Condividere le risorse della raccolta tra sottoscrizioni e tenant tramite il controllo degli accessi in base al ruolo

Poiché la raccolta di calcolo di Azure, la definizione e la versione sono tutte risorse, possono essere condivise usando i ruoli nativi di Controllo degli accessi in base al ruolo di Azure. Usando i ruoli controllo degli accessi in base al ruolo di Azure è possibile condividere queste risorse con altri utenti, entità servizio e gruppi. È inoltre possibile condividere l'accesso a utenti esterni al tenant in cui sono stati creati. Quando un utente accede può usare le risorse della raccolta per distribuire una VM o un Set di scalabilità di macchine virtuali. Ecco la matrice di condivisione che consente di comprendere a cosa l'utente ottiene l'accesso:

Condiviso con utente	Raccolta di calcolo di Azure	Definizione immagine	Versione dell'immagine
Raccolta di calcolo di Azure	Sì	Sì	Sì
Definizione delle immagini	No	Sì	Sì

Per un'esperienza ottimale è consigliabile condividere a livello di raccolta. Non è consigliabile condividere singole versioni delle immagini. Per altre informazioni sul controllo degli accessi in base al ruolo di Azure, vedere Assegnare ruoli di Azure.

Esistono tre modi principali per condividere le immagini in una Raccolta di calcolo di Azure, a seconda degli utenti con cui si desidera condividerle:

Condivisione con:	Persone	Gruppi	Entità servizio	Tutti gli utenti in una sottoscrizione specifica (o) tenant	Pubblicamente con tutti gli utenti di Azure
Condivisione del controllo degli accessi in base al ruolo	Sì	Sì	Sì	No	No
Controllo degli accessi in base al ruolo e raccolta condivisa diretta	Sì	Sì	Sì	Sì	No
Controllo degli accessi in base al ruolo e Raccolta della community	Sì	Sì	Sì	No	Sì

Inoltre è possibile creare una Registrazione app per condividere immagini tra tenant.

Nota

Si noti che le immagini possono essere usate con autorizzazioni di lettura per la distribuzione di macchine virtuali e dischi.

Quando si usa la raccolta condivisa diretta, le immagini vengono distribuite ampiamente a tutti gli utenti in una sottoscrizione/tenant, mentre la raccolta della community distribuisce le immagini pubblicamente. È consigliabile prestare attenzione quando si condividono immagini che contengono proprietà intellettuale per evitare una distribuzione diffusa.

Condivisione tramite il controllo degli accessi in base al ruolo

Se si condivide una raccolta tramite il controllo degli accessi in base al ruolo, è necessario fornire il imageID a chiunque crei una VM o un set di scalabilità dall'immagine. La persona che distribuisce la VM o il set di scalabilità non dispone di alcun modo per elencare le immagini condivise tramite il controllo degli accessi in base al ruolo.

Se si condividono le risorse della raccolta con un utente esterno al tenant di Azure, sarà necessario il tenantID per accedere e Azure dovrà verificare che sia consentito l'accesso alla risorsa per poterla usare all'interno del tenant. Sarà necessario fornire il tenantID alle risorse, non esiste alcun un modo per consentire a un utente esterno all'organizzazione di eseguire una query per il tenantID.

Importante

La condivisione tramite controllo degli accessi in base al ruolo può essere usata per condividere le risorse con gli utenti all'interno dell'organizzazione (o) all'esterno dell'organizzazione (tra tenant). Si riportano le istruzioni per usare un'immagine condivisa con il controllo degli accessi in base al ruolo e creare VM/set di scalabilità di VM:

Controllo degli accessi in base al ruolo - Condiviso all'interno dell'organizzazione

Controllo degli accessi in base al ruolo - Condiviso da un altro tenant

Portale

1. Nella pagina della raccolta, nel menu di sinistra, selezionare Controllo di accesso (IAM).
2. In Aggiungi selezionare Aggiungi assegnazione di ruolo. Viene visualizzata la pagina Aggiungi assegnazione di ruolo.
3. In Ruolo selezionare Lettore.
4. Verificare che l'utente sia selezionato nella scheda Membri. Per Assegna accesso a, mantenere l'impostazione predefinita Utente, gruppo o entità servizio.
5. Fare clic su Seleziona membri e scegliere un account utente dalla pagina visualizzata a destra.
6. Se l'utente si trova all'esterno dell'organizzazione, verrà visualizzato il messaggio Questo utente riceverà un messaggio e-mail per collaborare con Microsoft. Selezionare l'utente con l'indirizzo e-mail e quindi fare clic su Salva.

CLI

Per ottenere l'ID oggetto della raccolta, usare az sig show.

az sig show \
   --resource-group myGalleryRG \
   --gallery-name myGallery \
   --query id

Usare l'ID oggetto come ambito, insieme a un indirizzo e-mail e az role assignment create, per concedere a un utente l'accesso alla Raccolta di calcolo di Azure. Sostituire <email-address> e <gallery iD> con le informazioni personalizzate.

az role assignment create \
   --role "Reader" \
   --assignee <email address> \
   --scope <gallery ID>

Per altre informazioni su come condividere risorse usando RBCA, vedere Gestione dell'accesso usando RBCA e L'interfaccia della riga di comando di Azure.

PowerShell

Usare un indirizzo di posta elettronica e il cmdlet Get-AzADUser per ottenere l'ID oggetto per l'utente e quindi usare New-AzRoleAssignment per concedere l'accesso alla raccolta. Sostituire l'indirizzo di posta elettronica di esempio (in questo esempio alinne_montes@contoso.com) con quello personalizzato.

# Get the object ID for the user
$user = Get-AzADUser -StartsWith alinne_montes@contoso.com
# Grant access to the user for our gallery
New-AzRoleAssignment `
   -ObjectId $user.Id `
   -RoleDefinitionName Reader `
   -ResourceName $gallery.Name `
   -ResourceType Microsoft.Compute/galleries `
   -ResourceGroupName $resourceGroup.ResourceGroupName

Passaggi successivi

• Creare una definizione dell'immagine e una raccolta.
• Creare una macchina virtuale da un'immagine generalizzata o specializzata in una raccolta.