使用 RBAC 跨訂用帳戶和租用戶共用資源庫資源
由於 Azure Compute Gallery、定義和版本都是資源,因此可以使用內建的原生 Azure 角色型存取控制 (RBAC) 角色來共用這些資源。 使用 Azure RBAC 角色時,您可以與其他使用者、服務主體和群組共用這些資源。 您甚至可以在建立人員的租用戶外部共用人員的存取權。 一旦使用者擁有存取權,即可以使用資源庫資源來部署 VM 或虛擬機器擴展集。 以下共用矩陣可協助您了解使用者有權存取的項目:
| 與使用者共用 | Azure Compute Gallery | 映像定義 | 映像版本 |
|---|---|---|---|
| Azure Compute Gallery | Yes | .是 | Yes |
| 映像定義 | No | .是 | Yes |
建議您在資源庫層級共用,以獲得最佳體驗。 我們不建議您共用個別的映像版本。 如需 Azure RBAC 的詳細資訊,請參閱指派 Azure 角色。
根據您想要共用的對象,在 Azure Compute Gallery 中共用映像有三種主要方式:
| 共用對象: | 人員 | 群組 | Service Principal | 特定訂用帳戶 (或) 租使用者中的所有使用者 | 與 Azure 中的所有使用者全體 |
|---|---|---|---|---|---|
| RBAC 共用 | Yes | .是 | .是 | 無 | No |
| RBAC + 直接共用資源庫 | Yes | .是 | .是 | .是 | No |
| RBAC + 社群資源庫 | Yes | .是 | .是 | 無 | Yes |
您也可以建立應用程式註冊,在租用戶之間共用映像。
注意
請注意,映像可以在具有讀取權限的情況下,用於部署虛擬機器和磁碟。
使用直接共用資源庫時,映像會廣泛散發給訂用帳戶/租用戶中的所有使用者,社群資源庫則會公開散發映像。 共用包含智慧財產內容的映像時請小心,以避免廣泛散發。
使用 RBAC 共用
您使用 RBAC 共用資源庫時,您必須將 imageID 提供給從映像建立 VM 或擴展集的任何人員。 部署 VM 或擴展集的人員無法列出使用 RBAC 與其共用的映像。
如果您將資源庫資源分享給 Azure 租用戶外部的人員,他們將需要您的 tenantID 登入,並讓 Azure 確認他們有權存取資源,才能在自己的租用戶內使用。 您必須提供您的 tenantID,組織外部的人員無法查詢您的 tenantID。
重要
RBAC 共用可用來與組織內部的使用者 (或) 組織外部的使用者 (跨租用戶) 共用資源。 以下是使用 RBAC 共用映像並建立 VM/VMSS 的指示:
- 在資源庫的頁面上,從左側功能表選取 [存取控制 (IAM)]。
- 在 [新增角色指派] 下,選取 [新增]。 [新增角色指派] 窗格隨即開啟。
- 在 [角色] 下,選取 [讀者]。
- 在 [存取權指派對象為:] 底下,保留 [Microsoft Entra 使用者、群組或服務主體] 的預設值。
- 在 [選取] 下,鍵入您想要邀請之人員的電子郵件地址。
- 如果使用者在組織外部,您會看到此使用者將收到電子郵件,讓他們與 Microsoft 共同作業訊息。選取具有電子郵件地址的使用者,然後按一下 [儲存]。