Funções e permissões no Gerenciador de Atualizações do Azure
Para gerir um Azure VM ou um servidor habilitado pelo Azure Arc utilizando o Gerenciador de Atualizações do Azure, deve ter as funções apropriadas atribuídas. Você pode usar funções predefinidas ou criar funções personalizadas com as permissões específicas necessárias. Para obter mais informações, veja as permissões.
Funções
As funções internas fornecem permissões gerais em uma máquina virtual, que também inclui todas as permissões do Gerenciador de Atualizações do Azure.
| Recurso | Função |
|---|---|
| VM do Azure | Colaborador da Máquina Virtual do Azure ouProprietário do Azure. |
| Servidor habilitado para Azure Arc | Administrador de recursos de Azure Connected Machine |
Permissões
Você precisa das seguintes permissões para gerenciar operações de atualização. A tabela a seguir mostra as permissões necessárias ao usar o Update Manager. Você pode criar uma função personalizada e atribuir apenas as permissões desejadas a essa função, de modo que apenas permissões para ações específicas sejam fornecidas conforme a necessidade.
Permissões de leitura do Update Manager para visualizar dados do Update Manager
| Ações | Permissão | Escopo |
|---|---|---|
| Leia as propriedades da VM do Azure | Microsoft.Compute/virtualMachines/read | |
| Ler dados de avaliação para VMs do Azure | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Ler dados de instalação de patch para VMs do Azure | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Leia as propriedades do servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/read | |
| Ler dados de avaliação para servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Ler dados de instalação de patch para servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Obtenha o status de uma operação assíncrona para Azure Máquina virtual | Microsoft.Compute/locations/operations/read | Assinatura de máquina |
| Leia o status de uma operação do centro de atualização em máquinas Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Assinatura de máquina |
Permissões para executar ações sob demanda no Gerenciador de Atualizações do Azure
Observe que as seguintes permissões seriam necessárias além das permissões de leitura documentadas acima em máquinas individuais nas quais as operações sob demanda são executadas.
| Ações | Permissão | Escopo |
|---|---|---|
| Avaliação de gatilho em VMs do Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Instalar atualização em VMs do Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Obtenha o status de uma operação assíncrona para a máquina virtual do Azure | Microsoft.Compute/locations/operations/read | Assinatura de máquina |
| Avaliação de gatilho no servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Instalar atualização no servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Leia o status de uma operação do centro de atualização em máquinas Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Assinatura de máquina |
| Atualizar patch modo / modo de avaliação para Máquinas Virtuais do Azure | Microsoft.Compute/virtualMachines/write | Computer |
| Atualizar modo de avaliação para Arc Machines | Microsoft.HybridCompute/machines/write | Computer |
Permissões relacionadas à correção agendada (configuração de manutenção)
Observe que as permissões abaixo seriam necessárias além das permissões em máquinas individuais, que estão sendo gerenciadas pelos agendamentos.
| Ações | Permissão | Escopo |
|---|---|---|
| Registre a assinatura do provedor de recursos Microsoft.Maintenance | Microsoft.Maintenance/register/action | Subscription |
| Criar/modificar configuração de manutenção | Microsoft.Maintenance/maintenanceConfigurations/write | Assinatura/grupo de recursos |
| Criar/modificar atribuições de configuração | Microsoft.Maintenance/configurationAssignments/write | Assinatura/Grupo de recursos/máquina |
| Permissão de leitura para recurso de atualizações de manutenção | Microsoft.Maintenance/updates/read | Computador |
| Permissão de leitura para recurso de atualização de aplicação de manutenção | Microsoft.Maintenance/applyUpdates/read | Computador |
| Obter lista de implantação de atualização | Microsoft.Resources/deployments/read | Configuração de manutenção e assinatura de máquina virtual |
| Criar ou atualizar uma implantação de atualização | Microsoft.Resources/deployments/write | Configuração de manutenção e assinatura de máquina virtual |
| Obtenha uma lista de status de operação de implantação de atualização | Microsoft.Recursos/implantações/status de operação | Configuração de manutenção e assinatura de máquina virtual |