ギャラリーをサブスクリプションまたはテナント内のすべてのユーザーと共有する (プレビュー)

この記事では、直接共有ギャラリーを使用して、Azure Compute Gallery を特定のサブスクリプションまたはテナントと共有する方法について説明します。 テナントおよびサブスクリプションとギャラリーを共有することで、テナントおよびサブスクリプションによるギャラリーへの読み取り専用アクセスが可能になります。

重要

Azure Compute Gallery – 直接共有ギャラリーは現在プレビュー段階であり、Azure Compute Gallery のプレビューの使用条件の対象となります。

プレビュー中にイメージを直接共有ギャラリーに公開するには、https://aka.ms/directsharedgallery-preview で登録する必要があります。 フォームを送信し、ビジネス ケースを共有してください。 イメージを使用するために特別なアクセス権は必要ありません。直接共有ギャラリーからの VM の作成は、ギャラリーの共有先のサブスクリプション内またはテナント内の全 Azure ユーザーに開放されています。 ほとんどのシナリオでは、サービス プリンシパルを使用した RBAC/テナント間共有で十分であり、お客様に RBAC 共有を活用するよう促します。 直接共有ギャラリー機能へのアクセスを要求するのは、サブスクリプション/テナント内のすべてのユーザーと画像を広く共有する場合、およびビジネス ケースで直接共有ギャラリーへのアクセスが必要な場合のみです。

プレビュー中は、プロパティ sharingProfile.permissions を Groups に設定して、新しいギャラリーを作成する必要があります。 CLI を使用してギャラリーを作成するときは、--permissions groups パラメーターを使用します。 既存のギャラリーを使用することはできません。プロパティは現在更新できません。

Note

イメージに対する読み取りアクセス許可があると、そのイメージを使用して仮想マシンとディスクをデプロイすることができるのでご注意ください。

直接共有ギャラリーを利用すると、イメージはサブスクリプションやテナント内のすべてのユーザーに広く配布されるのに対し、コミュニティ ギャラリーではイメージは一般に配布されます。 知的財産を含むイメージを共有する場合は、広く配布されないように注意することをお勧めします。

Azure Compute Gallery でイメージを共有する主な方法は、共有する相手に応じて 3 つあります。

共有相手:	ユーザー	グループ	サービス プリンシパル	特定のサブスクリプション (または) テナント内のすべてのユーザー	Azure のすべてのユーザーと公に
RBAC 共有	はい	イエス	有効	No	いいえ
RBAC + 直接共有ギャラリー	はい	イエス	イエス	有効	いいえ
RBAC + コミュニティ ギャラリー	はい	イエス	有効	無効	はい

制限事項

プレビュー期間中:

• 共有できる相手は、30 のサブスクリプションと 5 つのテナントだけです。
• イメージだけを共有できます。 プレビュー中に VM アプリケーション を直接共有することはできません。
• 直接共有ギャラリーに暗号化されたイメージ バージョンを含めることはできません。 暗号化されたイメージを、直接共有されているギャラリー内に作成することはできません。
• サブスクリプションの所有者、またはサブスクリプション レベルかギャラリー レベルの Compute Gallery Sharing Admin ロールに割り当てられたユーザーまたはサービス プリンシパルだけがグループベースの共有を有効にできるようになります。
• プロパティ sharingProfile.permissions を Groups に設定して、新しいギャラリーを作成する必要があります。 CLI を使用してギャラリーを作成するときは、--permissions groups パラメーターを使用します。 既存のギャラリーを使用することはできません。プロパティは現在更新できません。
• PowerShell、Ansible、およぼ Terraform が現時点ではサポートされていません。
• ギャラリー内のイメージ バージョンのリージョンは、リージョンのホーム リージョンと同じである必要があります。ホーム リージョンがギャラリーとは異なるリージョン間バージョンの作成はサポートされていませんが、イメージがホーム リージョンに配置された後、そのイメージを他のリージョンにレプリケートできます
• Government クラウドでは使用できません
• 対象となるサブスクリプションで直接共有イメージを使用する場合、直接共有イメージは VM/VMSS 作成ブレードからのみ確認できます。
• 既知の問題: Azure portal を使用して直接共有イメージから VM を作成しているとき、リージョンを選択し、イメージを選択してからリージョンを変更すると、"このイメージのレプリケーション リージョンでのみ VM を作成できます" というエラー メッセージが、イメージがそのリージョンにレプリケートされているときでも表示されます。 エラーを解消するには、別のリージョンを選択してから、希望のリージョンに切り替えてください。 イメージが使用可能な場合、エラー メッセージはクリアされるはずです。

