Partager les ressources de la galerie entre les abonnements et les locataires avec RBAC

Tout comme Azure Compute Gallery, la définition et la version sont des ressources, qui peuvent être partagées à l’aide des contrôles d’accès en fonction des rôles RBAC Azure natifs intégrés. Les rôles Azure RBAC permettent de partager ces ressources avec d’autres utilisateurs, principaux de service et groupes. Vous pouvez même partager l’accès avec des personnes en dehors du locataire au sein duquel ils ont été créés. Un utilisateur disposant d’un accès peut utiliser les ressources de galerie pour déployer une machine virtuelle ou un groupe de machines virtuelles identiques. La matrice de partage suivante vous aide à comprendre les éléments auxquels l’utilisateur a accès :

Partagé avec l’utilisateur	Azure Compute Gallery	Définition de l’image	Version de l’image
Azure Compute Gallery	Oui	Oui	Oui
Définition de l’image	Non	Oui	Oui

Nous vous recommandons de partager les images au niveau de la galerie, afin de proposer une expérience optimale. Nous vous déconseillons de partager des versions d’images individuelles. Pour plus d’informations sur Azure RBAC, consultez Attribution de rôles Azure.

Il existe trois façons principales de partager des images dans une galerie Azure Compute Gallery, selon les personnes avec lesquelles vous souhaitez partager :

À partager avec :	Personnes	Groupes	Principal de service	Tous les utilisateurs d’un locataire (ou) d’un abonnement spécifique	Publiquement avec tous les utilisateurs dans Azure
Partage RBAC	Oui	Oui	Oui	No	Non
RBAC + Galerie partagée directe	Oui	Oui	Oui	Oui	Non
RBAC + Galerie de la communauté	Oui	Oui	Oui	No	Oui

Vous pouvez également créer une inscription d’application pour partager des images entre locataires.

Remarque

Notez qu’il est possible de définir des autorisations de lecture sur des images pour déployer des machines virtuelles et des disques.

La galerie partagée directe distribue les images à tous les utilisateurs d’un abonnement/tenant, tandis que la galerie de la communauté distribue les images publiquement. Nous vous recommandons de faire preuve de prudence lors du partage d’images contenant une propriété intellectuelle afin d’éviter une distribution généralisée.

Partager en utilisant le contrôle d’accès en fonction du rôle

Lorsque vous partagez une galerie à l’aide de RBAC, vous devez fournir le imageID à toute personne qui crée une machine virtuelle ou un groupe identique à partir de l’image. Il n’existe aucun moyen pour la personne qui déploie la machine virtuelle ou le groupe identique de répertorier les images qui lui ont été partagées à l’aide de RBAC.

Si vous partagez des ressources de galerie avec une personne en dehors de votre locataire Azure, elle aura besoin de votre tenantID pour se connecter et devra faire en sorte que Azure vérifie qu’elle a accès à la ressource avant de pouvoir l’utiliser au sein de son propre locataire. Vous devez leur fournir votre tenantID, il n’existe aucun moyen pour une personne extérieure à votre organisation de demander votre tenantID.

Important

Le partage RBAC peut être utilisé pour partager des ressources avec des utilisateurs au sein de l’organisation (ou) des utilisateurs extérieurs à l’organisation (inter-locataires). Voici les instructions à suivre pour consommer une image partagée avec le contrôle d’accès en fonction du rôle (RBAC) et créer une machine virtuelle/un groupe de machines virtuelles identiques :

RBAC - Partagé au sein de votre organisation

RBAC - Partagé à partir d’un autre locataire

Portail

1. Sur la page de votre galerie d’images, dans le menu de gauche, sélectionnez Contrôle d’accès (IAM) .
2. Sous Ajouter, sélectionnez Ajouter une attribution de rôle. La page Ajouter une attribution de rôle s’ouvre.
3. Sous Rôle, sélectionnez Lecteur.
4. Vérifiez que l’utilisateur est sélectionné dans l’onglet Membres. Pour Attribuer l’accès à, conservez la valeur par défaut de l’utilisateur, groupe ou principal de service.
5. Cliquez sur Sélectionner des membres, puis choisissez un compte d’utilisateur dans la page qui s’ouvre à droite.
6. Si l’utilisateur se trouve en dehors de votre organisation, vous verrez le message Cet utilisateur recevra un e-mail qui lui permettra de collaborer avec Microsoft. Sélectionnez l’utilisateur avec son adresse e-mail, puis cliquez sur Enregistrer.

INTERFACE DE LIGNE DE COMMANDE

Pour obtenir l’ID d’objet de votre galerie, utilisez az sig show.

az sig show \
   --resource-group myGalleryRG \
   --gallery-name myGallery \
   --query id

Utilisez l’ID d’objet en tant qu’étendue, ainsi qu’une adresse e-mail et la commande az role assignment create pour donner aux utilisateurs l’accès à la galerie Azure Compute Gallery. Remplacez <email address> et <gallery ID> par vos propres informations.

az role assignment create \
   --role "Reader" \
   --assignee <email address> \
   --scope <gallery ID>

Pour plus d’informations sur le partage de ressources à l’aide de RBAC, consultez Gérer l’accès à l’aide de RBAC et Azure CLI.

PowerShell

Utilisez une adresse e-mail et la cmdlet Get-AzADUser pour obtenir l’ID d’objet de l’utilisateur, puis utilisez New-AzRoleAssignment pour leur donner accès à la galerie. Remplacez l’exemple d’e-mail, alinne_montes@contoso.com dans cet exemple, par vos propres informations.

# Get the object ID for the user
$user = Get-AzADUser -StartsWith alinne_montes@contoso.com
# Grant access to the user for our gallery
New-AzRoleAssignment `
   -ObjectId $user.Id `
   -RoleDefinitionName Reader `
   -ResourceName $gallery.Name `
   -ResourceType Microsoft.Compute/galleries `
   -ResourceGroupName $resourceGroup.ResourceGroupName

Étapes suivantes

• Créez une définition d’image et une version d’image.
• Créez une machine virtuelle à partir d’une image généralisée ou spécialisée dans une galerie.