Partager une galerie avec tous les utilisateurs d’un abonnement ou des locataires (préversion)

Cet article explique comment partager une galerie Azure Compute Gallery avec des abonnements ou des locataires spécifiques en utilisant une galerie partagée directe. Le partage d’une galerie avec des locataires et des abonnements leur donne un accès en lecture seule à votre galerie.

Important

Galerie Azure Compute Gallery : la galerie partagée directe est en préversion et est soumise aux Conditions d’évaluation d’Azure Compute Gallery.

Pour publier des images dans une galerie partagée directe pendant la préversion, vous devez vous inscrire sur https://aka.ms/directsharedgallery-preview. Veuillez envoyer le formulaire et partager votre analyse de rentabilité. Aucun accès supplémentaire n’est requis pour consommer des images. La création de machines virtuelles à partir d’une galerie partagée directe est possible pour tous les utilisateurs Azure de l’abonnement ou locataire cible avec lequel la galerie est partagée. Dans la plupart des scénarios, le partage RBAC/interlocataire à l’aide du principal de service est suffisant et incite les clients à tirer parti du partage RBAC. Demandez l’accès à la fonctionnalité Direct Shared Gallery uniquement si vous souhaitez partager des images à grande échelle avec tous les utilisateurs de l’abonnement/du locataire et si votre analyse de rentabilité nécessite l’accès à la galerie partagée directe.

Pendant la préversion, vous devez créer une galerie, en définissant la propriété sharingProfile.permissions sur Groups. Quand vous utilisez l’interface CLI pour créer une galerie, utilisez le paramètre --permissions groups. Vous ne pouvez pas utiliser une galerie existante ; la propriété ne peut pas être mise à jour.

Remarque

Notez qu’il est possible de définir des autorisations de lecture sur des images pour déployer des machines virtuelles et des disques.

La galerie partagée directe distribue les images à tous les utilisateurs d’un abonnement/tenant, tandis que la galerie de la communauté distribue les images publiquement. Nous vous recommandons de faire preuve de prudence lors du partage d’images avec du contenu protégé par la propriété intellectuelle afin d’éviter une distribution généralisée.

Il existe trois façons principales de partager des images dans une galerie Azure Compute Gallery, selon les personnes avec lesquelles vous souhaitez partager :

À partager avec :	Personnes	Groupes	Principal de service	Tous les utilisateurs d’un locataire (ou) d’un abonnement spécifique	Publiquement avec tous les utilisateurs dans Azure
Partage RBAC	Oui	Oui	Oui	No	Non
RBAC + Galerie partagée directe	Oui	Oui	Oui	Oui	Non
RBAC + Galerie de la communauté	Oui	Oui	Oui	No	Oui

Limites

Pendant la préversion :

• Vous pouvez partager uniquement avec 30 abonnements et 5 locataires.
• Seules les images peuvent être partagées. Vous ne pouvez pas partager directement une application de machine virtuelle pendant la préversion.
• Une galerie partagée directe ne peut pas contenir de versions d’images chiffrées. Les images chiffrées ne peuvent pas être créées dans une galerie qui est directement partagée.
• Seul le propriétaire d’un abonnement, ou un utilisateur ou un principal de service affecté au rôle Compute Gallery Sharing Admin au niveau de l’abonnement ou de la galerie, peut activer le partage basé sur le groupe.
• Vous devez créer une galerie, en définissant la propriété sharingProfile.permissions sur Groups. Quand vous utilisez l’interface CLI pour créer une galerie, utilisez le paramètre --permissions groups. Vous ne pouvez pas utiliser une galerie existante ; la propriété ne peut pas être mise à jour.
• PowerShell, Ansible et Terraform ne sont pas pris en charge pour l’instant.
• La région de la version de l’image dans la galerie doit être identique à la région d’accueil ; il n’est pas possible de créer une version inter-région quand la région d’accueil est différente de celle de la galerie. Cependant, une fois que l’image se trouve dans la région d’accueil, elle peut être répliquée dans d’autres régions
• Non disponible dans les clouds Government
• Pour consommer des images partagées directes dans l’abonnement cible, les images partagées directes sont disponibles uniquement à partir du panneau de création VM/VMSS.
• Problème connu : lors de la création d’une machine virtuelle à partir d’une image partagée directe en utilisant le portail Azure, si vous sélectionnez une région, sélectionnez une image, puis changez la région, vous obtenez le message d’erreur « Vous pouvez uniquement créer une machine virtuelle dans les régions de réplication de cette image », même quand l’image est répliquée dans cette région. Pour vous débarrasser de l’erreur, sélectionnez une autre région, puis revenez à la région souhaitée. Si l’image est disponible, cette action doit effacer le message d’erreur.