前提条件

新しい直接共有ギャラリーを作成する必要があります。 直接共有ギャラリーでは sharingProfile.permissions プロパティが Groups に設定されています。 CLI を使用してギャラリーを作成するときは、--permissions groups パラメーターを使用します。 既存のギャラリーを使用することはできません。プロパティは現在更新できません。

直接共有ギャラリーとの共有のしくみ

最初に Microsoft.Compute/Galleries の下にギャラリーを作成して、共有オプションとして groups を選択します。

準備ができたら、ギャラリーをサブスクリプションおよびテナントと共有します。 ギャラリーを共有できるのは、サブスクリプションの所有者のほか、サブスクリプション レベルかギャラリー レベルの Compute Gallery Sharing Admin ロールが割り当てられたユーザーまたはサービス プリンシパルだけです。 この時点で、リージョンのプロキシ読み取り専用リソースが Azure インフラストラクチャによって Microsoft.Compute/SharedGalleries に作成されます。 あなたが共有したサブスクリプションとテナントだけがプロキシ リソースとやり取りでき、これらがあなたのプライベート リソースとやり取りすることはありません。 プライベート リソースの発行者は、そのプライベート リソースを、パブリック プロキシ リソースへのハンドルとして捉える必要があります。 あなたがあなたのギャラリーを共有しているサブスクリプションとテナントには、ギャラリー名はギャラリーが作成されたサブスクリプション ID として表示され、その後にギャラリー名が続きます。

ポータル

注意

既知の問題: Azure portal で、"Azure コンピューティング ギャラリーの更新に失敗しました" というエラーが発生した場合は、ギャラリーに対する所有者 (または) コンピューティング ギャラリーの共有管理者アクセス許可があるかどうかを確認してください。

1. Azure portal にサインインします。

2. 検索ボックスに Azure Compute Gallery と入力し、結果から Azure Compute Gallery を選択します。

3. [Azure Compute Gallery] ページで、 [追加] をクリックします。

4. [Azure Compute Gallery の作成] ページで、適切なサブスクリプションを選択します。

5. ページの詳細をすべて入力します。

6. ページの下部にある [Next: Sharing method] (次へ: 共有方法) を選択します。

7. [共有] タブで、[RBAC と直接共有] を選びます。

   

8. 完了したら、 [確認および作成] を選択します。

9. 検証に合格した後、 [作成] を選択します。

10. デプロイが完了したら、 [リソースに移動] を選択します。

ギャラリーを共有するには:

1. ギャラリーのページで、左側のメニューから [共有] を選択します。

2. [直接共有の設定] で、[追加] を選択します。

   

3. 組織内の誰かと共有したい場合は、[種類] で [サブスクリプション] または [テナント] を選択して、[テナントとサブスクリプション] ドロップダウンから適切な項目を選択します。 組織外の誰かと共有したい場合は、[組織外 のサブスクリプション] または [組織外のテナント] を選択してから、ID をテキスト ボックスに貼り付けるか入力します。

   ギャラリーがテナントと共有されている場合、テナント内のすべてのサブスクリプションがイメージにアクセスし、テナント内の個々のサブスクリプションと共有する必要はありません

4. 項目の追加が完了したら、[保存] を選択します。

CLI

直接共有ギャラリーを作成するには、--permissions パラメーターが groups に設定されたギャラリーを作成する必要があります。

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

サブスクリプションまたはテナントとのギャラリーの共有を開始するには、az sig share add を使用します

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

az sig share remove を使用してサブスクリプションまたはテナントのアクセス権を削除します。

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST

Azure REST API を使用して、サブスクリプションまたはテナント レベルの共有用のギャラリーを作成します。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

ギャラリーをサブスクリプションまたはテナントと共有します。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

サブスクリプションまたはテナントのアクセス権を削除します。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

共有をリセットして、sharingProfile 内をすべてクリアします。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

次のステップ

• イメージ定義とイメージ バージョンを作成します。
• ターゲット サブスクリプションまたはテナント内の直接共有イメージから、一般化されたまたは特殊化されたイメージから VM を作成します。