Configurar permissões de função para pools em espera

Os pools em espera exigem permissões específicas para criar e gerenciar recursos em sua assinatura. Sem as permissões corretas, os grupos de reserva não funcionam corretamente. Este artigo explica como configurar permissões de controle de acesso baseado em função (RBAC) para pools em espera e fornece orientação para cenários em que permissões adicionais podem ser necessárias.

Permissões básicas

Para permitir que pools em espera criem e gerenciem máquinas virtuais em sua assinatura, atribua as permissões apropriadas ao provedor de recursos do pool em espera.

Importante

Essas permissões podem não abranger totalmente todos os cenários. Se o grupo de espera utilizar recursos específicos, como imagens da galeria de computação em outras subscrições, certifique-se de que o fornecedor de recursos do grupo de espera tenha acesso a esses recursos.

Para cobrir o maior número possível de cenários, sugere-se fornecer as seguintes permissões ao provedor de recursos do pool em espera:

• Colaborador de Máquina Virtual
• Contribuidor de Rede
• Contribuidor de identidade gerenciada
• Administrador de Partilha da Galeria de Computação
• Editora de artefatos da Galeria de Computação

1. No portal do Azure, navegue para as subscrições.
2. Selecione a subscrição que pretende ajustar as permissões.
3. Selecione Controlo de Acesso (IAM).
4. Selecione Adicionar e Adicionar atribuição de função.
5. Na guia Função, procure por Colaborador de Máquina Virtual e selecione-o.
6. Vá para a guia Membros .
7. Selecione + Selecione membros.
8. Procure por Provedor de Recursos do Pool em Espera e selecione-o.
9. Vá para a guia Revisar + atribuir .
10. Aplique as alterações.
11. Repita as etapas acima e atribua a função de Colaborador de Rede e a função de Operador de Identidade Gerenciada ao Provedor de Recursos do Pool em Espera. Se você estiver usando imagens armazenadas na Galeria de Computação, atribua também as funções de Administrador de Compartilhamento da Galeria de Computação e Editor de Artefatos da Galeria de Computação.

Para obter mais informações sobre como atribuir funções, consulte Atribuir funções do Azure usando o portal do Azure.

Recursos de subscrição cruzada

Se o grupo de espera utilizar recursos, como imagens de galeria computacional, armazenados numa subscrição diferente, assegure-se de que o fornecedor de recursos do grupo de espera tenha acesso a esses recursos. Talvez seja necessário atribuir funções na outra assinatura para conceder as permissões necessárias.

Resolver problemas de permissão

Problemas de permissões são uma causa comum de problemas com pools de espera. Esses problemas podem se manifestar de várias maneiras, como o pool criando e excluindo instâncias continuamente, falhando ao criar instâncias ou nenhuma instância aparecendo no pool. Utilize as seguintes etapas para resolver esses problemas:

Utilizar o Log Analytics para investigação

Se o pool não estiver funcionando conforme o esperado, use o Log Analytics para analisar os logs e identificar as permissões ausentes:

1. Navegue até o portal do Azure.
2. Vá para o espaço de trabalho do Log Analytics associado ao pool de espera. Antes de usar a análise de log, primeiro você precisa configurar um espaço de trabalho de análise de log. Para obter mais informações, consulte Usar o Azure Log Analytics para monitorar eventos do pool de espera.
3. Consulte a SVMPoolExecutionLog tabela para revisar eventos relacionados à criação e exclusão de instâncias:

   SVMPoolExecutionLog
   | where TimeGenerated > ago(24h)
   | project TimeGenerated, EventName, EventStatus, ResourceId, FailureDetails

4. Procure erros ou falhas na coluna FailureDetails para identificar permissões ausentes ou outros problemas.

Verifique se há modo degradado na API de exibição de tempo de execução

Se o pool estiver no modo degradado, a criação de recursos será pausada brevemente. Utilize a API de Visualização de Runtime para verificar o estado de integridade do seu pool e determinar o motivo do modo degradado.

1. Envie uma solicitação GET para a API de exibição de tempo de execução ou outros SDKs, como PowerShell ou CLI.

https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.StandbyPool/standbyVirtualMachinePools/{standbyPool}/runtime?api-version=2025-03-01

2. Analise a resposta para o campo healthStatus. Se o pool estiver no modo degradado, a resposta incluirá o motivo do estado degradado.

3. Resolva o problema identificado, como permissões ausentes ou restrições de recursos, para resolver o modo degradado.

Revise as permissões necessárias para instâncias agrupadas

Se notar instâncias agrupadas sendo recicladas ou nenhuma instância aparecendo no grupo, reveja os recursos necessários para criar uma única máquina virtual. Verifique se o provedor de recursos do pool em espera tem as permissões necessárias para todos os recursos necessários, incluindo, entre outros:

• Imagens da Galeria de Computação
• Redes virtuais e sub-redes
• Identidades gerenciadas
• Contas de armazenamento

Verifique se as funções atribuídas ao provedor de recursos do pool em espera incluem todas as permissões necessárias para criar e gerenciar máquinas virtuais.

Próximas Etapas

• Use a documentação do [Azure Monitor Logs para explorar e analisar mais os logs.
• Consulte a documentação da API do Runtime View para obter mais detalhes sobre como verificar a integridade e o status do pool.
• Verifique se todas as funções necessárias estão atribuídas conforme descrito na seção Permissões básicas.