RBAC を使ってサブスクリプションとテナント間でギャラリー リソースを共有する

  • [アーティクル]

Azure Compute Gallery、定義、バージョンはすべてリソースであるため、組み込みのネイティブ Azure RBAC (ロールベースのアクセス制御) ロールを使用して共有できます。 Azure RBAC ロールを使用して、他のユーザー、サービス プリンシパル、グループなどに、これらのリソースを共有できます。 それらが作成されたテナントの外部の個人とアクセスを共有することもできます。 ユーザーはアクセス権を取得すると、ギャラリー リソースを使用して VM または仮想マシン スケール セットをデプロイできます。 ユーザーが取得するアクセスを理解するための共有マトリックスを次に示します。

ユーザーによる共有 Azure Compute Gallery イメージ定義 イメージ バージョン
Azure Compute Gallery はい イエス はい
イメージの定義 いいえ イエス はい

最良のエクスペリエンスのため、ギャラリー レベルで共有することをお勧めします。 個別のイメージ バージョンの共有はお勧めできません。 Azure RBAC の詳細については、Azure のロールの割り当てに関するページを参照してください。

Azure Compute Gallery でイメージを共有する主な方法は、共有する相手に応じて 3 つあります。

共有相手: ユーザー グループ サービス プリンシパル 特定のサブスクリプション (または) テナント内のすべてのユーザー Azure のすべてのユーザーと公に
RBAC 共有 はい イエス 有効 No いいえ
RBAC + 直接共有ギャラリー はい イエス イエス 有効 いいえ
RBAC + コミュニティ ギャラリー はい イエス 有効 無効 はい

テナント間でイメージを共有するためのアプリの登録を作成することもできます。

Note

イメージに対する読み取りアクセス許可があると、そのイメージを使用して仮想マシンとディスクをデプロイすることができるのでご注意ください。

直接共有ギャラリーを利用すると、イメージはサブスクリプションやテナント内のすべてのユーザーに広く配布されるのに対し、コミュニティ ギャラリーではイメージは一般に配布されます。 知的財産を含むイメージを共有する場合は、広く配布されないように注意することをお勧めします。

RBAC を使用して共有する

RBAC を使用してギャラリーを共有する場合は、イメージから VM またはスケール セットを作成するすべてのユーザーに imageID を提供する必要があります。 VM またはスケール セットをデプロイしているユーザーが、RBAC を使用して共有されたイメージを一覧表示する方法はありません。

ギャラリー リソースを Azure テナントの外部のユーザーと共有する場合、外部のユーザーは、管理者の tenantID を使用してログインし、リソースにアクセスできることを Azure で確認してからでないと、自分のテナント内でリソースを使用することはできません。 外部のユーザーに管理者の tenantID を知らせる必要があります。組織の外部のユーザーが管理者の tenantID を確認する方法はありません。

重要

RBAC 共有は、組織内のユーザー (または) 組織外のユーザー (テナント間) とリソースを共有するために使用できます。 RBAC で共有されているイメージを使用し、VM/VMSS を作成する手順を次に示します。

RBAC - 組織内で共有

RBAC - 別のテナントからの共有

  1. ギャラリーのページで、左側のメニューにある [アクセス制御 (IAM)] を選びます。
  2. [ロールの割り当てを追加する][追加] を選択します。 [ロールの割り当てを追加する] ウィンドウが開きます。
  3. [ロール][閲覧者] を選択します。
  4. [アクセスの割り当て先] で既定値の [Microsoft Entra ユーザー、グループ、またはサービス プリンシパル] のままにします。
  5. [選択] の下で、招待する人のメール アドレスを入力します。
  6. ユーザーが組織外の場合、"このユーザーには、Microsoft で共同作業できるようにするメールが送信されます" というメッセージが表示されます。メール アドレスでユーザーを選択して、[保存] をクリックします。

次のステップ