Compartir una galería con todos los usuarios de una suscripción o inquilinos (versión preliminar)

En este artículo se explica cómo compartir una instancia de Azure Compute Gallery con suscripciones o inquilinos específicos mediante una galería compartida directa. Compartir una galería con inquilinos y suscripciones proporciona a estos acceso de solo lectura a la galería.

Importante

Azure Compute Gallery: la galería compartida directa está actualmente en versión preliminar y sujeta a los Términos de versión preliminar de Azure Compute Gallery.

Para publicar imágenes en una galería compartida directa durante la versión preliminar, debe registrarse en https://aka.ms/directsharedgallery-preview. Envíe el formulario y comparta su caso de negocio. No se requiere acceso adicional para consumir imágenes, la creación de máquinas virtuales desde una galería compartida directa está abierta a todos los usuarios de Azure de la suscripción de destino o el inquilino con el que se comparte la galería. En la mayoría de los escenarios, el uso compartido entre inquilinos o RBAC mediante la entidad de servicio es suficiente y anima a los clientes a aprovechar el uso compartido de RBAC. Solicite acceso a la característica Galería compartida directa solo si desea compartir imágenes ampliamente con todos los usuarios de la suscripción o el inquilino y si su caso empresarial requiere acceso a la galería compartida directa.

Durante la versión preliminar, debe crear una nueva galería, con la propiedad sharingProfile.permissions establecida en Groups. Al usar la CLI para crear una galería, especifique el parámetro --permissions groups. No se puede usar una galería existente, la propiedad no se puede actualizar en este momento.

Nota:

Tenga en cuenta que las imágenes se pueden usar con permisos de lectura para implementar máquinas virtuales y discos.

Al usar la galería compartida directa, las imágenes se distribuyen ampliamente a todos los usuarios de una suscripción o inquilino, mientras que la galería de la comunidad distribuye imágenes públicamente. Se recomienda tener precaución al compartir imágenes que contienen propiedad intelectual para evitar una distribución generalizada.

Hay tres formas principales de compartir imágenes en una instancia de Azure Compute Gallery, en función de con quién quiera compartirlas:

Uso compartido con:	Personas	Grupos	Entidad de servicio	Todos los usuarios de una suscripción (o) inquilino específicos	Públicamente con todos los usuarios de Azure
Uso compartido de RBAC	Sí	Sí	Sí	No	No
RBAC + Galería compartida directa	Sí	Sí	Sí	Sí	No
RBAC + Galería de comunidad	Sí	Sí	Sí	No	Sí

Limitaciones

Durante la versión preliminar:

• Solo puede compartir imágenes con 30 suscripciones y 5 inquilinos.
• Solo se pueden compartir imágenes. No es posible compartir directamente una aplicación de máquina virtual durante la versión preliminar.
• Una galería compartida directa no puede contener versiones de imágenes cifradas. Las imágenes cifradas no se pueden crear dentro de una galería directamente compartida.
• Solo el propietario de una suscripción, o un usuario o entidad de servicio asignada al rol Compute Gallery Sharing Admin en el nivel de suscripción o galería, puede permitir el uso compartido basado en grupo.
• Debe crear una nueva galería, con la propiedad sharingProfile.permissions establecida en Groups. Al usar la CLI para crear una galería, especifique el parámetro --permissions groups. No se puede usar una galería existente, la propiedad no se puede actualizar en este momento.
• PowerShell, Ansible y Terraform no se admiten en este momento.
• La región de versión de la imagen de la galería debe ser igual que la región principal, de forma que se crea una versión entre regiones donde la región principal que es diferente a la de la galería no se admite; sin embargo, una vez que la imagen está en la región principal, se puede replicar en otras regiones.
• No disponible en nubes gubernamentales
• Para consumir imágenes compartidas directas en la suscripción de destino, solo se pueden encontrar imágenes compartidas directas en la hoja de creación de VM o VMSS.
• Problema conocido: al crear una máquina virtual a partir de una imagen compartida directa mediante Azure Portal, si selecciona una región e imagen y luego cambia la región, recibirá un mensaje de error: "Solo puede crear una máquina virtual en las regiones de replicación de esta imagen", incluso aunque la imagen se replique en esa región. Para eliminar el error, seleccione otra región y vuelva a la región que desee. Si la imagen está disponible, el mensaje de error debería desaparecer.

