Compartilhar via

Azure 更新管理器中的角色和权限

若要使用 Azure 更新管理器管理 Azure VM 或已启用 Azure Arc 的服务器,必须拥有相应的角色。 可以使用预定义的角色,也可以创建拥有所需特定权限的自定义角色。 有关详细信息,请参阅权限

角色

内置角色在虚拟机上提供一揽子权限,其中还包括所有 Azure 更新管理器权限。

资源 角色
Azure VM Azure 虚拟机参与者或 Azure 所有者
已启用 Azure Arc 的服务器 Azure Connected Machine 资源管理员

权限

需要以下权限才能管理更新操作。 下表显示了使用更新管理器时所需的权限。 可以创建自定义角色并仅为该角色分配所需的权限,以便仅根据需要提供执行特定操作的权限。

更新管理器读取权限,用于查看更新管理器数据

操作 权限 范围
读取 Azure VM 属性 Microsoft.Compute/virtualMachines/read
读取 Azure VM 的评估数据 Microsoft.Compute/virtualMachines/patchAssessmentResults/read
Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read
读取 Azure VM 的补丁安装数据 Microsoft.Compute/virtualMachines/patchInstallationResults/read
Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read
读取已启用 Azure Arc 的服务器属性 Microsoft.HybridCompute/machines/read
读取已启用 Azure Arc 的服务器的评估数据 Microsoft.HybridCompute/machines/patchAssessmentResults/read
Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read
读取已启用 Azure Arc 的服务器的补丁安装数据 Microsoft.HybridCompute/machines/patchInstallationResults/read
Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read
获取 Azure 虚拟机异步操作的状态 Microsoft.Compute/locations/operations/read 计算机订阅
读取 Arc 计算机上更新中心操作的状态 Microsoft.HybridCompute/locations/updateCenterOperationResults/read 计算机订阅

在 Azure 更新管理器中执行按需操作的权限

请注意,除了上面所述的读取权限之外,在执行按需操作的各个计算机上还需要有以下权限。

操作 权限 范围
触发 Azure VM 上的评估 Microsoft.Compute/virtualMachines/assessPatches/action
在 Azure VM 上安装更新 Microsoft.Compute/virtualMachines/installPatches/action
获取 Azure 虚拟机异步操作的状态 Microsoft.Compute/locations/operations/read 计算机订阅
在已启用 Azure Arc 的服务器上触发评估 Microsoft.HybridCompute/machines/assessPatches/action
在已启用 Azure Arc 的服务器上安装更新 Microsoft.HybridCompute/machines/installPatches/action
读取 Arc 计算机上更新中心操作的状态 Microsoft.HybridCompute/locations/updateCenterOperationResults/read 计算机订阅
Azure 虚拟计算机的更新补丁模式/评估模式 Microsoft.Compute/virtualMachines/write Machine
Arc 计算机的更新评估模式 Microsoft.HybridCompute/machines/write Machine

请注意,除了对由计划管理的各个计算机的权限外,还需要以下权限。

操作 权限 范围
注册 Microsoft.Maintenance 资源提供程序的订阅 Microsoft.Maintenance/register/action 订阅
创建/修改维护配置 Microsoft.Maintenance/maintenanceConfigurations/write 订阅/资源组
读取维护配置 Microsoft.Maintenance/maintenanceConfigurations/read 订阅/资源组
删除维护配置 Microsoft.Maintenance/maintenanceConfigurations/delete 订阅/资源组
创建/修改配置分配 Microsoft.Maintenance/configurationAssignments/write 订阅/资源组/计算机
读取配置分配 Microsoft.Maintenance/configurationAssignments/read 订阅/资源组/计算机
删除配置分配 Microsoft.Maintenance/configurationAssignments/delete 订阅/资源组/计算机
读取维护更新资源 Microsoft.Maintenance/updates/read Machine
读取维护应用更新资源 Microsoft.Maintenance/applyUpdates/read Machine
获取更新部署列表 Microsoft.Resources/deployments/read 维护配置和虚拟机订阅
创建或更新更新部署 Microsoft.Resources/deployments/write 维护配置和虚拟机订阅
获取更新部署操作状态的列表 Microsoft.Resources/deployments/operationstatuses 维护配置和虚拟机订阅
为 InGuestPatch 维护范围读取维护配置分配 Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/read 订阅/资源组/计算机
为 InGuestPatch 维护范围创建/修改维护配置分配 Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/write 订阅/资源组/计算机
为 InGuestPatch 删除范围读取维护配置分配 Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/delete 订阅/资源组/计算机
为 InGuestPatch 维护范围读取维护配置 Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read 订阅/资源组
为 InGuestPatch 维护范围创建/修改维护配置 Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write 订阅/资源组
为 InGuestPatch 维护范围删除维护配置 Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete 订阅/资源组

后续步骤