Общий доступ к ресурсам в Галерее вычислений Azure - Azure Virtual Machines

Так как коллекция, определение и версия являются всеми ресурсами в коллекции вычислений Azure, их можно совместно использовать с помощью встроенных ролей управления доступом на основе ролей Azure (RBAC). С помощью ролей Azure RBAC эти ресурсы можно совместно использовать с другими пользователями, субъектами-службами и группами. Вы даже можете предоставить доступ пользователям за пределами клиента, где они были созданы.

После доступа пользователи могут использовать ресурсы коллекции для развертывания виртуальной машины или масштабируемого набора виртуальных машин. Ниже приведена матрица общего доступа, которая поможет понять, к чему пользователи получают доступ:

Общий доступ пользователям	Галерея	Определение изображения	Версия образа
Галерея	Да	Да	Да
Определение изображения	No	Да	Да

Мы рекомендуем предоставлять общий доступ на уровне коллекции для лучшего взаимодействия. Предоставлять доступ к отдельным версиям образов не рекомендуется. Дополнительные сведения об Azure RBAC см. в статье Назначение ролей Azure.

Существует три основных способа совместного использования образов в коллекции вычислений в зависимости от того, с какими пользователями вы хотите предоставить общий доступ:

Совместное использование:	Люди	Группы	Принципал службы	Все пользователи в определенной подписке или клиенте	Общедоступный доступ ко всем пользователям в Azure
Общий доступ к RBAC	Да	Да	Да	No	No
RBAC + прямая общая коллекция	Да	Да	Да	Да	No
RBAC + коллекция сообщества	Да	Да	Да	No	Да

Вы также можете создать регистрацию приложения для совместного использования образов между клиентами.

Примечание.

Образы можно использовать с разрешениями на чтение для развертывания виртуальных машин и дисков.

При использовании прямой общей коллекции образы распределяются широко всем пользователям в подписке или клиенте. Коллекция сообщества распространяет изображения публично. При совместном использовании изображений, содержащих интеллектуальную собственность, используйте осторожность, чтобы предотвратить широкое распространение.

При совместном использовании галереи с помощью RBAC необходимо предоставить значение imageID любому, кто создает виртуальную машину или масштабируемый набор из образа. Пользователь, который развертывает виртуальную машину или масштабируемый набор, не может перечислить образы, которые были с ним поделены через RBAC.

Если вы предоставляете общий доступ к ресурсам коллекции кому-то за пределами вашего клиента Azure, им потребуется использовать значение tenantID для входа, чтобы Azure мог убедиться, что у них есть доступ к ресурсу, прежде чем они смогут использовать его в своем собственном клиенте. Необходимо указать tenantID значение. Для кого-то за пределами вашей организации нет способа запрашивать это значение.

Инструкции по использованию образа общего доступа с помощью RBAC и создании виртуальной машины или масштабируемого набора см. в следующей статье:

Войдите на портал Azure.
На странице вашей галереи в меню слева выберите управление доступом (IAM).
В разделе "Добавить" выберите "Добавить назначение роли". Откроется область Добавить назначение ролей.
В разделе Роль выберите Читатель.
На вкладке "Члены" убедитесь, что выбран пользователь. Чтобы назначить доступ, сохраните значение по умолчанию пользователя, группы или служебного принципала.
Нажмите Выбрать членов. На открывающейся панели выберите учетную запись пользователя.
Если пользователь находится за пределами вашей организации, появится следующее сообщение: этот пользователь будет отправлен по электронной почте, которая позволяет им сотрудничать с корпорацией Майкрософт. Выберите пользователя с адресом электронной почты и нажмите кнопку "Сохранить".

Чтобы получить идентификатор объекта коллекции, используйте az sig show:

az sig show \
   --resource-group myGalleryRG \
   --gallery-name myGallery \
   --query id

Используйте идентификатор объекта в качестве области, а также адрес электронной почты и az role assignment create, чтобы предоставить пользователю доступ к коллекции. Замените <email address> и <gallery ID> своими значениями.

az role assignment create \
   --role "Reader" \
   --assignee <email address> \
   --scope <gallery ID>

Дополнительные сведения о совместном использовании ресурсов с помощью RBAC см. в статье "Назначение ролей Azure с помощью Azure CLI".

Используйте адрес электронной почты и Get-AzADUser командлет, чтобы получить идентификатор объекта для пользователя. Затем используйте New-AzRoleAssignment для предоставления пользователю доступа к коллекции. В следующем примере замените пример адреса электронной почты ([email protected]) собственными сведениями.

# Get the object ID for the user
$user = Get-AzADUser -StartsWith [email protected]
# Grant access to the user for our gallery
New-AzRoleAssignment `
   -ObjectId $user.Id `
   -RoleDefinitionName Reader `
   -ResourceName $gallery.Name `
   -ResourceType Microsoft.Compute/galleries `
   -ResourceGroupName $resourceGroup.ResourceGroupName

Создание определения образа и версии образа.
Создайте виртуальную машину из обобщенного или специализированного образа в коллекции.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-08-07

Поделиться через

Совместное использование ресурсов коллекции между подписками и клиентами с помощью RBAC

Общий доступ с помощью RBAC

Связанный контент

Обратная связь

Дополнительные ресурсы