Azure Update Manager のロールとアクセス許可
Azure Update Manager を使用して Azure VM または Azure Arc 対応サーバーを管理するには、適切なロールが割り当てられている必要があります。 定義済みロールを使用するか、必要となる特定のアクセス許可を持つカスタム ロールを作成できます。 詳細については、「アクセス許可」を参照してください。
ロール
組み込みのロールは、仮想マシンに対する包括的なアクセス許可を提供します。これには、Azure Update Manager のすべてのアクセス許可も含まれます。
| リソース | ロール |
|---|---|
| Azure VM | Azure 仮想マシン共同作成者または Azure 所有者。 |
| Azure Arc 対応サーバー | Azure Connected Machine のリソース管理者 |
アクセス許可
更新操作を管理するには、次のアクセス許可が必要です。 次の表は、Update Manager を使用する際に必要なアクセス許可を示します。 カスタム ロールを作成し、そのロールに必要なアクセス許可のみを割り当てると、特定のアクションのアクセス許可のみを必要に応じて提供することができます。
Update Manager のデータを表示するための Update Manager の読み取りアクセス許可
| アクション | 権限 | スコープ |
|---|---|---|
| Azure VM のプロパティを読み取る | Microsoft.Compute/virtualMachines/read | |
| Azure VM の評価データを読み取る | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Azure VM のパッチ インストール データを読み取る | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Azure Arc 対応サーバーのプロパティを読み取る | Microsoft.HybridCompute/machines/read | |
| Azure Arc 対応サーバーの評価データを読み取る | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Azure Arc 対応サーバーのパッチ インストール データを読み取る | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Azure 仮想マシンの非同期操作の状態を取得する | Microsoft.Compute/locations/operations/read | マシンのサブスクリプション |
| Arc マシンでの更新センター操作の状態を読み取る | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | マシンのサブスクリプション |
Azure Update Manager でオンデマンド アクションを実行するためのアクセス許可
オンデマンド操作を実行する個々のマシンに対する上記の読み取りアクセス許可に加えて、次のアクセス許可が必要になることに注意してください。
| アクション | 権限 | スコープ |
|---|---|---|
| Azure VM で評価をトリガーする | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Azure VM に更新プログラムをインストールする | Microsoft.Compute/virtualMachines/installPatches/action | |
| Azure 仮想マシンの非同期操作の状態を取得する | Microsoft.Compute/locations/operations/read | マシンのサブスクリプション |
| Azure Arc 対応サーバーで評価をトリガーする | Microsoft.HybridCompute/machines/assessPatches/action | |
| Azure Arc 対応サーバーに更新プログラムをインストールする | Microsoft.HybridCompute/machines/installPatches/action | |
| Arc マシンで更新センター操作の状態を読み取る | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | マシンのサブスクリプション |
| Azure 仮想マシンのパッチ モードまたは評価モードを更新する | Microsoft.Compute/virtualMachines/write | Machine |
| Arc マシンの評価モードを更新する | Microsoft.HybridCompute/machines/write | Machine |
スケジュールされた修正プログラムの適用 ([メンテナンス構成]) に関連するアクセス許可
スケジュールによって管理されている個々のマシンに対するアクセス許可に加えて、以下のアクセス許可が必要になることに注意してください。
| アクション | 権限 | スコープ |
|---|---|---|
| Microsoft.Maintenance リソース プロバイダーのサブスクリプションを登録する | Microsoft.Maintenance/register/action | サブスクリプション |
| メンテナンス構成の作成と変更 | Microsoft.Maintenance/maintenanceConfigurations/write | サブスクリプション、リソース グループ |
| 構成の割り当ての作成と変更 | Microsoft.Maintenance/configurationAssignments/write | サブスクリプション/リソース グループ/マシン |
| メンテナンスの更新プログラム リソースの読み取りアクセス許可 | Microsoft.Maintenance/updates/read | Machine |
| メンテナンスの更新プログラム適用リソースの読み取りアクセス許可 | Microsoft.Maintenance/applyUpdates/read | Machine |
| 更新プログラムのデプロイの一覧を取得する | Microsoft.Resources/deployments/read | メンテナンス構成と仮想マシンのサブスクリプション |
| 更新プログラムのデプロイを作成または更新する | Microsoft.Resources/deployments/write | メンテナンス構成と仮想マシンのサブスクリプション |
| 更新プログラムのデプロイに対する操作の状態の一覧を取得する | Microsoft.Resources/deployments/operation statuses | メンテナンス構成と仮想マシンのサブスクリプション |