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Leia as propriedades do servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/read | |
| Ler dados de avaliação para servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Ler dados de instalação de patch para servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Obtenha o status de uma operação assíncronapara AzureMáquina virtual | Microsoft.Compute/locations/operations/read | Assinatura de máquina |
| Leia o status de uma operação do centro de atualização em máquinas Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Assinatura de máquina |
Permissões para executar ações sob demanda no Gerenciador de Atualizações do Azure
Observe que as seguintes permissões seriam necessárias além das permissões de leitura documentadas acima em máquinas individuais nas quais as operações sob demanda são executadas.
| Ações | Permissão | Escopo |
|---|---|---|
| Avaliação de gatilhoem VMs do Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Instalar atualização em VMs do Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Obtenha o status de uma operação assíncrona para a máquina virtual do Azure | Microsoft.Compute/locations/operations/read | Assinatura de máquina |
| Avaliação de gatilho no servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Instalar atualização no servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Leia o status de uma operação do centro de atualização em máquinasArc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Assinatura de máquina |
| Atualizar patchmodo /modo de avaliaçãoparaMáquinas Virtuais do Azure | Microsoft.Compute/virtualMachines/write | Computer |
| Atualizar modo de avaliação paraArc Machines | Microsoft.HybridCompute/machines/write | Computer |
Permissões relacionadas à correção agendada (configuração de manutenção)
Observe que as permissões abaixo seriam necessárias além das permissões em máquinas individuais, que estão sendo gerenciadas pelos agendamentos.
| Ações | Permissão | Escopo |
|---|---|---|
| Registre a assinatura do provedor de recursosMicrosoft.Maintenance | Microsoft.Maintenance/register/action | Subscription |
| Criar/modificar configuração de manutenção | Microsoft.Maintenance/maintenanceConfigurations/write | Assinatura/grupo de recursos |
| Ler a configuração de manutenção | Microsoft.Maintenance/maintenanceConfigurations/read | Assinatura/grupo de recursos |
| Excluir a configuração de manutenção | Microsoft.Maintenance/maintenanceConfigurations/delete | Assinatura/grupo de recursos |
| Criar/modificar atribuições de configuração | Microsoft.Maintenance/configurationAssignments/write | Assinatura/Grupo de recursos/máquina |
| Ler atribuições de configuração | Microsoft.Maintenance/configurationAssignments/read | Assinatura/Grupo de recursos/máquina |
| Excluir atribuições de configuração | Microsoft.Maintenance/configurationAssignments/delete | Assinatura/Grupo de recursos/máquina |
| Ler o recurso de atualizações de manutenção | Microsoft.Maintenance/updates/read | Computador |
| Ler o recurso de atualizações de aplicação de manutenção | Microsoft.Maintenance/applyUpdates/read | Computador |
| Obter lista de implantação de atualização | Microsoft.Resources/deployments/read | Configuração de manutenção e assinatura de máquina virtual |
| Criar ou atualizar uma implantação de atualização | Microsoft.Resources/deployments/write | Configuração de manutenção e assinatura de máquina virtual |
| Obtenha uma lista de status de operação de implantação de atualização | Microsoft.Recursos/implantações/status de operação | Configuração de manutenção e assinatura de máquina virtual |
| Ler a atribuição de configuração de manutenção para o escopo de manutenção do InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/read | Assinatura/Grupo de recursos/máquina |
| Criar/modificar a atribuição de configuração de manutenção para o escopo de manutenção do InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/write | Assinatura/Grupo de recursos/máquina |
| Excluir a atribuição de configuração de manutenção para o escopo de manutenção do InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/delete | Assinatura/Grupo de recursos/máquina |
| Ler a configuração de manutenção para o escopo de manutenção do InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read | Assinatura/grupo de recursos |
| Criar/modificar a configuração de manutenção para o escopo de manutenção do InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write | Assinatura/grupo de recursos |
| Excluir a configuração de manutenção para o escopo de manutenção do InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete | Assinatura/grupo de recursos |