구독 또는 테넌트에서 모든 사용자와 갤러리 공유(미리 보기)

이 문서에서는 직접 공유 갤러리를 사용하여 특정 구독 또는 테넌트와 Azure Compute Gallery를 공유하는 방법을 설명합니다. 테넌트 및 구독과 갤러리를 공유하면 갤러리에 대한 읽기 전용 액세스 권한이 부여됩니다.

Important

Azure Compute Gallery – 직접 공유 갤러리는 현재 미리 보기에 있으며 Azure Compute Gallery에 대한 미리 보기 사용 약관이 적용됩니다.

미리 보기 중에 이미지를 직접 공유 갤러리에 게시하려면 https://aka.ms/directsharedgallery-preview에서 등록해야 합니다. 양식을 제출하고 비즈니스 사례를 공유하세요. 이미지를 사용하는 데 추가 액세스 권한이 필요하지 않습니다. 직접 공유 갤러리에서 VM을 만드는 작업은 갤러리가 공유되는 대상 구독 또는 테넌트의 모든 Azure 사용자에게 열려 있습니다. 대부분의 시나리오에서는 서비스 주체를 사용한 RBAC/테넌트 간 공유로 충분하며, 고객이 RBAC 공유를 활용하도록 장려합니다. 구독/테넌트에서 모든 사용자와 이미지를 광범위하게 공유하려는 경우와 비즈니스 사례에서 직접 공유 갤러리에 액세스해야 하는 경우에만 직접 공유 갤러리 기능에 대한 액세스 권한을 요청합니다.

미리 보기 중에 sharingProfile.permissions 속성이 Groups로 설정된 새 갤러리를 만들어야 합니다. CLI를 사용하여 갤러리를 만드는 경우 --permissions groups 매개 변수를 사용합니다. 기존 갤러리를 사용할 수 없으며 현재 속성을 업데이트할 수 없습니다.

참고 항목

이미지에 대한 읽기 권한이 있으면 이미지를 사용하여 가상 머신과 디스크를 배포할 수 있습니다.

직접 공유 갤러리를 활용하면 이미지는 구독/테넌트의 모든 사용자에게 널리 배포되는 반면, 커뮤니티 갤러리는 이미지를 공개적으로 배포합니다. 광범위한 배포를 방지하기 위해 지적 재산이 포함된 이미지를 공유할 때는 주의를 기울이는 것이 좋습니다.

공유하려는 사용자에 따라 Azure Compute Gallery의 이미지를 공유하는 세 가지 주요 방법이 있습니다.

다음을 사용하여 공유:	사람	Groups	서비스 주체	특정 구독(또는) 테넌트 내의 모든 사용자	Azure의 모든 사용자와 공개적으로 공유
RBAC 공유	예	네	네	없음	아니요
RBAC + 직접 공유 갤러리	예	네	네	네	아니요
RBAC + 커뮤니티 갤러리	예	네	네	없음	예

제한 사항

미리 보기 중:

• 구독 30개와 테넌트 5개까지만 공유할 수 있습니다.
• 이미지만 공유할 수 있습니다. 미리 보기 중에는 VM 애플리케이션을 직접 공유할 수 없습니다.
• 직접 공유 갤러리는 암호화된 이미지 버전을 포함할 수 없습니다. 암호화된 이미지는 직접 공유된 갤러리 내에 만들 수 없습니다.
• 구독 소유자 또는 구독 또는 갤러리 수준에서 Compute Gallery Sharing Admin 역할에 할당된 사용자 또는 서비스 주체만 그룹 기반 공유를 사용하도록 설정할 수 있습니다.
• sharingProfile.permissions 속성을 Groups로 설정하여 새 갤러리를 만들어야 합니다. CLI를 사용하여 갤러리를 만드는 경우 --permissions groups 매개 변수를 사용합니다. 기존 갤러리를 사용할 수 없으며 현재 속성을 업데이트할 수 없습니다.
• PowerShell, Ansible 및 Terraform은 현재 지원되지 않습니다.
• 갤러리의 이미지 버전 영역은 지역 홈 지역과 동일해야 하며, 홈 지역이 갤러리와 다른 지역 간 버전을 만드는 것은 지원되지 않지만 이미지가 홈 지역에 있으면 다른 지역에 복제할 수 있습니다.
• Government 클라우드에서는 사용할 수 없습니다.
• 대상 구독에서 직접 공유 이미지를 사용하기 위해 VM/VMSS 만들기 블레이드에서만 직접 공유 이미지를 찾을 수 있습니다.
• 알려진 문제: Azure Portal을 사용하여 직접 공유 이미지에서 VM을 만들 때, 이미지를 선택한 다음, 지역을 변경하면 해당 지역에 이미지가 복제되더라도 "이 이미지의 복제 지역에서만 VM을 만들 수 있습니다."라는 오류 메시지가 표시됩니다. 오류를 제거하려면 다른 지역을 선택한 다음, 원하는 지역으로 다시 전환합니다. 이미지를 사용할 수 있는 경우 오류 메시지를 지워야 합니다.

