Compartilhar imagens de VM da galeria em locatários do Azure usando um registro de aplicativo

  • Artigo

Com as Galerias de Computação do Azure, você pode compartilhar uma imagem para outra organização usando um registro de aplicativo. Para obter mais informações sobre outras opções de compartilhamento, consulte Compartilhar a galeria.

Mas, se você quiser compartilhar imagens fora do seu locatário do Azure, em escala, você deve criar um registro de aplicativo. O uso de um registro de aplicativo pode permitir cenários de compartilhamento mais complexos, como:

  • Gerenciamento de imagens compartilhadas quando uma empresa adquire outra, e a infraestrutura do Azure é distribuída entre locatários separados.
  • Os parceiros do Azure gerenciam a infraestrutura do Azure em nome de seus clientes. A personalização de imagens é feita dentro do locatário de parceiros, mas as implantações de infraestrutura ocorrerão no locatário do cliente.

Criar o registro do aplicativo

Crie um registro de aplicativo que será usado por ambos os locatários para compartilhar os recursos da galeria de imagens.

  1. Abra Registros de aplicativo no portal do Azure.
  2. Selecione Novo registro no menu na parte superior da página.
  3. Em Nome, digitemyGalleryApp.
  4. Em Tipos de conta com suporte, selecione Contas em qualquer diretório da organização (qualquer diretório do Microsoft Entra, multilocatário) e contas Microsoft pessoais (por exemplo, Skype, Xbox).
  5. No URI de Redirecionamento, selecione Web na lista suspensa Selecionar uma plataforma, digite https://www.microsoft.com e selecione Registrar. Depois que o registro do aplicativo tiver sido criado, a página Visão geral será aberta.
  6. Na página de visão geral, copie a ID do aplicativo (cliente) e salve para uso posterior.
  7. Selecione Certificados e segredos e, em seguida, selecione Novo segredo do cliente.
  8. Em Descrição, digite Segredo do aplicativo entre locatário da galeria.
  9. Em Expira em, altere do padrão de 6 meses (recomendado) para 12 meses e selecione Adicionar.
  10. Copie o valor do segredo e salve-o em um local seguro. Não é possível recuperá-lo depois de sair da página.

Conceda a permissão de registro do aplicativo para usar a galeria.

  1. Na portal do Azure, selecione a Galeria de Computação do Azure que você deseja compartilhar com outro locatário.
  2. Selecione selecionar controle de acesso (IAM) e, em Adicionar atribuição de função, selecione Adicionar.
  3. Em função, selecione Leitor.
  4. Em Atribuir acesso a:, deixe como o usuário, grupo ou entidade de serviço do Microsoft Entra.
  5. Em Selecionar membros, digite myGalleryApp e selecione-o quando aparecer na lista. Ao terminar, selecione Examinar + atribuir.

Dar acesso ao locatário 2

Conceda acesso de locatário 2 ao aplicativo solicitando uma entrada usando um navegador. Substitua a <ID do Locatário2> pela ID do locatário com o qual você gostaria de compartilhar sua galeria de imagens. Os usuários podem ver sua ID de locatário usando o comando da CLI do Azureaz account show.

Substitua a <ID do Aplicativo (cliente)> pela ID do aplicativo do registro de aplicativo que você criou. Quando terminar de fazer as substituições, cole a URL em um navegador e siga os prompts de entrada para entrar no locatário 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F

No portal do Azure entre como locatário 2 e conceda ao registro do aplicativo acesso ao grupo de recursos no qual você deseja criar a VM.

  1. Selecione o grupo de recursos, e em seguida, selecione IAM (controle de acesso) . Em Adicionar uma atribuição de função, selecione Adicionar.
  2. Em Função, digite Colaborador.
  3. Em Atribuir acesso a:, deixe como o usuário, grupo ou entidade de serviço do Microsoft Entra.
  4. Em Selecionar membros, digite myGalleryApp e selecione-o quando ele aparecer na lista. Ao terminar, selecione Examinar + atribuir.

Observação

Você precisa esperar que a versão da imagem seja compilada e replicada completamente antes de poder usar a mesma imagem gerenciada para criar outra versão da imagem.

Importante

Não é possível usar o portal para implantar uma VM de uma imagem em outro locatário do Azure. Para criar uma VM com base em uma imagem compartilhada entre locatários, use a CLI do Azure ou o PowerShell.

Criar a VM

Você precisará do seguinte antes de criar uma VM de uma imagem compartilhada com você usando um registro de aplicativo:

  • As IDs de locatário da assinatura de origem e da assinatura em que você deseja criar a VM.
  • A ID do cliente do registro do aplicativo e o segredo.
  • A ID da imagem da imagem que você deseja usar.

Entre na entidade de serviço para o locatário 1 usando o appID, a chave do aplicativo e a ID do locatário 1. Você pode usar az account show --query "tenantId" para obter as IDs de locatário, se necessário.

Neste exemplo, estamos mostrando como criar uma VM de uma imagem generalizada. Se você estiver usando uma imagem especializada, consulte Criar uma VM usando uma versão de imagem especializada.


tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token

Entre na entidade de serviço para o locatário 2 usando o appID, a chave do aplicativo e a ID do locatário 2:

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

Crie a VM. Substitua as informações no exemplo pelas suas próprias.

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys