Rôles et autorisations dans le Gestionnaire de mise à jour Azure
Pour gérer une machine virtuelle Azure ou un serveur avec Azure Arc avec le Gestionnaire de mise à jour Azure, vous devez disposer des rôles appropriés attribués. Vous pouvez utiliser des rôles prédéfinis ou créer des rôles personnalisés avec les autorisations spécifiques dont vous avez besoin. Pour plus d’informations, consultez les autorisations.
Rôles
Les rôles intégrés fournissent des autorisations générales sur une machine virtuelle, comprenant également toutes les autorisations du Gestionnaire de mise à jour Azure.
| Ressource | Rôle |
|---|---|
| Microsoft Azure | Contributeur de machine virtuelle Azure ou Propriétaire Azure. |
| Serveur avec Azure Arc | Administrateur des ressources de la machine connectée à Azure |
autorisations
Vous avez besoin des autorisations suivantes pour gérer les opérations de mises à jour. Le tableau suivant montre les autorisations nécessaires lorsque vous utilisez le Gestionnaire de mise à jour. Vous pouvez créer un rôle personnalisé et attribuer uniquement les autorisations souhaitées à ce rôle afin que seules les autorisations pour des actions spécifiques soient fournies en fonction des besoins.
Autorisations de lecture pour le Gestionnaire de mise à jour pour afficher ses données
| Actions | Permission | Portée |
|---|---|---|
| Lire les propriétés de machine virtuelle Azure | Microsoft.Compute/virtualMachines/read | |
| Lire les données d’évaluation pour les machines virtuelles Azure | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Lire les données d’installation des correctifs pour les machines virtuelles Azure | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Lire les propriétés du serveur avec Azure Arc | Microsoft.HybridCompute/machines/read | |
| Lire les données d’évaluation pour le serveur avec Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Lire les données d’installation des correctifs pour le serveur avec Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Obtenir l’état d’une opération asynchrone pour une machine virtuelle Azure | Microsoft.Compute/locations/operations/read | Abonnement de la machine |
| Lire l’état d’une opération du centre de mise à jour sur des machines Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Abonnement de la machine |
Autorisations pour exécuter des actions à la demande dans le Gestionnaire de mise à jour Azure
Notez que les autorisations suivantes sont requises en plus des autorisations de lecture documentées ci-dessus sur les machines individuelles sur lesquelles des opérations à la demande sont effectuées.
| Actions | Permission | Portée |
|---|---|---|
| Déclencher une évaluation sur les machines virtuelles Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Installer la mise à jour sur des machines virtuelles Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Obtenir l’état d’une opération asynchrone pour une machine virtuelle Azure | Microsoft.Compute/locations/operations/read | Abonnement de la machine |
| Déclencher une évaluation sur le serveur avec Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Installer la mise à jour sur le serveur avec Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Lire l’état d’une opération du centre de mise à jour sur des machines Arc | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Abonnement de la machine |
| Mettre à jour le mode Correctif / mode Évaluation pour les machines virtuelles Azure | Microsoft.Compute/virtualMachines/write | Machine |
| Mettre à jour le mode Évaluation pour les machines Arc | Microsoft.HybridCompute/machines/write | Machine |
Autorisations relatives aux mises à jour correctives planifiées (configuration de la maintenance)
Notez que les autorisations ci-dessous sont requises en plus des autorisations sur les machines individuelles, qui sont gérées par les planifications.
| Actions | Permission | Portée |
|---|---|---|
| Inscrire l’abonnement pour le fournisseur de ressources Microsoft.Maintenance | Microsoft.Maintenance/register/action | Abonnement |
| Créer/modifier une configuration de maintenance | Microsoft.Maintenance/maintenanceConfigurations/write | Abonnement/groupe de ressources |
| Créer/modifier des attributions de configuration | Microsoft.Maintenance/configurationAssignments/write | Abonnement/groupe de ressources/machine |
| Autorisation de lecture pour la ressource des mises à jour de maintenance | Microsoft.Maintenance/updates/read | Machine |
| Autorisation de lecture pour la ressource des mises à jour d’application de la maintenance | Microsoft.Maintenance/applyUpdates/read | Machine |
| Obtenir la liste des déploiements de mises à jour | Microsoft.Resources/deployments/read | Configuration de maintenance et abonnement des machines virtuelles |
| Créer ou mettre à jour un déploiement de mises à jour | Microsoft.Resources/deployments/write | Configuration de maintenance et abonnement des machines virtuelles |
| Obtenir la liste des états des opérations de déploiement de mise à jour | Microsoft.Resources/deployments/operation statuses | Configuration de maintenance et abonnement des machines virtuelles |