Ruoli e autorizzazioni in Gestore aggiornamenti di Azure
Per gestire una macchina virtuale di Azure o un server abilitato per Azure Arc con Gestore aggiornamenti di Azure, è necessario avere i ruoli appropriati assegnati. È possibile usare ruoli predefiniti o creare ruoli personalizzati con le autorizzazioni specifiche necessarie. Per altre informazioni, vedere le autorizzazioni.
Ruoli
I ruoli predefiniti forniscono autorizzazioni coperte in una macchina virtuale, che include anche tutte le autorizzazioni di Gestore aggiornamenti di Azure.
| Conto risorse | Ruolo |
|---|---|
| Macchina virtuale di Azure | Collaboratore macchina virtuale di Azure o proprietario di Azure. |
| Server con abilitazione di Azure Arc | Amministratore delle risorse di Azure Connected Machine |
Autorizzazioni
Per gestire le operazioni di aggiornamento sono necessarie le autorizzazioni seguenti. La tabella seguente illustra le autorizzazioni necessarie quando si usa Gestione aggiornamenti. È possibile creare un ruolo personalizzato e assegnare solo le autorizzazioni desiderate a tale ruolo in modo che vengano fornite solo le autorizzazioni per azioni specifiche in base alle esigenze.
Autorizzazioni di lettura per Gestione aggiornamenti per visualizzare i dati di Gestione aggiornamenti
| Azioni | Autorizzazione | Scope |
|---|---|---|
| Leggere le proprietà delle macchine virtuali di Azure | Microsoft.Compute/virtualMachines/read | |
| Leggere i dati di valutazione per le macchine virtuali di Azure | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Leggere i dati di installazione delle patch per le macchine virtuali di Azure | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Leggere le proprietà del server abilitate per Azure Arc | Microsoft.HybridCompute/machines/read | |
| Leggere i dati di valutazione per del server abilitato per Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Leggere i dati di installazione delle patch per il server abilitato per Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Ottenere lo stato di un'operazione asincronaper lamacchina virtuale di Azure | Microsoft.Compute/locations/operations/read | Sottoscrizione della macchina virtuale |
| Leggere lo stato di un'operazione del centro aggiornamenti nei computer Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Sottoscrizione della macchina virtuale |
Autorizzazioni per eseguire azioni su richiesta in Gestore aggiornamenti di Azure
Si noti che le autorizzazioni seguenti sarebbero necessarie oltre alle autorizzazioni di lettura documentate in precedenza nei singoli computer in cui vengono eseguite operazioni su richiesta.
| Azioni | Autorizzazione | Scope |
|---|---|---|
| Valutazione trigger nelle macchine virtuali di Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Installare l'aggiornamento nelle macchine virtuali di Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Ottenere lo stato di un'operazione asincrona per la macchina virtuale di Azure | Microsoft.Compute/locations/operations/read | Sottoscrizione della macchina virtuale |
| Valutazione dei trigger nel server abilitato per Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Installare l'aggiornamento nel server abilitato per Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Leggere lo stato di un'operazione del centro aggiornamenti neicomputerArc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Sottoscrizione della macchina virtuale |
| Aggiornaremodalità di valutazione/modalità di valutazionepermacchine virtuali diAzure | Microsoft.Compute/virtualMachines/write | Computer |
| Modalità di valutazione degli aggiornamenti percomputer Arc | Microsoft.HybridCompute/machines/write | Computer |
Autorizzazioni correlate all'applicazione di patch pianificate (configurazione di manutenzione)
Si noti che le autorizzazioni seguenti sono necessarie oltre alle autorizzazioni per i singoli computer, gestiti dalle pianificazioni.
| Azioni | Autorizzazione | Scope |
|---|---|---|
| Registrare la sottoscrizione per ilprovider di risorse Microsoft.Maintenance | Microsoft.Maintenance/register/action | Abbonamento |
| Creare/modificare configurazione manutenzione | Microsoft.Maintenance/maintenanceConfigurations/write | Sottoscrizione/gruppo di risorse |
| Leggere la configurazione della manutenzione | Microsoft.Maintenance/maintenanceConfigurations/read | Sottoscrizione/gruppo di risorse |
| Eliminare la configurazione di manutenzione | Microsoft.Maintenance/maintenanceConfigurations/delete | Sottoscrizione/gruppo di risorse |
| Creare/modificare le assegnazioni di configurazione | Microsoft.Maintenance/configurationAssignments/write | Sottoscrizione/Gruppo di risorse/computer |
| Leggere le assegnazioni di configurazione | Microsoft.Maintenance/configurationAssignments/read | Sottoscrizione/Gruppo di risorse/computer |
| Eliminare le assegnazioni di configurazione | Microsoft.Maintenance/configurationAssignments/delete | Sottoscrizione/Gruppo di risorse/computer |
| Legge la risorsa aggiornamenti della manutenzione | Microsoft.Maintenance/updates/read | Computer |
| Leggere la risorsa aggiornamenti per la manutenzione | Microsoft.Maintenance/applyUpdates/read | Computer |
| Ottenere l'elenco di distribuzione degli aggiornamenti | Microsoft.Resources/deployments/read | Configurazione della manutenzione e sottoscrizione di macchine virtuali |
| Creare o aggiornare una distribuzione degli aggiornamenti | Microsoft.Resources/deployments/write | Configurazione della manutenzione e sottoscrizione di macchine virtuali |
| Ottenere un elenco degli stati dell'operazione di distribuzione degli aggiornamenti | Stati Microsoft.Resources/deployments/operation | Configurazione della manutenzione e sottoscrizione di macchine virtuali |
| Lettura dell'assegnazione della configurazione di manutenzione per l'ambito di manutenzione InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/read | Sottoscrizione/Gruppo di risorse/computer |
| Creare/modificare l'assegnazione di configurazione della manutenzione per l'ambito di manutenzione InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/write | Sottoscrizione/Gruppo di risorse/computer |
| Eliminare l'assegnazione della configurazione di manutenzione per l'ambito di manutenzione InGuestPatch | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/delete | Sottoscrizione/Gruppo di risorse/computer |
| Leggere la configurazione della manutenzione per l'ambito di manutenzione InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read | Sottoscrizione/gruppo di risorse |
| Creare/modificare la configurazione di manutenzione per l'ambito di manutenzione InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write | Sottoscrizione/gruppo di risorse |
| Eliminare la configurazione di manutenzione per l'ambito di manutenzione InGuestPatch | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete | Sottoscrizione/gruppo di risorse |