필수 조건

새로운 직접 공유 갤러리를 만들어야 합니다. 직접 공유 갤러리에는 sharingProfile.permissions 속성이 Groups로 설정됩니다. CLI를 사용하여 갤러리를 만드는 경우 --permissions groups 매개 변수를 사용합니다. 기존 갤러리를 사용할 수 없으며 현재 속성을 업데이트할 수 없습니다.

직접 공유 갤러리와의 공유 작동 방식

먼저 Microsoft.Compute/Galleries 아래에 갤러리를 만들고 공유 옵션으로 groups를 선택합니다.

준비되면 갤러리를 구독 및 테넌트와 공유합니다. 구독 소유자나 구독 또는 갤러리 수준에서 Compute Gallery Sharing Admin 역할이 있는 사용자 또는 서비스 주체만 갤러리를 공유할 수 있습니다. 이 시점에서 Azure 인프라는 프록시 읽기 전용 지역 리소스를 Microsoft.Compute/SharedGalleries 아래에 만듭니다. 공유한 구독 및 테넌트만 프록시 리소스와 상호 작용할 수 있고, 프라이빗 리소스와 상호 작용하지 않습니다. 프라이빗 리소스의 게시자는 프라이빗 리소스를 퍼블릭 프록시 리소스에 대한 핸들로 고려해야 합니다. 갤러리를 공유한 구독 및 테넌트에는 갤러리 이름이 갤러리가 생성된 구독 ID로 표시되고 그 뒤에 갤러리 이름이 표시됩니다.

포털

참고 항목

알려진 문제: Azure Portal에서 "Azure 컴퓨팅 갤러리를 업데이트하지 못함" 오류가 표시되면 갤러리에서 소유자 (또는) 컴퓨팅 갤러리 공유 관리자 권한이 있는지 확인합니다.

1. Azure Portal에 로그인합니다.

2. 검색 상자에 Azure Compute Gallery를 입력하고 결과에서 Azure Compute Gallery를 선택합니다.

3. Azure Compute Gallery 페이지에서 추가를 클릭합니다.

4. Azure Compute Gallery 만들기 페이지에서 올바른 구독을 선택합니다.

5. 페이지의 모든 세부 정보를 완료합니다.

6. 페이지 맨 아래에서 다음: 공유 방법을 선택합니다.

7. 공유 탭에서 RBAC + 직접 공유를 선택합니다.

   

8. 완료되면 검토 + 만들기를 선택합니다.

9. 유효성 검사를 통과하면 만들기를 선택합니다.

10. 배포가 완료되면 리소스로 이동을 선택합니다.

갤러리를 공유하려면 다음을 수행합니다.

1. 갤러리 페이지의 왼쪽 메뉴에서 공유를 선택합니다.

2. 직접 공유 설정에서 추가를 선택합니다.

   

3. 조직 내 다른 사용자와 공유하려면 형식에 대해 구독 또는 테넌트를 선택하고 테넌트 및 구독 드롭다운에서 적합한 항목을 선택합니다. 조직 외부의 다른 사용자와 공유하려면 조직 외부 구독 또는 조직 외부의 테넌트를 선택한 다음, 텍스트 상자에 ID를 붙여넣거나 입력합니다.

   갤러리를 테넌트와 공유하면 테넌트 내의 모든 구독이 이미지에 액세스할 수 있으며 테넌트의 개별 구독과 공유할 필요가 없습니다.

4. 항목 추가를 마쳤으면 저장을 선택합니다.

CLI

직접 공유 갤러리를 만들려면 --permissions 매개 변수를 groups로 설정하여 갤러리를 만들어야 합니다.

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

구독 또는 테넌트와 갤러리를 공유하려면 az sig share add를 사용합니다.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

az sig share remove를 사용하여 구독 또는 테넌트에 대해 액세스를 제거합니다.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST (영문)

Azure REST API를 사용하여 구독 또는 테넌트 수준 공유를 위한 갤러리를 만듭니다.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

구독 또는 테넌트에 갤러리를 공유합니다.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

구독 또는 테넌트에 대한 액세스를 제거합니다.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

sharingProfile의 모든 항목을 지우려면 공유를 다시 설정합니다.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

다음 단계

• 이미지 정의 및 이미지 버전을 만듭니다.
• 대상 구독 또는 테넌트에 있는 직접 공유 이미지에서 일반화되거나 특수화된 이미지에서 VM을 만듭니다.