RBAC を使ってサブスクリプションとテナント間でギャラリー リソースを共有する
Azure Compute Gallery、定義、バージョンはすべてリソースであるため、組み込みのネイティブ Azure RBAC (ロールベースのアクセス制御) ロールを使用して共有できます。 Azure RBAC ロールを使用して、他のユーザー、サービス プリンシパル、グループなどに、これらのリソースを共有できます。 それらが作成されたテナントの外部の個人とアクセスを共有することもできます。 ユーザーはアクセス権を取得すると、ギャラリー リソースを使用して VM または仮想マシン スケール セットをデプロイできます。 ユーザーが取得するアクセスを理解するための共有マトリックスを次に示します。
ユーザーによる共有 | Azure Compute Gallery | イメージ定義 | イメージ バージョン |
---|---|---|---|
Azure Compute Gallery | はい | イエス | はい |
イメージの定義 | いいえ | イエス | はい |
最良のエクスペリエンスのため、ギャラリー レベルで共有することをお勧めします。 個別のイメージ バージョンの共有はお勧めできません。 Azure RBAC の詳細については、Azure のロールの割り当てに関するページを参照してください。
Azure Compute Gallery でイメージを共有する主な方法は、共有する相手に応じて 3 つあります。
共有相手: | ユーザー | グループ | サービス プリンシパル | 特定のサブスクリプション (または) テナント内のすべてのユーザー | Azure のすべてのユーザーと公に |
---|---|---|---|---|---|
RBAC 共有 | はい | イエス | はい | いいえ | いいえ |
RBAC + 直接共有ギャラリー | はい | イエス | イエス | はい | いいえ |
RBAC + コミュニティ ギャラリー | はい | イエス | はい | いいえ | はい |
テナント間でイメージを共有するためのアプリの登録を作成することもできます。
Note
イメージに対する読み取りアクセス許可があると、そのイメージを使用して仮想マシンとディスクをデプロイすることができるのでご注意ください。
直接共有ギャラリーを利用すると、イメージはサブスクリプションやテナント内のすべてのユーザーに広く配布されるのに対し、コミュニティ ギャラリーではイメージは一般に配布されます。 知的財産を含むイメージを共有する場合は、広く配布されないように注意することをお勧めします。
RBAC を使用して共有する
RBAC を使用してギャラリーを共有する場合は、イメージから VM またはスケール セットを作成するすべてのユーザーに imageID
を提供する必要があります。 VM またはスケール セットをデプロイしているユーザーが、RBAC を使用して共有されたイメージを一覧表示する方法はありません。
ギャラリー リソースを Azure テナントの外部のユーザーと共有する場合、外部のユーザーは、管理者の tenantID
を使用してログインし、リソースにアクセスできることを Azure で確認してからでないと、自分のテナント内でリソースを使用することはできません。 外部のユーザーに管理者の tenantID
を知らせる必要があります。組織の外部のユーザーが管理者の tenantID
を確認する方法はありません。
重要
RBAC 共有は、組織内のユーザー (または) 組織外のユーザー (テナント間) とリソースを共有するために使用できます。 RBAC で共有されているイメージを使用し、VM/VMSS を作成する手順を次に示します。
- ギャラリーのページで、左側のメニューにある [アクセス制御 (IAM)] を選びます。
- [追加] で [ロールの割り当てを追加] を選びます。 [ロールの割り当てを追加] ページが開きます。
- [ロール] で [閲覧者] を選択します。
- [メンバー] タブでユーザーが選択されていることを確認します。[アクセスの割り当て先] については、既定値の [ユーザー、グループ、またはサービス プリンシパル] を維持します。
- [メンバーを選択する] をクリックし、右側に開くページからユーザー アカウントを選びます。
- ユーザーが組織外の場合、"このユーザーには、Microsoft で共同作業できるようにするメールが送信されます" というメッセージが表示されます。メール アドレスでユーザーを選択して、[保存] をクリックします。
次のステップ
- イメージ定義とイメージ バージョンを作成します。
- ギャラリー内の一般化されたまたは特殊化されたイメージから VM を作成します。