Partilhar uma galeria com todos os utilizadores numa subscrição ou inquilinos (pré-visualização)

Este artigo aborda como compartilhar uma Galeria de Computação do Azure com assinaturas ou locatários específicos usando uma galeria compartilhada direta. Partilhar uma galeria com inquilinos e subscrições dá-lhes acesso só de leitura à sua galeria.

Importante

Galeria de Computação do Azure – a galeria compartilhada direta está atualmente em VISUALIZAÇÃO e sujeita aos Termos de Visualização da Galeria de Computação do Azure.

Para publicar imagens em uma galeria compartilhada direta durante a visualização, você precisa se registrar em https://aka.ms/directsharedgallery-preview. Por favor, envie o formulário e compartilhe seu caso comercial. Não é necessário acesso adicional para consumir imagens, a criação de VMs a partir de uma galeria compartilhada direta está aberta a todos os usuários do Azure na assinatura de destino ou locatário com o qual a galeria é compartilhada. Na maioria dos cenários, o compartilhamento RBAC/entre locatários usando a entidade de serviço é suficiente e incentiva os clientes a aproveitar o compartilhamento RBAC. Solicite acesso ao recurso de galeria compartilhada direta somente se desejar compartilhar imagens amplamente com todos os usuários na assinatura/locatário e se o seu caso comercial exigir acesso à galeria compartilhada direta.

Durante a visualização, você precisa criar uma nova galeria, com a propriedade sharingProfile.permissions definida como Groups. Ao usar a CLI para criar uma galeria, use o --permissions groups parâmetro. Você não pode usar uma galeria existente, a propriedade não pode ser atualizada no momento.

Nota

Observe que as imagens podem ser usadas com permissões de leitura para implantar máquinas virtuais e discos.

Ao utilizar a galeria compartilhada direta, as imagens são distribuídas amplamente para todos os usuários em uma assinatura/locatário, enquanto a galeria da comunidade distribui imagens publicamente. Recomenda-se ter cuidado ao compartilhar imagens que contenham propriedade intelectual para evitar a distribuição generalizada.

Há três maneiras principais de compartilhar imagens em uma Galeria de Computação do Azure, dependendo de com quem você deseja compartilhar:

Partilhar com:	Pessoas	Grupos	Principal de Serviço	Todos os usuários em uma assinatura (ou) locatário específico	Publicamente com todos os usuários no Azure
Compartilhamento RBAC	Sim	Sim	Sim	No	Não
RBAC + Direct galeria compartilhada	Sim	Sim	Sim	Sim	No
RBAC + Galeria da Comunidade	Sim	Sim	Sim	No	Sim

Limitações

Durante a pré-visualização:

• Só pode partilhar com 30 subscrições e 5 inquilinos.
• Apenas as imagens podem ser partilhadas. Não é possível compartilhar diretamente um aplicativo VM durante a visualização.
• Uma galeria partilhada diretamente não pode conter versões de imagens encriptadas. Não é possível criar imagens encriptadas numa galeria partilhada diretamente.
• Somente o proprietário de uma assinatura ou um usuário ou entidade de serviço atribuída à função no nível de assinatura ou galeria poderá habilitar o Compute Gallery Sharing Admin compartilhamento baseado em grupo.
• Você precisa criar uma nova galeria, com a propriedade sharingProfile.permissions definida como Groups. Ao usar a CLI para criar uma galeria, use o --permissions groups parâmetro. Você não pode usar uma galeria existente, a propriedade não pode ser atualizada no momento.
• Neste momento, o PowerShell, o Ansible e o Terraform não são suportados.
• A região da versão da imagem na galeria deve ser a mesma que a região inicial, não há suporte para a criação de uma versão entre regiões em que a região inicial é diferente da galeria, no entanto, uma vez que a imagem esteja na região inicial, ela pode ser replicada para outras regiões
• Não disponível nas nuvens governamentais
• Para consumir imagens compartilhadas diretas na assinatura de destino, as imagens compartilhadas diretas podem ser encontradas somente na folha de criação de VM/VMSS.
• Problema conhecido: ao criar uma VM a partir de uma imagem compartilhada direta usando o portal do Azure, se você selecionar uma região, selecionar uma imagem e, em seguida, alterar a região, receberá uma mensagem de erro: "Você só pode criar VM nas regiões de replicação desta imagem", mesmo quando a imagem for replicada para essa região. Para se livrar do erro, selecione uma região diferente e volte para a região desejada. Se a imagem estiver disponível, deve limpar a mensagem de erro.

