Roles y permisos en Azure Update Manager
Para administrar una máquina virtual de Azure o un servidor habilitado para Azure Arc mediante Azure Update Manager, debe tener asignados los roles adecuados. Puede usar roles predefinidos o crear roles personalizados con los permisos específicos que necesita. Para obtener más información, vea los permisos.
Roles
Los roles integrados proporcionan permisos generales en una máquina virtual, que incluye también todos los permisos de Azure Update Manager.
| Recurso | Rol |
|---|---|
| MV de Azure | Colaborador de máquina virtual de Azure o Propietario de Azure. |
| Servidor habilitado para Azure Arc | Administrador de recursos de Azure Connected Machine |
Permisos
Necesita los permisos siguientes para administrar las operaciones de actualización. En la tabla siguiente se muestran los permisos necesarios cuando se usa Update Manager. Puede crear un rol personalizado y asignar solo los permisos deseados a ese rol para que solo se proporcionen permisos para acciones específicas según sea necesario.
Permisos de lectura para Update Manager para ver los datos de Update Manager
| Acciones | Permiso | Ámbito |
|---|---|---|
| Leer las propiedades de máquina virtual de Azure | Microsoft.Compute/virtualMachines/read | |
| Leer datos de evaluación de máquinas virtuales de Azure | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Leer datos de instalación de revisiones para máquinas virtuales de Azure | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Leer las propiedades del servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/read | |
| Leer datos de evaluación para el servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Leer datos de instalación de revisiones para el servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Obtener el estado de una operación asincrónica para la máquina virtual de Azure | Microsoft.Compute/locations/operations/read | Suscripción de máquina |
| Leer el estado de una operación del centro de actualizaciones en máquinas de Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Suscripción de máquina |
Permisos para realizar acciones a petición en Azure Update Manager
Tenga en cuenta que los permisos siguientes serían necesarios además de los permisos de lectura documentados anteriormente en máquinas individuales en las que se realizan operaciones a petición.
| Acciones | Permiso | Ámbito |
|---|---|---|
| Evaluación del Desencadenador en máquinas virtuales de Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Instalación de la actualización en máquinas virtuales de Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Obtener el estado de una operación asincrónica para la máquina virtual de Azure | Microsoft.Compute/locations/operations/read | Suscripción de máquina |
| Evaluación del desencadenador en el servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Instalación de la actualización en el servidor habilitado para Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Leer el estado de una operación del centro de actualizaciones en Arc máquinas | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Suscripción de máquina |
| Actualizar el modo de revisión o el modo de evaluación para Azure Virtual Machines | Microsoft.Compute/virtualMachines/write | Machine |
| Modo de evaluación de actualizaciones para Máquinas de Arc | Microsoft.HybridCompute/machines/write | Machine |
Permisos relacionados con la aplicación de revisiones programadas (configuración de mantenimiento)
Tenga en cuenta que los permisos siguientes serían necesarios además de los permisos en máquinas individuales, que se administran mediante las programaciones.
| Acciones | Permiso | Ámbito |
|---|---|---|
| Registrar la suscripción para el proveedor de recursos Microsoft.Maintenance | Microsoft.Maintenance/register/action | Subscription |
| Crear o modificar la configuración de mantenimiento | Microsoft.Maintenance/maintenanceConfigurations/write | Suscripción/ grupo de recursos |
| Crear o modificar asignaciones de configuración | Microsoft.Maintenance/configurationAssignments/write | Suscripción/grupo de recursos/máquina |
| Permiso de lectura para el recurso actualizaciones de mantenimiento | Microsoft.Maintenance/updates/read | Máquina |
| Permiso de lectura para el mantenimiento de la aplicación de actualizaciones de recursos | Microsoft.Maintenance/applyUpdates/read | Máquina |
| Obtener la lista de implementaciones de actualizaciones | Microsoft.Resources/deployments/read | Configuración de mantenimiento y suscripción a máquinas virtuales |
| Crear o actualizar una implementación de actualizaciones | Microsoft.Resources/deployments/write | Configuración de mantenimiento y suscripción a máquinas virtuales |
| Obtener una lista de los estados de la operación de implementación de actualizaciones | Microsoft.Resources/deployments/operation statuses | Configuración de mantenimiento y suscripción a máquinas virtuales |