Katalógus-erőforrások megosztása előfizetések és bérlők között az RBAC-vel

Mivel az Azure Compute Gallery, a definíció és a verzió mind erőforrás, a beépített natív Azure-szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörökkel oszthatók meg. Az Azure RBAC-szerepkörökkel megoszthatja ezeket az erőforrásokat más felhasználók, szolgáltatásnevek és csoportok számára. Akár meg is oszthatja a hozzáférést azon bérlőn kívüli személyekhez, akiken belül létrehozták őket. Ha egy felhasználó hozzáfér, a katalógus erőforrásaival üzembe helyezhet egy virtuális gépet vagy egy virtuálisgép-méretezési csoportot. Az alábbi megosztási mátrix segít megérteni, hogy a felhasználó mire fér hozzá:

Megosztva a felhasználóval	Azure Compute-katalógus	Rendszerkép-definíció	Rendszerképverzió
Azure Compute-katalógus	Igen	Igen	Igen
Rendszerkép-definíció	Nem	Igen	Igen

A legjobb élmény érdekében javasoljuk a megosztást a Katalógus szintjén. Nem javasoljuk az egyes képverziók megosztását. További információ az Azure RBAC-ről: Azure-szerepkörök hozzárendelése.

Az Azure Compute Galleryben három fő módon oszthat meg képeket attól függően, hogy kivel szeretne megosztani:

Megosztás a következőkkel:	Személyek	Csoportok	Szolgáltatásnév	Egy adott előfizetés (vagy) bérlő összes felhasználója	Nyilvánosan az Azure összes felhasználójával
RBAC-megosztás	Igen	Igen	Igen	Nem	Nem
RBAC + Közvetlen megosztott katalógus	Igen	Igen	Igen	Igen	Nem
RBAC + Közösségi galéria	Igen	Igen	Igen	Nem	Igen

Alkalmazásregisztrációt is létrehozhat, amellyel képeket oszthat meg a bérlők között.

Feljegyzés

Vegye figyelembe, hogy a rendszerképek olvasási engedélyekkel használhatók a virtuális gépek és lemezek üzembe helyezéséhez.

A közvetlen megosztott katalógus használatakor a rendszer széles körben terjeszti a képeket az előfizetés/bérlő összes felhasználója számára, míg a közösségi katalógus nyilvánosan terjeszti a képeket. Javasoljuk, hogy körültekintően járjon el a szellemi tulajdont tartalmazó képek megosztásakor a széles körű terjesztés megakadályozása érdekében.

Megosztás RBAC használatával

Amikor RBAC-vel oszt meg egy katalógust, meg kell adnia a imageID rendszerképből virtuális gépet vagy méretezési csoportot létrehozó bárkinek. A virtuális gépet vagy méretezési csoportot üzembe helyező személy nem listázhatja az RBAC használatával megosztott képeket.

Ha az Azure-bérlőn kívüli személynek osztja meg a katalógus erőforrásait, be kell jelentkeznie, tenantID és az Azure-nak ellenőriznie kell, hogy hozzáférnek-e az erőforráshoz, mielőtt a saját bérlőjén belül használhatják. Meg kell adnia őket az Ön tenantIDszámára, a szervezeten kívüli személy számára nem lehet lekérdezni az Ön adatait tenantID.

Fontos

Az RBAC-megosztással erőforrások oszthatók meg a szervezeten (vagy) a szervezeten kívüli (bérlők közötti) felhasználókkal. Az alábbiakban az RBAC-vel megosztott rendszerképek felhasználására és virtuális gépek/VMSS-ek létrehozására vonatkozó utasításokat talál:

RBAC – A szervezeten belül megosztva

RBAC – Megosztva egy másik bérlőtől

Portál

1. A katalógus oldalán, a bal oldali menüben válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
2. A Hozzáadás csoportban válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. Ekkor megnyílik a Szerepkör-hozzárendelés hozzáadása lap.
3. A Szerepkör csoportban válassza az Olvasó lehetőséget.
4. Győződjön meg arról, hogy a felhasználó ki van jelölve a Tagok lapon. A hozzáférés hozzárendeléséhez tartsa meg a felhasználó, csoport vagy szolgáltatásnév alapértelmezett értékét.
5. Kattintson a Tagok kijelölése elemre, és válasszon egy felhasználói fiókot a jobb oldalon megnyíló lapról.
6. Ha a felhasználó a szervezeten kívül van, az üzenet jelenik meg: A felhasználó e-mailt kap, amely lehetővé teszi számukra a Microsofttal való együttműködésüket. Jelölje ki az e-mail-címmel rendelkező felhasználót, majd kattintson a Mentés gombra.

Parancssori felület

A katalógus objektumazonosítójának lekéréséhez használja az az sig show-t.

az sig show \
   --resource-group myGalleryRG \
   --gallery-name myGallery \
   --query id

Használja az objektumazonosítót hatókörként, valamint egy e-mail-címet és egy szerepkör-hozzárendelési létrehozást , hogy hozzáférést biztosítson a felhasználónak az Azure Compute Galleryhez. Cserélje le és <gallery ID> cserélje le <email address> a saját adatait.

az role assignment create \
   --role "Reader" \
   --assignee <email address> \
   --scope <gallery ID>

Az erőforrások RBAC-vel való megosztásáról további információt az RBAC és az Azure CLI használatával történő hozzáférés kezelése című témakörben talál.

PowerShell

Használjon egy e-mail-címet és a Get-AzADUser parancsmagot a felhasználó objektumazonosítójának lekéréséhez, majd a New-AzRoleAssignment használatával adjon hozzáférést a katalógushoz. Cserélje le a példában szereplő e-maileket alinne_montes@contoso.com a saját adataira.

# Get the object ID for the user
$user = Get-AzADUser -StartsWith alinne_montes@contoso.com
# Grant access to the user for our gallery
New-AzRoleAssignment `
   -ObjectId $user.Id `
   -RoleDefinitionName Reader `
   -ResourceName $gallery.Name `
   -ResourceType Microsoft.Compute/galleries `
   -ResourceGroupName $resourceGroup.ResourceGroupName

Következő lépések

• Hozzon létre egy képdefiníciót és egy képverziót.
• Virtuális gép létrehozása általánosított vagy speciális rendszerképből egy katalógusban.