Dela galleriresurser mellan prenumerationer och klienter med RBAC
Eftersom Azure Compute-galleriet, definitionen och versionen är alla resurser kan de delas med hjälp av de inbyggda rollbaserade RBAC-rollrollerna (Azure Roles-based Access Control). Med Hjälp av Azure RBAC-roller kan du dela dessa resurser till andra användare, tjänstens huvudnamn och grupper. Du kan till och med dela åtkomst till personer utanför klientorganisationen som de skapades i. När en användare har åtkomst kan de använda galleriresurserna för att distribuera en virtuell dator eller en VM-skalningsuppsättning. Här är delningsmatrisen som hjälper dig att förstå vad användaren får åtkomst till:
Delas med användare | Azure Compute Gallery | Bilddefinition | Avbildningsversion |
---|---|---|---|
Azure Compute Gallery | Ja | Ja | Ja |
Bilddefinition | Nej | Ja | Ja |
Vi rekommenderar att du delar på gallerinivå för bästa möjliga upplevelse. Vi rekommenderar inte att du delar enskilda bildversioner. Mer information om Azure RBAC finns i Tilldela Azure-roller.
Det finns tre huvudsakliga sätt att dela bilder i ett Azure Compute-galleri, beroende på vem du vill dela med:
Dela med: | Personer | Grupper | Tjänstens huvudnamn | Alla användare i en specifik prenumeration (eller) klientorganisation | Offentligt med alla användare i Azure |
---|---|---|---|---|---|
RBAC-delning | Ja | Ja | Ja | Nej | Nej |
RBAC + Direkt delat galleri | Ja | Ja | Ja | Ja | Nej |
RBAC + Community-galleri | Ja | Ja | Ja | No | Ja |
Du kan också skapa en appregistrering för att dela avbildningar mellan klienter.
Kommentar
Observera att Avbildningar kan användas med läsbehörighet för dem för att distribuera virtuella datorer och diskar.
När du använder det direktdelade galleriet distribueras avbildningar i stor utsträckning till alla användare i en prenumeration/klientorganisation, medan communitygalleriet distribuerar avbildningar offentligt. Vi rekommenderar att du är försiktig när du delar bilder som innehåller immateriella rättigheter för att förhindra utbredd distribution.
Dela med RBAC
När du delar ett galleri med RBAC måste du ange imageID
till alla som skapar en virtuell dator eller skalningsuppsättning från avbildningen. Det finns inget sätt för den person som distribuerar den virtuella datorn eller skalningsuppsättningen att lista de avbildningar som delades till dem med hjälp av RBAC.
Om du delar galleriresurser till någon utanför din Azure-klient behöver de din tenantID
inloggning och låta Azure kontrollera att de har åtkomst till resursen innan de kan använda den i sin egen klientorganisation. Du måste ge dem din tenantID
, det finns inget sätt för någon utanför organisationen att fråga efter din tenantID
.
Viktigt!
RBAC-delning kan användas för att dela resurser med användare inom organisationen (eller) användare utanför organisationen (mellan klientorganisationer). Här följer anvisningarna för att använda en avbildning som delas med RBAC och skapa VM/VMSS:
- På sidan för galleriet går du till menyn till vänster och väljer Åtkomstkontroll (IAM).
- Under Lägg till väljer du Lägg till rolltilldelning. Sidan Lägg till rolltilldelning öppnas.
- Under Roll väljer du Läsare.
- Kontrollera att användaren är markerad på fliken Medlemmar. För Tilldela åtkomst till behåller du standardvärdet användare, grupp eller tjänstens huvudnamn.
- Klicka på Välj medlemmar och välj ett användarkonto på sidan som öppnas till höger.
- Om användaren befinner sig utanför organisationen visas meddelandet Den här användaren får ett e-postmeddelande som gör att de kan samarbeta med Microsoft. Välj användaren med e-postadressen och klicka sedan på Spara.
Nästa steg
- Skapa en bilddefinition och en avbildningsversion.
- Skapa en virtuell dator från en generaliserad eller specialiserad avbildning i ett galleri.