Роли и разрешения в Диспетчере обновлений Azure
Чтобы управлять виртуальной машиной Azure или сервером с поддержкой Azure Arc с помощью Azure Update Manager, необходимо назначить соответствующие роли. Можно использовать предопределенные роли или создавать пользовательские роли с определенными разрешениями. Дополнительные сведения см. в разделе "Разрешения".
Роли
Встроенные роли предоставляют полные разрешения на виртуальной машине, включая все разрешения Диспетчера обновлений Azure.
| Ресурс | Роль |
|---|---|
| Azure | Участник виртуальной машины Azure или владелец Azure. |
| Сервер с поддержкой Azure Arc | Администратор ресурсов Azure Connected Machine |
Разрешения
Для управления операциями обновления требуются следующие разрешения. В следующей таблице показаны необходимые разрешения при использовании Диспетчера обновлений. Вы можете создать пользовательскую роль и назначить только необходимые разрешения этой роли, чтобы предоставлять только разрешения для определенных действий.
Разрешения на чтение для Диспетчера обновлений для просмотра данных Update Manager
| Действия | Разрешение | Область применения |
|---|---|---|
| Чтение свойств виртуальной машины Azure | Microsoft.Compute/virtualMachines/read | |
| Чтение данных оценки для виртуальных машин Azure | Microsoft.Compute/virtualMachineses/patchAssessmentResults/read Microsoft.Compute/virtualMachineses/patchAssessmentResults/softwarePatches/read |
|
| Чтение данных установки исправлений для виртуальных машин Azure | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Чтение свойств сервера с поддержкой Azure Arc | Microsoft.HybridCompute/machines/read | |
| Чтение данных оценки для сервера с поддержкой Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Чтение данных установки исправлений для сервера с поддержкой Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Получение состояния асинхронной операции для виртуальной машины Azure | Microsoft.Compute/locations/operations/read | Подписка на компьютер |
| Чтение состояния операции центра обновления на компьютерах Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Подписка на компьютер |
Разрешения на выполнение действий по запросу в Диспетчере обновлений Azure
Обратите внимание, что в дополнение к разрешениям на чтение, описанным выше на отдельных компьютерах, на которых выполняются операции по запросу, потребуются следующие разрешения.
| Действия | Разрешение | Область применения |
|---|---|---|
| Активация оценки на виртуальных машинах Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Установка обновления на виртуальных машинах Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Получение состояния асинхронной операции для виртуальной машины Azure | Microsoft.Compute/locations/operations/read | Подписка на компьютер |
| Активация оценки на сервере с поддержкой Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Установка обновления на сервере с поддержкой Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Чтение состояния операции центра обновления на компьютерах Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Подписка на компьютер |
| Обновление режима исправления или режима оценки для виртуальных машин Azure | Microsoft.Compute/virtualMachines/write | Компьютер |
| Обновление режима оценки для компьютеров Arc | Microsoft.HybridCompute/machines/write | Компьютер |
Запланированные разрешения на исправление (конфигурация обслуживания)
Обратите внимание, что в дополнение к разрешениям на отдельных компьютерах, управляемых расписаниями, потребуются следующие разрешения.
| Действия | Разрешение | Область применения |
|---|---|---|
| Регистрация подписки для поставщика ресурсов Microsoft.Maintenance | Microsoft.Maintenance/register/action | Отток подписок |
| Создание и изменение конфигурации обслуживания | Microsoft.Maintenance/maintenanceConfigurations/write | Подписка / группа ресурсов |
| Создание и изменение назначений конфигурации | Microsoft.Maintenance/configurationAssignments/write | Подписка/ группа ресурсов / компьютер |
| Разрешение на чтение ресурса обновлений обслуживания | Microsoft.Maintenance/updates/read | Компьютер |
| Разрешение на чтение для обслуживания применяет ресурс обновлений | Microsoft.Maintenance/applyUpdates/read | Компьютер |
| Получение списка развертывания обновлений | Microsoft.Resources/deployments/read | Конфигурация обслуживания и подписка на виртуальную машину |
| Создание или обновление развертывания обновления | Microsoft.Resources/deployments/write | Конфигурация обслуживания и подписка на виртуальную машину |
| Получение списка состояний операций развертывания обновления | Состояния microsoft.Resources/deployments/operation | Конфигурация обслуживания и подписка на виртуальную машину |
Следующие шаги
- Предварительные требования диспетчера обновлений.
- Как работает диспетчер обновлений.