Совместное использование ресурсов коллекции между подписками и клиентами с помощью RBAC
Поскольку Коллекция вычислений Azure, определение образа и версия образа являются ресурсами, для них можно предоставить общий доступ с помощью встроенных средств управления доступом на основе ролей Azure. Роли Azure RBAC позволяют предоставлять общий доступ к этим ресурсам другим пользователям, субъектам-службам и группам. Доступ к ним можно предоставлять даже пользователям за пределами клиента, в котором данные ресурсы были созданы. Получив доступ, пользователь может использовать ресурсы коллекции для развертывания виртуальной машины или масштабируемого набора виртуальных машин. Ниже приведена матрица общего доступа, которая помогает понять, к чему пользователь получает доступ:
Доступ предоставлен пользователю | Коллекция вычислений Azure | Определение образа | Версия образа |
---|---|---|---|
Коллекция вычислений Azure | Да | Да | Да |
Определение образа | No | Да | Да |
Общий доступ рекомендуется предоставлять на уровне Коллекции. Предоставлять доступ к отдельным версиям образов не рекомендуется. Дополнительные сведения об Azure RBAC см. в статье Назначение ролей Azure.
Существует три основных способа предоставления общего доступа к образами в Коллекции вычислений Azure (в зависимости от того, кому предоставляется доступ):
Совместное использование: | Люди | Группы | Субъект-служба | Все пользователи в определенном клиенте подписки (или) | Общедоступный доступ ко всем пользователям в Azure |
---|---|---|---|---|---|
Общий доступ к RBAC | Да | Да | Да | No | No |
RBAC + Общая коллекция Direct | Да | Да | Да | Да | Нет |
Коллекция RBAC + Community | Да | Да | Да | No | Да |
Вы также можете создать регистрацию приложения для совместного использования образов между клиентами.
Примечание.
Обратите внимание, что образы можно использовать с разрешениями на чтение для развертывания виртуальных машин и дисков.
При использовании прямой общей коллекции образы распределяются широко всем пользователям в подписке или клиенте, а коллекция сообщества распространяет образы публично. Рекомендуется соблюдать осторожность при обмене изображениями, содержащими интеллектуальную собственность, чтобы предотвратить широкое распространение.
Предоставление общего доступа с помощью RBAC
При совместном использовании коллекции с помощью RBAC необходимо предоставить imageID
любому пользователю, создающему виртуальную машину или масштабируемый набор из образа. Для пользователя, развертывающего виртуальную машину или масштабируемый набор, невозможно перечислить образы, которыми им предоставили общий доступ с помощью RBAC.
Если вы совместно используете ресурсы коллекции для кого-то за пределами клиента Azure, вам потребуется tenantID
войти в систему и убедиться, что Azure имеет доступ к ресурсу, прежде чем они смогут использовать его в своем клиенте. Вам потребуется предоставить их вашим tenantID
пользователям, для кого-то за пределами вашей организации не требуется запрашивать ваши tenantID
запросы.
Важно!
Общий доступ к RBAC можно использовать для совместного использования ресурсов с пользователями в организации (или) за пределами организации (межтенантной). Ниже приведены инструкции по использованию образа, доступного к RBAC, и создание vm/VMSS:
- На странице коллекции в меню слева выберите Управление доступом (IAM).
- В разделе Добавление назначения ролей выберите Добавить. Откроется область Добавление назначения ролей.
- В разделе Роль выберите Читатель.
- В разделе "Назначение доступа" оставьте значение по умолчанию пользователя, группы или субъекта-службы Microsoft Entra.
- В разделе Выбрать введите адрес электронной почты пользователя, которого вы хотите пригласить.
- Если пользователь находится за пределами вашей организации, вы увидите сообщение This user will be sent an email that enables them to collaborate with Microsoft (Этому пользователю будет отправлено электронное письмо, что позволит ему совместно работать с корпорацией Майкрософт). Выберите пользователя с адресом электронной почты, а затем нажмите кнопку Сохранить.
Следующие шаги
- Создание определения образа и версии образа.
- Создайте виртуальную машину из обобщенного или специализированного образа в коллекции.