Galeriebronnen delen tussen abonnementen en tenants met RBAC
Aangezien de Azure Compute Gallery, definitie en versie alle resources zijn, kunnen ze worden gedeeld met behulp van de ingebouwde RBAC-rollen (Op rollen gebaseerd toegangsbeheer) van Azure. Met behulp van Azure RBAC-rollen kunt u deze resources delen met andere gebruikers, service-principals en groepen. U kunt zelfs toegang delen met personen buiten de tenant waarin ze zijn gemaakt. Zodra een gebruiker toegang heeft, kunnen ze de galeriebronnen gebruiken om een virtuele machine of een virtuele-machineschaalset te implementeren. Dit is de matrix voor delen waarmee u begrijpt waartoe de gebruiker toegang krijgt:
| Gedeeld met gebruiker | Azure Compute Gallery | Definitie van installatiekopie | Versie van installatiekopie |
|---|---|---|---|
| Azure Compute Gallery | Ja | Ja | Ja |
| Definitie van installatiekopie | Nr. | Ja | Ja |
Voor de beste ervaring wordt u aangeraden op galerieniveau te delen. Het is niet raadzaam om afzonderlijke versies van installatiekopieën te delen. Zie Azure-rollen toewijzen voor meer informatie over Azure RBAC.
Er zijn drie manieren om installatiekopieën te delen in een Azure Compute Gallery, afhankelijk van met wie u wilt delen:
| Delen met: | Personen | Groepen | Service-principal | Alle gebruikers in een specifiek abonnement (of) tenant | Openbaar met alle gebruikers in Azure |
|---|---|---|---|---|---|
| RBAC Delen | Ja | Ja | Ja | No | Nr. |
| Gedeelde RBAC + Direct-galerie | Ja | Ja | Ja | Ja | Nr. |
| RBAC + Community-galerie | Ja | Ja | Ja | No | Ja |
U kunt ook een app-registratie maken om installatiekopieën tussen tenants te delen.
Notitie
Houd er rekening mee dat installatiekopieën kunnen worden gebruikt met leesmachtigingen voor het implementeren van virtuele machines en schijven.
Wanneer u de directe gedeelde galerie gebruikt, worden installatiekopieën algemeen gedistribueerd naar alle gebruikers in een abonnement/tenant, terwijl de communitygalerie afbeeldingen openbaar distribueert. Het wordt aanbevolen om voorzichtig te zijn bij het delen van afbeeldingen die intellectueel eigendom bevatten om wijdverspreide distributie te voorkomen.
Delen met RBAC
Wanneer u een galerie deelt met behulp van RBAC, moet u iedereen imageID die een VIRTUELE machine of schaalset maakt, opgeven vanuit de installatiekopieën. Er is geen manier voor de persoon die de VIRTUELE machine of schaalset implementeert om de installatiekopieën weer te geven die met behulp van RBAC zijn gedeeld.
Als u galerieresources deelt met iemand buiten uw Azure-tenant, moeten tenantID ze zich aanmelden en azure controleren of ze toegang hebben tot de resource voordat ze deze binnen hun eigen tenant kunnen gebruiken. U moet ze voorzien van uw tenantID, er is geen manier voor iemand buiten uw organisatie om te zoeken naar uw tenantID.
Belangrijk
RBAC-delen kan worden gebruikt om resources te delen met gebruikers binnen de organisatie (of) buiten de organisatie (meerdere tenants). Hier volgen de instructies voor het gebruik van een installatiekopieën die worden gedeeld met RBAC en het maken van VM/VMSS:
- Selecteer Op de pagina voor uw galerie, in het menu aan de linkerkant , Toegangsbeheer (IAM).
- Selecteer Toevoegen onder Roltoewijzing toevoegen. Het deelvenster Een roltoewijzing toevoegen wordt geopend.
- Selecteer Lezer onder Rol.
- Laat onder Toegang toewijzen de standaardwaarde van Microsoft Entra-gebruiker, -groep of -service-principal staan.
- Typ onder Selecteren het e-mailadres van de persoon die u wilt uitnodigen.
- Als de gebruiker zich buiten uw organisatie bevindt, ziet u het bericht Dat deze gebruiker een e-mailbericht ontvangt waarmee ze kunnen samenwerken met Microsoft. Selecteer de gebruiker met het e-mailadres en klik vervolgens op Opslaan.
Volgende stappen
- Maak een definitie van een installatiekopieën en een versie van de installatiekopieën.
- Maak een VIRTUELE machine op basis van een gegeneraliseerde of gespecialiseerde installatiekopieën in een galerie.