Pré-requisitos

Você precisa criar uma nova galeria compartilhada direta. Uma galeria compartilhada direta tem a sharingProfile.permissions propriedade definida como Groups. Ao usar a CLI para criar uma galeria, use o --permissions groups parâmetro. Você não pode usar uma galeria existente, a propriedade não pode ser atualizada no momento.

Como funciona a partilha com a galeria partilhada direta

Primeiro, você cria uma galeria em Microsoft.Compute/Galleries e escolhe groups como uma opção de compartilhamento.

Quando estiver pronto, partilhe a sua galeria com subscrições e inquilinos. Somente o proprietário de uma assinatura, ou um usuário ou entidade de serviço com a função no nível de assinatura ou galeria, pode compartilhar a Compute Gallery Sharing Admin galeria. Neste ponto, a infraestrutura do Azure cria recursos regionais somente leitura de proxy, em Microsoft.Compute/SharedGalleries. Somente assinaturas e locatários com os quais você compartilhou podem interagir com os recursos de proxy, eles nunca interagem com seus recursos privados. Como editor do recurso privado, você deve considerar o recurso privado como seu identificador para os recursos de proxy público. As subscrições e os inquilinos com quem partilhou a sua galeria verão o nome da galeria como o ID da subscrição onde a galeria foi criada, seguido do nome da galeria.

Portal

Nota

Problema conhecido: no portal do Azure, se você receber um erro "Falha ao atualizar a galeria de computação do Azure", verifique se você tem permissão de administrador de compartilhamento de galeria de computação (ou) na galeria.

1. Inicie sessão no portal do Azure.

2. Digite Azure Compute Gallery na caixa de pesquisa e selecione Azure Compute Gallery nos resultados.

3. Na página Galeria de Computação do Azure, clique em Adicionar.

4. Na página Criar Galeria de Computação do Azure, selecione a assinatura correta.

5. Preencha todos os detalhes na página.

6. Na parte inferior da página, selecione Avançar: Método de compartilhamento.

7. Na guia Compartilhamento, selecione RBAC + compartilhar diretamente.

   

8. Quando terminar, selecione Rever + criar.

9. Depois que a validação for aprovada, selecione Criar.

10. Quando a implantação estiver concluída, selecione Ir para recurso.

Para partilhar a galeria:

1. Na página da galeria, selecione Compartilhamento no menu à esquerda.

2. Em Configurações de compartilhamento direto, selecione Adicionar.

   

3. Se pretender partilhar com alguém da sua organização, em Tipo, selecione Subscrição ou Inquilino e escolha o item adequado na lista pendente Inquilinos e subscrições. Se pretender partilhar com alguém fora da sua organização, selecione Subscrição fora da minha organização ou Inquilino fora da minha organização e, em seguida, cole ou escreva o ID na caixa de texto.

   Quando uma galeria é compartilhada com o locatário, todas as assinaturas dentro do locatário terão acesso à imagem e não precisarão compartilhá-la com assinaturas individuais no locatário

4. Quando terminar de adicionar itens, selecione Salvar.

CLI

Para criar uma galeria compartilhada direta, você precisa criar a galeria com o --permissions parâmetro definido como groups.

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

Para começar a compartilhar a galeria com uma assinatura ou locatário, use az sig share add

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

Remova o acesso de uma assinatura ou locatário usando az sig share remove.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST

Crie uma galeria para assinatura ou compartilhamento em nível de locatário usando a API REST do Azure.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

Partilhe uma galeria com uma subscrição ou inquilino.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

Remova o acesso de uma assinatura ou locatário.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

Redefina o compartilhamento para limpar tudo no sharingProfile.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

Próximos passos

• Crie uma definição de imagem e uma versão de imagem.
• Crie uma VM a partir de uma imagem generalizada ou especializada a partir de uma imagem compartilhada direta na assinatura ou locatário de destino.