Compartilhar uma galeria com todos os usuários de uma assinatura ou locatários (versão prévia)

Este artigo aborda como compartilhar uma Galeria de Computação do Azure com assinaturas ou locatários específicos usando uma galeria compartilhada direta. Compartilhar uma galeria com locatários e assinaturas lhes dá acesso somente leitura à sua galeria.

Importante

Galeria de Computação do Azure – as galerias compartilhadas diretas estão atualmente em VERSÃO PRÉVIA e sujeitas aos Termos de Versão Prévia da Galeria de Computação do Azure.

Para publicar imagens em uma galeria compartilhada direta durante a versão prévia, você precisará se registrar em https://aka.ms/directsharedgallery-preview. Envie o formulário e compartilhe seu caso de negócios. Nenhum acesso adicional necessário para consumir imagens, a criação de VMs de uma galeria compartilhada direta é aberta a todos os usuários do Azure na assinatura de destino ou no locatário com o qual a galeria é compartilhada. Na maioria dos cenários, o compartilhamento RBAC/entre locatários usando o principal do serviço é suficiente e incentiva os clientes a aproveitarem o compartilhamento RBAC. Solicite acesso ao recurso Galeria compartilhada direta somente se desejar compartilhar imagens amplamente com todos os usuários da assinatura/locatário e se o seu caso comercial exigir acesso à galeria compartilhada direta.

Durante a versão prévia, você precisará criar uma galeria, com a propriedade sharingProfile.permissions definida como Groups. Ao usar a CLI para criar uma galeria, use o parâmetro --permissions groups. Você não pode usar uma galeria existente, a propriedade não pode ser atualizada no momento.

Observação

Observe que as imagens podem ser usadas com permissões de leitura para implantar máquinas virtuais e discos.

Ao utilizar a galeria compartilhada direta, as imagens são distribuídas amplamente para todos os usuários em uma assinatura/locatário, enquanto a galeria da comunidade distribui as imagens publicamente. Recomenda-se ter cuidado ao compartilhar imagens que contenham propriedade intelectual para evitar a ampla distribuição.

Há três maneiras principais de compartilhar imagens em uma Galeria de Computação do Azure, dependendo de com quem você deseja compartilhar:

Compartilhamento com:	Pessoas	Grupos	Entidade de Serviço	Todos os usuários em uma assinatura (ou) um locatário específico	Publicamente com todos os usuários do Azure
Compartilhamento RBAC	Sim	Sim	Sim	Não	No
RBAC + galeria compartilhada direta	Sim	Sim	Sim	Sim	No
RBAC + galeria da comunidade	Sim	Sim	Sim	Não	Sim

Limitações

Durante a versão prévia:

• Você só pode compartilhar com 30 assinaturas e 5 locatários.
• Apenas imagens podem ser compartilhadas. Você não pode compartilhar diretamente um aplicativo de VM durante a visualização.
• Uma galeria compartilhada direta não pode conter versões de imagem criptografadas. Imagens criptografadas não podem ser criadas em uma galeria que seja compartilhada diretamente.
• Somente o proprietário de uma assinatura, um usuário ou uma entidade de serviço atribuída para a função Compute Gallery Sharing Admin no nível da assinatura ou galeria poderá permitir o compartilhamento baseado em grupo.
• Você precisa criar uma galeria, com a propriedade sharingProfile.permissions definida como Groups. Ao usar a CLI para criar uma galeria, use o parâmetro --permissions groups. Você não pode usar uma galeria existente, a propriedade não pode ser atualizada no momento.
• No momento, não há suporte para o PowerShell, o Ansible e o Terraform.
• A região de versão da imagem na galeria deve ser igual a da região inicial da região. Não há suporte para criação de uma versão entre regiões em que a região inicial é diferente da galeria, no entanto, quando a imagem estiver na região inicial, ela poderá ser replicada para outras regiões.
• Não disponível em nuvens do Governo
• Para consumir imagens compartilhadas diretas na assinatura de destino, as imagens compartilhadas diretas podem ser encontradas somente na folha de criação da VM/VMSS.
• Problema conhecido: ao criar uma VM de uma imagem compartilhada direta usando o portal do Azure, se você selecionar uma região, selecionar uma imagem e alterar a região, você receberá uma mensagem de erro: "Você só pode criar VM nas regiões de replicação dessa imagem" mesmo quando a imagem for replicada para essa região. Para se livrar do erro, selecione uma região diferente e, em seguida, volte para a região desejada. Se a imagem estiver disponível, ela deverá limpar a mensagem de erro.

