你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 RBAC 跨订阅和租户共享库资源

由于 Azure Compute Gallery、定义和版本都是资源,因此可以使用内置的原生 Azure 基于角色的访问控制 (RBAC) 角色来共享它们。 使用 Azure RBAC 角色可与其他用户、服务主体和组共享这些资源。 甚至可以与创建这些资源的租户外部的个人共享访问权限。 用户获得访问权限后,便可使用该库资源来部署 VM 或虚拟机规模集。 以下共享矩阵可以帮助你了解用户有权访问哪些资源:

与用户共享 Azure Compute Gallery 映像定义 映像版本
Azure Compute Gallery
映像定义

建议在库级别共享以获得最佳体验。 建议不要共享单独的映像版本。 有关 Azure RBAC 的详细信息,请参阅分配 Azure 角色

Azure 计算库中有三种共享映像的主要方法,具体取决于要与谁共享:

共享对象: 人员 Service Principal 特定订阅(或)租户中的所有用户 与 Azure 中的所有用户公开共享
RBAC 共享
RBAC + 直接共享库
RBAC + 社区库 No

还可以创建应用注册,以在租户之间共享映像。

注意

请注意,映像可用于部署虚拟机和磁盘的读取权限。

使用直接共享库时,映像将广泛分发给订阅/租户中的所有用户,而社区库则公开分发映像。 建议谨慎共享包含知识产权的图像,以防止广泛分发。

使用 RBAC 进行共享

使用 RBAC 共享库时,需要向从映像创建 VM 或规模集的任何人员提供 imageID。 部署 VM 或规模集的人员无法列出使用 RBAC 与之共享的映像。

如果你将库资源共享给 Azure 租户外部的其他人,则他们需要使用你的 tenantID 来登录并让 Azure 验证其有权访问该资源,然后才能在自己的租户中使用它。 你需要向他们提供你的 tenantID,组织外部的人员无法查询你的 tenantID

重要

RBAC 共享可用于与组织内部的用户(或)组织外部的用户(跨租户)共享资源。 下面是使用与 RBAC 共享的映像以及创建 VM/VMSS 的说明:

RBAC - 在组织内共享

RBAC - 从另一个租户共享

  1. 在库页面的左侧菜单中,选择“访问控制(IAM)”。
  2. 在“添加角色分配”下,选择“添加”。 此时会打开“添加角色分配”窗格。
  3. 在“角色”下,选择“读取者”。
  4. 在“将访问权限分配给”下,保留默认设置“Microsoft Entra 用户、组或服务主体”。
  5. 在“选择”下,键入要邀请的人员的电子邮件地址。
  6. 如果该用户不在你的组织中,将会显示消息“将向此用户发送一封电子邮件,使其能够与 Microsoft 协作”。请选择使用该电子邮件地址的用户,然后单击“保存”。

后续步骤