Condividere le risorse della raccolta tra sottoscrizioni e tenant con controllo degli accessi in base al ruolo

Poiché la raccolta di calcolo di Azure, la definizione e la versione sono tutte risorse, possono essere condivise usando i ruoli nativi di Azure roles-based Controllo di accesso (RBAC) predefiniti. Usando i ruoli controllo degli accessi in base al ruolo di Azure è possibile condividere queste risorse con altri utenti, entità servizio e gruppi. È inoltre possibile condividere l'accesso a utenti esterni al tenant in cui sono stati creati. Una volta che un utente ha accesso, può usare le risorse della raccolta per distribuire una macchina virtuale o un set di scalabilità di macchine virtuali. Ecco la matrice di condivisione che consente di comprendere a cosa l'utente ottiene l'accesso:

Condiviso con utente	Raccolta di calcolo di Azure	Definizione immagine	Versione dell'immagine
Raccolta di calcolo di Azure	Sì	Sì	Sì
Definizione delle immagini	No	Sì	Sì

Per un'esperienza ottimale è consigliabile condividere a livello di raccolta. Non è consigliabile condividere singole versioni delle immagini. Per altre informazioni sul controllo degli accessi in base al ruolo di Azure, vedere Assegnare ruoli di Azure.

Esistono tre modi principali per condividere le immagini in una Raccolta di calcolo di Azure, a seconda degli utenti con cui si desidera condividerle:

Condivisione con:	Persone	Gruppi	Entità servizio	Tutti gli utenti in una sottoscrizione specifica (o) tenant	Pubblicamente con tutti gli utenti di Azure
Condivisione Controllo degli accessi in base al ruolo	Sì	Sì	Sì	No	No
Controllo degli accessi in base al ruolo + Raccolta condivisa diretta	Sì	Sì	Sì	Sì	No
Controllo degli accessi in base al ruolo e raccolta community	Sì	Sì	Sì	No	Sì

È anche possibile creare una registrazione dell'app per condividere immagini tra tenant.

Nota

Si noti che le immagini possono essere usate con autorizzazioni di lettura per la distribuzione di macchine virtuali e dischi.

Quando si usa la raccolta condivisa diretta, le immagini vengono distribuite ampiamente a tutti gli utenti in una sottoscrizione/tenant, mentre la raccolta della community distribuisce le immagini pubblicamente. È consigliabile prestare attenzione quando si condividono immagini che contengono proprietà intellettuale per evitare una distribuzione diffusa.

Condividere con il controllo degli accessi in base al ruolo

Quando si condivide una raccolta usando il controllo degli accessi in base al ruolo, è necessario fornire imageID a chiunque crei una macchina virtuale o un set di scalabilità dall'immagine. Non esiste alcun modo per la persona che distribuisce la macchina virtuale o il set di scalabilità per elencare le immagini condivise con il controllo degli accessi in base al ruolo.

Se si condividono le risorse della raccolta a un utente esterno al tenant di Azure, è necessario tenantID che l'utente esequi l'accesso e che Azure abbia accesso alla risorsa prima di poterla usare all'interno del proprio tenant. Sarà necessario fornirli con tenantID, non esiste un modo per consentire a un utente esterno all'organizzazione di eseguire una query per l'oggetto tenantID.

Importante

La condivisione controllo degli accessi in base al ruolo può essere usata per condividere le risorse con gli utenti all'interno dell'organizzazione (o) all'esterno dell'organizzazione (cross-tenant). Di seguito sono riportate le istruzioni per usare un'immagine condivisa con il controllo degli accessi in base al ruolo e creare vm/set di scalabilità di macchine virtuali:

Controllo degli accessi in base al ruolo - Condiviso all'interno dell'organizzazione

Controllo degli accessi in base al ruolo - Condiviso da un altro tenant

Portale

1. Nella pagina della raccolta selezionare Controllo di accesso (IAM) nel menu a sinistra.
2. In Aggiungi un'assegnazione di ruolo selezionare Aggiungi. Verrà aperto il riquadro Aggiungi un'assegnazione di ruolo.
3. In Ruolo selezionare Lettore.
4. In Assegnare l'accesso lasciare l'impostazione predefinita utente, gruppo o entità servizio di Microsoft Entra.
5. In Seleziona digitare l'indirizzo di posta elettronica della persona che si desidera invitare.
6. Se l'utente non è all'esterno dell'organizzazione, verrà visualizzato il messaggio Questo utente verrà inviato un messaggio di posta elettronica che consente loro di collaborare con Microsoft. Selezionare l'utente con l'indirizzo di posta elettronica e quindi fare clic su Salva.

CLI

Per ottenere l'ID oggetto della raccolta, usare az sig show.

az sig show \
   --resource-group myGalleryRG \
   --gallery-name myGallery \
   --query id

Usare l'ID oggetto come ambito, insieme a un indirizzo di posta elettronica e a az role assignment create per concedere a un utente l'accesso alla raccolta di calcolo di Azure. Sostituire <email-address> e <gallery iD> con le informazioni personalizzate.

az role assignment create \
   --role "Reader" \
   --assignee <email address> \
   --scope <gallery ID>

Per altre informazioni su come condividere risorse usando RBCA, vedere Gestione dell'accesso usando RBCA e L'interfaccia della riga di comando di Azure.

PowerShell

Usare un indirizzo di posta elettronica e il cmdlet Get-AzADUser per ottenere l'ID oggetto per l'utente e quindi usare New-AzRoleAssignment per concedere l'accesso alla raccolta. Sostituire l'indirizzo di posta elettronica di esempio (in questo esempio alinne_montes@contoso.com) con quello personalizzato.

# Get the object ID for the user
$user = Get-AzADUser -StartsWith alinne_montes@contoso.com
# Grant access to the user for our gallery
New-AzRoleAssignment `
   -ObjectId $user.Id `
   -RoleDefinitionName Reader `
   -ResourceName $gallery.Name `
   -ResourceType Microsoft.Compute/galleries `
   -ResourceGroupName $resourceGroup.ResourceGroupName

Passaggi successivi

• Creare una definizione di immagine e una versione dell'immagine.
• Creare una macchina virtuale da un'immagine generalizzata o specializzata in una raccolta.