Pré-requisitos

Você precisa criar uma nova galeria compartilhada direta . Uma galeria compartilhada direta tem a propriedade sharingProfile.permissions definida como Groups. Ao usar a CLI para criar uma galeria, use o parâmetro --permissions groups. Você não pode usar uma galeria existente, a propriedade não pode ser atualizada no momento.

Como funciona o compartilhamento com a galeria compartilhada direta

Primeiro você cria uma galeria em Microsoft.Compute/Galleries e escolhe groups como opção de compartilhamento.

Quando estiver pronto, você compartilhará sua galeria com assinaturas e locatários. Somente o proprietário de uma assinatura, ou um usuário ou entidade de serviço com a função Compute Gallery Sharing Admin no nível da assinatura ou galeria, pode compartilhar a galeria. Neste ponto, a infraestrutura do Azure cria recursos regionais somente leitura de proxy, em Microsoft.Compute/SharedGalleries. Somente assinaturas e locatários com os quais você compartilhou podem interagir com os recursos de proxy, eles nunca interagem com os recursos privados. Como o editor do recurso privado, você deve considerar o recurso privado como seu identificador para os recursos de proxy público. As assinaturas e locatários com os quais você compartilhou sua galeria verão o nome da galeria como a ID da assinatura em que a galeria foi criada, seguida pelo nome da galeria.

Portal

Observação

Problema conhecido: no portal do Azure, se você receber um erro "Falha ao atualizar a galeria de computação do Azure", verifique se você tem permissão de administrador de compartilhamento de galeria de computação (ou) de proprietário na galeria.

1. Entre no portal do Azure.

2. Digite Galeria de Computação do Azure na caixa de pesquisa e selecione Galeria de Computação do Azure nos resultados.

3. Na página Galeria de Computação do Azure, clique em Adicionar.

4. Na página Criar Galeria de Computação do Azure, selecione a assinatura correta.

5. Preencha todos os detalhes na página.

6. Na parte inferior da página, selecione Avançar: Método de compartilhamento.

7. Na guia Compartilhamento, selecione RBAC + compartilhar diretamente.

   

8. Quando terminar, selecione Revisar + criar.

9. Depois da aprovação na validação, selecione Criar.

10. Depois que a implantação for concluída, selecione Ir para o recurso.

Para compartilhar a galeria:

1. Na página da galeria, selecione Compartilhamento no menu à esquerda.

2. Nas Configurações de compartilhamento direto, selecione Adicionar.

   

3. Se desejar compartilhar com alguém de sua organização, em Tipo, selecione Assinatura ou Locatário e escolha o item apropriado no menu suspenso Locatários e assinaturas. Se você quiser compartilhar com alguém de fora da sua organização, selecione Assinatura fora da minha organização ou Locatário fora da minha organização e cole ou digite a ID na caixa de texto.

   Quando uma galeria for compartilhada com o locatário, todas as assinaturas dentro do locatário terão acesso à imagem e não precisarão compartilhá-la com assinaturas individuais no locatário

4. Quando você terminar de adicionar itens, selecione Salvar.

CLI

Para criar uma galeria compartilhada direta, você precisa criar a galeria com o parâmetro --permissions definido como groups.

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

Para começar a compartilhar a galeria com uma assinatura ou locatário, use az sig share add

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

Remova o acesso para uma assinatura ou locatário usando az sig share remove.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST

Crie uma galeria para compartilhamento no nível da assinatura ou do locatário usando a API REST do Azure.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

Compartilhe uma galeria para assinatura ou locatário.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

Remova o acesso de uma assinatura ou locatário.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

Redefina o compartilhamento para limpar tudo no sharingProfile.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

Próximas etapas

• Crie uma definição de imagem e uma versão de imagem.
• Crie uma VM com base em uma imagem generalizada ou especializada, por meio de uma imagem compartilhada diretamente na assinatura ou no locatário de destino.