Udostępnij za pośrednictwem


Udostępnianie zasobów galerii między subskrypcjami i dzierżawami przy użyciu RBAC

Ponieważ galeria obliczeń platformy Azure, definicja i wersja to wszystkie zasoby, można je udostępniać przy użyciu wbudowanych ról natywnych ról platformy Azure (RBAC). Za pomocą ról RBAC platformy Azure można udostępniać te zasoby innym użytkownikom, jednostkom usługi i grupom. Możesz nawet udostępniać dostęp osobom spoza dzierżawy, w ramach której zostały utworzone. Gdy użytkownik ma dostęp, może użyć zasobów galerii do wdrożenia maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych. Oto macierz udostępniania, która pomaga zrozumieć, do czego użytkownik uzyskuje dostęp:

Udostępnione użytkownikowi Azure Compute Gallery Definicja obrazu Wersja obrazu
Azure Compute Gallery Tak Tak Tak
Definicja obrazu Nie. Tak Tak

Zalecamy udostępnianie na poziomie galerii, aby uzyskać najlepsze środowisko. Nie zalecamy udostępniania poszczególnych wersji obrazów. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach platformy Azure, zobacz Przypisywanie ról platformy Azure.

Istnieją trzy główne sposoby udostępniania obrazów w galerii obliczeń platformy Azure, w zależności od tego, z kim chcesz udostępnić:

Udostępnianie za pomocą: Osoby Grupy Jednostka usługi Wszyscy użytkownicy w określonej subskrypcji (lub) dzierżawie Publicznie ze wszystkimi użytkownikami na platformie Azure
Udostępnianie kontroli dostępu opartej na rolach Tak Tak Tak Nie. Nie.
Kontrola dostępu oparta na rolach i bezpośrednia galeria udostępniona Tak Tak Tak Tak Nie.
Kontrola dostępu oparta na rolach i galeria społeczności Tak Tak Tak Nie Tak

Możesz również utworzyć rejestrację aplikacji, aby udostępniać obrazy między dzierżawami.

Uwaga

Należy pamiętać, że obrazy mogą być używane z uprawnieniami do odczytu na nich w celu wdrożenia maszyn wirtualnych i dysków.

W przypadku korzystania z bezpośredniej galerii udostępnionej obrazy są szeroko dystrybuowane do wszystkich użytkowników w ramach subskrypcji/dzierżawy, podczas gdy galeria społeczności rozpowszechnia obrazy publicznie. Zaleca się zachowanie ostrożności podczas udostępniania obrazów zawierających własność intelektualną, aby zapobiec powszechnemu rozpowszechnianiu.

Udostępnianie przy użyciu kontroli dostępu opartej na rolach

Jeśli udostępniasz galerię przy użyciu kontroli dostępu opartej na rolach, musisz podać imageID ją wszystkim osobom tworzącym maszynę wirtualną lub zestaw skalowania na podstawie obrazu. Nie ma możliwości, aby osoba wdrażająca maszynę wirtualną lub zestaw skalowania wyświetlała listę obrazów, które zostały im udostępnione przy użyciu kontroli dostępu opartej na rolach.

Jeśli udostępniasz zasoby galerii innej osobie spoza dzierżawy platformy Azure, będą musieli tenantID się zalogować i sprawdzić, czy platforma Azure ma dostęp do zasobu, zanim będzie mogła z niego korzystać w ramach własnej dzierżawy. Musisz podać je użytkownikowi tenantID, nie ma możliwości, aby ktoś spoza organizacji wysyłał zapytania dotyczące twojego elementu tenantID.

Ważne

Udostępnianie RBAC może służyć do udostępniania zasobów użytkownikom w organizacji (lub) użytkowników spoza organizacji (między dzierżawami). Poniżej przedstawiono instrukcje dotyczące korzystania z obrazu udostępnionego za pomocą kontroli dostępu opartej na rolach i tworzenia maszyny wirtualnej/usługi VMSS:

Kontrola dostępu oparta na rolach — udostępniona w organizacji

Kontrola dostępu oparta na rolach — współużytkowany z innej dzierżawy

  1. Na stronie galerii w menu po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
  2. W obszarze Dodaj wybierz pozycję Dodaj przypisanie roli. Zostanie otwarta strona Dodawanie przypisania roli.
  3. W obszarze Rola wybierz pozycję Czytelnik.
  4. Upewnij się, że użytkownik jest wybrany na karcie Członkowie. W obszarze Przypisz dostęp do zachowaj wartość domyślną User, group lub service principal.
  5. Kliknij pozycję Wybierz członków i wybierz konto użytkownika na stronie, która zostanie otwarta po prawej stronie.
  6. Jeśli użytkownik znajduje się poza twoją organizacją, zobaczysz komunikat Ten użytkownik zostanie wysłany e-mail, który umożliwi im współpracę z firmą Microsoft. Wybierz użytkownika z adresem e-mail, a następnie kliknij przycisk Zapisz.

Następne kroki