Freigeben von Katalogressourcen über Abonnements und Mandanten hinweg mit der RBAC

Da es sich bei der Azure Compute Gallery, der Definition und der Version um Ressourcen handelt, können diese mithilfe der integrierten nativen rollenbasierten Zugriffssteuerung (RBAC) von Azure freigegeben werden. Mithilfe der Azure RBAC-Rollen können Sie diese Ressourcen für andere Benutzer, Dienstprinzipale und Gruppen freigeben. Sie können sogar Zugriff für Personen freigeben, die sich außerhalb des Mandanten befinden, in dem sie erstellt wurden. Sobald ein Benutzer über Zugriff verfügt, kann er auf die Katalogressourcen zugreifen, um eine VM oder eine VM-Skalierungsgruppe bereitzustellen. Im Folgenden finden Sie die Freigabematrix, die verdeutlicht, worauf der Benutzer Zugriff erhält:

Geteilt mit Benutzer Azure Compute Gallery Imagedefinition Imageversion
Azure Compute Gallery Ja Ja Ja
Imagedefinition Nein Ja Ja

Zur Erzielung der besten Leistung empfiehlt sich ein Freigeben auf Katalogebene. Wir raten von der Freigabe einzelner Imageversionen ab. Weitere Informationen zu Azure RBAC finden Sie unter Zuweisen von Azure-Rollen.

Es gibt drei Hauptmethoden zum Freigeben von Images in einer Azure Compute Gallery-Instanz, je nachdem, für wen Sie sie freigeben möchten:

Freigeben für: Personen Gruppen Dienstprinzipal Alle Benutzer in einem bestimmten Abonnement (oder) Mandanten Öffentlich für alle Benutzer in Azure
RBAC-Freigabe Ja Ja Ja Nr. Nein
RBAC + direkt freigegebener Katalog Ja Ja Ja Ja Nein
RBAC + Communitykatalog Ja Ja Ja Keine Ja

Sie können auch eine App-Registrierung erstellen, um Images zwischen Mandanten freizugeben.

Hinweis

Bitte beachten Sie, dass Images mit Leserechten für die Bereitstellung von virtuellen VMs und Datenträgern verwendet werden können.

Wenn Sie den direkten gemeinsamen Katalog verwenden, werden die Bilder an alle Benutzer*innen eines Abonnements/Mandanten verteilt, während der Communitykatalog die Bilder öffentlich verteilt. Beim Teilen von Bildern, die geistiges Eigentum enthalten, sollten Sie vorsichtig sein, um eine weite Verbreitung zu verhindern.

Freigabe über RBAC

Wenn Sie einen Katalog mit RBAC (Role-based access control, rollenbasierte Zugriffssteuerung) freigeben, müssen Sie die imageID für alle Personen bereitstellen, die eine VM oder Skalierungsgruppe aus dem Image erstellen. Es gibt keine Möglichkeit, dass die Person, die die VM oder Skalierungsgruppe bereitstellt, die Images aufzulisten, die mit RBAC für sie freigegeben wurden.

Wenn Sie Katalogressourcen für eine Person außerhalb Ihres Azure-Mandanten freigeben, benötigt diese Ihre tenantID, um sich anzumelden und Azure überprüfen zu lassen, ob sie Zugriff auf die Ressource haben, bevor sie diese in ihrem eigenen Mandanten verwenden können. Sie müssen ihnen Ihre tenantID zur Verfügung stellen. Für Personen außerhalb Ihrer Organisation gibt es keine Möglichkeit Ihre tenantIDabzufragen.

Wichtig

Die RBAC-Freigabe kann verwendet werden, um Ressourcen für Benutzer innerhalb der Organisation (oder) Benutzer außerhalb der Organisation (mandantenübergreifend) freizugeben. Hier finden Sie die Anweisungen zum Nutzen eines mit RBAC freigegebenen Images und zum Erstellen von VM/VMSS:

Rollenbasierte Zugriffssteuerung: Freigegeben innerhalb Ihrer Organisation

Rollenbasierte Zugriffssteuerung: Freigegeben über einen anderen Mandanten

  1. Wählen Sie auf der Seite für Ihren Katalog im Menü auf der linken Seite die Option Zugangskontrolle (IAM) .
  2. Wählen Sie unter Hinzufügen die Option Rollenzuweisung hinzufügen aus. Die Seite Rollenzuweisung hinzufügen wird geöffnet.
  3. Wählen Sie unter Rolle die Option Leser aus.
  4. Stellen Sie sicher, dass der Benutzer auf der Registerkarte „Mitglieder“ ausgewählt ist. Übernehmen Sie für Zugriff zuweisen zu die Standardeinstellung Benutzer, Gruppe oder Dienstprinzipal.
  5. Klicken Sie auf Mitglieder auswählen, und wählen Sie ein Benutzerkonto auf der Seite aus, die rechts geöffnet wird.
  6. Wenn der Benutzer nicht in Ihrer Organisation enthalten ist, wird folgende Meldung angezeigt: Dieser Benutzer erhält eine E-Mail, die ihm die Zusammenarbeit mit Microsoft ermöglicht. Wählen Sie den Benutzer mit der E-Mail-Adresse aus, und klicken Sie dann auf Speichern.

Nächste Schritte