Azure 更新管理器中的角色和权限
若要使用 Azure 更新管理器管理 Azure VM 或已启用 Azure Arc 的服务器,必须拥有相应的角色。 可以使用预定义的角色,也可以创建拥有所需特定权限的自定义角色。 有关详细信息,请参阅权限。
角色
内置角色在虚拟机上提供一揽子权限,其中还包括所有 Azure 更新管理器权限。
资源 | 角色 |
---|---|
Azure VM | Azure 虚拟机参与者或 Azure 所有者 |
已启用 Azure Arc 的服务器 | Azure Connected Machine 资源管理员 |
权限
需要以下权限才能管理更新操作。 下表显示了使用更新管理器时所需的权限。 可以创建自定义角色并仅为该角色分配所需的权限,以便仅根据需要提供执行特定操作的权限。
更新管理器读取权限,用于查看更新管理器数据
操作 | 权限 | 范围 |
---|---|---|
读取 Azure VM 属性 | Microsoft.Compute/virtualMachines/read | |
读取 Azure VM 的评估数据 | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
读取 Azure VM 的补丁安装数据 | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
读取已启用 Azure Arc 的服务器属性 | Microsoft.HybridCompute/machines/read | |
读取已启用 Azure Arc 的服务器的评估数据 | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
读取已启用 Azure Arc 的服务器的补丁安装数据 | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
获取 Azure 虚拟机异步操作的状态 | Microsoft.Compute/locations/operations/read | 计算机订阅 |
读取 Arc 计算机上更新中心操作的状态 | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | 计算机订阅 |
在 Azure 更新管理器中执行按需操作的权限
请注意,除了上面所述的读取权限之外,在执行按需操作的各个计算机上还需要有以下权限。
操作 | 权限 | 范围 |
---|---|---|
触发 Azure VM 上的评估 | Microsoft.Compute/virtualMachines/assessPatches/action | |
在 Azure VM 上安装更新 | Microsoft.Compute/virtualMachines/installPatches/action | |
获取 Azure 虚拟机异步操作的状态 | Microsoft.Compute/locations/operations/read | 计算机订阅 |
在已启用 Azure Arc 的服务器上触发评估 | Microsoft.HybridCompute/machines/assessPatches/action | |
在已启用 Azure Arc 的服务器上安装更新 | Microsoft.HybridCompute/machines/installPatches/action | |
读取 Arc 计算机上更新中心操作的状态 | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | 计算机订阅 |
Azure 虚拟计算机的更新补丁模式/评估模式 | Microsoft.Compute/virtualMachines/write | Machine |
Arc 计算机的更新评估模式 | Microsoft.HybridCompute/machines/write | Machine |
计划修补(维护配置)相关的权限
请注意,除了按计划管理的单个计算机的权限之外,还需要以下权限。
操作 | 权限 | 范围 |
---|---|---|
注册 Microsoft.Maintenance 资源提供程序的订阅 | Microsoft.Maintenance/register/action | 订阅 |
创建/修改维护配置 | Microsoft.Maintenance/maintenanceConfigurations/write | 订阅/资源组 |
创建/修改配置分配 | Microsoft.Maintenance/configurationAssignments/write | 订阅/资源组/计算机 |
维护更新资源的读取权限 | Microsoft.Maintenance/updates/read | 计算机 |
维护应用更新资源的读取权限 | Microsoft.Maintenance/applyUpdates/read | 计算机 |
获取更新部署列表 | Microsoft.Resources/deployments/read | 维护配置和虚拟机订阅 |
创建或更新更新部署 | Microsoft.Resources/deployments/write | 维护配置和虚拟机订阅 |
获取更新部署操作状态的列表 | Microsoft.Resources/deployments/operation statuses | 维护配置和虚拟机订阅 |