Роли и разрешения в Диспетчере обновлений Azure
Чтобы управлять виртуальной машиной Azure или сервером с поддержкой Azure Arc с помощью Azure Update Manager, необходимо назначить соответствующие роли. Можно использовать предопределенные роли или создавать пользовательские роли с определенными разрешениями. Дополнительные сведения см. в разделе "Разрешения".
Роли
Встроенные роли предоставляют полные разрешения на виртуальной машине, включая все разрешения Диспетчера обновлений Azure.
| Ресурс | Роль |
|---|---|
| Azure | Участник виртуальной машины Azure или владелец Azure. |
| Сервер с поддержкой Azure Arc | Администратор ресурсов Azure Connected Machine |
Разрешения
Для управления операциями обновления требуются следующие разрешения. В следующей таблице показаны необходимые разрешения при использовании Диспетчера обновлений. Вы можете создать пользовательскую роль и назначить только необходимые разрешения этой роли, чтобы предоставлять только разрешения для определенных действий.
Разрешения на чтение для Диспетчера обновлений для просмотра данных Update Manager
| Действия | Разрешение | Область применения |
|---|---|---|
| Чтение свойств виртуальной машины Azure | Microsoft.Compute/virtualMachines/read | |
| Чтение данных оценки для виртуальных машин Azure | Microsoft.Compute/virtualMachineses/patchAssessmentResults/read Microsoft.Compute/virtualMachineses/patchAssessmentResults/softwarePatches/read |
|
| Чтение данных установки исправлений для виртуальных машин Azure | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Чтение свойств сервера с поддержкой Azure Arc | Microsoft.HybridCompute/machines/read | |
| Чтение данных оценки для сервера с поддержкой Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Чтение данных установки исправлений для сервера с поддержкой Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Получение состояния асинхронной операциидля виртуальной машины Azure | Microsoft.Compute/locations/operations/read | Подписка на компьютер |
| Чтение состояния операции центра обновления на компьютерах Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Подписка на компьютер |
Разрешения на выполнение действий по запросу в Диспетчере обновлений Azure
Обратите внимание, что в дополнение к разрешениям на чтение, описанным выше на отдельных компьютерах, на которых выполняются операции по запросу, потребуются следующие разрешения.
| Действия | Разрешение | Область применения |
|---|---|---|
| Активацияоценки на виртуальных машинах Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Установка обновления на виртуальных машинах Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Получение состояния асинхронной операции для виртуальной машины Azure | Microsoft.Compute/locations/operations/read | Подписка на компьютер |
| Активация оценки на сервере с поддержкой Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Установка обновления на сервере с поддержкой Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Чтение состояния операции центра обновления накомпьютерах Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Подписка на компьютер |
| Обновление режима исправленияилирежимаоценки длявиртуальныхмашин Azure | Microsoft.Compute/virtualMachines/write | Компьютер |
| Обновление режима оценки длякомпьютеров Arc | Microsoft.HybridCompute/machines/write | Компьютер |
Запланированные разрешения на исправление (конфигурация обслуживания)
Обратите внимание, что в дополнение к разрешениям на отдельных компьютерах, управляемых расписаниями, потребуются следующие разрешения.
| Действия | Разрешение | Область применения |
|---|---|---|
| Регистрация подписки дляпоставщика ресурсов Microsoft.Maintenance | Microsoft.Maintenance/register/action | Отток подписок |
| Создание и изменение конфигурации обслуживания | Microsoft.Maintenance/maintenanceConfigurations/write | Подписка / группа ресурсов |
| Чтение конфигурации обслуживания | Microsoft.Maintenance/maintenanceConfigurations/read | Подписка / группа ресурсов |
| Удаление конфигурации обслуживания | Microsoft.Maintenance/maintenanceConfigurations/delete | Подписка / группа ресурсов |
| Создание и изменение назначений конфигурации | Microsoft.Maintenance/configurationAssignments/write | Подписка/ группа ресурсов / компьютер |
| Чтение назначений конфигурации | Microsoft.Maintenance/configurationAssignments/read | Подписка/ группа ресурсов / компьютер |
| Удаление назначений конфигурации | Microsoft.Maintenance/configurationAssignments/delete | Подписка/ группа ресурсов / компьютер |
| Чтение ресурса обновлений обслуживания | Microsoft.Maintenance/updates/read | Компьютер |
| Использование ресурса обновлений для чтения | Microsoft.Maintenance/applyUpdates/read | Компьютер |
| Получение списка развертывания обновлений | Microsoft.Resources/deployments/read | Конфигурация обслуживания и подписка на виртуальную машину |
| Создание или обновление развертывания обновления | Microsoft.Resources/deployments/write | Конфигурация обслуживания и подписка на виртуальную машину |
| Получение списка состояний операций развертывания обновления | Состояния microsoft.Resources/deployments/operation | Конфигурация обслуживания и подписка на виртуальную машину |
| Чтение назначения конфигурации обслуживания для области обслуживания InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/read | Подписка/ группа ресурсов / компьютер |
| Создание и изменение назначения конфигурации обслуживания для области обслуживания InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/write | Подписка/ группа ресурсов / компьютер |
| Удаление назначения конфигурации обслуживания для области обслуживания InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/delete | Подписка/ группа ресурсов / компьютер |
| Чтение конфигурации обслуживания для области обслуживания InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read | Подписка / группа ресурсов |
| Создание и изменение конфигурации обслуживания для области обслуживания InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write | Подписка / группа ресурсов |
| Удаление конфигурации обслуживания для области обслуживания InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete | Подписка / группа ресурсов |
Следующие шаги
- Предварительные требования диспетчера обновлений.
- Как работает диспетчер обновлений.