Katalóguserőforrások megosztása előfizetések és bérlők között az RBAC-vel
Mivel az Azure Compute Gallery, a definíció és a verzió mind erőforrás, a beépített natív Azure-szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörökkel oszthatók meg. Az Azure RBAC-szerepkörökkel megoszthatja ezeket az erőforrásokat más felhasználók, szolgáltatásnevek és csoportok számára. Akár meg is oszthatja a hozzáférést azon bérlőn kívüli személyekhez, akiken belül létrehozták őket. Ha egy felhasználó hozzáfér, a katalógus erőforrásaival üzembe helyezhet egy virtuális gépet vagy egy virtuálisgép-méretezési csoportot. Az alábbi megosztási mátrix segít megérteni, hogy a felhasználó mire fér hozzá:
| Megosztva a felhasználóval | Azure Compute Gallery | Rendszerkép-definíció | Rendszerképverzió |
|---|---|---|---|
| Azure Compute Gallery | Igen | Yes | Igen |
| Rendszerkép-definíció | Nem | Yes | Igen |
A legjobb élmény érdekében javasoljuk a megosztást a Katalógus szintjén. Nem javasoljuk az egyes képverziók megosztását. További információ az Azure RBAC-ről: Azure-szerepkörök hozzárendelése.
Az Azure Compute Galleryben három fő módon oszthat meg képeket attól függően, hogy kivel szeretne megosztani:
| Megosztás a következőkkel: | Személyek | Groups | Service Principal | Egy adott előfizetés (vagy) bérlő összes felhasználója | Nyilvánosan az Azure összes felhasználójával |
|---|---|---|---|---|---|
| RBAC-megosztás | Igen | Yes | Igen | Nem | Nem |
| RBAC + Közvetlen megosztott katalógus | Igen | Yes | Yes | Igen | Nem |
| RBAC + Közösségi galéria | Igen | Yes | Igen | Nem | Igen |
Alkalmazásregisztrációt is létrehozhat, amellyel képeket oszthat meg a bérlők között.
Megjegyzés:
Vegye figyelembe, hogy a rendszerképek olvasási engedélyekkel használhatók a virtuális gépek és lemezek üzembe helyezéséhez.
A közvetlen megosztott katalógus használatakor a rendszer széles körben terjeszti a képeket az előfizetés/bérlő összes felhasználója számára, míg a közösségi katalógus nyilvánosan terjeszti a képeket. Javasoljuk, hogy körültekintően járjon el a szellemi tulajdont tartalmazó képek megosztásakor a széles körű terjesztés megakadályozása érdekében.
Megosztás RBAC használatával
Amikor RBAC-vel oszt meg egy katalógust, meg kell adnia a imageID rendszerképből virtuális gépet vagy méretezési csoportot létrehozó bárkinek. A virtuális gépet vagy méretezési csoportot üzembe helyező személy nem listázhatja az RBAC használatával megosztott képeket.
Ha az Azure-bérlőn kívüli személynek osztja meg a katalógus erőforrásait, be kell jelentkeznie, tenantID és az Azure-nak ellenőriznie kell, hogy hozzáférnek-e az erőforráshoz, mielőtt a saját bérlőjén belül használhatják. Meg kell adnia őket az Ön tenantIDszámára, a szervezeten kívüli személy számára nem lehet lekérdezni az Ön adatait tenantID.
Fontos
Az RBAC-megosztással erőforrások oszthatók meg a szervezeten (vagy) a szervezeten kívüli (bérlők közötti) felhasználókkal. Az alábbiakban az RBAC-vel megosztott rendszerképek felhasználására és virtuális gépek/VMSS-ek létrehozására vonatkozó utasításokat talál:
- A katalógus oldalán, a bal oldali menüben válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
- A Szerepkör-hozzárendelés hozzáadása csoportban válassza a Hozzáadás lehetőséget. Ekkor megnyílik a Szerepkör-hozzárendelés hozzáadása panel.
- A Szerepkör csoportban válassza az Olvasó lehetőséget.
- A Hozzáférés hozzárendelése csoportban hagyja meg a Microsoft Entra-felhasználó, csoport vagy szolgáltatásnév alapértelmezett értékét.
- A Kiválasztás csoportban írja be a meghívni kívánt személy e-mail-címét.
- Ha a felhasználó a szervezeten kívül van, az üzenet jelenik meg: A felhasználó e-mailt kap, amely lehetővé teszi számukra a Microsofttal való együttműködésüket. Jelölje ki az e-mail-címmel rendelkező felhasználót, majd kattintson a Mentés gombra.
További lépések
- Hozzon létre egy képdefiníciót és egy képverziót.
- Virtuális gép létrehozása általánosított vagy speciális rendszerképből egy katalógusban.