Requisitos previos

Debe crear una nueva galería compartida directa. Una galería compartida directa tiene la propiedad sharingProfile.permissions establecida en Groups. Al usar la CLI para crear una galería, especifique el parámetro --permissions groups. No es posible usar una galería existente, ya que la propiedad no se puede actualizar en este momento.

Funcionamiento del uso compartido con la galería compartida directa

En primer lugar, cree una galería en Microsoft.Compute/Galleries y elija groups como opción de uso compartido.

Cuando esté todo listo, comparta la galería con suscripciones e inquilinos. Solo el propietario de una suscripción, o un usuario o entidad de servicio con el rol Compute Gallery Sharing Admin en el nivel de suscripción o galería, puede compartir la galería. En este momento, la infraestructura de Azure crea recursos regionales de solo lectura de proxy, en Microsoft.Compute/SharedGalleries. Solo las suscripciones e inquilinos con los que haya compartido recursos podrán interactuar con los recursos de proxy, nunca con los recursos privados. Como publicador del recurso privado, debe considerar este como identificador de los recursos de proxy públicos. Las suscripciones e inquilinos con los que haya compartido la galería verán el nombre de la galería como el identificador de la suscripción en la que se creó la galería, seguido del nombre de la galería.

Portal

Nota

Problema conocido: en Azure Portal, si recibe el error "No se pudo actualizar la galería de proceso de Azure", compruebe si tiene permiso de administrador de uso compartido (o propietario) de la galería de proceso en la galería.

1. Inicie sesión en Azure Portal.

2. Escriba Azure Compute Gallery en el cuadro de búsqueda y seleccione Azure Compute Gallery en los resultados.

3. En la página Azure Compute Gallery, haga clic en Agregar.

4. En la página Create Azure Compute Gallery (Crear Azure Compute Gallery), seleccione la suscripción correcta.

5. Complete todos los detalles de la página.

6. En la parte inferior de la página, seleccione Siguiente: Método para compartir.

7. En la pestaña Uso compartido, seleccione RBAC + compartir directamente.

   

8. Cuando haya terminado, seleccione Revisar y crear.

9. Una vez pasada la validación, seleccione Crear.

10. Cuando la implementación finalice, seleccione Ir al recurso.

Para compartir la galería:

1. En la página de la galería, seleccione Compartir en el menú de la izquierda.

2. En Configuración de uso compartido directo, seleccione Agregar.

   

3. Si desea compartir recursos con alguien de su organización, en Tipo, seleccione Suscripción o Inquilino y elija el elemento adecuado en la lista desplegable Inquilinos y suscripciones. Si desea compartir recursos con alguien fuera de su organización, seleccione Suscripción fuera de mi organización o Inquilino fuera de mi organización y, a continuación, pegue o escriba el identificador en el cuadro de texto.

   Cuando se comparte una galería con el inquilino, todas las suscripciones del inquilino tendrán acceso a la imagen y no tendrán que compartirla con suscripciones individuales en el inquilino

4. Cuando termine de agregar elementos, seleccione Guardar.

CLI

Para crear una galería compartida directa, debe crear la galería con el --permissions parámetro establecido en groups.

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

Para empezar a compartir la galería con una suscripción o un inquilino, use az sig share add.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

Retire el acceso de una suscripción o inquilino mediante az sig share remove.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST

Cree una galería para el uso compartido de nivel de inquilino o suscripción mediante la API REST de Azure.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

Comparta una galería con una suscripción o un inquilino.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

Retire el acceso de una suscripción o inquilino.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

Restablezca el uso compartido para borrar todo en sharingProfile.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

Pasos siguientes

• Cree una definición de imagen y una versión de imagen.
• Cree una máquina virtual a partir de una imagen generalizada o especializada desde una imagen compartida directa en la suscripción o el inquilino de destino.