Freigeben von Katalogressourcen über Abonnements und Mandanten hinweg mit der RBAC

Da es sich bei der Azure Compute Gallery, der Definition und der Version um Ressourcen handelt, können diese mithilfe der integrierten nativen rollenbasierten Zugriffssteuerung (RBAC) von Azure freigegeben werden. Mithilfe der Azure RBAC-Rollen können Sie diese Ressourcen für andere Benutzer, Dienstprinzipale und Gruppen freigeben. Sie können sogar Zugriff für Personen freigeben, die sich außerhalb des Mandanten befinden, in dem sie erstellt wurden. Sobald ein Benutzer über Zugriff verfügt, kann er auf die Katalogressourcen zugreifen, um eine VM oder eine VM-Skalierungsgruppe bereitzustellen. Im Folgenden finden Sie die Freigabematrix, die verdeutlicht, worauf der Benutzer Zugriff erhält:

Geteilt mit Benutzer	Azure Compute Gallery	Imagedefinition	Imageversion
Azure Compute Gallery	Ja	Ja	Ja
Imagedefinition	Nein	Ja	Ja

Zur Erzielung der besten Leistung empfiehlt sich ein Freigeben auf Katalogebene. Wir raten von der Freigabe einzelner Imageversionen ab. Weitere Informationen zu Azure RBAC finden Sie unter Zuweisen von Azure-Rollen.

Es gibt drei Hauptmethoden zum Freigeben von Images in einer Azure Compute Gallery-Instanz, je nachdem, für wen Sie sie freigeben möchten:

Freigeben für:	Personen	Gruppen	Dienstprinzipal	Alle Benutzer in einem bestimmten Abonnement (oder) Mandanten	Öffentlich für alle Benutzer in Azure
RBAC-Freigabe	Ja	Ja	Ja	Nein	Nein
RBAC + direkt freigegebener Katalog	Ja	Ja	Ja	Ja	Nein
RBAC + Communitykatalog	Ja	Ja	Ja	Keine	Ja

Sie können auch eine App-Registrierung erstellen, um Images zwischen Mandanten freizugeben.

Hinweis

Bitte beachten Sie, dass Images mit Leserechten für die Bereitstellung von virtuellen VMs und Datenträgern verwendet werden können.

Wenn Sie den direkten gemeinsamen Katalog verwenden, werden die Bilder an alle Benutzer*innen eines Abonnements/Mandanten verteilt, während der Communitykatalog die Bilder öffentlich verteilt. Beim Teilen von Bildern, die geistiges Eigentum enthalten, sollten Sie vorsichtig sein, um eine weite Verbreitung zu verhindern.

Freigabe über RBAC

Wenn Sie einen Katalog mit RBAC (Role-based access control, rollenbasierte Zugriffssteuerung) freigeben, müssen Sie die imageID für alle Personen bereitstellen, die eine VM oder Skalierungsgruppe aus dem Image erstellen. Es gibt keine Möglichkeit, dass die Person, die die VM oder Skalierungsgruppe bereitstellt, die Images aufzulisten, die mit RBAC für sie freigegeben wurden.

Wenn Sie Katalogressourcen für eine Person außerhalb Ihres Azure-Mandanten freigeben, benötigt diese Ihre tenantID, um sich anzumelden und Azure überprüfen zu lassen, ob sie Zugriff auf die Ressource haben, bevor sie diese in ihrem eigenen Mandanten verwenden können. Sie müssen ihnen Ihre tenantID zur Verfügung stellen. Für Personen außerhalb Ihrer Organisation gibt es keine Möglichkeit Ihre tenantIDabzufragen.

Wichtig

Die RBAC-Freigabe kann verwendet werden, um Ressourcen für Benutzer innerhalb der Organisation (oder) Benutzer außerhalb der Organisation (mandantenübergreifend) freizugeben. Hier finden Sie die Anweisungen zum Nutzen eines mit RBAC freigegebenen Images und zum Erstellen von VM/VMSS:

Rollenbasierte Zugriffssteuerung: Freigegeben innerhalb Ihrer Organisation

Rollenbasierte Zugriffssteuerung: Freigegeben über einen anderen Mandanten

Portal

1. Wählen Sie auf der Seite für Ihren Katalog im Menü auf der linken Seite die Option Zugangskontrolle (IAM) .
2. Wählen Sie unter Rollenzuweisung hinzufügen die Option Hinzufügen aus. Der Bereich Rollenzuweisung hinzufügen wird geöffnet.
3. Wählen Sie unter Rolle die Option Leser aus.
4. Behalten Sie unter Zugriff zuweisen zu den Standardwert Microsoft Entra-Benutzer, -Gruppe oder -Dienstprinzipal bei.
5. Geben Sie unter Auswählen die E-Mail-Adresse der Person ein, die Sie einladen möchten.
6. Wenn der Benutzer nicht in Ihrer Organisation enthalten ist, wird folgende Meldung angezeigt: Dieser Benutzer erhält eine E-Mail, die ihm die Zusammenarbeit mit Microsoft ermöglicht. Wählen Sie den Benutzer mit der E-Mail-Adresse aus, und klicken Sie dann auf Speichern.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Um die Objekt-ID Ihres Katalogs abzurufen, verwenden Sie az sig show.

az sig show \
   --resource-group myGalleryRG \
   --gallery-name myGallery \
   --query id

Verwenden Sie die Objekt-ID als Bereich, zusammen mit einer E-Mail-Adresse und az role assignment create, um einem Benutzer Zugriff auf Azure Compute Gallery zu gewähren. Ersetzen Sie <email-address> und <gallery iD> durch Ihre eigenen Angaben.

az role assignment create \
   --role "Reader" \
   --assignee <email address> \
   --scope <gallery ID>

Weitere Informationen zum Teilen von Ressourcen mittels RBAC finden Sie unter Verwalten des Zugriffs mithilfe von RBAC und der Azure CLI.

PowerShell

Verwenden Sie eine E-Mail-Adresse und das Cmdlet Get-AzADUser, um die Objekt-ID für den Benutzer abzurufen, und verwenden Sie dann New-AzRoleAssignment, um ihnen Zugriff auf den Katalog zu gewähren. Ersetzen Sie die Beispiel-E-Mail-Adresse alinne_montes@contoso.com in diesem Beispiel durch Ihre eigenen Informationen.

# Get the object ID for the user
$user = Get-AzADUser -StartsWith alinne_montes@contoso.com
# Grant access to the user for our gallery
New-AzRoleAssignment `
   -ObjectId $user.Id `
   -RoleDefinitionName Reader `
   -ResourceName $gallery.Name `
   -ResourceType Microsoft.Compute/galleries `
   -ResourceGroupName $resourceGroup.ResourceGroupName

Nächste Schritte

• Erstellen Sie eine Imagedefinition und eine Imageversion.
• Erstellen Sie eine VM aus einem generalisierten oder spezialisierten Image in einem Katalog.