Совместное использование ресурсов галереи между подписками и клиентами с помощью RBAC

Поскольку Коллекция вычислений Azure, определение образа и версия образа являются ресурсами, для них можно предоставить общий доступ с помощью встроенных средств управления доступом на основе ролей Azure. Роли Azure RBAC позволяют предоставлять общий доступ к этим ресурсам другим пользователям, субъектам-службам и группам. Доступ к ним можно предоставлять даже пользователям за пределами клиента, в котором данные ресурсы были созданы. Получив доступ, пользователь может использовать ресурсы коллекции для развертывания виртуальной машины или масштабируемого набора виртуальных машин. Ниже приведена матрица общего доступа, которая помогает понять, к чему пользователь получает доступ:

Доступ предоставлен пользователю	Коллекция вычислений Azure	Определение образа	Версия образа
Коллекция вычислений Azure	Да	Да	Да
Определение образа	No	Да	Да

Общий доступ рекомендуется предоставлять на уровне Коллекции. Предоставлять доступ к отдельным версиям образов не рекомендуется. Дополнительные сведения об Azure RBAC см. в статье Назначение ролей Azure.

Существует три основных способа предоставления общего доступа к образами в Коллекции вычислений Azure (в зависимости от того, кому предоставляется доступ):

Совместное использование:	Люди	Группы	Субъект-служба	Все пользователи в определенном клиенте подписки (или)	Общедоступный доступ ко всем пользователям в Azure
Общий доступ к RBAC	Да	Да	Да	No	No
RBAC + Общая коллекция Direct	Да	Да	Да	Да	Нет
Коллекция RBAC + Community	Да	Да	Да	No	Да

Вы также можете создать регистрацию приложения для совместного использования образов между клиентами.

Примечание.

Обратите внимание, что образы можно использовать с разрешениями на чтение для развертывания виртуальных машин и дисков.

При использовании прямой общей коллекции образы распределяются широко всем пользователям в подписке или клиенте, а коллекция сообщества распространяет образы публично. Рекомендуется соблюдать осторожность при обмене изображениями, содержащими интеллектуальную собственность, чтобы предотвратить широкое распространение.

Предоставление общего доступа с помощью RBAC

При совместном использовании коллекции с помощью RBAC необходимо предоставить imageID любому пользователю, создающему виртуальную машину или масштабируемый набор из образа. Для пользователя, развертывающего виртуальную машину или масштабируемый набор, невозможно перечислить образы, которыми им предоставили общий доступ с помощью RBAC.

Если вы совместно используете ресурсы коллекции для кого-то за пределами клиента Azure, вам потребуется tenantID войти в систему и убедиться, что Azure имеет доступ к ресурсу, прежде чем они смогут использовать его в своем клиенте. Вам потребуется предоставить их вашим tenantIDпользователям, для кого-то за пределами вашей организации не требуется запрашивать ваши tenantIDзапросы.

Внимание

Общий доступ к RBAC можно использовать для совместного использования ресурсов с пользователями в организации (или) за пределами организации (межтенантной). Ниже приведены инструкции по использованию образа, доступного к RBAC, и создание vm/VMSS:

RBAC — общий доступ в организации

RBAC — общий доступ из другого клиента

Портал

1. На странице коллекции в меню слева выберите Управление доступом (IAM).
2. В разделе "Добавить" выберите "Добавить назначение роли". Откроется страница добавления назначения ролей.
3. В разделе Роль выберите Читатель.
4. Убедитесь, что пользователь выбран на вкладке "Члены". Чтобы назначить доступ, сохраните значение по умолчанию пользователя, группы или субъекта-службы.
5. Щелкните "Выбрать участников" и выберите учетную запись пользователя на странице, открывающейся справа.
6. Если пользователь находится за пределами вашей организации, вы увидите сообщение This user will be sent an email that enables them to collaborate with Microsoft (Этому пользователю будет отправлено электронное письмо, что позволит ему совместно работать с корпорацией Майкрософт). Выберите пользователя с адресом электронной почты, а затем нажмите кнопку Сохранить.

CLI

Чтобы получить идентификатор объекта коллекции, используйте команду az sig show.

az sig show \
   --resource-group myGalleryRG \
   --gallery-name myGallery \
   --query id

Используйте идентификатор объекта в качестве области, а также адрес электронной почты и команду az role assignment create, чтобы предоставить пользователю доступ к Коллекции вычислений Azure. Замените <email address> и <gallery ID> своими значениями.

az role assignment create \
   --role "Reader" \
   --assignee <email address> \
   --scope <gallery ID>

Дополнительные сведения о предоставлении общего доступа к ресурсам с помощью RBAC см. в статье Управление доступом с помощью RBAC и Azure CLI.

PowerShell

Используйте адрес электронной почты и командлет Get-AzADUser, чтобы получить идентификатор объекта для пользователя, а затем используйте командлет New-AzRoleAssignment, чтобы предоставить этому пользователю доступ к коллекции. Замените пример адреса электронной почты alinne_montes@contoso.com в этом примере своим значением адреса.

# Get the object ID for the user
$user = Get-AzADUser -StartsWith alinne_montes@contoso.com
# Grant access to the user for our gallery
New-AzRoleAssignment `
   -ObjectId $user.Id `
   -RoleDefinitionName Reader `
   -ResourceName $gallery.Name `
   -ResourceType Microsoft.Compute/galleries `
   -ResourceGroupName $resourceGroup.ResourceGroupName

Следующие шаги

• Создание определения образа и версии образа.
• Создайте виртуальную машину из обобщенного или специализированного образа в коллекции.