Funções e permissões no Azure Update Manager
Para gerenciar uma VM do Azure ou um servidor habilitado para Azure Arc usando o Azure Update Manager, você deve ter as funções apropriadas atribuídas. Você pode usar funções predefinidas ou criar funções personalizadas com as permissões específicas necessárias. Para obter mais informações, consulte as permissões.
Funções
As funções internas fornecem permissões gerais em uma máquina virtual, que também inclui todas as permissões do Azure Update Manager.
| Recurso | Função |
|---|---|
| VM do Azure | Colaborador da Máquina Virtual do Azure ou Proprietário do Azure. |
| Servidor habilitado para Azure Arc | Azure Connected Machine Resource Administrator |
Permissões
Você precisa das seguintes permissões para gerenciar operações de atualização. A tabela a seguir mostra as permissões necessárias quando você usa o Update Manager. Você pode criar uma função personalizada e atribuir apenas as permissões desejadas a essa função para que apenas permissões para ações específicas sejam fornecidas conforme a necessidade.
Permissões de leitura do Update Manager para exibir dados do Update Manager
| Ações | Permissão | Scope |
|---|---|---|
| Leia as propriedades da VM do Azure | Microsoft.Compute/virtualMachines/read | |
| Ler dados de avaliação para VMs do Azure | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Ler dados de instalação de patch para VMs do Azure | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Leia as propriedades do servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/read | |
| Ler dados de avaliação para o servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Leia os dados de instalação do patch para o servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Obter o status de uma operaçãoassíncrona para a máquina virtual do Azure | Microsoft.Compute/locations/operations/read | Subscrição de máquinas |
| Leia o status de uma operação da central de atualizações em máquinas Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Subscrição de máquinas |
Permissões para executar ações sob demanda no Azure Update Manager
Observe que as permissões a seguir seriam necessárias, além das permissões de leitura documentadas acima em máquinas individuais nas quais as operações sob demanda são executadas.
| Ações | Permissão | Scope |
|---|---|---|
| Avaliação de gatilhoem VMs do Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Instalar atualização em VMs do Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Obter o status de uma operação assíncrona para a máquina virtual do Azure | Microsoft.Compute/locations/operations/read | Subscrição de máquinas |
| Avaliação de gatilho no servidor habilitado para Arco do Azure | Microsoft.HybridCompute/machines/assessPatches/action | |
| Instalar atualização no servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Leia o status de uma operação da central de atualizações emmáquinas Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Subscrição de máquinas |
| Atualizar modo de patch/ modode avaliação paraMáquinas Virtuaisdo Azure | Microsoft.Compute/virtualMachines/write | Máquina |
| Atualizar o modo de avaliação paraArc Machines | Microsoft.HybridCompute/machines/write | Máquina |
Permissões relacionadas à aplicação de patches agendados (configuração de manutenção)
Observe que as permissões abaixo seriam necessárias, além das permissões em máquinas individuais, que estão sendo gerenciadas pelas agendas.
| Ações | Permissão | Scope |
|---|---|---|
| Registar a subscrição para o fornecedor derecursos Microsoft.Maintenance | Microsoft.Maintenance/register/action | Subscrição |
| Criar/modificar a configuração de manutenção | Microsoft.Maintenance/maintenanceConfigurations/write | Subscrição/grupo de recursos |
| Ler configuração de manutenção | Microsoft.Manutenção/manutençãoConfigurações/leitura | Subscrição/grupo de recursos |
| Excluir configuração de manutenção | Microsoft.Manutenção/manutençãoConfigurações/excluir | Subscrição/grupo de recursos |
| Criar/modificar atribuições de configuração | Microsoft.Maintenance/configurationAssignments/write | Subscrição/Grupo de recursos / máquina |
| Ler atribuições de configuração | Microsoft.Manutenção/configuraçãoAtribuições/leitura | Subscrição/Grupo de recursos / máquina |
| Excluir atribuições de configuração | Microsoft.Manutenção/configuraçãoAtribuições/excluir | Subscrição/Grupo de recursos / máquina |
| Ler recurso de atualizações de manutenção | Microsoft.Maintenance/updates/read | Máquina |
| Ler manutenção aplicar recurso de atualizações | Microsoft.Maintenance/applyUpdates/read | Máquina |
| Obter lista de implantação de atualização | Microsoft.Resources/deployments/read | Configuração de manutenção e assinatura de máquina virtual |
| Criar ou atualizar uma implantação de atualização | Microsoft.Resources/deployments/write | Configuração de manutenção e assinatura de máquina virtual |
| Obter uma lista de status da operação de implantação de atualização | Microsoft.Resources/deployments/operation statuses | Configuração de manutenção e assinatura de máquina virtual |
| Ler a atribuição de configuração de manutenção para o escopo de manutenção do InGuestPatch | Microsoft.Maintenance/configurationAtribuições/manutençãoScope/InGuestPatch/read | Subscrição/Grupo de recursos / máquina |
| Criar/modificar a atribuição de configuração de manutenção para o escopo de manutenção do InGuestPatch | Microsoft.Manutenção/configuraçãoAtribuições/manutençãoEscopo/InGuestPatch/gravação | Subscrição/Grupo de recursos / máquina |
| Excluir atribuição de configuração de manutenção para escopo de manutenção InGuestPatch | Microsoft.Manutenção/configuraçãoAtribuições/manutençãoEscopo/InGuestPatch/excluir | Subscrição/Grupo de recursos / máquina |
| Ler a configuração de manutenção para o escopo de manutenção do InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read | Subscrição/grupo de recursos |
| Criar/modificar a configuração de manutenção para o escopo de manutenção do InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write | Subscrição/grupo de recursos |
| Excluir configuração de manutenção para o escopo de manutenção InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete | Subscrição/grupo de recursos |
Próximos passos
- Pré-requisitos do Update Manager.
- Como funciona o Update Manager.