Prérequis

Vous devez créer une galerie partagée directe. Une galerie partagée directe a la propriété sharingProfile.permissions définie sur Groups. Quand vous utilisez l’interface CLI pour créer une galerie, utilisez le paramètre --permissions groups. Vous ne pouvez pas utiliser une galerie existante ; la propriété ne peut pas être mise à jour.

Fonctionnement du partage avec la galerie partagée directe

Tout d’abord, vous créez une galerie sous Microsoft.Compute/Galleries et choisissez groups comme option de partage.

Quand vous êtes prêt, vous partagez votre galerie avec des abonnements et des locataires. Seul le propriétaire d’un abonnement, ou un utilisateur ou un principal de service doté du rôle Compute Gallery Sharing Admin au niveau de l’abonnement ou de la galerie, peut partager la galerie. À ce stade, l’infrastructure Azure crée des ressources régionales en lecture seule proxy, sous Microsoft.Compute/SharedGalleries. Seuls les abonnements et les locataires avec lesquels vous avez partagé peuvent interagir avec les ressources proxy ; ils n’interagissent jamais avec vos ressources privées. En tant qu'éditeur de la ressource privée, vous devez considérer cette dernière en tant qu’identifiant pour les ressources proxy publiques. Les abonnements et les locataires avec lesquels vous avez partagé votre galerie voient le nom de la galerie comme ID d’abonnement où la galerie a été créée, suivi du nom de la galerie.

Portail

Notes

Problème connu : Dans le portail Azure, si vous obtenez une erreur « Échec de la mise à jour de la galerie Azure Compute Gallery », vérifiez si vous disposez de l’autorisation de propriétaire (ou) d’administrateur du partage de galerie Compute Gallery sur la galerie.

1. Connectez-vous au portail Azure.

2. Saisissez Azure Compute Gallery dans la zone de recherche, puis sélectionnez Azure Compute Gallery dans les résultats.

3. Dans la page Azure Compute Gallery, cliquez sur Ajouter.

4. Dans la page Créer une galerie Azure Compute Gallery, sélectionnez l’abonnement approprié.

5. Renseignez tous les détails dans la page.

6. En bas de la page, sélectionnez Suivant : méthode de partage.

7. Sous l’onglet Partage, sélectionnez RBAC + partager directement.

   

8. Quand vous avez terminé, sélectionnez Vérifier + créer.

9. Une fois la validation réussie, sélectionnez Créer.

10. Une fois le déploiement terminé, sélectionnez Accéder à la ressource.

Pour partager la galerie :

1. Dans le menu de gauche de la page de la galerie, sélectionnez Partager.

2. Sous Paramètres de partage direct, sélectionnez Ajouter.

   

3. Si vous souhaitez partager avec une personne au sein de votre organisation, pour Type, sélectionnez Abonnement ou Locataire, puis choisissez l’élément approprié dans la liste déroulante Locataires et abonnements. Si vous souhaitez partager avec une personne en dehors de votre organisation, sélectionnez Abonnement en dehors de mon organisation ou Locataire en dehors de mon organisation, puis collez ou tapez l’ID dans la zone de texte.

   Lorsqu’une galerie est partagée avec le locataire, tous les abonnements au sein du locataire ont accès à l’image et n’ont pas besoin de la partager avec des abonnements individuels dans le locataire

4. Quand vous avez terminé d’ajouter des éléments, sélectionnez Enregistrer.

INTERFACE DE LIGNE DE COMMANDE

Pour créer une galerie partagée directe, vous devez créer la galerie avec le paramètre --permissions défini sur groups.

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

Pour commencer à partager la galerie avec un abonnement ou un locataire, utilisez az sig share add

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

Supprimez l’accès pour un abonnement ou un locataire avec az sig share remove.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST

Créez une galerie pour le partage au niveau de l’abonnement ou du locataire en utilisant l’API REST Azure.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

Partagez une galerie avec un abonnement ou un locataire.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

Supprimez l’accès pour un abonnement ou un locataire.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

Réinitialisez le partage pour effacer tout dans le sharingProfile.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

Étapes suivantes

• Créez une définition d’image et une version d’image.
• Créez une machine virtuelle à partir d’une image généralisée ou spécialisée provenant d’une image partagée directe dans l’abonnement ou le locataire cible.